возможно это реакция на перехват функций
(!) Адрес функции NtCreateFile лежит за пределами образа базовой DLL, возможно функция перехвачена
(!) Адрес функции NtSetValueKey лежит за пределами образа базовой DLL, возможно функция перехвачена


выполните скрипт в uVS и затем добавьте новый образ, из безопасного режима системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\KOSTET\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU
deltmp
delnfr
regt 27
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

прокси вполне мог перенаправлять на другие адреса, или на определенный адрес

а что АВЗ показывает в своем логе?

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

потому что версия uVS устаревшая.
uVS v3.82.5 [http://dsrt.dyndns.org]: Windows 7 Ultimate x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]

актуальная сейчас 3.86.5

если данный прокси неизвестен вам,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\IOBITLAUNCHER.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F9083­19233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB­0709A6FE 16 Program.Unwanted.276 [DrWeb]

delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\RAZY\APPDATA\LOCAL\MEDIAGET2

delref 0HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671

delref HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671

; Surfing Protection
exec C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

прокси сами добавили?
[QUOTE]HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies\
0HTTP://GET-ACCESS.ME/WPAD.DAT?0819575ABCCD4F53F3753C855C943DE91040671[/QUOTE]

Ярослав,
добавьте образ на форум, хелперы его посмотрят

по очистке системы user2:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-ST-SPE&O=APN11461&PF=V7&TRGB=IE&P2=%5EBE7%5EOSJ000%5EBW%5EUA&GC­T=HP&APN_PTNRS=BE7&APN_DTID=%5EOSJ000%5EBW%5EUA&APN_DBR=IE_9­.0.8112.16464&APN_UID=75D276C0-4073-4CCF-8020-3B422BF45F91&ITBV=12.24.1.53&DOI=2015-05-18&PSV=&PT=TB
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-ST-SPE&O=APN11461&PF=V7&TRGB=IE&P2=%5EBE7%5EOSJ000%5EYY%5EUA&GC­T=HP&APN_PTNRS=BE7&APN_DTID=%5EOSJ000%5EYY%5EUA&APN_DBR=IE_9­.0.8112.16464&APN_UID=75D276C0-4073-4CCF-8020-3B422BF45F91&ITBV=12.24.1.53&DOI=2015-05-18&PSV=&PT=TB
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\USERS\USER2\APPDATA\ROAMING\DIGITA~1\UPDATE~1\­UPDATE~1.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES\JUMP FLIP

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на наш антивирус

по очистке системы на desktop:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delref HTTP://WWW.SMAXI.NET
delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11412&PF=V7&TRGB=CR&P2=%5EBBK%5EOSJ000%5EYY%5EUA&GC­T=HP&APN_PTNRS=BBK&APN_DTID=%5EOSJ000%5EYY%5EUA&APN_DBR=CR_3­7.0.2062.124&APN_UID=89A854A6-5A07-40EC-A6B9-3D608CB44F37&ITBV=12.16.2.53&DOI=2014-09-29&PSV=&PT=TB
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref %SystemDrive%\PROGRAM FILES\KONTRAKTY\GC READER\AGENT\AGENTREADER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-CHROMEINSTALLER.EXE

delref STATS.DATASRVSTATS.COM

delref ERRORS.DATASRVSTATS.COM

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-CODEDOWNLOADER.EXE

delref APP-STATIC.CROSSRIDER.COM

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-ENABLER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-FIREFOXINSTALLER.EXE

delref 7125A285-7E68-47AA-9D72-E81874F4D47E@D3FCDB92-135D-4A8A-8CF6-11E3B57C5FDA.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/33426.RDF

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.3\PLUS-HD-2.3-UPDATER.EXE

delref HTTP://IPGEOAPI.COM/

delref UPDATE.DATASRVSTATS.COM

deldirex %SystemDrive%\USERS\TEST\APPDATA\LOCAL\CONDUIT\BACKGROUNDCON­TAINER

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\DEALPLY\UPDATE~1

delref HTTP://SEARCH.CONDUIT.COM?SEARCHSOURCE=10&CTID=CT2786678&CUI=UN37957358271570745

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\C­RX

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\22.11_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111­.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ZAPCHASTI\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\9.8_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\1SDENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\1SDENIS\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\TAYA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\TAYA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111­.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ZAPCHASTI2\APPDATA\LOCAL\GOOGLE\CHROME\U­SER DATA\DEFAULT\EXTENSIONS\AAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA\14.10_0\SEARCH EXTENSION BY ASK V3

delref %SystemDrive%\USERS\ZAPCHASTI2\APPDATA\LOCAL\GOOGLE\CHROME\U­SER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

; DealPly
exec C:\Users\admin\AppData\Roaming\DealPly\UpdateProc\UpdateTask.exe /Uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------