[regist]

1) Удалите SpyHunter.

2) Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

1. Запустите AVZ.
2. Выполните обновление баз (Меню Файл - Обновление баз)
3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
5. Закачайте полученный архив, как описано на этой странице.
6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

3) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 TerminateProcessByName('c:\users\Дмитрий\appdata\local\yc\application\yc.exe');
 TerminateProcessByName('c:\windows\microsoft\svchost.exe');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '');
 QuarantineFile('c:\users\Дмитрий\appdata\local\yc\application\yc.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl.exe', '');
 QuarantineFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl_7_54.exe', '');
 QuarantineFile('c:\windows\microsoft\svchost.exe', '');
 QuarantineFile('F:\autorun.inf', '');
 QuarantineFile('http:\atotum.ru\f.exe', '');
 QuarantineFileF('c:\users\дмитрий\appdata\local\yc', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 QuarantineFileF('c:\users\дмитрий\appdata\roaming\curl', '*.exe, *.dll, *.sys, *.bat, *.vbs, *.ps1, *.js*, *.tmp*', true, '', 0 , 0);
 DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_child.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\chrome_elf.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libegl.dll', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Local\yc\Application\62.0.3202.62\libglesv2.dll', '32');
 DeleteFile('c:\users\Дмитрий\appdata\local\yc\application\yc.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl.exe', '32');
 DeleteFile('C:\Users\Дмитрий\AppData\Roaming\curl\curl_7_54.exe', '32');
 DeleteFile('c:\windows\microsoft\svchost.exe', '32');
 ExecuteFile('schtasks.exe', '/delete /TN "curl" /F', 0, 15000, true);
 ExecuteFile('schtasks.exe', '/delete /TN "curls" /F', 0, 15000, true);
 DeleteService('SvcHost Service Host');
 DeleteFileMask('c:\users\дмитрий\appdata\local\yc', '*', true);
 DeleteFileMask('c:\users\дмитрий\appdata\roaming\curl', '*', true);
 DeleteDirectory('c:\users\дмитрий\appdata\roaming\curl');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'ycAutoLaunch_E72A629598AC072DB12489F4AB45EC64');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

"Пофиксите" в HijackThis

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 35.177.46.238
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 46.101.28.31
O17 - HKLM\System\CCS\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 82.202.226.203
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 35.177.46.238
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 46.101.28.31
O17 - HKLM\System\ControlSet002\Services\Tcpip\..\{A73E5703-AD5B-4888-BB8F-2E056806E17B}: NameServer = 82.202.226.203

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

[Irbis]

вот...
подозрение у меня что что-то осталось...

[Irbis]

дальше лечиться будем?

[regist]

1) "Пофиксите" в HijackThis (некоторые строки могут отсутствовать):

Код:

O4 - HKLM\..\BootExecute: autocheck autochk *, sh4native Sh4Removal (file missing)
O4 - MSConfig\startupreg: [Codec Pack Update Checker] C:\Windows\system32\Codecs\UpdateChecker.exe  (file missing) (HKCU) (2017/11/05)
O4 - MSConfig\startupreg: [Codec Settings UAC Manager] C:\Windows\system32\Codecs\CodecUACManager.exe  (file missing) (HKLM) (2017/11/05)
O4 - MSConfig\startupreg: [Zoiper] C:\Program Files (x86)\Zoiper\Zoiper.exe (file missing) (HKCU) (2017/11/05)
O4-32 - HKLM\..\Run: [DriveUtilitiesHelper] C:\Program Files (x86)\Western Digital\WD Utilities\WDDriveUtilitiesHelper.exe (file missing)
O22 - Task: SpyHunter4Startup - C:\Program Files\SpyHunter\SpyHunter4.exe (file missing)
O22 - Task: etdctrl - C:\Users\Дмитрий\AppData\Local\etdctrl\etdctrl.exe --stid="14374" (file missing)

2) F:\autorun.inf - этот файл знаком?

3)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
• Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

[Irbis]

F:\autorun.inf это Lenovo_Recovery диск
после перезагрузки AdwCleaner вновь обнаружил AdwCleaner[S14]
как быть дальше?

[regist]

Цитата Irbis:

после перезагрузки AdwCleaner вновь обнаружил AdwCleaner[S14] »

ключи реестра, не трогать. Это ложное срабатывание.

Что с проблемой?

Менеджер браузеров - тоже советую деинсталировать.

[Irbis]

некоторые проявления ушли, но например при создании нового письма в яндексе, создается новая вкладка и новое окно с рекламой. вконтакте встроена реклама.
поясните еще почему SpyHunter считается нежелательным?

[regist]

скачайте отсюда Оперу и проверьте проблему в ней.

Цитата Irbis:

поясните еще почему SpyHunter считается нежелательным? »

Почему не следует использовать программу Spyhunter

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.