Komunikat Avira, Podejrzany próba modyfikacji rejestru

[Barny3]

Witam

Od wczoraj bardzo często pokazuje mi się komunikat antywirusa (avira) o podejrzanej próbie dostępu do rejestru i potrzebie pełnego skanu systemu (skan niczego nie wykrywa). Wykonałem pełny skan Gmerem i otrzymałem komunikat o modyfikacji systemu wskazującym na obecność rootkita (pełny skan ok. 5 godz.), wskazówki z forum przeczytałem dopiero potem. Program antywirusowy był cały czas uruchomiony. Logi z First i Gmer w załączeniu. Jeśli trzeba wykonam skan Gmerem ponownie wg. wskazówek.

Dzięki za pomoc.

 

Pozdrawiam.

log_gmer_18.04.2015.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Ten "rootkit" w GMER to bibilioteka SUPERAntiSpyware wszczepiona do explorer.exe:

 

---- Processes - GMER 2.1 ----
 

Library C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (*** hidden *** ) @ C:\Windows\Explorer.EXE [1984] 0x10000000

 

Ogólnie w raportach brak oznak czynnej infekcji, do usunięcia będą tylko pozycja SpyHunter (wątpliwy skaner-oszust!) oraz stare źle wyczyszczone wpisy wyglądające na pochodną ZeroAccess + inne drobne śmietki, ale to potem - one nie mają znaczenia w kontekście zgłaszanych problemów, są martwe. Proszę zaprezentuj log Avira pokazujący owe "próby modyfikacji rejestru". Na razie najmocniejszy kandydat to inwazyjny sterownik DAEMON Tools:

 

R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2012-11-12] (DT Soft Ltd)

 

Avira będzie wykrywać czynności tych specyficznych sterowników, niekiedy klasyfikując je jako "rootkit".

[Barny3]

Dzięki za pomoc.

Te komunikaty Aviry były chyba właśnie związane z nieudaną próbą odinstalowania SUPERAntiSpyware. Program znikną po ponownym uruchomieniu systemu.

Log z Aviry w załączeniu. Zrobiłem kolejny skan Gmerem. Nic nie wykrył.

Rozumiem że lepiej usunąć DEAMON Tools?

 

Pozdrawiam.

AVSCAN-20150417-204636-FE95C1C7.txt

gmer_20.04.txt