Доброго времени суток.
Удалилась половина ярлыков на рабочем столе сделал восстановление системы. прошло.
avg нашел какой то файл в папке C:\Windows\System32\Drivers\spqt.sys файл постоянно генерируется название с расширением sp**.sys подозреваю что вирус.
логи прилагаю.

C:\Windows\System32\Drivers\spqt.sys файл постоянно генерируется название с расширением sp**.sys подозреваю что вирус. »
Нет- если у вас есть Alcohol 120% или Demon Tools.

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
QuarantineFile('C:\Windows\xhunter1.sys','');
DeleteFile('C:\Windows\xhunter1.sys','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT


• HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis (http://virusnet.info/forum/showthread.php?t=9)

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://loveplanet.ru/a-main/affiliate_id-49789/track-setStartpage/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

Скачайте Malwarebytes' Anti-Malware (http://malwarebytes.org/mbam-download-exe-random.php) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. (http://data.mbamupdates.com/tools/mbam-rules.exe)
Подробнее читайте в руководстве (http://safezone.cc/threads/16050)


+ Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

отправил.
логи

Удалите мусор из корзины.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве (http://safezone.cc/threads/16050/#post-134172)

Обнаруженные ключи в реестре: 8
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Действие не было предпринято.
HKLM\Software\InstallIQ (PUP.Optional.InstallBrain.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре: 2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.


После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все" и кнопку "удалить ... "

готово.

Проблемы наблюдаются ?

Демо тулс удалил еще вчера но все равно ругается на эти файлы.

ругается на эти файлы »
Это драйвер эмулятора диска, возможно от вашей программы UltraISO.
Можете его деинсталлировать (http://www.duplexsecure.com/downloads/).

Спасибо)

Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24 (http://safezone.cc/resources/25/download?version=47). Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения (http://forum.oszone.net/post-1838507-9.html).

Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 26.03.2014 20:03:22
Run directory: C:\Users\OzZu\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.2
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 25.06.2012 08:22:19
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [684 Гб] Занято: [613.8 Гб] Свободно: [70.2 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления (http://windows.microsoft.com/ru-RU/internet-explorer/downloads/ie-10/worldwide-languages)
Контроль учётных записей пользователя включен
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2014-03-20 03:15:51
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
AVG Internet Security 2012
Антивирус обновлен
-------------Firewall_WMI-------------------------
AVG Internet Security 2012
-------------AntiSpyware_WMI----------------------
AVG Internet Security 2012
Windows Defender
-------------AntiVirusFirewallInstall-------------
AVG 2012 v.2012.1.2247
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_active_x.exe)
Adobe Flash Player 11 Plugin v.11.7.700.202 Внимание! Скачать обновления (http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_12_plugin.exe)
Adobe Reader XI (11.0.06) v.11.0.06
-------------Browser------------------------------
Mozilla Firefox 23.0 (x86 ru) v.23.0 Внимание! Скачать обновления (http://www.mozilla.org/ru/firefox/fx)
Opera 12.00 v.12.00.1467 Внимание! Скачать обновления (http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe)
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления (http://ftp.opera.com/pub/opera/win/1216/int/Opera_1216_int_Setup.exe)
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.14.1738.0
-------------EndLog-------------------------------