Поисковик меняется [HEUR:Trojan.Win32.Generic ]

Здравствуйте.
Пользуюсь хром, поисковик яндекс, при поиске выкидывает на рамблер (уже всё перепробовал, ничего не помогает) плюс стартует всё время фанди 24.
Помогите избавится, спасибо.

Уважаемый(ая) [B]Руслан3639[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

- Проведите [url=http://virusinfo.info/content.php?r=290-virus-detector][b]эту[/b][/url] процедуру. Полученную ссылку после загрузки карантина [b]virusinfo_auto_имя_вашего_ПК.zip[/b] через [url=http://virusinfo.info/virusdetector/uploadform.php][b]данную форму[/b][/url] напишите в своём в сообщении здесь.

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
SetServiceStart('QMUdisk', 4);
SetServiceStart('TSSKX64', 4);
StopService('TSSKX64');
StopService('QMUdisk');
QuarantineFileF('C:\Users\user\AppData\Local\SearchGo\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Users\user\AppData\LocalLow\SearchGo\searchgo.dll', '');
QuarantineFile('C:\Windows\system32\drivers\tsskx64.sys', '');
QuarantineFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16345.222\QMUdisk64.sys', '');
DeleteFile('C:\Program Files (x86)\Tencent\QQPCMgr\10.9.16345.222\QMUdisk64.sys', '32');
DeleteFile('C:\Windows\system32\drivers\tsskx64.sys', '32');
DeleteFile('C:\Users\user\appdata\locallow\searchgo\searchgo.dll', '32');
ExecuteFile('schtasks.exe', '/delete /TN "SearchGo Task" /F', 0, 15000, true);
DeleteService('TSSKX64');
DeleteService('QMUdisk');
DeleteFileMask('C:\Users\user\AppData\Local\SearchGo\', '*', true);
DeleteDirectory('C:\Users\user\AppData\Local\SearchGo\');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ndfrgcshzw');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rrkletkypw', 'command');
ExecuteRepair(10);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('TSW', 2, 3, true);
ExecuteSysClean;
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

- сделайте лог [URL="http://dragokas.com/tools/CheckBrowsersLNK_test.zip"]Check Browsers' LNK by Dragokas & regist[/URL].

[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Xplode)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[S1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

MD5 карантина: 5DE07EB592D16A5F555FBA34BE3A3570
Размер файла: 43917311 байт
Ссылка на результаты анализа:Результаты анализа карантина
Тема для обсуждения результатов анализа: Результаты анализа карантина
Результаты анализа будут доступны через 20-30 минут.



Файл сохранён как 160411_193105_virusinfo_autoquarantine_570bd149d0bab.zip
Размер файла 546757
MD5 740b9d17aa659c6040f69bdf2616efbb


Вух, вроде всё сделал)

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

А что делать с результатами онлайн-проверкой CyberHelper?

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Теперь плюс к поисковику, который всё время рамблер, периодически в новой вкладке всплывает реклама всякая, типа ставки на спорт, инет игры и страница фанди24.

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
[url=http://virusinfo.info/showthread.php?t=130828]- Антивирус и Файрвол[/url]

[url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в АВЗ[/url] -

[code]
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFileF('C:\Program Files (x86)\NEwSaveir', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\YYoTeubeRAdsReemoov', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Program Files (x86)\Common Files\Metabar', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\ProgramData\WindowsMangerProtect', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\user\appdata\locallow\searchgo', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Users\user\AppData\Local\svshost\svshost.exe', '');
QuarantineFileF('C:\Users\user\AppData\Local\svshost\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\users\user\SupTab', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\Users\user\appdata\roaming\imagecropresize\imageed\', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\users\user\AppData\Local\Kometa', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\users\user\AppData\Local\genienext', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\users\user\AppData\Local\Mobogenie', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFileF('C:\users\user\AppData\Roaming\newnext.me', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.js*, *.tmp*', true, '', 0, 0);
QuarantineFile('C:\Users\user\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk', '');
QuarantineFile('C:\Users\user\Favorites\Links\Интернет.url', '');
DeleteFile('C:\Users\user\AppData\Local\svshost\svshost.exe');
DeleteFileMask('C:\Program Files (x86)\NEwSaveir', '*', true);
DeleteFileMask('C:\Program Files (x86)\YYoTeubeRAdsReemoov', '*', true);
DeleteFileMask('C:\ProgramData\WindowsMangerProtect', '*', true);
DeleteFileMask('C:\Users\user\appdata\locallow\searchgo', '*', true);
DeleteFileMask('C:\users\user\SupTab', '*', true);
DeleteFileMask('C:\Users\user\appdata\roaming\imagecropresize\imageed\', '*', true);
DeleteFileMask('C:\users\user\AppData\Local\Kometa', '*', true);
DeleteFileMask('C:\users\user\AppData\Local\genienext', '*', true);
DeleteFileMask('C:\users\user\AppData\Local\Mobogenie', '*', true);
DeleteFileMask('C:\users\user\AppData\Roaming\newnext.me', '*', true);
DeleteFileMask('C:\Program Files (x86)\Common Files\Metabar', '*', true);
DeleteDirectory('C:\Program Files (x86)\NEwSaveir');
DeleteDirectory('C:\Program Files (x86)\YYoTeubeRAdsReemoov');
DeleteDirectory('C:\ProgramData\WindowsMangerProtect');
DeleteDirectory('C:\Users\user\appdata\locallow\searchgo');
DeleteDirectory('C:\users\user\SupTab');
DeleteDirectory('C:\Users\user\appdata\roaming\imagecropresize\imageed\');
DeleteDirectory('C:\users\user\AppData\Local\Kometa');
DeleteDirectory('C:\users\user\AppData\Local\genienext');
DeleteDirectory('C:\users\user\AppData\Local\Mobogenie');
DeleteDirectory('C:\users\user\AppData\Roaming\newnext.me');
DeleteDirectory('C:\Program Files (x86)\Common Files\Metabar');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\rrkletkypw', 'command');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.
[/code]

[color=#FF0000]После выполнения скрипта компьютер перезагрузится.[/color]

Файл [b]quarantine.zip[/b] из папки AVZ загрузите по ссылке "[color=Red][b]Прислать запрошенный карантин[/b][/color]" вверху темы.

- Перетащите лог Check_Browsers_LNK.log на [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Отчёт о работе прикрепите.

- [url=http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864]Удалите в AdwCleaner[/url] всё кроме папок от mail.ru - если программами от mail.ru не пользуетесь, то их тоже удалите. Отчет после удаления прикрепите.

- Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

Файл сохранён как 160412_134216_quarantine_570cd10896739.zip
Размер файла 366310
MD5 6a63607be82315fec0ca429b2c200b00

[quote="Руслан3639;1375074"]AdwCleaner[S1].txt
(20.4 Кб, 0 просмотров)[/quote]
прочтите внимательно что я просил и прикрепите нужный лог

Вроде всё сделал(((
Подскажите, что не так?

[quote="Руслан3639;1375131"]Подскажите, что не так?[/quote]Читаете невнимательно, а как следствие прикрепляете не тот лог.

[QUOTE=regist;1375137]Читаете невнимательно, а как следствие прикрепляете не тот лог.[/QUOTE]

Я прошу прошения, я не очень силён в компьютере.
Подскажите, что нужно сделать, я постараюсь без ошибок.
Спасибо за ранее.

тут всё подробно расписано [url]http://virusinfo.info/showthread.php?t=146192&p=1041864&viewfull=1#post1041864[/url]

Если не используете программы от Mail.ru, то

[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Xplode)[/B][/COLOR] (в ОС [B]Vista/Windows 7/8[/B] необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]), а по окончании сканирования нажмите кнопку [B]"Cleaning"[/B] ([B]"Очистка"[/B]) и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\AdwCleaner[C1].txt[/COLOR][/B].[*]Прикрепите отчет к своему следующему сообщению[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].

Спасибо).
Прикрепил.
После перезагрузки Браузер сам загружается(

Сделайте свежий лог AdwCleaner-а.


[quote="Руслан3639;1375802"]После перезагрузки Браузер сам загружается([/quote]
не понял, что вы хотели сказать.

Прикрепил, AdwCleaner написал, что ничего не обнаружил.
Я хотел сказать, что после загрузки комп-ра браузер запускается автоматически с страницей рекламы, и во время работы в хроме периодически всплывает новая вкладка с рекламой.

[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]Нажмите [B]Uninstall[/B] ([B]Деинсталлировать[/B]).[*]Подтвердите удаление нажав кнопку: Да.[/LIST]

[URL='http://rghost.ru/8vT7qY7PZ']сделайте лог HiJackThis 2.0.6 Alfa 1.8[/URL]

прикрепил

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rizapse.ru/?utm_content=7595dfa30edf900f4bcbfd246668dc5a&utm_source=startpm&utm_term=0DB577A71799BC2349FC4A920A65D027&utm_d=20160409
O2 - BHO: (no name) - {598AEFC6-DD3C-4A63-9AC3-53FCF6155931} - (no file)
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file)
O2 - BHO: (no name) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - (no file)
O3 - Toolbar: (no name) - {2BC46CFA-4B00-4193-A7BD-6AD1D0BCB5BC} - (no file)
O4 - MSConfig..HKLM: 2013/04/08 [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe"
O4 - MSConfig..HKLM: 2014/02/25 [uTorrent] "C:\Users\user\AppData\Roaming\uTorrent\uTorrent.exe" /MINIMIZED (no file)
O4 - MSConfig..HKLM: 2016/04/01 [rrkletkypw] explorer "http://lyasino.ru/?utm_source=uoua03n&utm_content=9514c71cc316c8a025d3bf54c5694830&utm_term=0DB577A71799BC2349FC4A920A65D027" (no file)
O20 - AppInit_DLLs:
O22 - ScheduledTask: (Ready) svshost - {root} - C:\Users\user\AppData\Local\svshost\svshost.exe
O22 - ScheduledTask: (Ready) {C773C58D-48AA-42C7-A37E-8645FAA3419D} - {root} - C:\Users\user\AppData\Local\Google\Chrome\Application\chrome.exe (no file)
[/CODE]

Сделайте свежий лог HijackThis + отпишитесь, что с проблемой?

запустил HijackThis, отметил галочками указанный код, затем нажал [B]Fi[/B][B]x Checked, пишет "эрор".
[/B]

[quote="Руслан3639;1375925"]нажал Fix Checked, пишет "эрор".[/quote]
после этого в буфере обмена будут код ошибки с описанием ошибки. Вставьте его сюда на форум. Или хотя бы скрин ошибки прикрепите.

Выполнил снова сканирование HiJackThis, чтоб посмотреть какой "эрор" будет, а в перечне уже не оказалось строк которые Вы просили.
Проблема не пропала, грузится фанди 24.

[quote="regist;1375868"]Сделайте свежий лог HijackThis[/quote]
где?

Извините, прикрепил.
Спасибо.

Вы прикрепили лог устаревшей версии, переделайте свежим.

Переделал, скачал в разделе инструкция версию v.2.0.5

[quote="Руслан3639;1376076"]скачал в разделе инструкция версию v.2.0.5[/quote]
она тоже устаревшая (выпущена несколько лет назад), на предыдущей странице давал вам ссылку на актуальную.

Версия 2.0.6
Прикрепил

Сделайте ещё такой лог [url]https://technet.microsoft.com/ru-ru/sysinternals/bb963902.aspx[/url]
Полученный .arn файл заархивируйте и прикрепите к сообщению.

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

+
Пожалуйста, скачайте [URL='http://download.bleepingcomputer.com/farbar/MiniRegTool64.zip']MiniRegTool64.zip[/URL] и распакуйте его.

[LIST][*]Запустите утилиту[*]Скопируйте и вставьте следующий текст в поле ввода:
[code]
HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
HKCU\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
[/code][*]Отметьте опцию [B]Export keys[/B].[*]нажмите кнопку [B]Go[/B], после этого прикрепите к своему сообщению [B]Result.txt[/B].[/LIST]

Прикрепил.
архив arn превысил размер на форуме, как его уменьшить?

[quote="Руслан3639;1376137"]как его уменьшить?[/quote]
а если внимательно прочитать?
[quote="regist;1376086"]Полученный .arn файл [B]заархивируйте[/B] и прикрепите к сообщению.[/quote]

Я за архивировал, размер 136 КБ, пишет большой размер файла.

загрузите сюда [url]http://rghost.ru/[/url] и оставьте ссылку на скачивание.

[url]http://rghost.ru/6PpZBvmkq[/url]

Ещё один лог, пожалуйста, сделайте и по нему уже напишу скрипт.

[url=http://virusinfo.info/showthread.php?t=121767][b]Сделайте полный образ автозапуска uVS[/b][/url], только программу скачайте [url=https://yadi.sk/d/6A65LkI1WEuqC]отсюда.[/url]

Размер большой, прикрепить не удалось.

[url]http://rghost.ru/7yzPyQcZx[/url]

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS[/url] и пришлите карантин

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall HTTP://TAXSUP.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=ED4DD8042135F5854752A91136D0B049&UTM_TERM=0DB577A71799BC2349FC4A920A65D027&UTM_D=20160409
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\CHROME.EXE
dirzooex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
bl CC640BA0F3ABFFE8A25F42BDDFBA4C15 453240
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
delall HTTP://TAXSUP.RU/?UTM_CONTENT=BA6A8EBA9EF382A043268F1FDC91E601&UTM_SOURCE=STARTPM&UTM_TERM=0DB577A71799BC2349FC4A920A65D027&UTM_D=20160409
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SAFESURFING.OEX
delref %SystemDrive%\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\OPERA.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\NCH SOFTWARE\DEBUT\DEBUT.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\4.0.5_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\4.0.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC
regt 27
czoo
restart[/CODE]

сделайте свежий образ автозапуска.

Файл сохранён как 160417_190556_ZOO_2016-04-17_19-00-14_5713b464e8fdc.zip
Размер файла 1262445
MD5 c95e07206ebd95d7e88ef8a4538cfb09

[url]http://rghost.ru/6Z8wJrMVW[/url]

что с проблемой?

Спасибо огромное, браузер автоматически уже не запускается, поисковик работает нормально, спасибо.
Осталась только рекламка всплывающая с левого боку экрана "читайте также".

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

[QUOTE=Руслан3639;1376473]Спасибо огромное, браузер автоматически уже не запускается, поисковик работает нормально, спасибо.
Осталась только рекламка всплывающая с левого боку экрана "читайте также".[/QUOTE]

Только написал, через 5 мин всплывает новая вкладка с рекламой, то казино, то ставки...

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

:(и поисковик меняется, не знаю как так получается, пришел с работы запустил всё было нормально, сейчас опять всё началось.

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B], [B]Addition.txt[/B], [B]Shortcut.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

+ Переназначьте браузер по умолчанию.

По умолчанию был хром, сделал explorer.