one half

Ответ от ***~O~Б~Б~***[гуру]
Касперский справится с этим вирусом, хотя сохранность данных на старом винчестере 100% не гарантирована!
Технические детали вируса: Очень опасные резидентные файлово-загрузочные полиморфик-вирусы. При запуске заражают MBR винчестера, при загрузке с пораженного диска перехватывают INT 13h, 1Ch, 21h и записываются в COM- и EXE-файлы при обращении к ним. Не заражают файлы: SCAN, CLEAN, FINDVIRU, GUARD, NOD, VSAFE, MSAV, CHKDSK. Код расшифровщика этих вирусов разбросан по всему файлу со случайными смещениями (см. "Bomber"). При заражении винчестера вирус считывает его MBR и сканирует таблицу разбиения диска (Disk Partition Table). В ней он ищет последний DOS'овский диск - логический диск (FAT-12/FAT-16/BIGDOS) или Extended partition, и когда находит, подсчитывает номер первого и последнего цилиндра найденного диска (или Extended partition). При этом вирус довольно грамотно обрабатывает диски, имеющие более 1024 цилиндров и не вписываются в стандарты INT 13h. Вирус запоминает адреса этих цилиндров и заражает винчестер. Затем при загрузке с зараженного винчестера вирус шифрует два последних цилиндра диска, при следующей загрузке - еще два и т. д. , пока не дойдет до первого цилиндра. При этом вирус использут адреса первого и последнего цилиндров диска, которые запомнил при заражении винчестера. Когда количество зашифрованных цилиндров перевалит за половину диска, вирус сообщает (в зависимости от текущей даты и своего "поколения"):Dis is one half.
Press any key to continue...
Таким образом, чем чаще перезагружается зараженный компьютер, тем больше данных оказываются зашифрованными. После загрузки в память вирус расшифровывает/зашифровывает эти сектора "на лету", поэтому пользователь не замечает того, что его данные испорчены. Однако если вылечить MBR, то все данные оказываются потерянными. "OneHalf.3518" не шифрует себя в файлах. Выводит текст:
A20 Error !!
Press any key to continue ...
"OneHalf.3544.b" не заражает файлы: AIDS*.*, ADINF*.*, DRWEB*.*, ASD*.*, MSAV*.*. Выводит сообщение:
Dis is TWO HALF.
Fucks any key to Goping...
"OneHalf.3544.c" не шифрует секторов, выводит текст:
Disk is Tpu half.
(Bepx, Hu3 u Pe6po)
Вирусы также содержат строки:
"OneHalf.3544.a": Did you leave the room ?
"OneHalf.3544.b": User is loh !
"OneHalf.3577": DidYouLeaveTheRoom?
OneHalf.Madjid
Не шифрует свой код, однако шифрует сектора винчестера так же, как и "настоящий" OneHalf. Выводит текст:
OHHHHH... MADJID
Here is very dark.
HELP ME... HELP ME... HELP...
I am here .They kill the love .I am solitary .
Press RETURN for continue
Источник: