да,
это скрип очистки, по сути мусора, хотя есть и детект на одну программу %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE. (может и ложный)

имеет смысл выполнить наши рекомендации по безопасной работе в сети.
https://forum.esetnod32.ru/forum9/topic13764//

и на этом все.

по второму образу ПОСЛЕ ПАТЧА И ПЕРЕЗАГРУЗКИ С ИНТЕРНЕТОМ____*

для очистки системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAM FILES\FONTEXPERT\FONTEXPERT.EXE
addsgn 6E8C9F9A556A4C2F8839A93CE913E9FADA0AC5F7867E5D7A85C303BD515D­B467A67838A8C1DC1826D07F7B9EC389B20582525D91AE254F2D2B22F245­876E2263 8 Win32/LockScreen.BAS 7

chklst
delvir

delref %SystemDrive%\USERS\МЕРЗА\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\91YH7QU6.DEFAULT\EXTENSIONS\[email protected]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\RECOVERY\GURCF7E.TMP\GOOGLEUPDATESETUP.CRX3
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\89214746.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PREMIERE PRO CS6\WMENCODINGHELPER.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\SUPPORT FILES\AFTERFX.EXE
delref D:\PROGRAM FILES\ADOBE\ADOBE AFTER EFFECTS CS5.5\MOCHA\BIN\MOCHA4AE_ADOBE.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
[QUOTE]Не мог делать точки восстановления. (ошибка теневого копирования). Это может как то быть связано с ДаркГалакси? [/QUOTE]

возможно, что после установки патча MS-17-010 система создавала точку восстановления.

по первому образу ПОСЛЕ_ПЕРЕЗАГРУЗКИ_ДО ПАТЧА_______*

HitmanPro 3.8 и это C:\PROGRAM FILES (X86)\TROJAN REMOVER\TRUPD.EXE имхо, можно и удалить.
достаточно для проверок проверенных программ: антивирусный монитор с обновлением, сканеры mbam, adwcleaner, FRST

возможно, было обновление какое то для системы. образ сейчас гляну.

как вариант, вы можете купить лицензию на продукт ESET и еще раз обратиться в службу техподдержки.

судя по последнему образу  ПОСЛЕ_СКРИПТА_ИПРОВЕРКИ_КИЛЛЕРОМ_____* политика безопасности ipsec  удалена.

да, именно в такой последовательности:
проверить еще раз killer-ом (без сети) и убедиться в том, что mbr более не заражен.
пропатчить систему,
а потом еще раз провериться (киллером и в uVS) уже после подключения к инету.
--------

после этого можно будет решать проблему с незапуском антивируса, если она останется.

[CODE]10:21:06.0719 0x0f78 ============================================================
10:21:06.0719 0x0f78  Scan finished
10:21:06.0719 0x0f78  ============================================================­
10:21:06.0730 0x0ec8  Detected object count: 2
10:21:06.0730 0x0ec8  Actual detected object count: 2
10:24:43.0945 0x0ec8  System memory - cured
10:24:43.0945 0x0ec8  System memory ( MEM:Rootkit.Win64.DarkGalaxy.a ) - User select action: Cure
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0\# - copied to quarantine
10:24:44.0685 0x0ec8  \Device\Harddisk0\DR0 - copied to quarantine
10:24:44.0711 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - will be cured on reboot
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 - ok
10:24:44.0713 0x0ec8  \Device\Harddisk0\DR0 ( Rootkit.Boot.DarkGalaxy.a ) - User select action: Cure
[/CODE]

вы можете пролечить систему в tdsskiller,
перегрузить ее без подключения к сети,

и сделать еще раз проверку в tdsskiller, и новый образ автозапуска добавить (после выполнения скрипта)

так же надо установить патч MS-17-010 для вашей системы,
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x64_2decefaa02e2058dcd965702509a992d8c4e92b3.msu

по образу автозапуска все чисто, но из нормального режима мы не сможем увидеть заражен ли MBR#0 [149,0GB] или нет.
(сеть в момент перезагрузки системы пока не включайте)

сделайте пока лог проверки в tdsskiller
[QUOTE]сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)[/QUOTE]
+

такой скрипт выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 26
regt 27
QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.

расшифровки по вышеуказанным расширениям для Crysis в настоящее время нет,
восстанавливаем документы из архивных копий, потому что теневые копии так же удаляются после того как отработал Crysis
(если был запущен с правами администратора).

по очистке системы:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-9CB21DBF.[[email protected]].STUN
del %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\INFO.HTA
del %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\INFO.HTA
del %Sys32%\INFO.HTA
zoo %Sys32%\1SVHOST.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
zoo %SystemDrive%\USERS\COMODA3\APPDATA\ROAMING\1SVHOST.EXE
zoo %SystemDrive%\USERS\ADMINISTRATOR.COLUMNA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1SVHOST.EXE
chklst
delvir

czoo
QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected], [email protected], [email protected]  
------------
+
добавьте новый образ автозапуска для контроля.

судя по логу мбам, по характерным признакам:
Trojan.BitCoinMiner, C:\WINDOWS\TEMP\CONHOST.EXE, Проигнорировано пользователем, [609], [589425],1.0.9940

Инструментарий управления Windows (WMI): 3
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__FilterToConsumerBinding.Consumer="CommandLineEventConsumer.Name=\"fuckyoumm4\"",Filter="__EventFilter.Name=\"fuckyoumm3\"", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:__EventFilter.Name="fuckyoumm3", Проигнорировано пользователем, [14548], [621747],1.0.9940
Hijack.BitCoinMiner.WMI, \\МЕРЗА-ПК\ROOT\subscription:CommandLineEventConsumer.Name="fuckyoumm4", Проигнорировано пользователем, [14548], [621747],1.0.9940

еще и политика безопасности IPSec обнаружена
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{7dc75e5e-a9d9-443e-8d2d-e8b216c9090c}
--------------
у вас скорее всего заражение BOOT.DarkGalaxy, (с заражением MBR)

удалите все найденное в мбам,
перегрузите систему,
добавьте новый образ автозапуска системы

+
сделайте проверку системы этой утилитой,
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
но ничего не удаляйте при обнаружении. (если будет что-то найдено)