День добрый!
Прицепилась какая-то зараза никак не вылечу. Запускал по несколько раз AdwCleaner и SpyHunter. Находят, уходят на перегрузку для лечения. При повторной диагностике опять всё на месте как быть?

1) Удалите SpyHunter.

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
Запустите AVZ.
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице (http://avz.safezone.cc/).
Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost (http://rgho.st/), Zippyshare (http://www.zippyshare.com/), My-Files.RU (http://my-files.ru/), karelia.ru (http://file.karelia.ru/), Ge.tt (http://www.ge.tt/) или WebFile (http://webfile.ru/)) и укажите ссылку на скачивание в своём следующем сообщении.


3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\users\Дмитрий\appdata\local\yc\application\yc.exe');
TerminateProcessByName('c:\windows\microsoft\svchost.exe');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '');
QuarantineFile('c:\users\Дмитрий\appdata\local\yc\application\yc.exe', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl.exe', '');
QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl_7_54.exe', '');
QuarantineFile('c:\windows\microsoft\svchost.exe', '');
QuarantineFile('F:\autorun.inf', '');
QuarantineFile('http:\atotum.ru\f.exe', '');
QuarantineFileF('c:\users\дмитрий\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
QuarantineFileF('c:\users\дмитрий\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '32');
DeleteFile('c:\users\Дмитрий\appdata\local\yc\application\yc.exe', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl.exe', '32');
DeleteFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl_7_54.exe', '32');
DeleteFile('c:\windows\microsoft\svchost.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
DeleteService('SvcHost Service Host');
DeleteFileMask('c:\users\дмитрий\appdata\local\yc', '*', true);
DeleteFileMask('c:\users\дмитрий\appdata\roaming\curl', '*', true);
DeleteDirectory('c:\users\дмитрий\appdata\roaming\curl');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E72A629598AC072DB12489F4AB45EC64');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html)
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 82.202.226.203


Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

вот...
подозрение у меня что что-то осталось...

дальше лечиться будем? :)

1) "Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html) (некоторые строки могут отсутствовать):
O4 - HKLM\..\BootExecute: autocheck autochk *, sh4native Sh4Removal (file missing)
O4 - MSConfig\startupreg: [Codec Pack Update Checker] C:\Windows\system32\Codecs\UpdateChecker.exe (file missing) (HKCU) (2017/11/05)
O4 - MSConfig\startupreg: [Codec Settings UAC Manager] C:\Windows\system32\Codecs\CodecUACManager.exe (file missing) (HKLM) (2017/11/05)
O4 - MSConfig\startupreg: [Zoiper] C:\Program Files (x86)\Zoiper\Zoiper.exe (file missing) (HKCU) (2017/11/05)
O4-32 - HKLM\..\Run: [DriveUtilitiesHelper] C:\Program Files (x86)\Western Digital\WD Utilities\WDDriveUtilitiesHelper.exe (file missing)
O22 - Task: SpyHunter4Startup - C:\Program Files\SpyHunter\SpyHunter4.exe (file missing)
O22 - Task: etdctrl - C:\Users\Дмитрий\AppData\Local\etdctrl\etdctrl.exe --stid="14374" (file missing)


2) F:\autorun.inf - этот файл знаком?

3)
Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/22250/#post-157088).

F:\autorun.inf это Lenovo_Recovery диск
после перезагрузки AdwCleaner вновь обнаружил AdwCleaner[S14]
как быть дальше?

после перезагрузки AdwCleaner вновь обнаружил AdwCleaner[S14] »ключи реестра, не трогать. Это ложное срабатывание.

Что с проблемой?

Менеджер браузеров - тоже советую деинсталировать.

некоторые проявления ушли, но например при создании нового письма в яндексе, создается новая вкладка и новое окно с рекламой. вконтакте встроена реклама.
поясните еще почему SpyHunter считается нежелательным?

скачайте отсюда Оперу (http://www.opera-usb.com/ru/) и проверьте проблему в ней.

поясните еще почему SpyHunter считается нежелательным? »
Почему не следует использовать программу Spyhunter (https://safezone.cc:443/threads/pochemu-ne-sleduet-ispolzovat-programmu-spyhunter.28842/)

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Проверил и пролечил Dr.Web CureIt! Отчёт прилагаю. http://dropmefiles.com/3e0s7
Также до лечения просканировал FRST и после просканировал.
Вроде реклама ушла.
Дальше стоит копать?

Немного мусора дочистим:


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-3420473894-871936223-3227564810-1000 -> DefaultScope {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3420473894-871936223-3227564810-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
BHO: No Name -> {3CD54F5E-1F2E-4861-9CEA-F83729E4C643}' -> No File
BHO-x32: No Name -> {3CD54F5E-1F2E-4861-9CEA-F83729E4C643}' -> No File
CHR DefaultSearchURL: Default -> hxxp://go-search.ru/search?q={searchTerms}
CHR DefaultSearchKeyword: Default -> gosearch
FirewallRules: [{E46A9241-3BA3-4847-92F4-C1380339748F}] => (Allow) C:\Users\Дмитрий\AppData\Local\yc\Application\yc.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Sandor, огромное спасибо!
в доме еще один ноут. посмотрите пожалуйста, не попала ли эта зараза туда? :)

в доме еще один ноут.
Один компьютер - одна тема. Для другого компьютера создайте отдельную тему.

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению »
Этот файл покажите.

Этот файл покажите. »
вот

В завершение здесь:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Как Вы поняли, для второго компьютера создайте отдельную тему и прикрепите там соотв. CollectionLog.zip

спасибо!)