To, że antywirus był na chwile wyłączony, to nie ma znaczenia. Popatrz sam:
Po zainstalowaniu produktu "Asprate", powstały jego dwa foldery oraz jeden folder o całkiem innej nazwie, a dokładnie SubFolderName w AppData\Roaming:
Cytuj:
[2013-12-19 14:48:10 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate
[2013-12-19 14:48:09 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Asprate
[2013-12-19 14:45:18 | 000,000,000 | ---D | C] -- C:\Users\kamienna\AppData\Roaming\SubFolderName
|
I teraz dziwnym trafem plik z tego właśnie folderu jest aktywny w procesach oraz dodany w autostarcie:
Cytuj:
|
PRC - [2013-12-19 14:45:18 | 002,179,072 | ---- | M] (Symantec Corporation Yellow) -- C:\Users\kamienna\AppData\Roaming\SubFolderName\Fi leName*****
|
Cytuj:
O4 - HKU\S-1-5-21-2215590404-1328462738-2494691468-1001..\Run: [box32*****] C:\Users\kamienna\AppData\Roaming\SubFolderName\Fi leName***** (Symantec Corporation Yellow)
O4 - HKU\S-1-5-21-2215590404-1328462738-2494691468-1001..\Run: [Key Name] C:\Users\kamienna\AppData\Roaming\SubFolderName\Fi leName***** (Symantec Corporation Yellow)
|
Forum maskuje rozszerzenia plików wykonywalnych dlatego widzisz gwiazdki.
Tak kolego, to infekcja
Uruchom OTL i wklej na dole ten skrypt
http://wklej.org/id/1217269/ i nacisnij "wykonaj skrypt". Dokładniej masz to opisane w poradniku do którego dałem Ci link. Po wykonaniu skryptu komputer uruchomi się ponownie i zobaczysz otwarty notatnik z logiem po wykonaniu skryptu. Skopiuj go, wrzuć na wklej.org i podaj mi link.