6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


[QUOTE]AlternateDataStreams: C:\ProgramData\TEMP:10D14739
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
EmptyTemp:
Reboot:[/QUOTE]

[QUOTE]Станислав Михайленко написал:
[QUOTE] santy написал:
биткойн-майнер.[/QUOTE]С завода?! O_o[/QUOTE]
https://www.virustotal.com/ru/file/4ac8f3fb9d404755be92a6288f7e830269d161016b284c13­fa1e763993ec4571/analysis/#item-detail
https://www.virustotal.com/ru/file/3e7329200012c19df54a0407b148d2ff49cbe8bc6656c3c9­0343decc9631b981/analysis/
https://www.virustotal.com/ru/file/d1ae5cd702f8bacb09e46db31b3d16934c882f46327d1dbe­fb9893c278094e9c/analysis/

+
что скажете по настройкам DNS?
https://www.nic.ru/whois/?query=146.185.239.240

если это настройки из роутера, то необходимо заменить настройки DNS
+
если зависает мбам на проверке, пропустите эту проверку и выполните
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

+
еще и левый DNS откуда автоматически прилетает. из роутера?

https://www.nic.ru/whois/?query=146.185.239.240

[QUOTE]OrgName: RIPE Network Coordination Centre
OrgId:          RIPE
Address:        P.O. Box 10096
City:           Amsterdam
StateProv:    
PostalCode:     1001EB
Country:        NL
[/QUOTE]

лучше пролечить систему до конца, потом можно с ним работать, иначе нахватает новые сюрпризы.
потратьте еще 30 минут на очистку
предыдущий кстати был биткойн-майнер.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\IP.EXE
addsgn 9AA023DE5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC14D4­CA304FF79817BF2C310AA16DB7E5461649FA7DDFE97255DAB02C2D77A42F­97744D19 8 Trojan:Win32/Msposer.A [Microsoft]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE­614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F­879F2306 8 Trojan.BtcMine.142 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE ULTIMATE 7\ASCTRAY.EXE
delall %SystemDrive%\USERS\СТАС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

а какой у вас антивирус? Аваст или Комодо? тогда могут они создавать эти перехваты

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
если не поможет,
удалите ESET NOD32 из безопасного режима системы с помощью ESETuninstaller
и заново установите из нормального режима актуальную версию продукта.

похоже на подмену DNS
https://www.nic.ru/whois/?query=77.244.128.44

[QUOTE]descr: Cablecom Networking UK infrastructure
country:        GB[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

setdns Беспроводная сеть\4\{585F9EC3-0A51-47E2-B849-2A9106A1B0F5}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{5DBECECA-54AF-4FED-9B3A-8B8BDBF1A455}\8.8.8.8,8.8.4.4
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/