Вирус, предоставляющий удаленный доступ - 2

[toks]

Друзья.
Ситуация следующая - на компе живет, похоже, злобный вирус. Симптомы - в хистори браузера ссылки, которые не посещались, в истории закачек файлы, которые никто не скачивал, в поисковиках - какие-то левые запросы появляются.
Длится все это уже долго, периодичность совершенно разная.

Ссылки на логи:

http://rghost.ru/44578881 - AVZ

http://rghost.ru/44578851 - uVZ

http://rghost.ru/44578870 - HijackThis

 

[Горыныч]

toks
Из Хайджека:
D:\The Guild 2 Renaissance\Version8\TeamViewer.exe - программа удаленного доступа. Программа хорошая и полезная, но в автозагрузке ей делать нечего.
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http:/ /webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:/ /webalta.ru/search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http:/ /webalta.ru/search
Дык у Вас же ВебАльта! Это то еще зло. Первым делом удалить все ярлыки браузеров, почистить кэш и куки, создать новые ярлыки.
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\OpenVPN\bin\openvpnserv.exe
Что это?
O23 - Service: StarWind AE Service (StarWindServiceAE) - StarWind Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TeamViewer 8 (TeamViewer8) - TeamViewer GmbH - D:\The Guild 2 Renaissance\Version8\TeamViewer_Service.exe
Это можно отключить.

 

[arkalik]

toks ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
- на запросы об удалении программ соглашайтесь (нажимаем Да или Далее);

;uVS v3.77.8 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
exec D:\THE GUILD 2 RENAISSANCE\VERSION8\UNINSTALL.EXE
regt 14
deltmp
delnfr
restart

перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes