При запуске или изменение в программах включается старт кода изменения настроек интернета.

Написал конечно коряво, но попробую объяснить своими словами что проиходит
на примере запуска хелпа hh.exe с сайта oszone.net:

При запуске хелпа Outpost Firewall выдает запрос на изменение
параметров реестра группы Internet Settings, а именно:

Hkey_users\s-1-5-21-1482476501-1383384898-839522115-500\software\microsoft\windows\currentversion\internet setting\ZoneMap\ProxyBypass

… IntranetName
… UNCAsIntranet
… AutoDetect

И такой запрос появляется либо при запуске какой нибудь программы или при внесении изменений в нее.
Ручная чистка реестра не дает результата.

После проверки системы утилитой cureit был удален троян trojan.carberp.33 в system volume information, но
проблемы продолжаются.

Помогите разобраться.
Логи прилагаю.

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888; https=127.0.0.1:8888

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Строчку в HijackThis пофиксил.

Проверка Malwarebytes' Anti-Malware вирусов не обнаружила, логи прилагаю.

Проблема не исчезла

что с проблемой?

что с проблемой? »

Проблема НЕ исчезла

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению." (http://safezone.cc/forum/showthread.php?t=2773)

После того как ComboFix перезагрузил систему еле успел отключить антивирус и firewall.
Надеюсь на логи это не повлияет.

После работы ComboFix появились некоторые значки на рабочем столе, которых раньше не было, ВМЕСТО других.
Можно ли как-то это вернуть?

Лог работы СomboFix прилагаю.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Можно ли как-то это вернуть? »

подобную проблему можно попробовать решить с помощью набора утилит TuneUp (можно скачать пробную верстю на 15 дней, она полностью рабочая). После первого запуска выбрать вкладку "устранение неполадок" - "устранить типичные неполадки" - отметить "значки отображаются неправильно", выполнить.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК" »

Пишет Windows не удалось найти Combofix ..... и тд.

Как быть?

Как быть? »

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up »

Сделал.
Проблема все ещё НЕ исчезла.

Что дальше будем делать?

Проблема все ещё НЕ исчезла. »

Проблема не вирусная, попробуйте найти источник - Как определить, является проблема системной или вызвана сторонним приложением/драйвером (http://helpdesk.supportio.net/index.php?_m=knowledgebase&_a=viewarticle&kbarticleid=86#half)

ярлыки восстановить пробовали?

ярлыки восстановить пробовали? »

нет, ещё не пробовал, это не так сильно беспокоит. Тем более там несколько ярлыков добавилось, несколько убралось. Будто восстановилось состояние недельной давности.

Проблема не вирусная, попробуйте найти источник - Как определить, является проблема системной или вызвана сторонним приложением/драйвером »

Необходимо проделать все эти действия?
Про вирус подумал потому что в ручную если удаляешь записи реестра они потом снова восстанавливаются + после сканирования cureit был удален троян trojan.carberp.33 в system volume information.

trojan.carberp.33 »
таким функционалом не обладает.
если удаляешь записи реестра они потом снова восстанавливаются » Попробуйте ещё раз удалить вручную. Восстановятся?
Необходимо проделать все эти действия? »
это не так сложно и не так долго. если в безопасном режиме проблемы не будет, таким способом можно найти источник

это не так сложно и не так долго. если в безопасном режиме проблемы не будет, таким способом можно найти источник »

сейчас посмотрю сохраняется ли проблема в безопасном режиме, если ДА, то буду делать описанные выше действия.
Правильно?

до загрузки безопасного попробуйте убрать лишнее вручную ещё раз. Восстановится или нет?

Trojan.Win32.Dialer.oy (http://www.totalmalwareinfo.com/rus/Trojan.Win32.Dialer.oy)
обладает уж ооочень похожим функционалом

до загрузки безопасного попробуйте убрать лишнее вручную ещё раз. Восстановится или нет? »
до перезагрузки данные в реестре не изменились, проблема осталась.

После загрузки в безопасном режиме проблему выявить не удается, т.к невозможно загрузить файрвол для определения процессов.
Данные в реестре восстановились в прежнее состояние.

Что делать?

Trojan.Win32.Dialer.oy
обладает уж ооочень похожим функционалом »
уж этот всплыл бы в логах сразу, будь он активным. Сейчас ничего подобного у вас нет.После загрузки в безопасном режиме проблему выявить не удается, т.к невозможно загрузить файрвол для определения процессов. »
без загрузки фаера в реестре ничего не перезаписывается? Можно и через regedit посмотреть.

1. Очистил вручную реестр
2. Загрузился в безопасном режиме

Записи реестра восстановились как в момент до чистки.

Значит записи восстанавливает система. Ветки защищенные, поэтому аутпост и запрашивает изменение.

IntranetName
UNCAsIntranet
AutoDetect
значения чему равны?