Форум 3DNews
Вернуться   Форум 3DNews > Интернет > Информационная безопасность, защита от вирусов

Ответ Создать новую тему
Опции темы Опции просмотра
Непрочитано 02.12.2009, 15:18   [включить плавающее окно]   #1
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Неизвестный Tsr.boot вирус - как избавиться?

Столкнулся с такой проблемой - сразу после установки ХР и антивируса (даже дрова не ставлю) антивирь NOD32 v4 ругается на вирус в активном загрузочном секторе - неизвестный TSR.BOOT вирус.
Ставил на другие харды этот же дистрибутив - все равно вирус. В итоге уже 3 разных харда на 3 разных машинах.
Проверил дистрибутив нодом - вирусов не нашел.
Проверил зараженные машины CureIT - никакой заразы не нашел.
Базы для нода самые последние.
Делал из консоли восстановления fixmbr и fixboot - бестолку.
Скрин с сообщением о вирусе прилагаю.
Что это может быть?
Миниатюры
Нажмите на изображение для увеличения
Название: nod32.png
Просмотров: 1194
Размер:	35.1 Кб
ID:	29072  
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 15:25   [включить плавающее окно]   #2
Antinomy
Мужской Модератор
 
Аватар для Antinomy
 
Регистрация: 18.08.2004
Адрес: Владивосток
Я бы такой дистрибутив просто выкинул и мозг не ломал

CureIt проверял из безопасного режима? Тот же Avira - он что-нибудь видит? У него есть версия типа CureIT, переносная.
__________________
Core unstable, system malfunction
What fun is a computer if you don't push it for more than its rated!
Antinomy вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 15:26   [включить плавающее окно]   #3
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Antinomy - дык странно...раньше такого не было - несколько машин ужо крутятся с этой системой.

CureIT с livecd грузил (сегодняшний стянул).
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 15:26   [включить плавающее окно]   #4
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Potapicus
А что за дистрибут XP обычный или какая-то сборка?
Может Nod косячит?
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 15:29   [включить плавающее окно]   #5
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott чистый VL ну сам понимаешь что не лайсенс )))
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 15:41   [включить плавающее окно]   #6
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Potapicus
Хм.. чистый VL, однако!
А если старый дистрибут попробовать, там чисто XP или SP2/SP1 Win2000 Pro?
И посмотреть шо скажет этот же Nod.

Potapicus
А Nod тоже не кошерный?
Может вирь в самом Nod'e? Коварные пираты такое иногда практикуют, пихают вирь в дистриб антивиря.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 15:45   [включить плавающее окно]   #7
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott - да я ж говорю - "весь моск сломал" ужо.
фишка вот в чем:
этот некошерный дистрибутив уже успешно крутится на 5-6 машинах.
этот некошерный нод крутится ужо дай бог памяти на 15 машинах.
и такая же связка этот образ+этот нод на 5 машинах.
а тут вот какая напасть приключилась и все.

счас попробую еще один дистр сп3 поставить. трабл в том, что все образы со 2 сп потер с радости что 3 вышел (

Potapicus добавил :

о, поспешил ) в залежах на рабочем компе нашел еще пару дистрибутивов сп2 что раньше ставил ) счас попробую... по результатам отпишусь.
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 15:47   [включить плавающее окно]   #8
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Potapicus) »
счас попробую еще один дистр сп3 поставить. трабл в том, что все образы со 2 сп потер с радости что 3 вышел (
Potapicus
Я на SP3 ужо год, но в моих дисковых архивах есть дистрибы и XP Gold и XP Sp-1 и XP SP-2.

Ещё, сейчас таких вирей мало, но иногда появляются такие, которые к exe-файлам цепляются (во времена DOS большинство вирей цеплялись именно к программам, а не являлись отдельными программными модулями)

Может к этому дистрибу Nod'а где-то такой вирь и прицепился?

Как говорится, вирь сделан в лучших традициях старых мастеров вирусописательства и к exe-шникам цепляется и в MBR-прописывается
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 02.12.2009 в 15:52.
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 15:57   [включить плавающее окно]   #9
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott - во-во, я тож поначалу думал, когда на одной и той же мамке шаманил, шо он в биос залез ))))

дистриьутив проверил вроде бы. причем дистрибутив только антивиря - а проверял ess'кой.
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 16:00   [включить плавающее окно]   #10
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Цитата (Potapicus) »
шо он в биос залез
Potapicus
В BIOS это вряд ли, тут во околокомпьютерном флейме тема была о вирусах в BIOS (BIRUS'ах).
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:02   [включить плавающее окно]   #11
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott - тама смайлы стояли )))
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 16:07   [включить плавающее окно]   #12
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Potapicus) »
Делал из консоли восстановления fixmbr и fixboot - бестолку.
А с другого дистрибутива fixmbr если?
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:12   [включить плавающее окно]   #13
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
Ariny - не подумал об этом...
уже поздно, ставлю сп2, посмотрю что получится из этого.
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 16:19   [включить плавающее окно]   #14
Ariny
Женский Супер модератор
 
Аватар для Ariny
 
Регистрация: 21.04.2004
Адрес: Московская область
Цитата (Potapicus) »
ставлю сп2, посмотрю что получится из этого
Винт переразбил?
__________________
Veo voto.
Ariny вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:20   [включить плавающее окно]   #15
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Potapicus
Ты самое главное первым делом нода потом не ставь, а сними WinHex'ом MBR - сектор номер 0.
потом поставь нода и сравни, как изменился MBR.

WestGott добавил :

Цитата (Ariny) »
Винт переразбил?
Ariny
А зачем винт переразбивать? XP всё равно при установке перезаписывает MBR и boot-сектор.

WestGott добавил :

Potapicus
Бывает ещё народ сразу после переустановки вири цепляет, когда проводником открывает другие разделы, а на тех разделах в корневике лежит autorun.inf и exe-шник с вирём. Так что будь осторожен! Поставь лучше, из предварительно проверенного на вирусы дистрибутива, тотал.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:38   [включить плавающее окно]   #16
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott хард голый, без инфы.
winhex - как им снять? просто посмотреть какие значения в секторе 0000000000 ?
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 16:44   [включить плавающее окно]   #17
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Potapicus
Открываешь физический диск 0

Затем выделяешь всё содержимое сектора 0
Выбираешь в верхнем меню пункт "Правка"
Копировать блок -> в новый файл

и усё

WestGott добавил :

Полученные файлы MBR-секторов потом можно сравнить при помощи тотала или утилиты командной строки fc с ключом /B.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:47   [включить плавающее окно]   #18
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
блин. ни*ера не понимаю...
поставил сп2, поставил нода - все, тут же нашел.

касаемо бут сектора - переписал 16 пар цифр - в них изменений никаких не произошло.

значит получается дистрибутив с вирем или еще что...
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Непрочитано 02.12.2009, 16:51   [включить плавающее окно]   #19
WestGott
Мужской Умудрённый
 
Аватар для WestGott
 
Регистрация: 09.02.2005
Адрес: Небытие
Potapicus
По подробнее, что ты нашёл?
Надо сравнивать весь MBR, в первых двух параграфах изменений может и не быть, если там что и модифицируют, то как правило, в середине сектора, по тому что в начале там идёт команда jmp потом данные, а в конце часть таблицы разделов.
Так что код там размещают в середине.
__________________
Нормальные герои всегда идут в обход. (c) Бармалей

Последний раз редактировалось WestGott; 02.12.2009 в 16:55.
WestGott вне форума  
Ответить с цитированием
Непрочитано 02.12.2009, 16:53   [включить плавающее окно]   #20
Potapicus
Мужской Умудрённый
Автор темы
 
Аватар для Potapicus
 
Регистрация: 07.01.2004
Адрес: Москва
WestGott да не скопировал я тот сектор так как сказал ( пост после того как установил прочитал (

дладно, на сегодня хватит опытов. 5 раз винду ставил ( завтра продолжу.

спасибо огромное за помощь!!!
__________________
[3DnewSSupreme Team]
:worthy: :muz:
Potapicus вне форума  
Конфигурация ПК
Ответить с цитированием
Ответ Создать новую тему

Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Текущее время: 16:29. Часовой пояс GMT +3.


Powered by vBulletin® Version 3.8.4
Copyright ©2000 - 2019, Jelsoft Enterprises Ltd. Перевод: zCarot
Copyright © 2000-2017 3DNews. All Rights Reserved.
Администрация 3DNews требует соблюдения на форуме правил и законов РФ
Серверы размещены в Hostkey