Infekcja internetowa.

[Myszor]

Witam parę dni temu przeinstalowałem system. Zainstalowałem WinXP SP 2, zapomniałem zainstalować antyvirusa i dzisiaj wyskoczył mi komunikat od mojego operatora internetu że mój komputer jest prawdopodobnie zainfekowany. Raport zniknął i mam dostęp do internetu, mając dostęp piszę do was z proźbą o sprawdzenie logów i pomoc.

Po chwili od napisania chciałem zgrać dane na pendrive, pendrive nie odpowiadał ( brak odpowiedzi) i wyskoczyło okno System Windows - brak dysku. Kolejny problem, chcąc zainstalować Avasta komp sie zrestartował. Co jakiś czas wyskakuje mi okno z zaporą systemu windows i informacją o programie wintkpkwc, początkowo osblokowywałem.

OTL.Txt

Extras.Txt

[picasso]

Zabrakło obowiązkowego raportu z GMER. Logi z OTL to za mało, by sprawdzić system, OTL nie pokazuje wpisów ukrytych ... Darujmy to sobie jednak, bo:

 

No cóż, jest po zabawie. System zainfekowany wirusem Sality, który zaraża wszystkie wykonywalne na wszystkich dyskach, poza tym kasuje też Tryb awaryjny. O Sality świadczy poniższy sterownik oraz masa autoryzacji w zaporze (potwierdzająca też wdrażaną infekcję plików systemowych i programów) z adnotacją "ipsec":

 

 

 

DRV - File not found [Kernel | On_Demand | Running] -- D:\WINDOWS\system32\drivers\summlk.sys -- (asc3360pr)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\system32\sessmgr.exe" = %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019 -- (Microsoft Corporation)

"D:\Program Files\Opera\opera.exe" = D:\Program Files\Opera\Opera.exe:*:Enabled:ipsec -- (Opera Software)

"D:\Program Files\WapSter\WapSter AQQ\AQQ.exe" = D:\Program Files\WapSter\WapSter AQQ\AQQ.exe:*:Enabled:AQQ Instant Messenger -- (Creative Team S.A.)

"K:\RECYCLER\f2f60eea.exe" = K:\RECYCLER\f2f60eea.exe:*:Enabled:ipsec

"D:\WINDOWS\system32\wscntfy.exe" = D:\WINDOWS\system32\wscntfy.exe:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\WINDOWS\system32\userinit.exe" = D:\WINDOWS\system32\userinit.exe:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\WINDOWS\system32\userinit.exe" = D:\WINDOWS\system32\userinit.exe:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\WINDOWS\Explorer.EXE" = D:\WINDOWS\Explorer.EXE:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winfkij.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winfkij.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrqeuwp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrqeuwp.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windrlfpj.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windrlfpj.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingudjyw.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingudjyw.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\npnbj.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\npnbj.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lnkdv.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lnkdv.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\evfwb.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\evfwb.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\runval.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\runval.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\mtglr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\mtglr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wtbh.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wtbh.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winnbst.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winnbst.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pgovg.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pgovg.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqpnha.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqpnha.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\mdimx.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\mdimx.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winsjvex.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winsjvex.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrtid.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrtid.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrtid.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrtid.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\ybdw.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\ybdw.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\gegf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\gegf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\oofnnb.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\oofnnb.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winemfek.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winemfek.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingmecw.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingmecw.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\muxnwr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\muxnwr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winxclrdf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winxclrdf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\nifok.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\nifok.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlsisjc.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlsisjc.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\hhrm.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\hhrm.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingwumsv.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingwumsv.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlrae.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlrae.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pcymj.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pcymj.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winpgpsp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winpgpsp.exe:*:Enabled:ipsec

"D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe" = D:\PROGRA~1\WapSter\WAPSTE~1\AQQ.exe:*:Enabled:ipsec -- (Creative Team S.A.)

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winyvmnt.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winyvmnt.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\oivvs.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\oivvs.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\nrgkn.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\nrgkn.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qnmk.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qnmk.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winknug.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winknug.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winknug.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winknug.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winbrunp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winbrunp.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windkjox.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windkjox.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\hhqoj.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\hhqoj.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winasbh.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winasbh.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qxlx.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qxlx.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lejr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lejr.exe:*:Enabled:ipsec

"D:\Program Files\Analog Devices\SoundMAX\SMTray.exe" = D:\Program Files\Analog Devices\SoundMAX\SMTray.exe:*:Enabled:ipsec -- (Analog Devices, Inc.)

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrddf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrddf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qxbq.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qxbq.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\uypct.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\uypct.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winvdhao.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winvdhao.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winvdhao.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winvdhao.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\ukvxo.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\ukvxo.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wintnwc.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wintnwc.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winwuthc.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winwuthc.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winwjesr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winwjesr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winpmrjp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winpmrjp.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\jdgsf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\jdgsf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winhpdpr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winhpdpr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\iccnyu.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\iccnyu.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pmcf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\pmcf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrxgto.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winrxgto.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cvbvrg.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cvbvrg.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winixacr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winixacr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wpxaoa.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wpxaoa.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winmigui.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winmigui.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lqpra.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\lqpra.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winhokjoh.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winhokjoh.exe:*:Enabled:ipsec

"D:\WINDOWS\system32\wuauclt.exe" = D:\WINDOWS\system32\wuauclt.exe:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winjanhc.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winjanhc.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winelya.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winelya.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\svpcs.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\svpcs.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqhwcr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqhwcr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqhwcr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqhwcr.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cyyv.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cyyv.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winkvvjr.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winkvvjr.exe:*:Enabled:ipsec

"D:\Program Files\Internet Explorer\iexplore.exe" = D:\Program Files\Internet Explorer\iexplore.exe:*:Enabled:ipsec -- (Microsoft Corporation)

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windtign.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\windtign.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingnxdec.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingnxdec.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqvga.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqvga.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winiepu.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winiepu.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingbxgsl.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wingbxgsl.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winbvuaw.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winbvuaw.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wincipj.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wincipj.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqygaen.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winqygaen.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winboswkc.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winboswkc.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\xver.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\xver.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winplnblf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winplnblf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\jkba.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\jkba.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wwtyef.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\wwtyef.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\uexnld.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\uexnld.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\sndp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\sndp.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winfypmqp.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winfypmqp.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\euywy.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\euywy.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\psvf.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\psvf.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlxri.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlxri.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlxri.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winlxri.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\valqeh.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\valqeh.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\tnntk.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\tnntk.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cijtiu.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\cijtiu.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\kjrdei.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\kjrdei.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qkce.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\qkce.exe:*:Enabled:ipsec

"D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winmgdtw.exe" = D:\DOCUME~1\MIKOAJ~1\USTAWI~1\Temp\winmgdtw.exe:*:Enabled:ipsec

"D:\WINDOWS\system32\taskmgr.exe" = D:\WINDOWS\system32\taskmgr.exe:*:Enabled:ipsec -- (Microsoft Corporation)

 

 

 

 

To taki typ infekcji, że często kończy się formatem. Zresztą ja uważam, że w Twoim przypadku format jest tu odpowiednim narzędziem do zastosowania w pierwszej kolejności, gdyż parę dni temu przeinstalowałeś system. Nie ma sensu się męczyć i usprawniać co dopiero zainstalowany system, a już poważnie uszkodzony (który wymagałby wielu działań + kompletnej aktualizacji), szybciej pójdzie postawienie go na nowo. Ale kilka uwag:

 

- Jaki był powód przeinstalowania Windows? Czy coś określonego się działo? Może wirus już wtedy był?

- Prawdopodobnym źródłem infekcji może być ... pendrive, lub pliki zlokalizowane na innej partycji niż systemowa, które uruchamiałeś po przeinstalowaniu Windows nie wiedząc, że są zainfekowane.

- Wirus atakuje pliki wykonywalne na wszystkich partycjach, nie wystarczy format partycji systemowej, a z dysków nie wolno zrobić kopii zapasowej plików wykonywalnych (po formacie odtworzą wirusa). Wg OTL są tu dwie partycje:

 

%SystemDrive% = D: | %SystemRoot% = D:\WINDOWS | %ProgramFiles% = D:\Program Files
Drive C: | 39,13 Gb Total Space | 39,04 Gb Free Space | 99,77% Space Free | Partition Type: NTFS
Drive D: | 35,42 Gb Total Space | 26,39 Gb Free Space | 74,51% Space Free | Partition Type: NTFS

 

Ponadto, Twój pendrive ma niejasną zawartość i stanowi potencjalne zagrożenie jako nosiciel wirusa.

 

 

.

[Myszor]

Przed instalacją windowsa wykonałem zerowanie i remapowanie dysku, potem instalowałem go na czystym dusku, powodem tego był mój znany problem z samoklikającą myszką przy 100% użyciu procesora. To teaz co powinienem zrobić ??

[picasso]

To co powiedziałam wyżej aktualne, świeży Windows, to się nie patyczkuj i formatuj. Przed tym podepnij ten swój pendrive i zrób log z USBFix z opcji Listing. To ma na celu wykazanie czy pendrive jest nośnikiem plików infekcji.

 

 

.

[Myszor]

Hmm tylko teraz jaki to był pendrive bo mam 2 takie sam a nie pamiętam, jedynie nazwy mam inne wpisane tych pendrivów

 

Logi z obu pendrive

UsbFix2.txt

UsbFix3.txt

[picasso]

Nie wydaje się, by były pliki Sality na pendrivach, ale mimo wszystko nie wiadome czy któryś z normalnych plików nie jest zainfekowany (to już tylko skan antywirusem może zdowodować), a dodatkowo są znaki innych infekcji na tych urządzeniach:

 

1. Pendrive zmapowany jako L zainfekowany. Typ infekcji LNK: utworzone fałszywe skróty uruchamiające infekcję, o nazwach takich samych jak prawidłowe foldery, które zostały z kolei ukryte. Wyczyść pendrive z tego, przy podpiętym (zakładam, że nadal pod literą L figuruje) uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
L:\*.lnk
rd /s /q L:\RECYCLER /C
attrib /d /s -s -h L:\* /C

 

Klik w Wykonaj skrypt.

 

2. Na obu pendrive katalogi Koszy RECYCLER podejrzane (zawartość nieznana). Pierwszym z nich zajmuję się wyżej, ale w autoryzacjach zapory Windows był taki kwiatek sugerujący ziazi i na drugim pendrive:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"K:\RECYCLER\f2f60eea.exe" = K:\RECYCLER\f2f60eea.exe:*:Enabled:ipsec

 

Przy podpiętym drugim pendrive (zakładam, że nadal pod literą K) zapuść w OTL skrypt:

 

:Files

rd /s /q K:\RECYCLER /C
attrib /d /s -s -h K:\* /C

 

 

.

[Myszor]

Po raz kolejny WIELKIE DZIĘKI. Komputer teraz śmiga jak nowy, zainstalowałem SP3, antywirusa, i inne niezbędne aktualizacja. Temat można zamknąć.