test GMER - Wersja do druku +- SafeGroup (https://safegroup.pl) +-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html) +--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html) +--- Wątek: test GMER (/thread-7120.html) |
test GMER - artoor - 05.07.2013 Objawy zainfekowania: Brak jakichkolwiek objawów. Wykonywane działania: Skan wykonany GMER''em, innego oprogramowania ochronnego (jeszcze) brak. System Windows 7 Professional x32. Zaniepokoiła mnie linia 42. Istotny może być fakt, że jest to przywrócona kopia (teoretycznie czystego) systemu z obrazu Keriver 1CR Free (z zainstalowaną konsolą odzyskiwania). Przed testem GMER odinstalowałem Keriver''a (najpierw wyłączyłem konsolę). Następnie zainstalowałem AX64 Time Machine (tu nie ma modyfikacji MBR) no i do tego Wise Care 365. Czyli praktycznie 3 programy instalowałem sam, a reszta to aktualizacje systemu. TDSKiller nie wykrył nic niepokojącego. Co Wy na ten log możecie powiedzieć? Logi: [Aby zobaczyć linki, zarejestruj się tutaj] --== EDYCJA ==-- Na prawdę nikomu to nic nie mówi? Re: test GMER - ichito - 05.07.2013 Nie będę się wymądrzał, bo to nie moja działka, ale na Fixitach leczyli to Kaspersky TDSSKiller...tu masz wątek w sprawie [Aby zobaczyć linki, zarejestruj się tutaj] Re: test GMER - artoor - 05.07.2013 Dzięki Ichito. Spróbuję raz jeszcze przeskanować TDSKiller''em, choć jak wspomniałem, nic nie wykrył wcześniej i to jest właśnie ciekawe. Dodano: 05 lip 2013, 19:01 Celem uaktualnienia informacji, wykonałem również skan OTL''em OTL - [Aby zobaczyć linki, zarejestruj się tutaj] EXTRAS -[Aby zobaczyć linki, zarejestruj się tutaj] oraz RSIT''em RSIT - [Aby zobaczyć linki, zarejestruj się tutaj] Skan TDSKillerem nie pokazuje nic, nawet z modułami. Przypominam, że jest to obraz przywrócony Keriver''em 1-CR Free. Wcześniej, tzn. przed deinstalacją Kerivera GMER sygnalizował takie oto elementy Jakie jest prawdopodobieństwo, że jest to jakaś pozostałość po Keriverze właśnie? Re: test GMER - Eugeniusz - 05.07.2013 Używasz niestandardowego bootloadera, np. konsoli odzyskiwania Kerivera? Pewnie przywróciłeś obraz razem z MBR i tyle, a Keriver używa zmodyfikowanej kopii MBR. Nie ma objawów infekcji, więc problemu nie ma. Jeśli jednak uważasz że jest coś nie tak, to uruchom komputer z płyty instalacyjnej Windows, przejdź do okna naprawy komputera i wybierz narzędzie naprawy komputera podczas uruchamiania: [Aby zobaczyć linki, zarejestruj się tutaj] Re: test GMER - artoor - 06.07.2013 Dzięki za pomoc Gienek Dodano: 06 lip 2013, 9:49 Panowie, jeszcze raz. Przepraszam, jeżeli zabrzmię prymitywnie, ale o ile mnie pamięć nie myli, partycję recovery z Vistą usunąłem z mojego laptopa zaraz po zakupie, tj. ok 6 lat temu... o co może chodzić z tym zrzutem (Dyskiem 0)? Tak właśnie to wygląda: [Aby zobaczyć linki, zarejestruj się tutaj] Re: test GMER - tachion - 06.07.2013 Hmm widać że to utworzony jakiś odrębny nośnik,tylko co go utworzyło być może jest tak jak pisze gieniu. Napisz co jeszcze na to aswMBR [Aby zobaczyć linki, zarejestruj się tutaj] No i skan Malwarebytes Anti-RootkitRe: test GMER - artoor - 06.07.2013 Serdecznie dziękuję za wszelkie podpowiedzi. Zagadka nie została rozwiązana, ponieważ chwilę wcześniej zapodałem świeży system - fdisk''iem usunąłem wszystkie partycje razem z mbr''em. Nadmienię tylko, że zanim to zrobiłem, skasowałem owy "Dysk 0" (ten pokazany na wcześniejszym zrzucie). System wystartował bezbłędnie, ale GMER nadal rzucił komunikat rootkit-like behavior . Malwarebytes Anti-Rootkit nie wykazał nic niepokojącego - dziwne. Na świeżym systemie, GMAR nic nie znajduje noszącego znamiona wcześniejszej "infekcji". Raz jeszcze dziękuję Panowie Re: test GMER - Eugeniusz - 06.07.2013 Pobierz jeszcze: [Aby zobaczyć linki, zarejestruj się tutaj] i pokaż raport (będzie na pulpicie)Re: test GMER - artoor - 06.07.2013 Eugeniusz, wg Twoich zaleceń: [Aby zobaczyć linki, zarejestruj się tutaj] Na świeżo postawionym systemie wygląda to chyba dobrze? Re: test GMER - Eugeniusz - 06.07.2013 Ciekawy jest ten fragment: Cytat: +++++ PhysicalDrive0: IMD-0 +++++ Czy masz zainstalowanego Kerivera? MBR twojego fizycznego dysku jest w porządku, ciekawi mnie tylko ten "dysk". Eh, to dysk intelowskiej technologii Turbo boost... Re: test GMER - artoor - 07.07.2013 Jest dokładnie tak jak piszesz, Gienek. Po zainstalowaniu wymaganego sterownika od intela, znów pojawił się ten Dysk 0 , przy czym GMER nie rzuca komunikatu o niczym podejrzanym |