[iskander-k]

Цитата OzZu:

C:\Windows\System32\Drivers\spqt.sys файл постоянно генерируется название с расширением sp**.sys подозреваю что вирус. »

Нет- если у вас есть Alcohol 120% или Demon Tools.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

Код:

begin
 QuarantineFile('C:\Windows\xhunter1.sys','');
 DeleteFile('C:\Windows\xhunter1.sys','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://loveplanet.ru/a-main/affiliate_id-49789/track-setStartpage/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

[regist]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


+ Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

[OzZu]

отправил.
логи

[regist]

Удалите мусор из корзины.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:

Обнаруженные ключи в реестре:  8
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Действие не было предпринято.
HKLM\Software\InstallIQ (PUP.Optional.InstallBrain.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.

После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все" и кнопку "удалить ... "

[OzZu]

готово.

[iskander-k]

Проблемы наблюдаются ?

[OzZu]

Демо тулс удалил еще вчера но все равно ругается на эти файлы.

[Sandor]

Цитата OzZu:

ругается на эти файлы »

Это драйвер эмулятора диска, возможно от вашей программы UltraISO.
Можете его деинсталлировать.

[OzZu]

Спасибо)