C:##aswSnx private storage - jest rootkitem

Uruchom pełne skanowanie Therat Fire - Rozpocznij - Wybierz tryb skanowania. jak co znajdzie daj do kwarantanny.

Dostęp do kwarantanny - Kontrola zagrożeń - Centrum kontroli nad zagrożeniami. Po otwarciu Poddano kwarantannie możesz dać polecenia przywróć, usuń całkowicie ( wskazane )

Po skanowaniu przygotuj aktualne raporty OTL.

• AVAST nic nie znalazł, nie ma tego w swojej bazie i nie jest ustawiony na wykrywanie rootkitów.

• TDSS Killer nic nie wykrył, nie ma tego w swojej bazie.

PS. Tryb wyszukiwania rootkitów jest funkcją Comodo antywirus. Aktywacja tej funkcji jest dostępna z poziomu Antywirus / Ustawienia skanera / Skanowanie ręczne, skanowanie zaplanowane. To na marginesie. Aktualnie masz zainstalowany firewall Comodo.

Proponuję zainstalowanie całego CIS 5.8. Służę pomocą w przypadku decyzji na tak.

A sprawdziłeś chociaż, czy nie jest to plik Avasta - bo jest?

Ok nie sprawdziłem. Jest w kwarantannie, do przywrócenia.

Zanim spandaupol napisał swój post, wzięłam się za wykonywanie czynności, o których napisał krzych5610.

• nie mogłam wejść do kwarantanny ThreatFire bo program się zawiesił. próba zamknięcia go przez menadżera zadań nie powiodła się (“jest zablokowany przez system”);

• ponownie uruchomiłam komputer;

• włączyłam pełne skanowanie programem ThreatFire, plik ##aswSnx private storage był tak samo zlokalizowany, jak poprzednio - czyli na C:;

• przeniosłam go do kwarantanny i zrestartowałam komputer, zgodnie ze wskazaniami programu;

• powtórzyłam wszystkie czynności w ThreatFire, znów wyskoczył komunikat z prośbą o restart i nie szukanie ponowne rootkitów;

• weszłam na forum i przeczytałam uwagę spandaupola, po czym przywróciłam zawartość kwarantanny;

• chciałam zrobić OTL (dwu- albo trzykrotnie) ale program się wieszał. W końcu go uruchomiłam.

• w trakcie skanowania wyskoczyło okienko z pytaniem czy zgadzam się na utworzenie nowej sieci. Zignorowałam to;

• wyskoczyło okienko z komunikatem: Access violation at address 77687488 in module “NTMARTA.DLL”. Read of address 00000010.;

• połączenie zostało przerwane (przynajmniej w tamtej chwili to zauważyłam), próba naprawienia go prawoklikiem na ikonkę połączenia) nie powiodła się;

• OTL zakończył się komunikatem : Coures does not allow drawing;

• nie mogłam się normalnie wylogować więc zrestartowałam komputer;

• zrobiłam OTL w trybie awaryjnym: http://wklej.to/UNrP9 i http://wklej.to/4V8HR (tutaj mam połączenie z siecią)

Czekam z nadzieją w awaryjnym na dalsze polecenia.

W trybie awaryjnym z obsługą sieci proszę odinstalować całe oprogramowanie zabezpieczające

Ta pozostałość po Ad-Aware (Lavasoft) także pójdzie do usunięcia ale to później

Zostaw tylko Malwarebytes i nie pobieraj jakiś dziwnych plików w tym momencie Po deinstalacji wszystkiego pokaż na forum nowe raporty OTL

Odinstalowałam Comodo, ThreatFire, Avasta i Eset. Zrobiłam raporty w OTL. Wszystko w awaryjnymn. Nie mogę otworzyć strony http://wklej.to/ ani http://wklej.org/ - Nie znaleziono obiektu! Nie znaleziono żądanego URLa na tym serwerze. Odnośnik na referującej stronie wydaje się być nieprawidłowy lub nieaktualny. Poinformuj autora tej strony o problemie. Jeśli myślisz, że jest to błąd tego serwera, skontaktuj się z administratorem. Error 404 .

U mnie strony działają ale to nic raporty możesz wrzucić http://hostuje.net/

http://hostuje.net/file.php?id=49f0f4d6 … 43c8880fa5

http://hostuje.net/file.php?id=e3f88053 … f30b6ce6a1

Uruchom Autoruns przejdź do zakładki Drivers znajdź odznacz i usuń (usuwasz klikając prawym przyciskiem myszy na driver i z menu wybierasz Usuń)

Po tym pokaż nowy log OTL.txt

http://hostuje.net/file.php?id=5e6aa5b8 … 03d05885e0

http://hostuje.net/file.php?id=f6484790 … c341afc897

Nie wiem czy OTL sobie poradzi ale spróbujemy

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie ponownie uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

Pierwszy log:

http://wklej.to/gXiuD .

Zaraz przeprowadzę skanowanie. Ech, co ja bym sama zrobiła

– Dodane 28.10.2011 (Pt) 17:48 –

I po ponownym skanowaniu:

http://wklej.to/EBjFo

http://wklej.to/o7Yyo

Proszę zamknij przeglądarki przed wykonaniem skryptu. Taki skrypt podawał wcześniej Acorrus o ile się nie mylę

W okno Własne opcje skanowania / skrypt w OTL wklej:

Klikasz na Wykonaj skrypt. Zgadzasz się na restart komputera. Log z usuwania na forum

Następnie spróbuj uruchomić komputer normalnie (nie w trybie awaryjnym) uruchamiasz OTL klikasz raz jeszcze Skanuj i dajesz nowy log na forum Czyli dwa logi jeden z usuwania drugi z nowego skanowania po usuwaniu.

http://wklejto.pl/107894

– Dodane 28.10.2011 (Pt) 18:50 –

oraz http://wklejto.pl/107898 i http://wklejto.pl/107899

Muszę już dzisiaj uciekać jutro edytuje tego posta i podam dalsze instrukcje

Proszę dodatkowo o nowy raport Autoruns

W porządku. Ja spodziewam się dzisiaj gości (do niedzieli) ale spróbuję jutro zajrzeć. Dziękuję.

Proszę dodatkowo o nowy raport Autoruns

Reg:

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}]

StubPath = "c:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe"

Tak mniej wiecej ma wygladac skrypt ktory zrobi to za nia ??

Raport Autoruns: http://www.wrzuc.to/h46wdKJi5C.wt

Ale Ty chyba podałaś mi drugi raz ten sam raport, a ja chciałem nowy, aby zobaczyć jak to wygląda po deinstalacji oprogramowania zabezpieczającego. Proszę raz jeszcze uruchomić Autoruns Jak program skończy skanować, zapiszesz ponownie raport, spakujesz, wyślesz na jakiś hosting, a w poście podasz linka (tak jak zrobiłaś to wcześniej, tylko raport będzie aktualny)