выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\ITOOLSDAEMON.EXE
addsgn 1A0C749A5583278FF42B5194747A5305AE75A97D657BF35086C3C51F40BB­334CAA1ACF3A7C55145C23EDC69FCF0B4D973FDF614755B7F22CA44A5843­850644FF 8 Adware.Mutabaha.904 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL
del %SystemDrive%\PROGRAM FILES (X86)\THINKSKY\ITOOLS 3\EXTENSIONS\ITOOLSBHO.DLL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3D­ONDEMAND%26UC

del D:\GOOGLE CHROME\CHROME.BAT

regt 28
regt 29
; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

regt 27
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Максим,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

Алексей,
добавьте образ автозапуска, возможно в системе еще есть файлы шифратора.
http://forum.esetnod32.ru/forum9/topic2687/

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FirewallRules: [{503156E7-70B9-4EBC-8306-3EB062B14EEC}] => (Allow) C:\Program Files\UBar\ubar.exe
EmptyTemp:
Reboot:
[/CODE]

https://forum.esetnod32.ru/forum9/topic8267/
https://forum.esetnod32.ru/forum9/topic11235/

Все логи сразу не нужны, в стартовой теме нужен только образ автозапуска,
остальные логи запрашиваются по мере необходимости, и для контроля хода очистки системы.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://NON-BLOCK.NET/WPAD.DAT?2B36AB6D1C4BD6F26D39BE3D03188ACD16717189

delref H:\STARTME.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLMJEGMLICAMNIMMFHCMPKCLMIGMMCBEH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP:\\TECH-CONNECT.BIZ\?SSID=1474207761&A=1054667&SRC=SH&UUID=35EDFF3D-1CE7-4C4F-9A46-7F96DCD5C2DA,1474207718343

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска вашей системы
http://forum.esetnod32.ru/forum9/topic2687/

+
на диск D пока ничего не пишите, если файлы были перемещены, то возможно их можно будет восстановить из удаленных.

откуда перенесены данные: с системного раздела, или с других разделов или дисков?

[QUOTE]Электронная торговая площадка ETPRF, специализирующая на торгово-закупочных процедурах юридических лиц, осуществляющихся в соответствии с 223-ФЗ, начала свое сотрудничество с Ассоциацией Электронных Торговых Площадок (АЭТП). [/QUOTE]

Если есть контакт с сотрудниками данной площадки, напишите им в электронную почту, возможно был взлом сайта.

проверить жесткий диск на ошибки:
https://support.microsoft.com/ru-ru/help/2641432/check-your-hard-disk-for-errors-in-windows-7

проверка памяти на ошибки:
http://netler.ru/ikt/windows7-mdsched.htm