Перепробовал все возможные утилиты, на рабочем столе после перезагрузки появляться ярлыки сайтов, удалил ненужное ПО, в планировщике задач ничего на запуск нету, в автозапуске тоже нет ничего.
Вычищал в ручную все что выдала AdwCleaner 7.3

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему. (http://forum.oszone.net/thread-98169.html)

логи выложенны

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteRepair(13);
RebootWindows(false);
end.


Компьютер перезагрузится.


Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

отчеты FRST.txt, Addition.txt, AdwCleaner[S03].txt

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
CHR HKU\S-1-5-21-2168521642-1225178387-2625176334-1000\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
BHO: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File
2019-06-25 23:32 - 2019-06-25 23:41 - 000000000 ____D C:\Users\Все пользователи\Spybot - Search & Destroy
2019-06-25 23:32 - 2019-06-25 23:41 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
2019-06-25 23:32 - 2019-06-25 23:32 - 000000000 ____D C:\Windows\System32\Tasks\Safer-Networking
2019-06-25 23:31 - 2019-06-25 23:42 - 000000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

сделал

как найти место запуска файла который пишет в реестре?
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\87340093A5E0E42F43C382BFF91E5D10

Покажите свежий лог сканирования AdwCleaner (символ S).

AdwCleaner[S05].txt -перед удаление
AdwCleaner[S06].txt после перезагрузки

Скачайте Malwarebytes' Anti-Malware (https://downloads.malwarebytes.com/file/mb3/). Установите и запустите.
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве. (https://safezone.cc/threads/28958/)

провел сканирование scan выложенный, ничего в карантин не отпровлял

программа SpyHunter 5 стоит пробовать ей сканировать и удалять?

Ни в коем случае! Это "страшилка" от которой получите дополнительные проблемы.

Найденное в MBAM удалять не нужно.

Suspicious - подозрительный
PUP.Optional.MailRu - так он реагирует на поисковую систему mail.ru в браузере.

Детект в AdwCleaner - тоже скорее всего ложное срабатывание.

Suspicious в карантин не добавлять?

тогда понаблюдаю несколько дней, если посмотрю появятся на рабочем столе ярлыки сайтов

Suspicious в карантин не добавлять? »
Нет.

Проделайте следующее:

Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

выложил

------------------------------- [ Windows ] -------------------------------
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office Enterprise 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Excel 2007 Help Обновление (KB963678) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Powerpoint 2007 Help Обновление (KB963669) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Outlook 2007 Help Обновление (KB963677) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Word 2007 Help Обновление (KB963665) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Proof (German) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proofing Tools 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (English) 2007 v.12.0.6612.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Russian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office Proof (Ukrainian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
Microsoft Office 2007 Service Pack 3 (SP3) Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
Microsoft Office Proofing (Russian) 2007 v.12.0.4616.1000 Данная программа больше не поддерживается разработчиком.
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.70 (32-bit) v.5.70.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45271 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
---------------------------- [ UnwantedApps ] -----------------------------
AdBlocker v.1.0.0.0 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware (https://www.malwarebytes.org/mwb-download/) и Malwarebytes AdwCleaner (https://ru.malwarebytes.com/adwcleaner/) Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
Skype Click to Call v.8.5.0.9167 Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.


Читайте Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)

большое спасибо за оказанную помощь

к сожаление рано радовался, на рабочем столе опять появились ярлыки

Найденное в AdwCleaner можно очистить.

Скачайте AutorunsVTchecker (https://safezone.cc/resources/211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)

Контроль учётных записей пользователя отключен »
Надеюсь, включили?