Objawy zainfekowania:
Brak jakichkolwiek objawów.
Wykonywane działania:
Skan wykonany GMER''em, innego oprogramowania ochronnego (jeszcze) brak. System Windows 7 Professional x32.
Zaniepokoiła mnie linia 42. Istotny może być fakt, że jest to przywrócona kopia (teoretycznie czystego) systemu z obrazu Keriver 1CR Free (z zainstalowaną konsolą odzyskiwania). Przed testem GMER odinstalowałem Keriver''a (najpierw wyłączyłem konsolę). Następnie zainstalowałem AX64 Time Machine (tu nie ma modyfikacji MBR) no i do tego Wise Care 365. Czyli praktycznie 3 programy instalowałem sam, a reszta to aktualizacje systemu. TDSKiller nie wykrył nic niepokojącego. Co Wy na ten log możecie powiedzieć?
Logi:
[Aby zobaczyć linki, zarejestruj się tutaj]
--== EDYCJA ==--
Na prawdę nikomu to nic nie mówi?
Nie będę się wymądrzał, bo to nie moja działka, ale na Fixitach leczyli to Kaspersky TDSSKiller...tu masz wątek w sprawie
[Aby zobaczyć linki, zarejestruj się tutaj]
Dzięki Ichito. Spróbuję raz jeszcze przeskanować TDSKiller''em, choć jak wspomniałem, nic nie wykrył wcześniej i to jest właśnie ciekawe.
Dodano: 05 lip 2013, 19:01
Celem uaktualnienia informacji, wykonałem również skan OTL''em
OTL -
[Aby zobaczyć linki, zarejestruj się tutaj]
EXTRAS -
[Aby zobaczyć linki, zarejestruj się tutaj]
oraz RSIT''em
RSIT -
[Aby zobaczyć linki, zarejestruj się tutaj]
Skan TDSKillerem nie pokazuje nic, nawet z modułami. Przypominam, że jest to obraz przywrócony Keriver''em 1-CR Free. Wcześniej, tzn. przed deinstalacją Kerivera GMER sygnalizował takie oto elementy
Jakie jest prawdopodobieństwo, że jest to jakaś pozostałość po Keriverze właśnie?
Używasz niestandardowego bootloadera, np. konsoli odzyskiwania Kerivera?
Pewnie przywróciłeś obraz razem z MBR i tyle, a Keriver używa zmodyfikowanej kopii MBR. Nie ma objawów infekcji, więc problemu nie ma. Jeśli jednak uważasz że jest coś nie tak, to uruchom komputer z płyty instalacyjnej Windows, przejdź do okna naprawy komputera i wybierz narzędzie naprawy komputera podczas uruchamiania:
[Aby zobaczyć linki, zarejestruj się tutaj]
Dzięki za pomoc Gienek
Dodano: 06 lip 2013, 9:49
Panowie, jeszcze raz. Przepraszam, jeżeli zabrzmię prymitywnie, ale o ile mnie pamięć nie myli, partycję recovery z Vistą usunąłem z mojego laptopa zaraz po zakupie, tj. ok 6 lat temu... o co może chodzić z tym zrzutem (Dyskiem 0)? Tak właśnie to wygląda:
[Aby zobaczyć linki, zarejestruj się tutaj]
Hmm widać że to utworzony jakiś odrębny nośnik,tylko co go utworzyło być może jest tak jak pisze gieniu.
Napisz co jeszcze na to aswMBR
[Aby zobaczyć linki, zarejestruj się tutaj]
No i skan Malwarebytes Anti-Rootkit
Serdecznie dziękuję za wszelkie podpowiedzi. Zagadka nie została rozwiązana, ponieważ chwilę wcześniej zapodałem świeży system - fdisk''iem usunąłem wszystkie partycje razem z mbr''em. Nadmienię tylko, że zanim to zrobiłem, skasowałem owy "Dysk 0" (ten pokazany na wcześniejszym zrzucie). System wystartował bezbłędnie, ale GMER nadal rzucił komunikat
rootkit-like behavior . Malwarebytes Anti-Rootkit nie wykazał nic niepokojącego - dziwne. Na świeżym systemie, GMAR nic nie znajduje noszącego znamiona wcześniejszej "infekcji". Raz jeszcze dziękuję Panowie
Pobierz jeszcze:
[Aby zobaczyć linki, zarejestruj się tutaj]
i pokaż raport (będzie na pulpicie)
Eugeniusz, wg Twoich zaleceń:
[Aby zobaczyć linki, zarejestruj się tutaj]
Na świeżo postawionym systemie wygląda to chyba dobrze?
Ciekawy jest ten fragment:
Cytat: +++++ PhysicalDrive0: IMD-0 +++++
--- User ---
[MBR]977a85e8ec834735bb0dc1f5785425e8
[BSP]29abc8c721ff7d3fc67628d490d4ad80 : MBR Code unknown
Partition table:
0 - [XXXXXX]FAT32 [HIDDEN!]Offset (sectors): 63 | Size: 537 Mo
Error reading LL1 MBR!
Czy masz zainstalowanego Kerivera? MBR twojego fizycznego dysku jest w porządku, ciekawi mnie tylko ten "dysk".
Eh, to dysk intelowskiej technologii Turbo boost...
Jest dokładnie tak jak piszesz, Gienek. Po zainstalowaniu wymaganego sterownika od intela, znów pojawił się ten
Dysk 0 , przy czym GMER nie rzuca komunikatu o niczym podejrzanym