На одном из компьютеров KIS 2009 после быстрого сканирования выдал обнаружение вируса "type boot". Предложил единственный вариант "пропустить". При повторном сканировании через пару минут (с теми же базами) уже ничего не нашел.
Хотелось бы узнать, что означает этот вердикт. На viruslist упоминания не нашлось.
Видимо, имеет место обобщенное подозрение наличия неизвестного вредоноса в загрузочном секторе?
Прошу обращение в "помогите" не предлагать, т.к. жаловаться не на что: никакой подозрительной активности и проблем нет.
Последний раз редактировалось Lemmit; 24.06.2008 в 13:27.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Вообщем как доберетесь обязательно просканируйте,если гмер заподозрить что-то неладное вы увидите примерно следующее(см.скриншот)
Так же посмотрите в Сетевом экране KIS 2009 нет ли подобной активности(см.скриншот 2)
Еще можете попробывать приложенную мною утилиту,просто запустите ее она просканирует MBR и создаст лог,если в бутсекторе будет зловредный код,в логе будет следующее:
Код:
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit code detected !
malicious code @ sector 0x1e51dfb size 0x1a9 !
copy of MBR has been found in sector 62 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
Последний раз редактировалось Гриша; 28.06.2008 в 21:55.
1. Прилагаю логи указанных программ, в т.ч., полного осмотра утилитой GMER.
2. Как понял, type_boot видится KIS на подключенной к компьютеру флэшке, которую он называет "\Device\Harddisk1\DR6".
Подключил - вирус есть. Отключил - его нет.
Вот только чем "выдрать" с флэшки загрузочный сектор?
Последний раз редактировалось Lemmit; 26.06.2008 в 11:49.
1.Включили комп(без флешки),все работает нормально,заходите в главное меню KIS,внизу выбирайте "Поддержка"=>"Трассировки" по умолчанию стоят трейсы уровня 500,нажимаете "Включить" выходите из меню KIS.
2.Отключите режим "Домохозяйки"(гл.меню "Настройка"=>"Защита" там будет "Автоматический выбор действия" снимите с него птичку и нажмите "Ок".
3.Подключайте и сканируйте флешку с включенными трейсами(делайте тоже самое как и делали чтобы появился алерт),как будет алерт постарайтесь сделать его скриншот,после того как все сделали,отключаете трассировку,отключаете самозащиту KIS,идете в эту директорию
Код:
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
Там будут отчеты(*.log),нужно упаковать их в архив+скриншот и прислать все это мне в личку,если трейсы будут слишком "тяжелые" залейте их на удобный для вас файлообменник и дайте мне ссылку.
Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника :
"Вердикт type_boot - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом.
Аналогичными вердиктами могут быть:
- type_macro - подозрение на наличие вредоносного кода в структуре макро-документа,
- type_EXE - подозрение на зараженность файловым вирусом,
- type_crypt - подозрение на зловреда, использующего какие-либо специфические криптоалгоритмы для шифрования своего кода"
Кстати, для тех, кто может столкнуться с подобными вердиктами, сообщаю информацию, которую мне удалось получить из неофициального, но заслуживающего доверия источника :
"Вердикт type_boot - это лишь подозрение на возможное присутствие чего-то нестанадартного, что по каким-либо критериям может считаться бутовым вирусом.
mbr на флешках может отличаться очень в широких пределах от стандартных... проверял десятки флешек и у всех свои mbr нестандартные, попробуй все улови. поэтому такой вердикт вполне возможен имхо.