Самопроизвольное открываение Браузера с рекламой, и установка программ

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончании сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].


[quote="Vlad123123;1369899"]Запуск программы невозможен, так как на компьютере отсутствует tinyxml.dll [B]попробуйте переустановить программу.[/B][/quote]
попробуйте последовать совету :).

После чистки adwcleanerom перестала вылазить ошибка для файлов сfg.) теперь ничего переустанавливать не нужно.
отчет прилагаю

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

что с проблемой?

вроде все в порядке, единственное поиск через go.mail в браузерах.
спасибо вам большое, думаю тему можно закрывать.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Извиняюсь за задержку.

Driver Booster - нежелательное ПО, советую деинсталировать.

[CODE]CHR Extension: ([B]Script counter[/B]) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjgpmeoldcchbfbojmmimhgmlmbbdhaj [2016-03-27]
CHR Extension: (AdBlock) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-03-18]
CHR Extension: (Платежная система Интернет-магазина Chrome) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-12-31]
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2016-02-17][/CODE]
Script counter - расширение вам знакомо?

А также это?
[CODE]OPR Extension: ([B]Advertising block[/B]) - C:\Users\гений\AppData\Roaming\Opera Software\Opera Stable\Extensions\dojgfgknadakhfnaogaipdbdamepeffe [2016-03-27]
[/CODE]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
Task: {2E9BA8EA-464B-41E5-85B4-882AC5ECC4F7} - \Microsoft Windows Video -> No File <==== ATTENTION
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1768525655-1577616420-2247626156-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
2016-03-22 20:14 - 2016-03-22 20:22 - 00000000 ____D C:\Program Files (x86)\HDef

EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Драйвер бустер удалил после первого вашего совета, его уже нет вроде
Фикс выполнил, файл прикрепил.
Script counter после фикса пропал, до этого не было кнопки удаления в настройках расширений браузера.
Не удаляется http blocker extension, при удаление отвечает что расширение удалено, но удалять его можно бесконечно.
Advertising block - думаю это Ад блок расширение против назойливой рекламы.

[quote="Vlad123123;1371100"]Advertising block - думаю это Ад блок расширение против назойливой рекламы.[/quote]
Adblock так в списке и обозначается обычно.

Сделайте свежие логи FRST.

1) Script counter обратно появился.
2) Я не много не допонял:D , из расширений только Adblock сам ставил, больше ничего.
3) Кстати опять запросы поиска с гугла перенаправляет в go.mail.

Написал в командной строке
RD /S /Q "%WinDir%\System32\GroupPolicy"
RD /S /Q "%WinDir%\Syswow64\GroupPolicy"
gpupdate

расширение пропало и перенаправление на го маил прекратилось.

[CODE]C:\Users\沐龛閈AppData[/CODE]
эту папку вручную удалите.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
[code]start
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
GroupPolicy-x32: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-1768525655-1577616420-2247626156-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR Extension: (Script counter) - C:\Users\гений\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjgpmeoldcchbfbojmmimhgmlmbbdhaj [2016-03-29]

EmptyTemp:
Reboot:
end[/code]
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. [U]При сохранении выберите кодировку [B]Юникод[/B]![/U]
Отключите до перезагрузки антивирус, запустите FRST, нажмите [B]Fix[/B] и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

проверьте проблему.

cделал

что с проблемой?

Проблема опять появилась, мне кажется все идет от торрента.
Из автозагрузки я его уже 2 раза исключал.
При включение ноута он сам запускается(торрент), просит обновить его причем на старую версию, и появляется звук 3-4 щелчка, как будто на ссылки клик. После чего появляется ScriptCounter а с ним и перенаправление на go.mail.:furious3:
Удалить не получается, недостаточно прав.
Какие сделать логи?

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]

готово.

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
zoo %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\UPDATE.EXE
bl CC02989CDCBCD2FA0C6248896ED2F151 348160
delall %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\UPDATE.EXE
zoo %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\VIDEO\UNINSTALL.EXE
bl E8EC9F9A806A3FE4263949A6B5159E22 124928
delall %SystemDrive%\USERS\ГЕНИЙ\APPDATA\ROAMING\MICROSOFT\VIDEO\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
deltmp
regt 27
czoo
restart[/CODE]

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования MBAM.[/url]

карантин
Файл сохранён как 160406_191032_ZOO_2016-04-06_18-53-38_570534f80a48e.zip
Размер файла 349180
MD5 3090de9aef33b4a8f9a896ecccf68c4a

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

КMS AUTO на сколько помню вроде активатор вин.

1) [LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

2) [url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Поместите в карантин MBAM[/url] только

[CODE]Разделы реестра: 5
PUP.Optional.TorrentSearch, HKLM\SOFTWARE\WOW6432NODE\CLASSES\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F}, , [b3e9d0db5b3ed6604a64c0253dc538c8],
PUP.Optional.TorrentSearch, HKLM\SOFTWARE\CLASSES\WOW6432NODE\CLSID\{DCFCC2EC-3F33-45A8-8ADF-A6C81F11232F}, , [b3e9d0db5b3ed6604a64c0253dc538c8],
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [217be9c21584a4924cd6dd093dc5e719],
Trojan.ProxyHijacker, HKLM\SOFTWARE\WOW6432NODE\CLASSES\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [53498625c3d63ff7a57ddd0923df2bd5],
Trojan.ProxyHijacker, HKLM\SOFTWARE\CLASSES\WOW6432NODE\audi_a4_ii_b6_sedan_repair_manual_pdf.DynamicNS, , [53498625c3d63ff7a57ddd0923df2bd5],
[/CODE]

3) Что с проблемой?

Перенаправление на go.mail пропало, script counter остался, но уже перед выполнение уже последних действий, появилась новая проблема, при нажатие на любую ссылку в браузере (даже на ползунок перемотки) открывается новое окно браузера : c адресом [COLOR="#FF0000"]удалено[/COLOR]
Не удается получить доступ к сайту

Не удается найти DNS address сервера dpbolvw.net.
DNS_PROBE_FINISHED_NXDOMAIN
какой лог сделать?