+
выполните такой скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v383c
OFFSGNSAVE

exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF}
exec32 MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360}
dnsreset
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

это ваш DNS?
https://www.nic.ru/whois/?query=188.92.0.188
[QUOTE]inetnum: 188.92.0.128 - 188.92.0.255
netname:        TELEMAX
descr:          Services Krasnoyarsk[/QUOTE]

добавьте новый образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

в АдвКлинере, в секции [B]Папки[/B] снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке [B]Очистить[/B]
-------
логи расширений сейчас гляну. по логам расширений все чисто.
если проблема ушла, выполните рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

1. добавьте скриншот лога сканирования угроз в малваребайт

2. далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

3. добавьте логи расширений всех браузеров
http://forum.esetnod32.ru/forum9/topic10570/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v383c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VOVA\APPDATA\ROAMING\DIGITALSITES\UPDATE­PROC\UPDATETASK.EXE
addsgn A7679B19919AF4025095AE599827ECFA164AA99E6EA65E78E13CF5D8D9F6­99B5E9E93CD2FE5A13892B8084272A6A08FAC723B43355329AF3D3882712­AB7A6373 9 Adware.Shopper.391 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

далее,
[QUOTE]сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/[/QUOTE]

bat encoder слегка модифицировался (смотрел вариант от 26.09.2014), теперь используются два ключа на рандомный выбор (AAB62875/A3CE7DBE и 3ED78E85/F05CF9EE) для шифрования secring.gpg из ключевой пары, созданной на стороне юзера.
вместо "taskmgr.exe" модуль gpg.exe (скачивается из сети) теперь называется "svchost.exe".
сцена по прежнему разворачивается в папке %temp% пользователя.
и по прежнему актуально блокирующее правило защиты от перезаписи и удаления для конечного файла %temp%\pubring.gpg

образ чистый.
удалите папку вручную, скорее всего остатки от былого carberp.
если папка после удаления не восстановится автоматически, значит беспокоиться не о чем.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v383c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\DEALPLY\UPDATEPROC\UPD­ATETASK.EXE
addsgn A7679B19919A1FCA67EEEFB18C0B02FADA31D4B7C8FA94BB3F8BFEFD503E­374CDCE8406C3E2091C2E83ADCA40716A1BB7F2017F16EDAC420A6B41E47­FC47229B 10 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62­D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD927­4CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7­330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2C­F4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0\DEALPLYLIVEBROKER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\DEALPLYLIVE.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\WINDOWS\STAR­T MENU\PROGRAMS\INTERNET EXPLORER.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\LAUNCH INTERNET EXPLORER BROWSER.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\GOOGLE CHROME.LNK
del %SystemDrive%\USERS\1\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\INTERNET EXPLORER.LNK
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://WWW.QVO6.COM/?UTM_SOURCE=B&UTM_MEDIUM=ILD&FROM=ILD&UID=TOSHIBAXDT01ACA050_­43AN76WNSXX43AN76WNSX&TS=1371986489

delref HTTP://WWW.QIP.RU/

; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/