PočMág radí

Sdílej
 

Často se ptáte, jak se zbavit viru One_Half. Zdá se, že tento již poměrně starý vir je stále na discích a disketách mnohých našich čtenářů pevně zakořeněn. K tomu, abychom si objasnili, co One_Half je, co provádí a jak se jej zbavit, začneme nejprve trochou teorie.

Proč je tak nebezpečný?

One_Half je vir, který napadá takzvaný Master Boot Record (MBR). To je oblast disku, která se nachází zpravidla na úplném počátku disku (na prvním sektoru) a obsahuje velmi důležitou informaci o tom, která část disku je nastavena jako aktivní, a odkud se tedy má zavádět operační systém. Při poškození této oblasti dojde k tomu, že není možné nastartovat počítač z harddisku a je potřeba speciálním programem tuto oblast vytvořit znovu. To se provádí pomocí programu FDISK s přepínačem /MBR. Odstraňovat vir One_Half tímto způsobem však není vhodné.

Jak funguje?

One_Half je polymorfní vir a pochází ze Slovenska. Při nastartování počítače se spustí a podobně jako jiné rezidentní programy se načte do operační paměti a běží na pozadí. Aby zamaskoval změny v MBR a svou vlastní přítomnost, používá One_Half speciální stealth techniku. Hlídá probíhající (spuštěné) programy a snaží se tak vyhnout své detekce. Některé antivirové programy nenapadá, takže jej ani neumějí odhalit. Přitom provádí velmi zákeřnou destrukční činnost. Při každém spuštění počítače zakóduje na disku dvě stopy. Pokud je takto zakódována a poškozena více než polovina disku, začne na sebe virus sám upozorňovat. Na obrazovce se vypíše následující hláška: Dis is one half. Press any key to continue ... Poté počítač pípne a počká na stisk klávesy.

Jak na něj?

Za normálních okolností není nic poznat. One_Half je spuštěn v paměti, kontroluje přístup k disku a požadovaná data a programy dekóduje, takže počítač se tváří, jako by se nic špatného nedělo. Při použití příkazu FDISK /MBR dojde sice k jeho zničení, ale zničí se tím i informace důležité pro dekódování dat z disku. Tím jsou všechna data definitivně ztracena. Z tohoto důvodu je třeba k likvidaci použít některý z antivirových programů, které vir umí detekovat a které sám nenapadá. Záleží ovšem na verzi viru, neboť stejně jako u normálních programů se i v případě One_Halfu vyskytuje několik druhů : One_Half.3544, One_Half.3570 a One_Half.3577. Poslední verze s číslem 3577 je z hlediska napadání antivirových programů nejnebezpečnější.

Formátovat, či neformátovat a léčit?

Není možné, jak se mnoho lidí mylně domnívá, zbavit se viru One_Half pouhým zformátováním disku, neboť, jak již bylo zmíněno, One_Half zůstává v MBR, kterého se formátování datové části nedotkne. Ideální pro odstranění viru je antivirový program, neboť tím nedojde ke ztrátě dat. Doporučil bych použít program od McAfee nebo české AVG.

A co když nemám antivirák?

V případě, že nevlastníte antivirový program, který umí virus One_Half odstranit, je třeba užít níže popsaný postup, kterým dojde k novému vytvoření MBR a tím k odstranění viru. Bohužel dojde také ke ztrátě veškerých dat na disku. 1. Vezmi nezavirovanou bootovací disketu chráněnou proti zápisu. Tu ti může na nezavirovaném počítači vyrobit třeba kamarád příkazem "Sys A:" (je třeba na ni též nakopírovat soubory Fdisk.exe a Format.com). 2. Nastartuj z této diskety počítač a do DOSovského řádku napiš příkaz "Fdisk /MBR". 3. Po tomto příkazu zrestartuj počítač (opět z diskety). 4. Příkazem "Format C: /s" naformátuj harddisk. Současně s formátem se přenesou i systémové soubory a můžeš počítač znovu nainstalovat. Pozor na to, abys instalační média neměl též zavirovaná a nezanesl si tak vir na čistý disk.