выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES\WINDOWSAPPS\91750D7E.SLACK_4.3.4.0_X64__8SHE8KYBCNZG4\APP\RESOURCES\APP.ASAR\DIST\MAIN-PRELOAD-ENTRY-POINT.BUNDLE.JS
delref %SystemDrive%\USERS\SERGEY\DOCUMENTS\CASHBOXPERSONAL\NODE_MO­DULES\.BIN\UMI\BIN\UMI.JS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\SKYPE FOR DESKTOP\RESOURCES\APP.ASAR\PRELOAD.JS
delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\TEMP\CHROME_BITS_14­272_1876490399\AJHRUZOZWHY-X4JOGVG8FSE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemDrive%\PROGRAM FILES\JAVA\JRE-9.0.4\BIN\SSV.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {748F920F-FB24-4D09-B360-BAF6F199AD6D}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\TEEDRIVERW8X64.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\CUI_DCH.INF_AMD64_F3A64C75EE4DEFB7\IGFXEXPS32.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.117.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.39\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVDMI.INF_AMD64_8C920D10F051568D\NVENCMFTHEVC.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref D:\ECLIPSE\ECLIPSE\ECLIPSE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

злоумышленники распространяют Dharma Ransomware в новой спам-кампании, ориентированной на пользователей Windows в Италии.

Dharma Ransomware была активна в течение многих лет и основана на другой семье вымогателей под названием Crysis. Тем не менее, не принято видеть, как это семейство вымогателей распространяется через malspam, поскольку оно чаще устанавливается через взломанные службы удаленных рабочих столов.

Исследователи безопасности недавно заметили новую спам-кампанию, которая заражает пользователей с помощью кейлоггера Ursniff или Dharma Ransomware.

В электронном письме содержится ссылка на предполагаемый счет-фактуру, который при нажатии приводит пользователя на страницу OneDrive, на которой размещен файл с именем «New documentmento 2.zip». Этот файл будет автоматически загружен, когда пользователь заходит на страницу.

Внутри этого zip-файла находятся два файла; сценарий VBS под названием «Nuovo documentmento 2.vbs» и файл изображения под названием «yuy7z.jpg», который отображает DNS-запись для домена tuconcordancia.com.

Если пользователь запускает «Nuovo documentmento 2.vbs», то обнаруживаются различные вредоносные программы.

Ранее в тот же день TG Soft увидела, как троянец кражи данных Ursniff устанавливается скриптом VB, а с раннего утра переключился на установку Dharma Ransomware.

Установленная версия Dharma Ransomware добавляет расширение .ROGER к зашифрованным файлам и отображает записку с требованием выкупа, в которой жертва обращается к [email protected] за информацией о платеже.

[IMG WIDTH=921 HEIGHT=500]https://www.bleepstatic.com/images/news/ransomware/d/dharma/italy-malspam/ransom-note.jpg[/IMG]

https://www.bleepingcomputer.com/news/security/dharma-ransomware-attacks-italy-in-new-spam-campaign/

+
добавьте образ автозапуска системы
+
лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

для исправления ошибок в старых версиях используем данный установщик 5 версии
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/eea_nt32_rus.exe   && EAVx86
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/eea_nt64_rus.exe   && EAVx64
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/ees_nt32_rus.exe   && EESx86
http://repository.eset.com/v1/com/eset/tools/certfix/v1/latest/ees_nt64_rus.exe   && EES x64

читаем выше тему,
и решаем проблему согласно рекомендаций технической поддержки:

рекомендуем в дальнейшем регулярно обновлять версии антивирусов до актуальной, не дожидаясь, когда закончится сертификат или срок поддержки данных версий.

[QUOTE]Антон Герасимов написал:
Файл выслал.Malwarebytes ошибок не обнаружила.Пока что Нод32 о вирусах не сообщал.[/QUOTE]
возможно, свежая сборка была файла, мало кто его детектирует
https://www.virustotal.com/gui/file/555d0fe1f80b0faef0b0a8818c5ee564b83a61cb48d5eb2­7ed65c25c0911e201/detection

если мбам больше ничего не нашел в системе, можно продолжить очистку другими инструментами, которые указаны выше в сообщении RP55

скрипт поправил.
файл ZOO*** вышлите в почту [email protected]
(архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
MYBUNDLE.EXE здесь чистый файл, но использует он скорее всего вредоносную dll из текущего каталога, вместо чистой dll от Chrome

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\CHROME\MYBUNDLE.EXE
ZOO %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\GOOPDATE.DLL
delall %SystemDrive%\PROGRAMDATA\CHROME\BITOREEN.EXE
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER­\USER DATA\DEFAULT\EXTENSIONS\MDPLJNDCMBEIKFNLFLCGGAIPGNHIEDBL\8.70_0\SAVEFROM.NET ПОМОЩНИК
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref E:\TOTAL WAR - WARHAMMER 2\WARHAMMER2.EXE
apply

deltmp
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_1600_1515545682\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_3476_1104829948\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_2240_990449884\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_748_1311236705\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_3508_114404903\RESPONSE
delref %SystemDrive%\USERS\3EC2~1\APPDATA\LOCAL\TEMP\YANDEX_BROWSER­_BITS_3508_910104778\RESPONSE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIOSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD STUDIO\DSTUDIO-GUI.EXE
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref 752073A1-23F2-4396-85F0-8FDB879ED0ED\[CLSID]
delref %SystemDrive%\USERS\АНТОН\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNC­HER.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\ATI TECHNOLOGIES\ATI.ACE\FUEL\AMD64\AODDRIVER2.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %Sys32%\SRSLABS\{176F4E15-8F7C-4833-ADED-81FAE8CCD186}\SLUAPO64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AEPROAM.DLL
delref %SystemRoot%\SYSWOW64\RTCOM\RTDATAPROC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WPCCPL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE
delref K:\SETUP.EXE
;-------------------------------------------------------------
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
18.02.2020 2:50:48;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;B1F9FC681B25B7943AF12D93AADA7686947E629A;
18.02.2020 2:52:49;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = MyBundle.exe(5624);модифицированный Win32/TrojanProxy.Hioles.AK троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;0AA4DA96A8CBA4D5E7751F46F444B627ABCA47AD;
[/QUOTE]

судя по рисунку, вы этот файл проверили на VT
C:\PROGRAMDATA\CHROME\BITOREEN.EXE

[QUOTE]Антон Герасимов написал:
Как бы странно ни звучало, но этот файл в данной папке (PROGRAMDATA) не обнаружен. Даже папки CHROME нет. И поисковик его не находит.[/QUOTE]
он имеет атрибут скрытый.
"Скрытый" или "Системный" [типично для вирусов]
посмотрите его например в far
возможно что и папка CHROME имеет данный атрибут. скрытый