DefenseEvasion.a!ml po spuštění Crystaldisk info Portable - false positive?

[SGvagon]

Zdravím,

vždy když dostanu do rukou zařízení na přeinstalaci, tak prvně provádím kontrolu disku, kolik má najeto hodin.

V tomto případě jsme známému koupili repasovaný notebook HP Elitebook 2570p , nainstalovali jsme čisté Windows 7 PRO x64bit a klasicky antivirus MSE (Microsoft Security Essentials) .

Poté jsme tedy chtěli zjistit stav disku, tak jsme standardně odkud https://portableapps.com/apps/utilities ... o_portable stáhnuli CrystaldiskInfo Portable.
Na konci instalace/rozbalení jsme v instalátoru zaškrtnuli/zafajfkovali , že chceme program po ukončení instalace spustit.

A teď začalo to peklo. Vypnul se proces explorer.exe a MSE vyhodilo vpravo dole tabulku s Není vyžadována žádná akce. Nicméně explorer.exe nenaskočil, tak jsme jej nahodili ručně ze Správce úloh a v MSE byl v karanténě název viru DefenseEvasion.a!ml , který prý obsahoval soubor explorer.exe , tak i zástupce ve Start - příslušenství - Průzkumník Windows (zástupce na explorer.exe) .

Samozřejmě, když jsme “vir“ zkusili odstranit z karantény, tak opět spadnul explorer.exe (v tomto případě již nešel nahodit, protože vyskočila chybová hláška, že je tento proces nedostupný) . Po restartování notebooku se již dal explorer.exe nahodit pouze ručně.

Prvně nás napadlo, že by mohl být problém se samotným explorer.exe souborem. Tak jsme jej nahradili skrze live Lubuntu z jiného stroje se stejným systémem. Nicméně toto problém nevyřešilo a blokování ze strany MSE pokračovalo.

Abych to zkrátil, tak jsme MSE nakonec celé přeinstalovali a tím se problém vyřešil. Ani po úplné kontrole již MSE nenašlo jediný problém s explorer.exe a notebook funguje dle očekávání.

Jednalo se tedy o false positive? Jelikož CrystaldiskInfo Portable stahuji velmi často a nikdy mi jej MSE nezablokovalo, toto byl můj první případ (Google mi vyhledal ohledně tohoto viru pouze False positive u některých her na Blizzard forum a Steam podpoře - nikdo zatím neřešil problémy s padáním/blokováním explorer.exe ) .

Předem děkuji za odpověď a omlouvám se za delší zprávu. Jedná se o důvod stroj z důvodu bezpečnosti znovu přeinstalovat?

[Reklama]

[jaro3]

Microsoft Security Essentials bych nepoužíval vůbec..
Crystaldiskinfo stahuj odsud:
https://www.stahuj.cz/utility_a_ostatni ... ldiskinfo/

možná byly ty stránky infikovány A MSE na to nestačil.
Měl si přeci zkusit možnost "navolit poslední známou konfiguraci.." Nebo použít obnovu systému.
Taky je dobré udělat si bitovou kopii systému.
Použít třeba Kaspersky Rescue Disk.
Sekce HJT ap.

[SGvagon]

jaro3 : Jednalo se o čistou instalaci systému, takže bitovka zatím neměla smysl. Stahuji portable verzi, abych Crystaldisk nemusel instalovat. Není to poprvé co tohle MSE udělalo. Před cca 3 lety jeden den náhodně začalo blokovat administrátorské účty a systém nabíhal do dočasného profilu. Opět, přeinstalace MSE problém vyřešila (viz. zde, kde jsem to řešil v den problému https://www.zive.cz/poradna/windows-7-v ... tanswers=1 ) .
V systému jsem nezpozoroval po tomto incidentu žádný problém. Mohlo se tedy jednat o chybu MSE, které začalo blokovat proces/soubor explorer.exe ?

[jaro3]

Ano , mohlo , MSE nemá vůbec dobrou pověst.

[petr22]

Nainstaluj skutecny firewall a antivir - napr. Comodo (je zdarma).

Ti W7 instaluj z aktualizovaneho media z roku 2020 nebo 2021, originalni lisovane jsou 2009-2012.

Usetris si naslednou instalaci aktualizaci za 10 roku.

[SGvagon]

jaro3 : Dobrá, tak budeme věřit tomu, že MSE udělalo opět chybku a omylem blokovalo explorer.exe . Jelikož Portableapps je ověřený web, který všechny nahrané soubory testuje snad všemi antiviry na světě. A zatím si nikdo nestěžoval, že by byly v některém z portable programů viry. Tohle byl můj první případ, a nejspíše tedy false positive, ale nemít zkušenosti s klávesovými zkratkami, tak by MSE tímto způsobem mohlo zablokovat uživateli přístup na plochu a tudíž i k přeinstalaci samotného antiviru.

petr22 : Ano mám Sysprep verzi se všemi aktualizacemi, kterou jsem si vytvářel minulý rok v únoru kdy vycházely poslední aktualizace. Musel jsem udělat Sysprep verzi, jelikož mám seznam škodlivých aktualizací s telemetrií, kterých bych se rád vyhnul. Mám jej na externím HDD jako image, který následně nahraju na daný stroj pomocí CloneZilla.

[petr22]

Obnove z image bych ale nerikal instalace ciste verze Windows 7.

Repasovanym notebookem bych se nezabyval drive, nez bude plotnovy disk vymenen za SSD.

Na plotnovy disk bych se vubec nenamahal instalovat OS, je to ztrata casu.

Ciste technicky nema smysl ty repasy vubec s HDD prodavat, protoze pouzivat to je masochismus.

[SGvagon]

petr22 : Jak jsem psal, jedná o Sysprep systém s volbou Generalized, tzn. po nahrání image se systém tváří jako při prvním spuštění po čisté instalaci.

A na to že tam je 300 GB HDD , tak to běhá pomalu jako levnější SSD, což mne u HP docela překvapuje.

Známý chtěl notebook do 6 tisíc (na cesty, kde by si mohl pouštět filmy, pracovat v Office a brouzdat po internetu včetně Youtube, O2TV či Skylink Live TV) a nové notebooky jsou pouze v této cenové hladině nějaké tenoučké UMAX s 64 GB úložištěm s nulovou odolností a nulovým rozšířením či porty.

Co nás překvapilo, tak toto HP zvládá v pohodě i 2K 60FPS Youtube videa a díky plnohodnotnému display portu jej může připojit k jakékoliv televizi či monitoru. Tím samozřejmě nevylučuji, že by se HDD za SSD nedalo v budoucnu vyměnit :) . Jednoduše systém naklonujeme a pojede se dál.

Ale to už odbíhám od tématu. Napsal jsem ještě raději přímo na web Portableapps a uvidím, co mi řeknou ohledně tohoto problému tam.

[petr22]

Kdyz ten image nahrajes na nekompatibilni hardware, nenabootuje (cista instalace ano).

Generalize z toho jen vyhazi informace o pocitaci a ovladace, vsechny uzivatelske zmeny zustavaji.

HP Elitebook 2570p je dobry zdroj, procesor jeste v socketu, lze upgradovat treba na i7 v pripade potreby.

Proc stahujec CDI z nejakeho webu Portableapps, kdyz portable verze je primo na webu autoru?

Originalni verze muze byt rozdilna.

[SGvagon]

petr22 : V systému po provedení Sysprep nic uživatelskýho nezůstane. Vymaže to všechny uživatelské účty, ovladače, ID hardwaru, prostě to připraví systém k prvnímu spuštění na jiném stroji. Sysprep po provedení vypne počítač, aby se dal právě image vytvořit. Takže po nahrání na jiný stroj se po spuštění prvně vyhledají ovladače k danému hardwaru, zjišťuje výkon videa, nastaví registry, ... jako u čisté instalace Windows 7. Poté se vytvoří uživatelský účet, nastaví datum a čas, aktualizace, aktivace, to snad nemusím dále popisovat.

Podle popisu jak Sysprep funguje jsem právě usoudil, že slouží k přenesení systému na jiný stroj aby se člověk vyvaroval špatné kompatibility s jiným druhem hardwaru.

Tento Sysprep image jsem již instaloval na opravdu mnoho různých konfigurací (PC, notebooků) a nikdy jsem neměl jediný problém stejně jako u čisté instalace.

A co se týče Crystaldisk Info, tak jsem netušil, že nabízí i portable verzi. Pokud si dobře pamatuju, tak v minulosti nabízeli pouze instalátor. Díky za upozornění, v budoucnu už jej budu stahovat ze stránek autorů programu.

[SGvagon]

Tak jsem napsal na přímo na Portableapps, kde mne ujistili, že Crystaldisk Info Portable je čistý https://portableapps.com/node/64560#comment-247503 . Téma zatím nebudu zamykat, kdyby se náhodou ještě něco stalo či objevilo.

[jaro3]

Obávám se , že to už nezjistíme ,když se disk formátoval.
Neotevíral si nějaký podezřelý mail? Nestahoval si nějaký program , něco jako aktualizace windefender ( to je nákaza!).