1) Файл: C:\USERS\19VOV\DESKTOP\НЕ ПОДТВЕРЖДЕН 931530.CRDOWNLOAD
проверьте здесь: https://www.virustotal.com/gui/home/upload
2) Удалите хвосты антивирусов:
Kaspersky https://www.comss.ru/page.php?id=343
Dr.Web https://www.comss.ru/page.php?id=309

3) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\UMMYVIDEODOWNLOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\TEMP\384D9043.SYS
delall %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\TEMP\CPUZ143\CPUZ143­_X64.SYS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://WWW.MSN.COM/
delref HTTP://WWW.VIRTUALDJ.COM/WIKI/
delref HTTP://WWW.VIRTUALDJ.COM/
apply

;-------------------------------------------------------------

deltmp
regt 38
restart
;---------command-block---------
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %Sys32%\EOSNOTIFY.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {5E5CBAC6-79BD-4975-8D6C-623E7830E702}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref TWEAKINGREMOVESAFEBOOT\[SERVICE]
delref VMMS\[SERVICE]
delref WMS\[SERVICE]
delref WMSSELFHEALING\[SERVICE]
delref WSSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\HVSIFLTR.SYS
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\VSOCKLIB.DLL
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref F:\SKYRIM - LEGENDARY EDITION\SKYMP.EXE
delref F:\THE ELDER SCROLLS V SKYRIM\THE ELDER SCROLLS V SKYRIM\SKYRIMSE.EXE
delref %SystemDrive%\USERS\19VOV\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\USERS\19VOV\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delall %SystemRoot%\SYSWOW64\XPSVIEWER\TASKSG\G-1-43-27\TG_1.4.22.56.EXE
delall %SystemDrive%\PROGRAM FILES\QEMU\SYSTEMSERVICES.EXE
apply



</code>

4) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Котик та вернулся :) ( Carberp.2159 )
Описание: [URL=https://vms.drweb.ru/virus/?i=21636878&lng=ru]первое[/URL] [URL=https://vms.drweb.ru/virus/?i=19324429&lng=ru]второе[/URL]
[URL=https://www.cyberforum.ru/viruses/thread2691226.html]Тема лечения.[/URL]
Самый интересный момент.

[QUOTE]2020-08-20 13:08 - 2020-08-20 13:08 - 001246160 _____ (Mozilla Foundation) C:\Users\Все пользователи\nss3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000645592 _____ C:\Users\Все пользователи\sqlite3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000645592 _____ C:\ProgramData\sqlite3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000440120 _____ (Microsoft Corporation) C:\Users\Все пользователи\msvcp140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000334288 _____ (Mozilla Foundation) C:\Users\Все пользователи\freebl3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000144848 _____ (Mozilla Foundation) C:\Users\Все пользователи\softokn3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000137168 _____ (Mozilla Foundation) C:\Users\Все пользователи\mozglue.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000083784 _____ (Microsoft Corporation) C:\Users\Все пользователи\vcruntime140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll[/QUOTE]

В Windows 10 внесены изменения при работе с GPU - “Specific GPU”
https://www.comss.ru/page.php?id=7869
т.е. это может повлиять на определение %  соотношения нагрузки.

[QUOTE]Anastasiia Zhigalova написал:
про карантин[/QUOTE]
Антивирус тоже ( как правило ) не удаляет файлы, а шифрует их и помещает на карантин ( если ложное срабатывание - то можно восстановить файл )
т.е. файл удаляется ( из того места где он был ) и помещается в карантин.

[QUOTE]Anastasiia Zhigalova написал:
Так, нужно ли (можно ли) это всё удалять?[/QUOTE]
Удалите всё кроме записей по KMS... ( поместить в карантин )

т.е сохраняются записи\параметры нужны вам для работы, или _реально нужные для работы Windows или программ. ( как правило компоненты от Mail.Ru к таким не относятся )

1) Всё найденное в Malwarebytes - удалите кроме этих записей:

[QUOTE]Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\KMSAuto, Проигнорировано пользователем, 0, 392686, , , , , ,
Generic.Malware/Suspicious, C:\WINDOWS\SYSTEM32\TASKS\KMSAuto, Проигнорировано пользователем, 0, 392686, , , , , 144D09E07A711DA0640463359614AD3B, 6F8BB9DE24E921E0748466E44B9503CFCF737B5E3147DA867D40E627680D­20E9
Generic.Malware/Suspicious, C:\WINDOWS\KMSAUTO.EXE, Проигнорировано пользователем, 0, 392686, 1.0.28573, , shuriken, , 78533E898D4069726DA3134D1712919B, A782153073AF51095E335A267557DEDA1D6B318E92E2B56C0AD1E95C91F1­94D4[/QUOTE]

* Опасных объектов при сканировании не обнаружено - найденное просто рекламный мусор.  ( или KMS активаторы )
** Если есть замечания по работе Windows - напишите, что беспокоит.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE] Злоумышленник слил дешифратор.[/QUOTE]

Расшифровка возможна для: WannaCash (v170720 и v010820) ( номер указан в записке о выкупе )

Денис Краснов
Чтобы выяснить, что произошло нужно смотреть журналы событий и дампы.

Екатерина Андреева
Возможно был неверно указан адрес почты, или письмо попало в спам ( посмотрите )
Можно получить письмо повторно ( если оно не дошло по причине сбоя )  Так: https://www.esetnod32.ru/activation/restore_password/
---------
По поводу возврата денег Вам нужно обратиться в службу технической поддержки  ESET по адресу:  [email protected]
* На форуме подобного рода вопросы не решаются.
При обращении предъявите копию чека.

[QUOTE] thyrex написал:
Злоумышленник слил дешифратор. Я его просто переделал в более удобный вид. Без слива расшифровки не было бы. [/QUOTE]

[QUOTE]Денис Краснов написал:
буква Е стала, хотя всегда С была.[/QUOTE]
Да, " при загрузке с флешки меняются буквы разделов жестких дисков. "
так как у самой флешки\системы есть свой идентификатор например: " С "

[QUOTE]Трансляция имен дисков...
C: --> E:
Трансляция имен завершена.[/QUOTE]

По образу видно, что компоненты ESET есть.
Выполните скрипт из файла. ( соответственно выбрать вашу Windows ) ( скриптом удалим всё связанное с антивирусом )

После выполнения скрипта создайте новый образ автозапуска в uVS