Ок, а на чистой системе что в этих местах реестра?
Нет этих записей (ветвей) или есть, но с другими значениям?
Может быть, я просто исправлю эти места в реестре, руками?

Вот тут пишут что https://malwarefixes.com/remove-searchscopes/
"SearchScopes extension is an adware that infiltrate the  computer by means of third-party program. This kind of software was  made to generate revenue for its authors. SearchScopes is offered as a  useful tool with enhancement functions for your web browser. "

А у меня нет этого Add-on ... но записи в реестре есть .. хм, _непонятно_

P.S. Да, я не знаю как работает UVS, возможно это аналог HiJack, etc.
P.P.S. На Windowx XP машине UVS подвис, поэтому тяготею к ручным исправлениям.

Можно и HiJack воспользоваться для удаления записей.

Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
( по сути это расширенный аналог  HiJack )
Напишу в нём скрипт очистки.

Прошу прощения, а это делать после ... или вместо предыдущей отработки delref?
Сейчас перезагрузил компьютер, вошел в Firefox - "левых" обращений пока нет.

Пробую грузить скайп. Загрузил, все тихо
У меня все больше подозрения в сторону провайдера ..

В таких случаях рекомендуется перекрёстная проверка.
Идеальных программ нет.
Возможно то чего не видит uVS можно увидеть в FRST


Лучше после.

Ок, тогда ночью уже видимо, спасибо за помощь.
У меня подозрения все же в сторону провайдера -
провайдер Интерзет был засвечен lleo (Леонид Каганов)
среди других, которые пропускали траффик пользователей
через маркетинговый прокси ... чтобы еще немного зарабатывать.
Ссылку нашел - вот она

Я подозреваю что их система разладилась слегка, а Eset Nod 32 это диагностирует.

Можно зайти сюда и посмотреть текущий IP машин: https://yandex.ru/internet/
Если трафик идёт через прокси...
То будут соединённые штаны америки - или ещё, что.

На таком уровне - показывает мой IP (внешний).
Просто есть же разного типа прокси, в том числе транспарентные (прозрачные).

Вы знаете, я изучил вопрос с {searchTerms} - посмотрел по TeamViewer другие машины
на Windows 7 и Windows XP: там тоже есть аналогичные записи в реестре -
как в HKLM, так и в HKCU: не все подряд, но некоторые точное такие же
и везде (везде) есть {searchTerms} в коде.

В конце недели наберусь смелости запускать Far сканнер (на случай чего).

Спасибо за помощь!

Если проблема в провайдере то проще всего поставить:
adblockplus: https://adblockplus.org/ru/
и
noscript: https://noscript.net/
--------


https://msdn.microsoft.com/ru-ru/library/cc848862(v=vs.85).aspx

Спасибо за помощь, вот план действий - и по роутеру прошу больше информации ---

Cперва напишу провайдеру. Пока (1 сутки), сообщений от Eset больше нет
по DataDriven больше нет - возможно помогло продление второй лицензии (шучу).

Либо, уехала история в веб Скайпе и Nod перестал замечать вредный URL в истории
и соотв. ругаться на него. В веб Скайпе по всем контактам подгружается история -
включая картинки или контент при упоминании URL, чем стараются пользоваться хакеры,
взламывая скайп экаунта и засылая goo.gl короткие ссылки с вирусами, а Гугл это игнорит.

По реестру и delref = в приведенной Вами заметке на MSDN также
используется {searchTerms} и нет указаний о том что это плохо.

Вот если бы в SearchScopr была активная запись search provider = MegaEvilHacker
= тогда да,тогда бы я удалил все это, но от Bing / Google / Yandex с выбранным
по дефолту Google я вред углядеть решительно не в состоянии, извините.

Тут такая штука - на двух рабочих станциях, на которых проявляются симптомы,
стоял Nod32 лицензия, с самого начала, плюс периодическая проверка ADW Cleaner + Dr. Web Cure It.
Я очень сомневаюсь что что-то могло пробиться - и специально - скорей-скорей -
ставил update относительно "спящих" вирусов-шифраторов, и вроде все встало как надо. Тьфу-тьфу.

Из "странного" софта ставился BsPlayer, который тащил за собой Conduit WebSearch (очень давно) -
но эта штука прибивалась сразу после установки ... позднее - в 2016 году, это был уже некий
LavaSoft TcpWebserive = к сожалению все это в пакете установщика, то есть оставалось
только установить и потом прибить.

Но чтобы "следы" (хвосты) удаленных более 1.5 лет назад в Windows 7
или более 10 лет назад в Win XP софтинок, вдруг стали влиять на поведение браузеров сейчас
- тут, извините, поверить не могу. Я и следов-то этих не вижу, кроме того что App Path bsplayer.exe
живет в ветке реестра Conduit (а другие под-ветки этого дерева давно прибиты как и сам Conduit,
еще до его первого запуска и активации, еще 10 лет назад).

Мы достаточно авторитетно с Вами исследовали вопрос возможного заражения, и ничего не нашли.

Остается роутер DIR 300 старого образца (еще до NRU и прочих новоделов)
по которому Вы упорно, 5-й раз спрашиваю ведь, не хотите называть
• ни наименование возможной уязвимости
• ни конкретно видимые результаты взлома роутера
- повторяю, все настройки на месте и включена MAС фильтрация подключенных станций.
Да, это тоже взламывается, особенно учитывая недавнюю публикацию про взлом WiFi клиентов
даже с AES шифрацией. Но эти-то клиенты у меня на проводах RJ 45 ...

Как проверить уязвимость роутера? Как она должна проявляться в настройках или логе роутера?
Вот не знаю что у Вас срабатывает, но этот вопрос Вы игнорируете

За роутером остается провайдер Interzet (Дом.Ру теперь, но настройки все старые).
Они могут что-то портить, скорость доступа замедлилась, как это принято, сразу
после перехода на тариф со скоростью побольше и такой и осталась