Показано с 1 по 18 из 18.

type boot

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110

    type boot

    На одном из компьютеров KIS 2009 после быстрого сканирования выдал обнаружение вируса "type boot". Предложил единственный вариант "пропустить". При повторном сканировании через пару минут (с теми же базами) уже ничего не нашел.
    Хотелось бы узнать, что означает этот вердикт. На viruslist упоминания не нашлось.
    Видимо, имеет место обобщенное подозрение наличия неизвестного вредоноса в загрузочном секторе?
    Прошу обращение в "помогите" не предлагать, т.к. жаловаться не на что: никакой подозрительной активности и проблем нет.
    Последний раз редактировалось Lemmit; 24.06.2008 в 13:27.

  2. Реклама
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Скачайте Gmer и проведите проверку,если у вас буткит которого знает гмер,он выявит его при экспресс сканировании.

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Спасибо Гриша! Обязательно попробую.
    Пока на сам вопрос нет ответа ни тут, ни в параллельной теме на форуме ЛК.

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Просканировали гмером?

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Нет, Гриша. Комп не под рукой. Постараюсь завтра отписаться о результатах.

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Вообщем как доберетесь обязательно просканируйте,если гмер заподозрить что-то неладное вы увидите примерно следующее(см.скриншот)

    Так же посмотрите в Сетевом экране KIS 2009 нет ли подобной активности(см.скриншот 2)

    Еще можете попробывать приложенную мною утилиту,просто запустите ее она просканирует MBR и создаст лог,если в бутсекторе будет зловредный код,в логе будет следующее:

    Код:
    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    
    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    MBR rootkit code detected !
    malicious code @ sector 0x1e51dfb size 0x1a9 !
    copy of MBR has been found in sector 62 !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
    Последний раз редактировалось Гриша; 28.06.2008 в 21:55.

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    1. Прилагаю логи указанных программ, в т.ч., полного осмотра утилитой GMER.
    2. Как понял, type_boot видится KIS на подключенной к компьютеру флэшке, которую он называет "\Device\Harddisk1\DR6".
    Подключил - вирус есть. Отключил - его нет.
    Вот только чем "выдрать" с флэшки загрузочный сектор?
    Вложения Вложения
    • Тип файла: zip log.zip (7.2 Кб, 12 просмотров)
    Последний раз редактировалось Lemmit; 26.06.2008 в 11:49.

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Так вот вам еще задание

    1.Включили комп(без флешки),все работает нормально,заходите в главное меню KIS,внизу выбирайте "Поддержка"=>"Трассировки" по умолчанию стоят трейсы уровня 500,нажимаете "Включить" выходите из меню KIS.

    2.Отключите режим "Домохозяйки"(гл.меню "Настройка"=>"Защита" там будет "Автоматический выбор действия" снимите с него птичку и нажмите "Ок".

    3.Подключайте и сканируйте флешку с включенными трейсами(делайте тоже самое как и делали чтобы появился алерт),как будет алерт постарайтесь сделать его скриншот,после того как все сделали,отключаете трассировку,отключаете самозащиту KIS,идете в эту директорию

    Код:
    C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
    Там будут отчеты(*.log),нужно упаковать их в архив+скриншот и прислать все это мне в личку,если трейсы будут слишком "тяжелые" залейте их на удобный для вас файлообменник и дайте мне ссылку.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    ОК.

  11. #10
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Гриша, задание выполнено.

  12. #11
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Отлично,большое спасибо,сегодня/завтра посмотрим что это такое

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника :

    "Вердикт type_boot - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом.

    Аналогичными вердиктами могут быть:
    - type_macro - подозрение на наличие вредоносного кода в структуре макро-документа,
    - type_EXE - подозрение на зараженность файловым вирусом,
    - type_crypt - подозрение на зловреда, использующего какие-либо специфические криптоалгоритмы для шифрования своего кода"

  14. #13
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Разберемся...

    Вы пока флешку храните в том состоянии,в котором она находится

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Скачайте приложенную мною программу,подключите флешку,запустите ее с таким параметром:

    Код:
    "путь к программе" /drive 1 savembr mbrfile
    Файл mbrfile будет сохранен в папке с программой,запакуйте его с паролем и пришлите мне в личку(пароль укажите).
    Последний раз редактировалось Гриша; 28.06.2008 в 21:55.

  16. #15
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.01.2008
    Сообщений
    47
    Вес репутации
    110
    выполнено.
    Результаты сканирования:
    Касперский и F-Secure видят "type_boot".
    С нетерпением жду окончательного диагноза! Вдруг это rustok.e? :-)))

  17. #16
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Файл получил,ждите...

  18. #17
    Dr. Web Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.06.2005
    Сообщений
    63
    Вес репутации
    268
    Цитата Сообщение от Lemmit Посмотреть сообщение
    Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника :

    "Вердикт type_boot - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом.
    mbr на флешках может отличаться очень в широких пределах от стандартных... проверял десятки флешек и у всех свои mbr нестандартные, попробуй все улови. поэтому такой вердикт вполне возможен имхо.

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    Ваш mbr флешки чист,это был фолс антивируса,скоро поправят

Похожие темы

  1. TSR.BOOT - что это?
    От klmnop в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 13.02.2012, 13:38
  2. Загрузца ЦП 50%.Выдал вирус type win32.
    От PacLLInuJIb в разделе Помогите!
    Ответов: 23
    Последнее сообщение: 30.10.2011, 17:27
  3. boot.ini + IMA
    От NRA в разделе Microsoft Windows
    Ответов: 0
    Последнее сообщение: 10.10.2010, 01:03
  4. Ответов: 4
    Последнее сообщение: 09.04.2009, 13:44
  5. Ответов: 2
    Последнее сообщение: 26.11.2006, 09:17

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01231 seconds with 21 queries