выполняем скрипт в uVS:
- стартуем uVS(start.exe от имени Администратора), выбираем: текущий пользователь,
- скопировать из браузера содержимое кода в буфер обмена;
- закрываем все браузеры перед выполнением скрипта;
- меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\0ZUCTIYAZCW\MASTERDA­TAB.BAT
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\ADWCLEANER\ADWCLEANER.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ADWCLEANER.LNK
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\0ZUCTIYAZCW\MASTERDA­TAB.BAT
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\UMMY\UMMY.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\0ZUCTIYAZCW\\GAME.EXE
delref SERVICE\WINSERV.EXE
zoo %SystemRoot%\SYSWOW64\UNSECAPP.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D1­39B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9­D7D4512D 8  Win64/Packed.Themida.L 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1A­BD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F4­8B8B7657 21 Win64/CoinMiner.QG 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS TASKS SERVICE\WINSERV.EXE
addsgn A7679B19919AF4BAC461AE594CAF9BFACD99D70B7612C9950D3C4E7C50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 9 Win32/RemoteAdmin.RemoteUtilities.V 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\DRM\0ZUCTIYAZCW\GAME.EXE
addsgn 1A76739A5583C28CF42B95BC0C1E5105D7FFFE044A08F67783C3C57FD3B7­754CA8D6403636555A082FE8B4DC46D1487E3F9CE8B100515C7AD202ACA4­36EE2E47 13 Generik.MKWSFH [ESET-NOD32] 7

addsgn 1A76739A5583C28CF42B95BC0C1E5105D7FFFE044A08F67783C3C57FD3B7­754CA8D6403636555A082FE8B4DC46D1487E3F9CE8B100515C7AD202ACA4­36EE2E47 8 BAT/RA-based.FY [ESET-NOD32] 7

chklst
delvir

delref G:\HISUITEDOWNLOADER.EXE
delref H:\HISUITEDOWNLOADER.EXE
apply

REGT 2
REGT18

deltmp
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BLUESTACKSHELPER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\EUGDIDRV.SYS
delref %SystemDrive%\PROGRAM FILES\ROCKSTAR GAMES\LAUNCHER\ROCKSTARSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKPROXYSTUB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\HD-PLAYER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.272\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\EASEUS\EASEUS PARTITION MASTER\DC\BIN\X64\VSSEASEUSPROVIDER.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKC.DLL
delref %SystemDrive%\PROGRAM FILES\BLUESTACKS_NXT\BSTKSVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.169.31\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.342\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0379487.INF_AMD64_69570110508A8108\B379425\AMDHWDECODER_32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.242\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.55\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.152\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.272\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.202\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.212\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0379487.INF_AMD64_69570110508A8108\B379425\AMDH265ENC32.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0379487.INF_AMD64_69570110508A8108\B379425\AMF-MFT-MJPEG-DECODER32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.175.27\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.332\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.312\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.292\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.177.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\U0379487.INF_AMD64_69570110508A8108\B379425\AMDH264ENC32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.51\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.173.45\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\PROGRAMS\BLUESTACKS-SERVICES\BLUESTACKSSERVICES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EASEUS\EASEUS PARTITION MASTER\BIN\EPMUI.EXE
;-------------------------------------------------------------

restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

по ссылке на схожую тему.
там как раз все решилось удалением тех файлов, которые были удалены и в вашей теме.
[QUOTE]delall %SystemDrive%\USERS\***\APPDATA\LOCAL\BROWSERUPDPHENIX\BROWSERUPDPHENIX.EXE
delall %SystemDrive%\USERS\***\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE[/QUOTE]
значит еще в каком то софте идет накрутка посещений

Можете уточнить, с какого примерно времени .появилась данная проблема?

На втором скрине, где есть иконка щита - Безопасность Windows, проверьте там что есть.

[QUOTE]RP55 RP55 написал:
Детект из образа.

D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE

Не факт, конечно, что дело в нём.[/QUOTE]
да, есть такое:
D:\LDPLAYER\LDMUTIPLAYER\DNMULTIPLAYEREX.EXE
Дата: 2024-01-13 16:44 [2023-04-26]
a variant of Win32/DNDownloader.B potentially unwanted [ESET-NOD32]
Детектов: 1 из 9
Проверим, что изменится после деинсталляции программы.

[QUOTE]Дмитрий Садов написал:
скрипт не помог[/QUOTE]
Пробуйте эту программу деинсталлировать через установку/удаление программ:
LDPlayer

[QUOTE]RP55 RP55 написал:
D:\LDPLAYERESET - a variant of Win32/DNDownloader.B potentially unwanted[/QUOTE]
откуда этот детект?

проверьте, какой у вас установлен Windows Defender. Возможно, через функции Windef заблокирован запуск gui ESET,

https://learn.microsoft.com/ru-ru/defender-cloud-apps/app-governance-get-started

выполняем скрипт в uVS:
- стартуем uVS(start.exe от имени Администратора), выбираем: текущий пользователь,
- скопировать из браузера содержимое кода в буфер обмена;
- закрываем все браузеры перед выполнением скрипта;
- меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://WWW.DELTA-SEARCH.COM/?AFFID=44444&BABSRC=HP_SS&MNTRID=381B16E543427755
apply

deltmp
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %SystemRoot%\TEMP\CPUZ154\CPUZ154_X64.SYS
delref %SystemDrive%\USERS\DIMON\APPDATA\LOCAL\TEMP\HWINFO64A_171.SYS
delref D:\PROGRAM FILES\NOX\BIN\MULTIPLAYERMANAGER.EXE
delref D:\LDPLAYER\LDPLAYER9\DNPLAYER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

4.15.1 o При запуске с диска uVS v4.15+ требуется наличие поддержки HTA.
Рекомендуется интрегрировать и WMI.
Рекомендуемый размер шрифта 8.

o Добавлен новый раздел "Defender: Исключения".
В раздел вошли исключений Windows Defender-а. (пути, файлы, расширения, процессы).
(!) Удаление исключений возможно лишь при виртуализации реестра.

o Сохранение реестра в каталог: теперь сохраняется BCD.
Повреждения BCD (в том числе и логические) могут привести к отказу загрузки системы или к полному зависанию системы при запуске некоторых приложений,
подвисаниям при смене разрешения экрана или использовании панели nVidia, использовании 3D режима видеокарты и т.п.

Причины повреждений BCD: проблемы с диском, оперативной памятью или использование утилиты msconfig, последнее может привести к симптомам сходным
с отказом железа, я НЕ рекомендую запускать эту "полезную" утилиту.

o Восстановление реестра из каталога теперь восстанавливает BCD.
После восстановление реестра система будет автоматически перезагружена (только для активной системы).

o Обновлен start.exe:
o используются настройки шрифта из setting.ini
o добавлена кнопка для перезагрузки в меню дополнительных параметров загрузки.
o при загрузке с диска автоматически выбирается для работы первая доступная система.

o Добавлен твик #43 [Win7] Устранить последствия использования msconfig.
Для Windows 7 и старше.
Твик удаляет ключи в BCD, добавленные в него msconfig-ом для активации безопасного режима.
Твик не влияет на опции выборочной/диагностической загрузки в msconfig-е, удалению подлежат лишь 10 ключей связанных с безопасным режимом или
ограничивающих работу системы. Именно эти опции приводят к проблемам с системой после использования msconfig-а.
(!) Для загрузки в безопасный режим или командную строку всегда используйте меню дополнительных параметров загрузки системы, в отличии от
(!) того что делает msconfig это безопасный способ и в случае неработоспособного безопасного режима система всегда сможет загрузиться.

o Теперь в каталог с сохраненным реестром помещаются утилиты restore и defrag из пакета ABR v1.20.

o Теперь перед актуализацией реестра автоматически запускается функция "Принять изменения". (включая скриптовую команду areg)

o Улучшена функция удаления защищенных ключей, вероятность удаления защищенных ключей повышена.

o В результатах сервиса VT дата "First Seen In The Wild" теперь игнорируется из-за низкой ее достоверности.

o Исправлена ошибка отображения развернутого лога.

o Исправлена ошибка пересчета размера элементов в основном окне.

o Исправлена ошибка пересчета размера элементов в окне информации.

o Исправлены мелкие ошибки интерфейса.

[QUOTE]К р написал:
Здравствуйте. Появился ли дешифратор на версию:  [email protected]  1.0.0.0 ? (атака была в 2015 году, файлы до сих пор в таком состоянии).[/QUOTE]
Можно в этот раздел написать
https://www.safezone.cc/forums/rasshifrovka-fajlov.216/
здесь у ребят большой опыт в расшифровке Crylock/Kryakl по ранним версиям.