[QUOTE]Kot Obormot написал:
А во всех остальных боксах нужно убрать галочки, правильно ли я понял? (в том числе на вкладках браузер, программы итп)?[/QUOTE]
------------
Программа работает так, что в одних местах галочки\чек боксы нужно снимать - а, в других ставить.
Но не нужно...
Просто закройте программу.

Потом самостоятельно в C:\Users\e8921\Downloads
Удалите всё лишнее.

Рекомендую удалить только файлы: В C:\Users\e8921\Downloads ( самостоятельно )
Остальное не трогать.
-----------
Понаблюдайте - напишите, что и как.

[QUOTE]Kot Obormot написал:
А нужно ли галочки на всех Malware related fixes?[/QUOTE]
Это ( сейчас ) не нужно трогать.
Там:
Очистка временных файлов ( папки Temp ) - это мы почистили
Проверка диска на ошибки.
и т.д. - Это не нужно.
------------
Желательно посмотреть все вкладки - снимки. ( можно все фото в архив ) и одним файлом на форум.

Можно ещё этим почистить: https://www.comss.ru/page.php?id=2421
Но... там нужно внимательно смотреть - что будет предложено к удалению.
Так - что будут нужны снимки вкладок с найденным. ( ЧТОБЫ ВСЁ БЫЛО ВИДНО :) )
+
Обновите все браузеры ( если есть доступные обновления ) ( даже те браузеры которые у вас стоят - но вы с ними не работаете )
И потом ( после всего :) ) - Желательно изменить пароли.

Далее  выполните лог программой Malwarebytes  ( Kasper - на время установки Malwarebytes - отключите )
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

+
Сделайте  комплексный лог Autoruns ( отчёт сюда  )
https://safezone.cc/threads/kak-podgotovit-log-autoruns.30173/

1) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.11.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\BITDEFENDER\BITDEFENDER SECURITY\BDWTEFF.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY TOTAL SECURITY 21.3\FFEXT\LIGHT_PLUGIN_FIREFOX\ADDON.XPI
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BITDEFENDER\SETUPINFORMATION\CL-26-A25B50FF-7E42-4637-AA3A-4C71F23F8B3A\SETUPLAUNCHER.EXE
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE_64.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\IGDLH64.INF_AMD64_2681FC9DEDD95CD9\IGFXEXPS32.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.165.21\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NVIVI.INF_AMD64_285E9249015A7F10\NVDECMFTMJPEG.DLL
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME.EXE
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\PLAYER\N­PACE_PLUGIN.DLL
delref %SystemDrive%\USERS\E8921\APPDATA\ROAMING\ACESTREAM\EXTENSIO­NS\AWE\FIREFOX\ACEWEBEXTENSION_UNLISTED.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\CHROME.EXE
delref D:\CHROME PORTABLE\GOOGLECHROMEPORTABLE64\APP\CHROME-BIN\CHROME_PROXY.EXE
delref CLIENTS2.GOOGLE.COM
delref %SystemDrive%\USERS\E8921\\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
delall %SystemDrive%\USERS\E8921\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\XA43K758.DEFAULT\EXTENSIONS\[email protected]
apply



</code>

Kot Obormot

У вас одних ярлыков в системе 900
Более 200 ( только непроверенных ) скриптов.
И более 130 установленных программ...
--------
Нужен новый образ автозапуска в uVS
и Лог в FRST
будем удалять всё... подозрительное.

Rom Namor

Вам нужно обратиться в службу технической поддержки  ESET по адресу:  [email protected]

* На форуме нет доступа к данным - лицензий.

Сейчас часто используют легальные файлы для "атаки"
Как правило это чистые файлы - но устаревшие. Например стоит современная\актуальная\обновлённая версия программы. Но ей подсовывают старый файл этой же программы ( со множеством узявимостей ) - которые и эксплуатируются.

Или есть некий старый скрипт... который всю свою сознательную :)   жизнь был чист.  Он обращался к некому сайту... Но теперь у сайта другой владелец, или сайт был взломан.
-----
Как выявить ? Как правило работают с самыми популярными ( ежедневно используемыми на PC программами ) Браузеры и т.д.
Каталог\папка с этим старым дополнением будет рядом с этой программой. В том же каталоге или рядом. Большая разница по времени между созданием\изменением файла\файлов.
Например в каталоге с файлами 2022 года файл 2010.
Если есть сомнение можно файл на время переименовать. Например с updater.dll в updater.dll111
Чаще всего эти компоненты являются библиотеками\программными дополнениями или скриптами.
Так как файл чист - то и расширение файла - как правило стандартное.
-----
Если объектов в системе слишком много - переименовать\удалить всё, что не влияет на работу системы. Всё лишнее.
+
Возможно файл запускается через задачу, или автозапуск.

+
Если тема по вирусам\рекламе интересна.
https://forum.esetnod32.ru/forum8/topic15785/