Запуск или изменение в программе инициирует старт кода
 

При запуске или изменение в программах включается старт кода изменения настроек интернета.

Написал конечно коряво, но попробую объяснить своими словами что проиходит
на примере запуска хелпа hh.exe с сайта oszone.net:

При запуске хелпа Outpost Firewall выдает запрос на изменение
параметров реестра группы Internet Settings, а именно:

Hkey_users\s-1-5-21-1482476501-1383384898-839522115-500\software\microsoft\windows\currentversion\internet setting\ZoneMap\ProxyBypass

… IntranetName
… UNCAsIntranet
… AutoDetect

И такой запрос появляется либо при запуске какой нибудь программы или при внесении изменений в нее.
Ручная чистка реестра не дает результата.

После проверки системы утилитой cureit был удален троян trojan.carberp.33 в system volume information, но
проблемы продолжаются.

Помогите разобраться.
Логи прилагаю.

Пофиксить в HijackThis следующие строчки:
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Строчку в HijackThis пофиксил.

Проверка Malwarebytes' Anti-Malware вирусов не обнаружила, логи прилагаю.

Проблема не исчезла

что с проблемой?

Проблема НЕ исчезла

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

После того как ComboFix перезагрузил систему еле успел отключить антивирус и firewall.
Надеюсь на логи это не повлияет.

После работы ComboFix появились некоторые значки на рабочем столе, которых раньше не было, ВМЕСТО других.
Можно ли как-то это вернуть?

Лог работы СomboFix прилагаю.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

подобную проблему можно попробовать решить с помощью набора утилит TuneUp (можно скачать пробную верстю на 15 дней, она полностью рабочая). После первого запуска выбрать вкладку "устранение неполадок" - "устранить типичные неполадки" - отметить "значки отображаются неправильно", выполнить.

Пишет Windows не удалось найти Combofix ..... и тд.

Как быть?

Сделал.
Проблема все ещё НЕ исчезла.

Что дальше будем делать?

Проблема не вирусная, попробуйте найти источник - Как определить, является проблема системной или вызвана сторонним приложением/драйвером

ярлыки восстановить пробовали?

нет, ещё не пробовал, это не так сильно беспокоит. Тем более там несколько ярлыков добавилось, несколько убралось. Будто восстановилось состояние недельной давности.

Необходимо проделать все эти действия?
Про вирус подумал потому что в ручную если удаляешь записи реестра они потом снова восстанавливаются + после сканирования cureit был удален троян trojan.carberp.33 в system volume information.

таким функционалом не обладает.
Попробуйте ещё раз удалить вручную. Восстановятся?
это не так сложно и не так долго. если в безопасном режиме проблемы не будет, таким способом можно найти источник

сейчас посмотрю сохраняется ли проблема в безопасном режиме, если ДА, то буду делать описанные выше действия.
Правильно?

до загрузки безопасного попробуйте убрать лишнее вручную ещё раз. Восстановится или нет?

Trojan.Win32.Dialer.oy
обладает уж ооочень похожим функционалом

до перезагрузки данные в реестре не изменились, проблема осталась.

После загрузки в безопасном режиме проблему выявить не удается, т.к невозможно загрузить файрвол для определения процессов.
Данные в реестре восстановились в прежнее состояние.

Что делать?

уж этот всплыл бы в логах сразу, будь он активным. Сейчас ничего подобного у вас нет.без загрузки фаера в реестре ничего не перезаписывается? Можно и через regedit посмотреть.

1. Очистил вручную реестр
2. Загрузился в безопасном режиме

Записи реестра восстановились как в момент до чистки.

Значит записи восстанавливает система. Ветки защищенные, поэтому аутпост и запрашивает изменение.

значения чему равны?

Все значения = 1

хм, странно, но я ничего не менял и вдруг стало ЭТО появляться...

устанавливали обновления или софт

Проверьте, есть такие записи у вас. и если есть - выпишите значения

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
ProxyEnable
ProxyServer
ProxyOverride

да, это было. Стараюсь каждое обновление во время устанавливать.
Как оказалось от проблем это не всегда спасает.

в этой ветке есть только:
ProxyEnable = 0

А вы каждый раз меняете эти значения на 0? Не стоит.
Прокси сервер для выхода в инет у вас не используется (некоторое вредное ПО вместе с настройками , которые у вас меняются, прописывает подключение через свой прокси сервер, у вас этого нет). Настройте Outpost таким образом, чтобы сообщение не выводилось и живите спокойно.

Нет, поменял значения только когда вы попросили и ProxyEnable вообще не трогал,
только:
ProxyBypass
IntranetName
UNCAsIntranet
AutoDetect

поменял на ноль, как мы это обсуждали выше.

Вот я и пытаюсь понять почему такое происходит. Ведь раньше это соединение не запрашивалось вообще никогда.