Помогите найти зловреда!

Добрый день уважаемые эксперты сайта virusinfo!

Предполагаю, что вопрос будет для Вас интересным, я уже перепробовал все способы, чистил всем, что только возможно, но проблема никак
не решается. Суть её раскрыта в следующем видео(лог который положено прикладывать при открытии заявки приложен ниже):

[video=youtube_share;AySgxP7k_-U]https://youtu.be/AySgxP7k_-U[/video]

Уважаемый(ая) [B]Vdfvrefer[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Качество видео оставляет желать лучшего :)
Лучше бы словами описали.

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Vova\AppData\Roaming\Browsers\exe.atemok.bat','');
DeleteFile('C:\Users\Vova\AppData\Local\Amigo\Application\amigo.exe','32');
DeleteFile('C:\Users\Vova\AppData\Roaming\Browsers\exe.atemok.bat','32');
DeleteFile('C:\Users\Vova\Favorites\Links\Интернет.url','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Пофиксите в HiJack
[CODE]O2 - BHO: VkTheme - {9E2F8944-2BC5-4A96-90AC-6A8F069BFFE7} - C:\Program Files (x86)\VkTema\vktheme64.dll (file missing)
O2-32 - BHO: (no name) - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
O4 - MSConfig\startupreg: [hsxamwpzyp] (2016/12/24) (no file)[/CODE]

Скачайте [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]ClearLNK[/url] и сохраните архив с утилитой на Рабочем столе.
1. Распакуйте архив с утилитой в отдельную папку.
2. Перенесите [B]Check_Browsers_LNK.log[/B] из папки Autologger на ClearLNK как показано на рисунке
[img]http://dragokas.com/tools/move.gif[/img]
3. Отчет о работе [b]ClearLNK-<Дата>.log[/b] будет сохранен в папке [b]LOG[/b].
4. Прикрепите этот отчет к своему следующему сообщению.

[B][COLOR="Red"]Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи[/COLOR][/B]

За видео сори, в след. раз качественнее сделаю.
Карантин тоже прикрепил сюда, по ссылке пробовал, но пишет, что я уже высылал этот файл. Там с первого раза у меня как-то не корректно прикрепилось.

Все выполнил прикладываю файлы:

Я же просил[quote="thyrex;1422120"]Лучше бы словами описали.[/quote]

Ждем описания проблемы.

+ Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Если в двух словах: [B]Сама проблема:[/B] при открытии любого браузера сразу открывается вкладка с рекламой.
[B]Что делал сам:[/B] проверил везде где мог(ярлыки, просто поиск по реестру этого адреса, adwcleaner и т.д.), ни где не встречается адресов которые могли бы подставлять при загрузке любого браузера, в ярлыках чисто, даже когда сам создаешь ярлык он всегда открывается и сразу вкладка с рекламой, все расширения отключены, в списке открываемых страниц при открытии браузера нету этого адреса.

За одно новое видео попытка номер 2 :) : [video=youtube_share;LkZbd-KecL8]https://youtu.be/LkZbd-KecL8[/video]

Интернет через роутер?

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay0] -> {64A9418A-B6B1-4112-B75C-E61633C9A31F} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay1] -> {6A2E142B-EA63-433A-AC05-5223CBD26E65} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
ShellIconOverlayIdentifiers-x32: [ MailRuCloudIconOverlay2] -> {6AFCC535-2F12-4F50-9F0A-1CF856CFC95D} => C:\Users\Vova\AppData\Local\Temp\mcse32_00.dll -> No File
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
BHO: VkTheme -> {9E2F8944-2BC5-4A96-90AC-6A8F069BFFE7} -> C:\Program Files (x86)\VkTema\vktheme64.dll => No File
Toolbar: HKU\S-1-5-21-286566803-3753112634-3893842466-1000 -> No Name - {09900DE8-1DCA-443F-9243-26FF581438AF} - No File
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-286566803-3753112634-3893842466-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [nfedoihopcjdfjihhhojdclnfdgomdho] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dhngkpgdbpbkopndlpkicfaiffphdkbo] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [geidjeefddhgefeplhdlegoldlgiodon] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gndaciceccgapjhpniecknjlmmlanaem] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [hpcghcdjnehpkdecaflpedhklimnejia] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [odkmedfomghphdnmmemhkpoanggcfbbe] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [ofjddojcpeoofimcdnkhebklamdnblap] - C:\Program Files (x86)\VkTema\vktema.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pldbienodkpgkccocelidinmciedjdok] - hxxps://clients2.google.com/service/update2/crx
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Интернет через роутер: Huawei hg8245h-256m в модеме проверил DNS, там настройки провайдера как положено.

Прикрепил файл:

[quote="Vdfvrefer;1422183"]там настройки провайдера как положено[/quote]Включая настройки DNS-серверов?

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Да настройки DNS как раз и проверил, как написал выше.
Лог полного сканирования MBAM сделать не могу, так как МВАМ уже совсем не тот, инструкция не подходит там все не то, может есть обновленная версия инструкции?
А вообще я MBAM уже проверял все (еще до того как на virusinfo закинул свой запрос о помощи) и удалил все подозрительное. Можете еще есть варианты другие?

[quote="Vdfvrefer;1422183"]Интернет через роутер: Huawei hg8245h-256m в модеме проверил DNS, там настройки провайдера как положено.[/quote]
Покажите скриншот этих настроек.

Записал видео как я хожу по настройкам Huawei hg8245h-256m, так нагляднее и больше видно:
[video=youtube_share;Xk9evJItCEA]https://youtu.be/Xk9evJItCEA[/video]

Если какой либо эксперт хотел бы удаленно изучить этот вопрос, напишите пожалуйста мне в личку дам доступ, мне кажется ситуация особая, так как ну никак не видно, где что сидит.

Добрый вечер !!! Проведем несколько экспериментов:
1) Проверить работу браузеров в безопасном режиме с поддержкой сети. Сообщите результат, есть реклама, нет рекламы.
2) Подключить компьютер напрямую к сети, минуя роутер (несмотря на правильные DNS). На компьютере установите гугловские или яндекс ДНС на время пробы. Сообщите результат.
3) Скачайте программу [URL="https://yadi.sk/d/6A65LkI1WEuqC"]Universal Virus Sniffer[/URL] и [url=http://virusinfo.info/showthread.php?t=121767]сделайте полный образ автозапуска uVS[/url].

Добрый вечер, результат экспериментов:
1) Все аналогично и в безопасной режиме открывает вкладку с рекламой в любом браузере (chrome, firefox, internet explorer)
2) Это не возможно сделать так как Huawei hg8245h-256m это роутер работающий по технологии XPon и не возможно без него работать с оптической средой.
3) Результат во вложении:


P.s. Маленькое дополнение-рассуждение в виде видео:
[video=youtube_share;5CCy2jONTRU]https://youtu.be/5CCy2jONTRU[/video]

Начните с отключений всех расширений, даже доверенных, поштучно, одновременно проверяя проблему.

1-м (совсем удалите) - CHR Extension: (OneTab) - C:\Users\Vova\AppData\Local\Google\Chrome\User Data\Default_\Extensions\chphlpgkkbolifaimnlloiipkdnihall [2016-12-24]

Далее отключайте поочередно, в любой последовательности.

Вопрос:
[CODE]C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хрoм.lnk
C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хром.lnk
C:\USERS\VOVA\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\гугл хром (2).lnk[/CODE]
Эти ярлыки Вы сами создали ?

1) Расширения все отключил поочередно результата не дало.
2) Ярлыки эти не создавал, они на панели быстрой загрузки, но в windows 7 на этом компе эта панель скрыта и не используется, т.е. их я не использую никак.

Не жалко будет удалить все расширения разом ? Не отключить, а именно удалить ?

Во всех браузерах удалил все расширения и надстройки.
Все осталось по прежнему.
Тут что-то сверх неординарное не разу с таким не сталкивался, нужно собирать лучших экспертов на изучение этого вопроса, данный ребус думаю будет интересен сообществу данной тематики.

:) С праздником !!!