Win32.Malware.gen

[skliti]

Доброго времени суток, не могу разобраться сданным (Скрин прилагаю) Бесконечно всплывает окошко от аваста, что делать? CureIt не помог, даже не нашёл ничего!!!

http://s017.radikal.ru/i443/1306/b5/d50972f71d63.jpg - вот скрин

[Kaskad]

(Скрин прилагаю)

А где скрин?
Дайте больше информации. Того, что Вы предоставили, не достаточно для анализа.

[skliti]

Приложил скрин, сорри забыл)(

[Kaskad]

Это однозначно вирус.
Судя из скрина очень подозрительный процесс svchost.exe.  Системный svchost.exe обитает исключительно в папке: C:\WINDOWS\system32; C:\WINDOWS\ServicePackFiles\i386; C:\WINDOWS\Prefetch; С:\WINDOWS\winsxs\*
А в Вашем случае ..., сами можете увидеть.
На данном этапе могу порекомендовать Вам следующее:
1) Проведите сканирование ПК используя вариант "Сканировать при загрузке ОС", указав в настройках все необходимые области сканирования + искать ПНП + распаковывать архивные файлы + при обнаружении "Спрашивать".
2) Просмотрите "Автозагрузку" на предмет подозрительных приложений: "Пуск" -> "Выполнить" -> наберите msconfig и нажмите OK -> выберите закладку "Автозагрузка" и просмотрите все приложения, включённые там. Если обнаружите подозрительное положение, отключите его.

[Andrey,pro]

skliti, подготовьте логи OTL и Malwarebytes anti-malware по инструкции: http://forum.avast.com/index.php?topic=100566.0 и прикрепите их в следующем сообщении.

[skliti]

Вот OTL и Malwarebytes anti-malware
http://rghost.ru/46786946

[amid525]

Удалите что нашел Malwarebytes anti-malware, и все будет в порядке. Нечисти хватает.. )

[skliti]

Удалил, не помогло!(

[Kaskad]

Дождитесь Andrey,pro, не торопите события.

[Andrey,pro]

skliti, Ваш компьютер сильно заражен. Строго следуйте инструкциям.

1. запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
PRC - C:\Users\Цифровая Компания\AppData\Roaming\svchost.exe (PELock Software)
PRC - C:\Users\Цифровая Компания\AppData\Roaming\svchost.exe (PELock Software)
IE - HKCU\..\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}: "URL" = http://webalta.ru/search?q={searchTerms}&from=IE
FF - prefs.js..browser.search.defaultenginename: "Webalta Search"
FF - prefs.js..browser.startup.homepage: "http://home.webalta.ru"
FF - prefs.js..keyword.URL: "http://webalta.ru/search?from=FF&q="
[2012.03.12 23:34:56 | 000,000,412 | ---- | M] () -- C:\Users\Цифровая Компания\AppData\Roaming\mozilla\firefox\profiles\smdor7jy.default\searchplugins\webalta-search.xml
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2AE661DE-E0BC-4385-B52B-560952B4420F}: DhcpNameServer = 7.254.254.254
[2013.06.15 16:28:20 | 000,136,704 | ---- | C] (PELock Software) -- C:\Users\Цифровая Компания\AppData\Roaming\svchost.exe
[2957 C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.tmp files -> C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.tmp -> ]
[2 C:\Users\Цифровая Компания\AppData\Roaming\*.tmp files -> C:\Users\Цифровая Компания\AppData\Roaming\*.tmp -> ]
@Alternate Data Stream - 149 bytes -> C:\ProgramData\TEMP:D8999815
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:A064CECC
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:41ADDB8A

:Files
[2013.06.16 08:09:56 | 000,000,000 | ---D | C] -- C:\Windows\pss
[2013.06.15 16:23:08 | 000,000,000 | ---D | C] -- C:\Users\Цифровая Компания\Desktop\unNamed_ProTector
[2013.06.15 01:08:38 | 000,136,704 | ---- | M] () -- C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\23556fb1360f366337f97c924e76ead3.exe

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!

2. Скачайте утилиту Kaspersky tdsskiller http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
Запустите программу и нажмите Начать проверку, все, что будет найдено-пробуйте лечить, если лечение невозможно, то ничего не предпринимайте. Прикрепите логи в следующем сообщении.

[skliti]

Простите конечно, но теперь ещё хуже стало после того как товарищ amid525 посоветовал удалить я сделал полное сканирование и всё удалил ,однако, теперь через 4 сек после запуска компа бесконечно добавляются файлы tmp и при этом одновременно пытаются открыться, а авасту пофиг так что только в безопасном режиме, но там нету интернета, а сейчас пишу с мобилки.

[Andrey,pro]

amid525 не виноват, он не мог предвидеть этого.
перейдите в C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup и запакуйте файл 23556fb1360f366337f97c924e76ead3.exe в архив (сам файл удалите из папки). После попробуйте загрузиться в обычном режиме.
В любом случае, мы восстановим Ваш ПК.
UPD там же Вы должны увидеть файлы вида trz*.tmp, где *-любая комбинация букв/цифр, поместите их тоже в архив и удалите из папки.
По умолчанию папка AppData является скрытой

[skliti]

Я его не виню я сам виноват, и кстати у меня нету там папки starmenu

[Andrey,pro]

если я пришлю скрипт в виде текстового файла, Вы сможете сохранить его на мобильном устройстве и передать на компьютер?

[skliti]

Может и получится, давайте попробуем всёравно нет вариантов, но у меня люмия и там через Zune ну думаю знаете, а безопасный режим может всё испортить