Win32.Malware.gen

[Andrey,pro]

Во вложениях fix.txt. Выполните, как там написано. При загрузке в безопасном режиме вы выбрали безопасный режим с поддержкой сетевых драйверов? тогда интернет должен быть.

[skliti]

Да выбрал его, но у меня ошибка при подключении 711=(

[skliti]

И Zune не хочет работать=[

[Andrey,pro]

Нажмите Пуск=>Все программы=>Автозагрузка
что стоит в автозагрузке?

[skliti]

очень много не понятных tmp файлов, такого рода trzFF3D.tmp

[Andrey,pro]

это то,что нам и нужно. Нажмите правой кнопкой мыши по папке Автозагрузка и выберите Открыть, запакуйте все файлы вида  trz*.tmp, где *-любая комбинация букв/цифр, в архив и удалите из папки. Также там должен быть файл 23556fb1360f366337f97c924e76ead3.exe его тоже поместите в архив и удалите из этой папки.

[skliti]

Там их 1000 - 5000

[Andrey,pro]

сделайте, как я написал в сообщении выше

[skliti]

а нет их там 4141, среди которых нету ни одного exe все тмп, вроде в рар засунул и удалил теперь в обычном режиме запустить?

[Andrey,pro]

да, пробуйте загрузиться в обычном режиме, если есть интернет, выполняйте быстро скрипт, т.к. через некоторое время они могут опять начать множиться.

[skliti]

так загрузился без проблем, скрипт вроде выполнил сейчас скину лог

[skliti]

Вот лог

All processes killed
========== OTL ==========
No active process named svchost.exe was found!
No active process named svchost.exe was found!
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633}\ not found.
Prefs.js: "Webalta Search" removed from browser.search.defaultenginename
Prefs.js: "http://home.webalta.ru" removed from browser.startup.homepage
Prefs.js: "http://webalta.ru/search?from=FF&q=" removed from keyword.URL
C:\Users\Цифровая Компания\AppData\Roaming\mozilla\firefox\profiles\smdor7jy.default\searchplugins\webalta-search.xml moved successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{2AE661DE-E0BC-4385-B52B-560952B4420F}\\DhcpNameServer| /E : value set successfully!
File C:\Users\Цифровая Компания\AppData\Roaming\svchost.exe not found.
File/Folder C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\*.tmp not found.
C:\Users\Цифровая Компания\AppData\Roaming\trz4CA8.tmp deleted successfully.
C:\Users\Цифровая Компания\AppData\Roaming\trzE13E.tmp deleted successfully.
ADS C:\ProgramData\TEMP:D8999815 deleted successfully.
ADS C:\ProgramData\TEMP:A064CECC deleted successfully.
ADS C:\ProgramData\TEMP:41ADDB8A deleted successfully.
========== FILES ==========
File\Folder [2013.06.16 08:09:56 | 000,000,000 | ---D | C] -- C:\Windows\pss not found.
File\Folder [2013.06.15 16:23:08 | 000,000,000 | ---D | C] -- C:\Users\Цифровая Компания\Desktop\unNamed_ProTector not found.
File\Folder [2013.06.15 01:08:38 | 000,136,704 | ---- | M] () -- C:\Users\Цифровая Компания\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\23556fb1360f366337f97c924e76ead3.exe not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: DefaultAppPool
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: skyFlame
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: UpdatusUser
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 56502 bytes
 
User: Все пользователи
 
User: Цифровая Компания
->Temp folder emptied: 197434625 bytes
->Temporary Internet Files folder emptied: 6718964 bytes
->Java cache emptied: 397773 bytes
->FireFox cache emptied: 6525535 bytes
->Google Chrome cache emptied: 7052088 bytes
->Opera cache emptied: 0 bytes
->Flash cache emptied: 739 bytes
 
User: –Ёда®ў п Љ®¬Ї ­Ёп
 
User: �������� ��������
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 28201 bytes
%systemroot%\System32 (64bit) .tmp files removed: 94656 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 23533611 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 69229 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 734 bytes
RecycleBin emptied: 0 bytes
 
Total Files Cleaned = 231,00 mb
 
Restore point Set: OTL Restore Point
 
OTL by OldTimer - Version 3.2.69.0 log created on 06162013_125529

Files\Folders moved on Reboot...
C:\Users\Цифровая Компания\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Windows\SysNative\WPRO_41_2001woem.tmp moved successfully.
File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
File move failed. C:\Windows\temp\4game-service.log scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

[Andrey,pro]

Делайте сканирование утилитой tdsskiller и лог прикрепите в следующем сообщении. Сейчас появляются сообщения от аваста о блокировке?

[skliti]

Нет, не появляются, спасибо вроде как)))) Вот лог, нашло 4 угрозы!
http://rghost.ru/46791320

[Andrey,pro]

Мне нужен отчет tdsskiller, а этот отчет вы уже присылали