Форум esetnod32.ru [тема: вероятно неизвестный TSR.BOOT вирус] http://forum.esetnod32.ru Новое в теме вероятно неизвестный TSR.BOOT вирус форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 13:10:11 +0300 вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ну тогда больше нет ничего подозрительного
как заразились остается только догадываться
29.02.2012 05:58:11, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35609/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35609/ Wed, 29 Feb 2012 05:58:11 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
C:\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\БИК.PIF - ярлык на досовскую программу, с которой работают
C:\DOCUMENTS AND SETTINGS\N.ANTSUPOVA\LOCAL SETTINGS\TEMP\RAR$EX00.875\CHRISTMAS.EXE - приложение "Новогодняя елочка", которую пользователи притаскивают разными способами на НГ. Данный пользователь не работает с 2008 года (и соответственно под дпнной учетной записью тоже никто на заходил с тех пор). Файл удалил.
C:\TEMP\CONVERT.EXE - часть спец ПО, которое также хранит кучу файлов в темпе и при удалении которых, работать перестает
29.02.2012 05:53:43, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35608/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35608/ Wed, 29 Feb 2012 05:53:43 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Эти файлы знакомы?
C:\DOCUMENTS AND SETTINGS\ALL USERS\РАБОЧИЙ СТОЛ\БИК.PIF
C:\DOCUMENTS AND SETTINGS\N.ANTSUPOVA\LOCAL SETTINGS\TEMP\RAR$EX00.875\CHRISTMAS.EXE
C:\TEMP\CONVERT.EXE

Загрузчики чистые. Для удаления мусора выполнить скрипт:

====quote====
;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

deltmp
delnfr
=============

29.02.2012 04:41:16, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35607/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35607/ Wed, 29 Feb 2012 04:41:16 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Остался только вопрос, откуда мог взяться этот вирус. Пользователь работает под ограниченной учетной записью.

Прикладываю лог после перезагрузки.

Пароль скинул Арвиду в личку. Данный лог содержет список установленного ПО с версиями, версии некоторых системных библиотек, имя компьютера. Эти данные могут позволить злоумышленнику облегчить проникновение в систему (я понимаю что вероятность мала и ему для начала нужно получить доступ в локальную сеть компании).
uvs_log_after_clean.7z
29.02.2012 04:28:12, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35606/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35606/ Wed, 29 Feb 2012 04:28:12 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
На остальных ПК загрузочный сектор тревогу антивируса после обновлени баз не вызывал. В конце рабочего дня запустил скрипт на зараженной машине:
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixvbr C: 5
restart

После перезагрузки загрузочный сектор чист.

Спасибо.
29.02.2012 03:55:56, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35605/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35605/ Wed, 29 Feb 2012 03:55:56 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Если есть возможность, то лог Mbam не помешал бы для профилактики
http://forum.esetnod32.ru/forum9/topic682/
28.02.2012 04:36:40, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35464/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35464/ Tue, 28 Feb 2012 04:36:40 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Чисто
http://virusscan.jotti.org/en/scanresult/50bd85831c6ae2d1f1e046fdac18ea2c81dc4f21/6­acc8de4ae3d315cd370682075736a3359192f06
Если есть подозрение на других ПК, то лучше и там сделать логи.
Кстати, не надо пароли архивы, ничего секретного в логе нет ведь.
28.02.2012 04:35:50, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35463/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35463/ Tue, 28 Feb 2012 04:35:50 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог и загрузчики с другой машины с другого города. Вирустотал не ругается на загрузчик в данном случае. Пароль от архива высылаю Арвиду личным сообщением.
boot_2.zip
uvs_log2.7z
28.02.2012 04:31:30, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35462/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35462/ Tue, 28 Feb 2012 04:31:30 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
но лечение не будет окончено пока компьютер не перезагрузится
+ еще может быть что руткит защищает себя и не даст uVS перезаписать загрузчик. поэтому надо проверить по новому образу. не поможет - другим способом лечиться будем
28.02.2012 04:05:56, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35461/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35461/ Tue, 28 Feb 2012 04:05:56 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проблематично. Если выполнить только первую часть скрипта (fixvbr C: 5), а компьютер выключат в конце рабочего дня, это поможет?
28.02.2012 04:01:48, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35460/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35460/ Tue, 28 Feb 2012 04:01:48 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://virusscan.jotti.org/en/scanresult/f74709bdae585195f1fe0669a9df80e77e7515cc[/CODE
Да, действительно заражено. Систему эту перезагрузить можно?

Запускаем uVS еще раз, только теперь меню Скрипт - Выполнить скрипт находящийся в буфере обмена
Вставляем текст скрипта:
Перед выполнением скрипта, закрыть браузеры!
====code==== 
;;uVS v3.74 script [http://dsrt.dyndns.org]
;Target OS: NTv5.1

fixvbr C: 5
restart
=============
И жмем Выполнить. После выполнения скрипта - ПК перезагрузится.
После перезагрузки новый образ автозапуска сделать.
28.02.2012 03:59:15, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35459/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35459/ Tue, 28 Feb 2012 03:59:15 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Пароль выслал Арвиду личным сообщением.
uvs_log1.7z
28.02.2012 03:54:47, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35458/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35458/ Tue, 28 Feb 2012 03:54:47 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
думаю надо бы выложить образ автозапуска с каждой машины
насче TSR.BOOT - сегодня было несколько тем с подобной проблемой, дело было в антивирусной базе 6918
гляньте темы
http://forum.esetnod32.ru/forum6/topic4429/
http://forum.esetnod32.ru/forum6/topic4427/
http://forum.esetnod32.ru/forum6/topic4432/
28.02.2012 03:43:50, Арвид.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35457/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35457/ Tue, 28 Feb 2012 03:43:50 +0400 Обнаружение вредоносного кода и ложные срабатывания вероятно неизвестный TSR.BOOT вирус вероятно неизвестный TSR.BOOT вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
В компании установлена корпоративная версия NOD 4 (EAV-55126573). Сегодня утром на почту пришло уведомления об угрозе на 5 машинах, находящихся в разных городах.

27.02.2012 21:07:07 - Модуль Модуль сканирования файлов, исполняемых при запуске системы - Предупреждение об угрозе на ******:  Активный загрузочный сектор физического диска 0 заражен вероятно неизвестный TSR.BOOT вирус.

MMDRV.DLL, TIMER.DRV, NTDETECT.COM, NTLDR имеют цифровые подписи. (Действительна, подписано Microsoft Windows Publisher).

https://www.virustotal.com/file/dad1bdd0cef7a17db91fd6f251cd8862eaee2253b501871cebc­7df24a4f92a00/analysis/1330384710/

Удаленно подключился UVSом, сохранил загрузчики в файл. Прикладываю их.

Полный образ не хотелось бы прикладывать из соображений безопасности.

На ipl_NTFS.bin ругаются 3 антивируса с вирустотала.
BitDefender Rootkit.MBR.Mayachok.B 20120228
F-Secure Rootkit.MBR.Mayachok.B 20120227
GData Rootkit.MBR.Mayachok.B 20120227

https://www.virustotal.com/file/42fb6fcc534341fbf7d0a58e5c5dca1d7fac6af31048b0bacf7­a4057c7529c36/analysis/1330385363/
boot.zip

28.02.2012 03:38:59, rbgora.]]> http://forum.esetnod32.ru/messages/forum6/topic4439/message35456/ http://forum.esetnod32.ru/messages/forum6/topic4439/message35456/ Tue, 28 Feb 2012 03:38:59 +0400 Обнаружение вредоносного кода и ложные срабатывания