SafeGroup

Objawy zainfekowania:
Brak jakichkolwiek objawów.

Wykonywane działania:
Skan wykonany GMER''em, innego oprogramowania ochronnego (jeszcze) brak. System Windows 7 Professional x32.
Zaniepokoiła mnie linia 42. Istotny może być fakt, że jest to przywrócona kopia (teoretycznie czystego) systemu z obrazu Keriver 1CR Free (z zainstalowaną konsolą odzyskiwania). Przed testem GMER odinstalowałem Keriver''a (najpierw wyłączyłem konsolę). Następnie zainstalowałem AX64 Time Machine (tu nie ma modyfikacji MBR) no i do tego Wise Care 365. Czyli praktycznie 3 programy instalowałem sam, a reszta to aktualizacje systemu. TDSKiller nie wykrył nic niepokojącego. Co Wy na ten log możecie powiedzieć?


Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

--== EDYCJA ==--

Na prawdę nikomu to nic nie mówi?

Nie będę się wymądrzał, bo to nie moja działka, ale na Fixitach leczyli to Kaspersky TDSSKiller...tu masz wątek w sprawie

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki Ichito. Spróbuję raz jeszcze przeskanować TDSKiller''em, choć jak wspomniałem, nic nie wykrył wcześniej i to jest właśnie ciekawe.

---

Dodano: 05 lip 2013, 19:01

Celem uaktualnienia informacji, wykonałem również skan OTL''em

OTL -

[Aby zobaczyć linki, zarejestruj się tutaj]

EXTRAS -

[Aby zobaczyć linki, zarejestruj się tutaj]

oraz RSIT''em

RSIT -

[Aby zobaczyć linki, zarejestruj się tutaj]

Skan TDSKillerem nie pokazuje nic, nawet z modułami. Przypominam, że jest to obraz przywrócony Keriver''em 1-CR Free. Wcześniej, tzn. przed deinstalacją Kerivera GMER sygnalizował takie oto elementy


Jakie jest prawdopodobieństwo, że jest to jakaś pozostałość po Keriverze właśnie?

Używasz niestandardowego bootloadera, np. konsoli odzyskiwania Kerivera?
Pewnie przywróciłeś obraz razem z MBR i tyle, a Keriver używa zmodyfikowanej kopii MBR. Nie ma objawów infekcji, więc problemu nie ma. Jeśli jednak uważasz że jest coś nie tak, to uruchom komputer z płyty instalacyjnej Windows, przejdź do okna naprawy komputera i wybierz narzędzie naprawy komputera podczas uruchamiania:

[Aby zobaczyć linki, zarejestruj się tutaj]

Dzięki za pomoc Gienek

---

Dodano: 06 lip 2013, 9:49

Panowie, jeszcze raz. Przepraszam, jeżeli zabrzmię prymitywnie, ale o ile mnie pamięć nie myli, partycję recovery z Vistą usunąłem z mojego laptopa zaraz po zakupie, tj. ok 6 lat temu... o co może chodzić z tym zrzutem (Dyskiem 0)? Tak właśnie to wygląda:

[Aby zobaczyć linki, zarejestruj się tutaj]

Hmm widać że to utworzony jakiś odrębny nośnik,tylko co go utworzyło być może jest tak jak pisze gieniu.
Napisz co jeszcze na to aswMBR

[Aby zobaczyć linki, zarejestruj się tutaj]

No i skan Malwarebytes Anti-Rootkit

Serdecznie dziękuję za wszelkie podpowiedzi. Zagadka nie została rozwiązana, ponieważ chwilę wcześniej zapodałem świeży system - fdisk''iem usunąłem wszystkie partycje razem z mbr''em. Nadmienię tylko, że zanim to zrobiłem, skasowałem owy "Dysk 0" (ten pokazany na wcześniejszym zrzucie). System wystartował bezbłędnie, ale GMER nadal rzucił komunikat rootkit-like behavior . Malwarebytes Anti-Rootkit nie wykazał nic niepokojącego - dziwne. Na świeżym systemie, GMAR nic nie znajduje noszącego znamiona wcześniejszej "infekcji". Raz jeszcze dziękuję Panowie

Pobierz jeszcze:

[Aby zobaczyć linki, zarejestruj się tutaj]

i pokaż raport (będzie na pulpicie)

Eugeniusz, wg Twoich zaleceń:

[Aby zobaczyć linki, zarejestruj się tutaj]

Na świeżo postawionym systemie wygląda to chyba dobrze?

Ciekawy jest ten fragment:

Cytat: +++++ PhysicalDrive0: IMD-0 +++++
--- User ---
[MBR]977a85e8ec834735bb0dc1f5785425e8
[BSP]29abc8c721ff7d3fc67628d490d4ad80 : MBR Code unknown
Partition table:
0 - [XXXXXX]FAT32 [HIDDEN!]Offset (sectors): 63 | Size: 537 Mo
Error reading LL1 MBR!

Czy masz zainstalowanego Kerivera? MBR twojego fizycznego dysku jest w porządku, ciekawi mnie tylko ten "dysk".
Eh, to dysk intelowskiej technologii Turbo boost...

Jest dokładnie tak jak piszesz, Gienek. Po zainstalowaniu wymaganego sterownika od intela, znów pojawił się ten Dysk 0 , przy czym GMER nie rzuca komunikatu o niczym podejrzanym