Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Objawy zainfekowania:
Brak jakichkolwiek objawów.
Wykonywane działania:
Skan wykonany GMER''em, innego oprogramowania ochronnego (jeszcze) brak. System Windows 7 Professional x32.
Zaniepokoiła mnie linia 42. Istotny może być fakt, że jest to przywrócona kopia (teoretycznie czystego) systemu z obrazu Keriver 1CR Free (z zainstalowaną konsolą odzyskiwania). Przed testem GMER odinstalowałem Keriver''a (najpierw wyłączyłem konsolę). Następnie zainstalowałem AX64 Time Machine (tu nie ma modyfikacji MBR) no i do tego Wise Care 365. Czyli praktycznie 3 programy instalowałem sam, a reszta to aktualizacje systemu. TDSKiller nie wykrył nic niepokojącego. Co Wy na ten log możecie powiedzieć?
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
--== EDYCJA ==--
Na prawdę nikomu to nic nie mówi? 
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 8 515
Liczba wątków: 1 641
Dołączył: 10.06.2009
Reputacja:
785
Nie będę się wymądrzał, bo to nie moja działka, ale na Fixitach leczyli to Kaspersky TDSSKiller...tu masz wątek w sprawie
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Dzięki Ichito. Spróbuję raz jeszcze przeskanować TDSKiller''em, choć jak wspomniałem, nic nie wykrył wcześniej i to jest właśnie ciekawe.
Dodano: 05 lip 2013, 19:01
Celem uaktualnienia informacji, wykonałem również skan OTL''em
OTL - [Aby zobaczyć linki, zarejestruj się tutaj]
EXTRAS - [Aby zobaczyć linki, zarejestruj się tutaj]
oraz RSIT''em
RSIT - [Aby zobaczyć linki, zarejestruj się tutaj]
Skan TDSKillerem nie pokazuje nic, nawet z modułami. Przypominam, że jest to obraz przywrócony Keriver''em 1-CR Free. Wcześniej, tzn. przed deinstalacją Kerivera GMER sygnalizował takie oto elementy
![[Obrazek: gmer.jpg]](https://dl.dropboxusercontent.com/u/50682436/tmp/gmer.jpg)
Jakie jest prawdopodobieństwo, że jest to jakaś pozostałość po Keriverze właśnie?
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Używasz niestandardowego bootloadera, np. konsoli odzyskiwania Kerivera?
Pewnie przywróciłeś obraz razem z MBR i tyle, a Keriver używa zmodyfikowanej kopii MBR. Nie ma objawów infekcji, więc problemu nie ma. Jeśli jednak uważasz że jest coś nie tak, to uruchom komputer z płyty instalacyjnej Windows, przejdź do okna naprawy komputera i wybierz narzędzie naprawy komputera podczas uruchamiania:
[Aby zobaczyć linki, zarejestruj się tutaj]
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Dzięki za pomoc Gienek
Dodano: 06 lip 2013, 9:49
Panowie, jeszcze raz. Przepraszam, jeżeli zabrzmię prymitywnie, ale o ile mnie pamięć nie myli, partycję recovery z Vistą usunąłem z mojego laptopa zaraz po zakupie, tj. ok 6 lat temu... o co może chodzić z tym zrzutem (Dyskiem 0)? Tak właśnie to wygląda:
[Aby zobaczyć linki, zarejestruj się tutaj]
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Liczba postów: 4 766
Liczba wątków: 33
Dołączył: 16.02.2011
Reputacja:
507
Hmm widać że to utworzony jakiś odrębny nośnik,tylko co go utworzyło być może jest tak jak pisze gieniu.
Napisz co jeszcze na to aswMBR [Aby zobaczyć linki, zarejestruj się tutaj]
No i skan Malwarebytes Anti-Rootkit
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Serdecznie dziękuję za wszelkie podpowiedzi. Zagadka nie została rozwiązana, ponieważ chwilę wcześniej zapodałem świeży system - fdisk''iem usunąłem wszystkie partycje razem z mbr''em. Nadmienię tylko, że zanim to zrobiłem, skasowałem owy "Dysk 0" (ten pokazany na wcześniejszym zrzucie). System wystartował bezbłędnie, ale GMER nadal rzucił komunikat rootkit-like behavior . Malwarebytes Anti-Rootkit nie wykazał nic niepokojącego - dziwne. Na świeżym systemie, GMAR nic nie znajduje noszącego znamiona wcześniejszej "infekcji". Raz jeszcze dziękuję Panowie
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Pobierz jeszcze:
[Aby zobaczyć linki, zarejestruj się tutaj]
i pokaż raport (będzie na pulpicie)
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Eugeniusz, wg Twoich zaleceń:
[Aby zobaczyć linki, zarejestruj się tutaj]
Na świeżo postawionym systemie wygląda to chyba dobrze?
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
Ciekawy jest ten fragment:
Cytat: +++++ PhysicalDrive0: IMD-0 +++++
--- User ---
[MBR]977a85e8ec834735bb0dc1f5785425e8
[BSP]29abc8c721ff7d3fc67628d490d4ad80 : MBR Code unknown
Partition table:
0 - [XXXXXX]FAT32 [HIDDEN!]Offset (sectors): 63 | Size: 537 Mo
Error reading LL1 MBR!
Czy masz zainstalowanego Kerivera? MBR twojego fizycznego dysku jest w porządku, ciekawi mnie tylko ten "dysk".
Eh, to dysk intelowskiej technologii Turbo boost...
Liczba postów: 163
Liczba wątków: 16
Dołączył: 18.09.2012
Reputacja:
6
Jest dokładnie tak jak piszesz, Gienek. Po zainstalowaniu wymaganego sterownika od intela, znów pojawił się ten Dysk 0 , przy czym GMER nie rzuca komunikatu o niczym podejrzanym
AppGuard / EXE Radar Pro ^ SpyShelter Firewall ^ Sandboxie ^ HitmanPro
-------
Jeśli uczysz się od innych, ale sam nie pomyślisz - to najczystsze oszołomstwo;
Jeśli myślisz, ale nie uczysz się od innych - to może być dla Ciebie wręcz niebezpieczne.
Konfucjusz
|
