помогите пожалуйста

[Владимир84]

Добрый вечер. Мне кажется на моём компьютере "гуляет" вирус. В браузере постоянно открываются дополнительные окна (при включенном ABP). В свойствах браузера - подключениях - настройка сети постоянно включается галочка использовать прокси-сервер для локальных подключений. Из за чего иногда пропадает интернет соединение. Антивирусом Avira периодически находиться TR/Crypt.EPACK.Gen2
и перемещается в карантин.
Образ автозапуска в uVS http://webfiles.ru/files/44784107

[RP55.RP55]

Залейте на: http://rghost.ru или http://exfile.ru

[Владимир84]

http://exfile.ru/479937

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\USERS\ЕВА\APPDATA\ROAMING\AEB44AE0-1431893415-11DF-9BDE-20CF30B4DD90\HNSN3EE4.TMP
hide %SystemDrive%\PROGRAM FILES\TEAMSPEAK 3 CLIENT\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\SCREEN CAPTURE\UNINSTALLER.EXE
hide D:\ПРОГРАММЫ\BANDICAM\UNINSTALL.EXE
delref HTTP://NAV.BROTLAB.NET?UID={66A692BD16774F3383C70D8E6A932E9C}&R=EG
delref HTTP://WWW.OURSURFING.COM/WEB/?TYPE=DSPP&TS=1431893391&Z=B710799520866489F2FFB57G7Z4C6G5B5T2C6E8O1C&FROM=AMT&UID=SPCCXSOLIDXSTATEXDISK_07C10743046000325047&Q={SEARCHTERMS}
delref HTTP://YAGD.MEGATRACK.ORG/
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.PORTALSEPTI.COM/?BD=HP&OEM=HPROTECT&UID=SPCCXSOLIDXSTATEXDISK_07C10743046000325047&VERSION=&PID=3662073653&CS=

delref %SystemDrive%\USERS\���\APPDATA\ROAMING\BYAIAMUF.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\CINEMAP-1.9CV16.03\E653CF25-F107-4CBE-B8D1-5DADAEA354F2-10.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\CINEMAP-1.9CV16.03\E653CF25-F107-4CBE-B8D1-5DADAEA354F2-5.EXE

delref %SystemDrive%\USERS\���\APPDATA\ROAMING\GNOK.EXE

delref {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTP=127.0.0.1:8080;HTTPS=127.0.0.1:8080

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

delref HTTP:\\WWW.OURSURFING.COM\?TYPE=SC&TS=1431893383&Z=0B6CB21AF079E19BA943B61GBZFC8G2BFT5CFE9G1Q&FROM=AMT&UID=SPCCXSOLIDXSTATEXDISK_07C10743046000325047

regt 27
REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

[Владимир84]

выполнил скрипт в uVS
всплывающие ссылки пропали, при открытие сайтов перестал переводить на другие сайты
но в свойствах браузера - подключениях - настройка сети так же включается галочка использовать прокси-сервер для локальных подключений
и при открытие браузера(google chrome) открывает постоянно http://www.portalsepti.com/?bd=hp&oe...3662073653&cs=
вот новый образ автозапуска в uVS http://exfile.ru/479942
сканирование в Malwarebytes выполнить не смог программа не открылась

[safety]

да, сигнатуру обрезал случайно в скрипте, сейчас пределаю

[safety]

выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВА\APPDATA\ROAMING\AEB44AE0-1431893415-11DF-9BDE-20CF30B4DD90\HNSN3EE4.TMP
addsgn 1A3C109A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B9C859271C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F879F23FE 64 Win32/Adware.ConvertAd

hide %SystemDrive%\PROGRAM FILES\TEAMSPEAK 3 CLIENT\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\SCREEN CAPTURE\UNINSTALLER.EXE
hide D:\ПРОГРАММЫ\BANDICAM\UNINSTALL.EXE
delref HTTP://SEARCH.PORTALSEPETI.COM?Q={SEARCHTERMS}&UID={66A692BD16774F3383C70D8E6A932E9C}&R=EG
delref HTTP://WWW.PORTALSEPTI.COM/?BD=HP&OEM=NTSVC&UID=SPCCXSOLIDXSTATEXDISK_07C10743046000325047&VERSION=2.3.0.10324&PID=414031160&TID=686
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.PORTALSEPTI.COM/?BD=HP&OEM=HPROTECT&UID=SPCCXSOLIDXSTATEXDISK_07C10743046000325047&VERSION=&PID=3662073653&CS=

delref HTTP=127.0.0.1:8080;HTTPS=127.0.0.1:8080

del %SystemDrive%\PROGRAM FILES (X86)\PARAGON_SOFTWARE\PARTITION_MANAGER_11_PROFESSIONAL\PROGRAM\LAUNCHER.BAT

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
----------
далее,
выполните сканирование (угроз) в Malwarebytes

[Владимир84]

выполнил скрипт в uVS
в свойствах браузера - подключениях - настройка сети так же включается галочка использовать прокси-сервер для локальных подключений
и при открытие браузера(google chrome) открывает постоянно http://www.portalsepti.com
а в целом всё нормально спасибо вам.

[RP55.RP55]

Выполните сканирование В Malwarebytes