Здравствуйте ! На диске С появились папки с непонятным набором букв и цифр, некоторые полупрозрачные, притормаживает интернет и в папке админ почти 5 гб скрытых файлов. Помогите я думаю что то подцепил!

Здравствуйте!!! Посмотрю...

- Выполните в АВЗ: (http://forum.oszone.net/post-1430637-4.html)
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\system32\betwinservicexp.exe');
TerminateProcessByName('c:\windows\system32\mssgfhhd.exe');
SetServiceStart('TermService', 4);
SetServiceStart('Network Adapter Events', 4);
StopService('TermService');
StopService('Network Adapter Events');
QuarantineFile('c:\windows\system32\betwinservicexp.exe','');
QuarantineFile('C:\WINDOWS\system32\xtgina.dll','');
QuarantineFile('c:\windows\system32\mssgfhhd.exe','');
QuarantineFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\nt973MiZaks.exe','');
DeleteFile('C:\WINDOWS\system32\xtgina.dll');
DeleteFile('C:\WINDOWS\system32\mssgfhhd.exe');
DeleteFile(RegKeyStrParamRead('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup')+'\nt973MiZaks.exe');
RegKeyDel('HKEY_LOCAL_MACHINE','Software\Microsoft\TermServMonitor');
RegKeyDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Services\Network Adapter Events');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
if RegKeyExists('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList')
then RegKeyIntParamwrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList','TermUser',1);
DeleteFileMask('C:\WINDOWS\system32','tmp*.tmp',false);
DeleteFileMask('C:\XeJKRZCjZHdxzt7','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\XeJKRZCjZHdxzt7','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoneO5','*',true);
DeleteFileMask('C:\Documents and Settings\Admin\Application Data\ThGEMpj9BG7377z','*',true);
DeleteDirectory('C:\XeJKRZCjZHdxzt7');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\XeJKRZCjZHdxzt7');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\kFv3DjpT2zoneO5');
DeleteDirectory('C:\Documents and Settings\Admin\Application Data\ThGEMpj9BG7377z');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Network Adapter Events');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится

После перезагрузки:
- Выполните в АВЗ:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите через форму (http://www.oszone.net/virusnet/). Укажите ссылку на тему и ник на форуме.


- Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи

Программу betwinservicexp.exe устанавливали? И есть ли она в установке/удалении программ?

Посмотрите есть ли в системе пользователь TermUser?

выполнил в авз и после перезагрузки написал такое окошко: Ошибка пользовательского интерфейса ,невозможно загрузить DLL xtgina.dll. Обратитесь к сис админу или восстановите исходную библиотеку DLL . Пришлось переставить винду т.к. не включался комп Перед авз отключал антивирус и т.д. по инструкции. Пока подозрительных папок нигде нет какие дальше действия?

Файл C:\WINDOWS\system32\xtgina.dll есть на диске? Если есть проверьте его на https://www.virustotal.com/ и покажите, пожалуйста, ссылку на результат проверки.

нет

токого не существует

А до этого у Вас такой же windows стоял? В смысле с этого же дистрибутива?

да этот самый

yam-76, вы диск форматировали или поверх операционку накатили:?

Пуск - Выполнить - Regedit - ОК)
в редакторе поиск осуществляется путем выбора пунктов Правка – Найти файл xtgina.dll

форматировал в NTFS " Пуск - Выполнить - Regedit - ОК)
в редакторе поиск осуществляется путем выбора пунктов Правка – Найти файл xtgina.dll" пишет поиск завершен и ничего

Сейчас какие проблемы есть ?