AVE SATANAS

Для начала я винт просто отключу. Сейчас некогда, а вечером я его помучаю. Раз уж такая экзотика в руки попала, то разберу по атомам.

Продолжим рассказ про компьютер-сатанист. Пару дней мне заниматься им было совсем некогда, но на данный момент диагностика проведена и все, в общем-то, стало понятно.
Должен констатировать ошибку в своём первом посте. Надпись «Press <ESC> to boot...» не имеет отношения к вирусам или бирусам. Это родная строковая константа AMIBIOS.

Что ж, память подвела. Бывает. После этого гипотеза о бирусе практически отпала и все внимание было обращено на винчестер. При отключении винчестера от системного блока надпись «AVE SATANAS» пропала. Засунув больной винчестер во внешний корпус, я подключил его к рабочему компьютеру и натравил на него Аваста. Было найдено на логическом диске с данными шесть штук разных troyan-gen и malware-gen, но, в общем, ничего особенного. Да и не могло там ничего быть. Помните, я восстановился из чистой резервной копии?
Но то ли Аваст не проверяет MBR, то ли он не увидел там ничего криминального, то ли я с ним обращаться не умею… Решил проверить MBR собственноручно. Бинго! Вот она, заглушка не дававшая стартовать восстановленной системе.

Загрузчик стёрт, вместо него какая-то хрень и найденная наконец-то строка «AVE SATANAS». IDA моментально перевела мне машинные коды на понятный язык.

Собственно в этой заглушке нет ничего опасного. Всего лишь вывод строки текста через прерывание видеокарты и бесконечный цикл, но загрузку с винчестера оно блокирует качественно.

Вот, собственно и вся диагностика. Про оживление компа – в следующем посте.

Познавательно, спасибо за детальный разбор вируса.