Поисковик меняется [HEUR:Trojan.Win32.Generic ]

[regist]

Сделайте свежий лог HijackThis

где?

[Руслан3639]

Извините, прикрепил.
Спасибо.

[regist]

Вы прикрепили лог устаревшей версии, переделайте свежим.

[Руслан3639]

Переделал, скачал в разделе инструкция версию v.2.0.5

[regist]

скачал в разделе инструкция версию v.2.0.5

она тоже устаревшая (выпущена несколько лет назад), на предыдущей странице давал вам ссылку на актуальную.

[Руслан3639]

Версия 2.0.6
Прикрепил

[regist]

Сделайте ещё такой лог https://technet.microsoft.com/ru-ru/.../bb963902.aspx
Полученный .arn файл заархивируйте и прикрепите к сообщению.

- - - - -Добавлено - - - - -

+
Пожалуйста, скачайте MiniRegTool64.zip и распакуйте его.

• Запустите утилиту
• Скопируйте и вставьте следующий текст в поле ввода:
  
  Код:

  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
  HKCU\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
  
  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
  
  HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

• Отметьте опцию Export keys.
• нажмите кнопку Go, после этого прикрепите к своему сообщению Result.txt.

[Руслан3639]

Прикрепил.
архив arn превысил размер на форуме, как его уменьшить?

[regist]

как его уменьшить?

а если внимательно прочитать?

Полученный .arn файл заархивируйте и прикрепите к сообщению.

[Руслан3639]

Я за архивировал, размер 136 КБ, пишет большой размер файла.

[regist]

загрузите сюда http://rghost.ru/ и оставьте ссылку на скачивание.

[Руслан3639]

http://rghost.ru/6PpZBvmkq

[regist]

Ещё один лог, пожалуйста, сделайте и по нему уже напишу скрипт.

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда.

[Руслан3639]

Размер большой, прикрепить не удалось.

http://rghost.ru/7yzPyQcZx

[regist]

Выполните скрипт в uVS и пришлите карантин

Код:

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
BREG
delall HTTP://TAXSUP.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=ED4DD8042135F5854752A91136D0B049&UTM_TERM=0DB577A71799BC2349FC4A920A65D027&UTM_D=20160409
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\APPLICATION\CHROME.EXE
dirzooex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
bl CC640BA0F3ABFFE8A25F42BDDFBA4C15 453240
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
delall HTTP://TAXSUP.RU/?UTM_CONTENT=BA6A8EBA9EF382A043268F1FDC91E601&UTM_SOURCE=STARTPM&UTM_TERM=0DB577A71799BC2349FC4A920A65D027&UTM_D=20160409
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\OPERA\OPERA\WIDGETS\SAFESURFING.OEX
delref %SystemDrive%\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OPERA\OPERA.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\NCH SOFTWARE\DEBUT\DEBUT.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\SEARCHGO\SEARCHGO.DLL
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.2_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM\7.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ\7.0.3_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC\4.0.5_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI\4.0.5_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3DONDEMAND%26UC
delall HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3DONDEMAND%26UC
regt 27
czoo
restart

сделайте свежий образ автозапуска.

[Руслан3639]

Файл сохранён как 160417_190556_ZOO_2016-04-17_19-00-14_5713b464e8fdc.zip
Размер файла 1262445
MD5 c95e07206ebd95d7e88ef8a4538cfb09

http://rghost.ru/6Z8wJrMVW

[regist]

что с проблемой?

[Руслан3639]

Спасибо огромное, браузер автоматически уже не запускается, поисковик работает нормально, спасибо.
Осталась только рекламка всплывающая с левого боку экрана "читайте также".

- - - - -Добавлено - - - - -

Спасибо огромное, браузер автоматически уже не запускается, поисковик работает нормально, спасибо.
Осталась только рекламка всплывающая с левого боку экрана "читайте также".

Только написал, через 5 мин всплывает новая вкладка с рекламой, то казино, то ставки...

- - - - -Добавлено - - - - -

и поисковик меняется, не знаю как так получается, пришел с работы запустил всё было нормально, сейчас опять всё началось.

[regist]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

+ Переназначьте браузер по умолчанию.

[Руслан3639]

По умолчанию был хром, сделал explorer.