судя по свежему логу FRST
похоже пробивает систему, посмотрим что будет в новом образе

[QUOTE](Telegram FZ-LLC) [Файл не подписан] C:\Program Files (x86)\Gghlhkzi\taskhostp8tpf.exe
HKU\S-1-5-21-72774180-1881986034-1001478685-1001\...\Run: [_FEXN8MXC] => C:\Program Files (x86)\Lszzphv\ehle4e.exe [963584 2021-07-21] (Telegram FZ-LLC) [Файл не подписан]
HKU\S-1-5-21-72774180-1881986034-1001478685-1001\...\Run: [SJOPJLHXCNY] => C:\Program Files (x86)\Gghlhkzi\taskhostp8tpf.exe [963584 2021-07-21] (Telegram FZ-LLC) [Файл не подписан]
[/QUOTE]

да, что то еще видимо есть в системе
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\EXPLORER.EXE [5528], tid=1992

это найденное в малваребайт можно удалить
[QUOTE]Папка: 3
PUP.Optional.BrowserManager, C:\Users\user\AppData\Local\Yandex\BrowserManager\data\SeederT­asks, Проигнорировано пользователем, 1086, 383595, , , , , ,
PUP.Optional.BrowserManager, C:\Users\user\AppData\Local\Yandex\BrowserManager\data, Проигнорировано пользователем, 1086, 383595, , , , , ,
PUP.Optional.BrowserManager, C:\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER, Проигнорировано пользователем, 1086, 383595, 1.0.43345, , ame, , ,

Файл: 5
PUP.Optional.BrowserManager, C:\Users\user\AppData\Local\Yandex\BrowserManager\data\SeederT­asks\thumbsv1.json, Проигнорировано пользователем, 1086, 383595, , , , , F3F7580C9C20D366B9E2802D53F96023, 266D7A326A7B608F5020CCF22FF1B88643D70652202D0C9687341AA08554­5A27
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Проигнорировано пользователем, 259, 454830, 1.0.43345, , ame, , CA1BE27EE4420C02793165D06FC56E47, F75C7C4C6ED6C4BDF34F6771B831A5C5F1A92FE80CA60B523342C3DBBCCE­B28B
PUP.Optional.MailRu, C:\USERS\USER\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\Default\Web Data, Проигнорировано пользователем, 259, 454830, 1.0.43345, , ame, , 74711DF16981B69B5A930B3653B3AF11, 143B7C382FBCE9832CC476FCC89EEE7707690A09878C7CF5861911BD5E1D­35EB
[/QUOTE]

далее,

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

Comodo Internet Security Essential (CISE) работает как фоновый процесс и уведомляет пользователя в том случае, если сайт использует потенциально опасный сертификат. Вы сможете мгновенно прекратить подключение (рекомендуется) или продолжить серфинг.

не является полноценным антивирусным продуктом, так что лучше деинсталлировать

хорошо, сейчас проверьте установку ESET

добавьте лог журнала обнаружения угроз полностью
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
2021-07-18 00:30 - 2021-07-18 00:33 - 000000000 ____D C:\ProgramData\HitmanPro
2021-07-18 00:30 - 2021-07-18 00:31 - 000000000 ____D C:\Program Files\HitmanPro
2021-07-17 12:31 - 2021-07-21 00:13 - 000000000 ____D C:\KVRT2020_Data
2021-07-16 15:01 - 2021-07-16 15:01 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\by.xatab
2021-07-16 14:38 - 2021-07-17 17:27 - 000000000 __SHD C:\Program Files\RDP Wrapper
2021-07-16 14:38 - 2021-07-17 17:24 - 000000000 __SHD C:\rdp
2021-07-16 14:38 - 2021-07-17 17:24 - 000000000 __SHD C:\ProgramData\Windows
2021-07-16 14:38 - 2021-07-17 12:15 - 000000000 __SHD C:\ProgramData\WindowsTask
2021-07-16 14:38 - 2021-07-17 12:00 - 000000000 __SHD C:\ProgramData\RealtekHD
2021-07-16 14:38 - 2021-07-16 14:53 - 000000000 __SHD C:\ProgramData\Setup
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\RunDLL
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\Norton
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\grizzly
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\ESET
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\Doctor Web
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\AVAST Software
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\ProgramData\360safe
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\SpyHunter
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\Malwarebytes
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\ESET
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\Enigma Software Group
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\Cezurity
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\ByteFence
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files\AVAST Software
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\AVG
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\Program Files (x86)\360
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\KVRT_Data
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 __SHD C:\AdwCleaner
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 ____D C:\ProgramData\System32
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 ____D C:\ProgramData\MB3Install
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 ____D C:\ProgramData\Malwarebytes
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 ____D C:\ProgramData\Indus
2021-07-16 14:38 - 2021-07-16 14:38 - 000000000 ____D C:\ProgramData\Avira
2021-07-16 14:38 C:\AdwCleaner
2021-07-16 14:38 C:\KVRT_Data
2021-07-16 14:38 C:\Program Files\AVAST Software
2021-07-16 14:38 C:\Program Files\ByteFence
2021-07-16 14:38 C:\Program Files\Cezurity
2021-07-16 14:38 C:\Program Files\Enigma Software Group
2021-07-16 14:38 C:\Program Files\ESET
2021-07-16 14:38 C:\Program Files\Kaspersky Lab
2021-07-16 14:38 C:\Program Files\Malwarebytes
2021-07-16 14:38 C:\Program Files\SpyHunter
2021-07-16 14:38 C:\Program Files (x86)\360
2021-07-16 14:38 C:\Program Files (x86)\AVAST Software
2021-07-16 14:38 C:\Program Files (x86)\AVG
2021-07-16 14:38 C:\Program Files (x86)\Cezurity
2021-07-16 14:38 C:\Program Files (x86)\GRIZZLY Antivirus
2021-07-16 14:38 C:\Program Files (x86)\Kaspersky Lab
2021-07-16 14:38 C:\Program Files (x86)\Microsoft JDX
2021-07-16 14:38 C:\Program Files (x86)\Panda Security
2021-07-16 14:38 C:\Program Files (x86)\SpyHunter
2021-07-16 14:38 C:\Windows\speechstracing
2021-07-16 14:38 C:\ProgramData\360safe
2021-07-16 14:38 C:\ProgramData\AVAST Software
2021-07-16 14:38 C:\ProgramData\Avira
2021-07-16 14:38 C:\ProgramData\Doctor Web
2021-07-16 14:38 C:\ProgramData\ESET
2021-07-16 14:38 C:\ProgramData\grizzly
2021-07-16 14:38 C:\ProgramData\Indus
2021-07-16 14:38 C:\ProgramData\Kaspersky Lab
2021-07-16 14:38 C:\ProgramData\Kaspersky Lab Setup Files
2021-07-16 14:38 C:\ProgramData\Malwarebytes
2021-07-16 14:38 C:\ProgramData\MB3Install
2021-06-27 11:23 C:\ProgramData\McAfee
2021-07-16 14:38 C:\ProgramData\Norton

EmptyTemp:
Reboot:[/CODE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\LSZZPHV\EHLE4E.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\QUHBHZLKP\_PSDTJ8TPQT.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\VTJQX5TB\KZAPR21TFILJLW.EXE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\LSZZPHV\EHLE4E.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\QUHBHZLKP\_PSDTJ8TPQT.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\VTJQX5TB\KZAPR21TFILJLW.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\EDGE_BITS_7504_4­8404742\24C5209F-59CB-4236-B271-2D291F18E3B0
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19­.002.0107.0005\AMD64\FILESYNCSHELL64.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19­.002.0107.0005\FILECOAUTH.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\19­.002.0107.0005\FILESYNCSHELL.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.83\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.83\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.143.57\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref D:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ON­EDRIVE.EXE
;-------------------------------------------------------------
czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %Sys32%\OPENSSH\SSH-AGENT.EXE
REGT 18
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref {32CFFBE7-8BB7-4BC3-83D8-8197671920D6}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/

[B]Резюме:[/B]

11 июня 2021 года программа-вымогатель [B]Avaddon[/B], ответственная за многочисленные киберинциденты с 2020 года, приняла решение не только приостановить свои операции, но и предоставить ключи дешифрования всем жертвам, которые стали их целью.

Компания AdvIntel смогла добиться прозрачности виктимологии Avaddon, получив информацию об их мастер-ключе. Такая видимость всех жертв группы (а не только компаний, данные которых были официально размещены в блоге позора Аваддона) позволила получить уникальное представление о шаблонах, стратегиях и методах Авадона.

[B]В ходе расследования виктимологии компания AdvIntel установила, что общий доход, полученный одним оператором за год деятельности Avaddon, потенциально может равняться 1 000 медианной заработной платы в России, что объясняет основу выкупа и то, почему она привлекает все больше и больше талантливых людей в разных странах.
[/B]
Согласно выводам AdvIntel, полученным в результате исчерпывающих расследований сообщества злоумышленников, гибель Avaddon, вероятно, была вызвана политическими причинами - резкой реакцией администрации президента США на недавние атаки программ-вымогателей и последующим давлением со стороны российских правоохранительных органов.

Введение - Затерянная Империя

Трехбуквенный еврейский корень «авад» (אבד), от которого произошло имя Аваддон, имеет два основных семантических толкования - [B]«разрушать» и «терять / теряться»[/B]. Действительно, эти два значения идеально определяют программу-вымогатель Avaddon - разрушительную и вредоносную силу, которой всегда удавалось скрыться и исчезнуть.

Сегодня мы проливаем свет на эту затерянную и скрытую преступную империю, используя уникальные наборы данных - полный список жертв Avaddon, когда-либо подвергавшихся нападениям группы за год ее существования, - обнаруженных AdvIntel. Эти уникальные данные SIGINT подтверждаются эксклюзивными выводами HUMINT - заявлениями, сделанными лидерами подпольного киберсообщества Восточной Европы, которые работали с Avaddon, - объясняя и интерпретируя быстрый рост и еще более быстрое падение групп.

11 июня 2021 года Avaddon выпустила ключи для более чем 2000 жертв, содержащие точные имена компаний-нарушителей.

Наш анализ подтвержденной виктимологии показывает, что некоторые из них были ведущими мировыми компаниями. Как этой группе удалось за год поразить такое количество компаний? Ответ: Avaddon создал вокруг себя целую экосистему - сеть цепочек поставок, международных филиалов, продавцов, менеджеров подпольных аукционов и переговорщиков. Они создали органическую экосистему экономики криминального вымогательства - форму «выкупа».

Конечно, Avaddon была не единственной группой, придерживавшейся диверсифицированного подхода к построению более крупной бизнес-системы. Однако, вероятно, они были самыми креативными. Они были единственной группой, которая позволяла международным партнерам присоединяться к команде в качестве аффилированных лиц, которые непосредственно освещали атаки Avaddon на пяти континентах, но способствовали их продвижению.

Одна из крупнейших атак Avaddon - на крупное финансовое учреждение, произошедшая в мае 2021 года - иллюстрирует этот комплексный подход к построению экономики атак с использованием программ-вымогателей.

Операции Avaddon ориентированы на компании и правительства по всему миру, за исключением России.

   [QUOTE]Во время исследования атаки мы обнаружили 141 уникальный индикатор компрометации RDP для домена жертвы. Это означает, что Avaddon использовал услуги группы перебора RDP... Другими словами, до того, как Avaddon выполнил операцию по краже данных, они могли использовать весь объем подпольных сервисов и приобрести полный набор - доступ по протоколу RDP, прямой доступ к сети и вредоносное ПО для кражи данных.[/QUOTE]

Виктимология - ключ к пониманию противника

Этот новаторский подход позволил Avaddon выполнить несколько тысяч атак.

Традиционно при профилировании виктимологии группы компании полагаются на общедоступные данные, то есть на веб-сайты с программами-вымогателями. И действительно, даже глядя на эти частичные данные, которые включают только компании, информация о которых была сброшена в блоги, мы можем увидеть, что Avaddon сыграл важную роль в ландшафте угроз.

[IMG WIDTH=740 HEIGHT=349]https://static.wixstatic.com/media/9d5cee_daa9d710b45f43e88be3a6d0e3447127~mv2.png/v1/fill/w_740,h_349,al_c,q_90/9d5cee_daa9d710b45f43e88be3a6d0e3447127~mv2.webp[/IMG]

Однако жертвы, имена которых были опубликованы в блоге позора, - это только верхушка айсберга. Расширенный набор данных AdvIntel, охватывающий всех жертв Avaddon, обеспечивает дополнительную прозрачность операций.

Для этого статистического исследования компания AdvIntel выбрала специальный набор данных для ценных целей. Во-первых, мы определили отрасли, которые были основными целями группы - производство, розничная торговля, технологии и машиностроение, которые, скорее всего, являются наиболее предпочтительными секторами, потому что для компаний в этих секторах даже кратковременный перерыв в работе может повлечь за собой фатальные последствия.

На следующем этапе мы провели исследование рынка доходов жертв, чтобы определить потенциальную схему атак Avaddon.

Общий доход всех жертв составил около 35 миллиардов долларов. Это число, по сути, сегмент рынка, которому так или иначе угрожают вредоносные операции Avaddon.

Жертв Аваддона можно разделить на три категории: маленькие, средние и большие.

Средний доход жертвы составил:

13 миллионов долларов США для малого бизнеса
287 миллионов долларов для жертв среднего размера
3,7 миллиарда долларов США для крупного бизнеса

Ransonomics: прибыль от программ-вымогателей Avaddon

Наша следующая цель исследования состояла в том, чтобы подсчитать, сколько денег может заработать группа Avaddon до своего быстрого выхода на пенсию. Мы использовали наши предыдущие знания, полученные в результате взаимодействия с злоумышленниками, для разработки реалистичных формул расчета требований выкупа, подкрепленных реальными делами Avaddon.

После определения дохода они исследуют сектор, в котором работает жертва. Наиболее распространенным расчетом, который, согласно нашим конфиденциальным и достоверным источникам информации, используемым Avaddon, был так называемое правило «5x5», когда 5% годового дохода используется для начала переговоров, а годовой доход оценивается в одну пятую от общий доход. Другими словами, для жертвы, чей общий доход составляет 7 миллионов долларов США, начальная цена выкупа будет составлять 70 000 долларов США. Как правило, Avaddon снижал цену во время торга, и конечный выкуп составлял около 50 000 долларов США за успешную операцию.

Однако не все компании из двухтысячного списка жертв были вынуждены заплатить такой выкуп. Во многих случаях переговоры заканчивались неудачей или выкуп был минимальным - несколько тысяч долларов (особенно в самом начале). В то же время более крупные платежи требовали от более крупных организаций. Однако здесь формула «5x5» была заменена более адекватной шкалой для более крупного выкупа, включающей 0,01% годовой прибыли вместо 5% и т. Д. Для многомиллиардной компании спрос ограничивался несколько миллионов долларов.

После завершения всех расчетов с индивидуальным изучением каждой жертвы из набора ценных данных, AdvIntel установил, что основная часть выкупа поступила от более чем тысячи небольших компаний, которые требовали от 30 000 до 70 000 долларов США и составила 55 миллионов долларов, выплаченных компании Avaddon. Более 500 крупных предприятий в списке потерпевших составили еще 30 миллионов долларов, а остальная часть была поделена между более мелкими выплатами. Таким образом, наша общая оценка дохода Avaddon составляет приблизительно 87 миллионов долларов США.

Наша команда также попыталась рассчитать доход основного члена команды Avaddon на основе этих чисел. В рамках Avaddon RaaS более 70% дохода шло филиалам, поэтому основная команда, и особенно лидер Avaddon, получила около 26 миллионов долларов США. Это число, вероятно, было разделено по крайней мере между четырьмя людьми, которые получили приблизительный годовой доход (Avaddon существовал в течение года) 7 000 000 долларов США. Для сравнения - средний годовой доход в России оценивается в 7000 долларов.

[QUOTE] Другими словами, за год разработки программ-вымогателей член Avaddon заработал столько же денег, сколько средний россиянин за тысячелетие[/QUOTE]

Крушение Аваддона - Черная метка киберпиратов

Если Avaddon был таким успешным, что могло побудить их бросить курить? Вероятный ответ - страх. Правоохранительные органы США и администрация Байдена были очень откровенны в отношении будущих ответных мер против программ-вымогателей и новой точки зрения, в которой вымогатели рассматриваются как, по сути, террористический акт. Этот новый подход к цифровому вымогательству со стороны ведущей мировой сверхдержавы вызвал прямой отклик в подпольном сообществе - вышеупомянутая вымогательство - тщательно и скрупулезно выстроенная сеть альянсов и цепочек поставок - начала быстро терпеть неудачу.

Программные брокеры отказались продавать вредоносное ПО группам вымогателей, форумы запретили партнерство RaaS, а филиалы остались без средств и услуг для распространения полезной нагрузки. Мир киберпреступности всегда был похож на пиратство, и у него есть собственная «черная метка» - смертельный знак стигмы - после Colonial Pipeline программы-вымогатели получили этот знак на себе. Avaddon, находившийся в центре динамичной и бурной экосистемы программ-вымогателей, быстро осознал риски, с которыми они могут столкнуться.

Когда политика встречает киберпреступность

Это осознание, вероятно, было вызвано недавним вмешательством политики в сферу киберпреступности. В целом внутренняя логика российского ландшафта безопасности предполагает, что успешная кибер-группа в какой-то момент станет достаточно заметной, чтобы привлечь внимание государства. Обычно правоохранительные органы закрывают глаза на кибероперации, если только эти операции не нацелены на российских граждан или бизнес. Однако в мае 2021 года этот статус-кво изменился.

   [QUOTE]После того, как администратор крупнейшего форума XSS призвал к запрету программ-вымогателей, оправдывая это политическими причинами, сообщество цифровых вымогателей в России, как было замечено, прошло стадии паранойи. Это было подтверждено только многочисленными заявлениями, сделанными за последние три месяца правительством России, Министерством иностранных дел России и лично президентом Путиным о создании международной российско-американской инициативы по созданию совместного ландшафта кибербезопасности. Российские официальные лица, вероятно, видят в этом инструмент деэскалации американо-российских отношений, особенно в свете предстоящего саммита Байдена и Путина, намеченного на 16 июня 2021 года.
[/QUOTE]

Также примечательно, что некоторые из юрисдикций, на которые нацелен Аваддон, - Иран, Китай и Турция, имеют прочные геополитические связи с Россией и действуют как российские союзники или важные экономические партнеры. Однако неясно, могло ли это привести к обострению отношений между Аваддоном и российским государством.

Какими бы ни были истинные доводы российских политиков, призывающих к международному сотрудничеству в области кибербезопасности, эти недавние заявления явно оказали влияние на подпольное сообщество киберпреступников. AdvIntel отслеживает многочисленные обсуждения между высокопоставленными участниками, работающими с Avaddon, которые упомянули, что одно из аффилированных лиц группы было задержано российскими правоохранительными органами накануне американо-российского саммита и что могут последовать дальнейшие аресты лидеров программ-вымогателей с целью обезопасить политический ландшафт.

Avaddon Decryption Tool
https://www.emsisoft.com/ransomware-decryption-tools/avaddon

https://www.advanced-intel.com/post/the-rise-demise-of-multi-million-ransomware-business-empire