Для начала: создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

ESET: [URL=http://help.eset.com/ess/10/ru-RU/hmftsearch.htm?zoom_query=&zoom_per_page=10&zoom_and=1&zoom_sort=0]справка[/URL]

По поводу AVG.PC.TuneUp то в самой программе должна быть настройка проверять обновления, или нет.
А в папке с программой  ( или в одной из папок ) должен быть файл отвечающий за обновление типа: Update-r

HASPLMS.EXE
это продукт от: "SafeNet, Inc."
Это средства безопасности.

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://OVGORSKIY.RU
delref HTTP://WWW.MY-ONLINE-SEARCH.COM/?BABSRC=NT_OFLN&MNTRID=0C61002522E887C7&CAT=DELTA&DLB=1&AFFID­=122471
delref %SystemDrive%\USERS\LAMLAM\APPDATA\ROAMING\MOZILLA\FIREFOX\P­ROFILES\61M6DMNQ.DEFAULT\SEARCHPLUGINS\BABYLON.XML
del %SystemDrive%\USERS\LAMLAM\APPDATA\ROAMING\MOZILLA\FIREFOX\P­ROFILES\61M6DMNQ.DEFAULT\SEARCHPLUGINS\BABYLON.XML

;-------------------------------------------------------------

deltmp
delnfr
restart

</code>

+
Далее выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

Удалите ESET согласно инструкции

https://www.nic.ru/whois/?query=220.134.54.160

Сетевая активность на момент создания образа:


АКТИВЕН    | C:\PROGRAM FILES (X86)\HOME MEDIA SERVER\HMS.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVNODE\NVIDIA WEB HELPER.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\ORIGIN\ORIGIN.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\ORIGIN\ORIGINWEBHELPERSERVICE.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\SAMSUNG\USB DRIVERS\27_SSCONN\CONN\SS_CONN_SERVICE.EXE
АКТИВЕН    | C:\PROGRAM FILES (X86)\UTORRENT\UTORRENT.EXE
АКТИВЕН    | C:\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVTRAY.EXE
АКТИВЕН    | C:\PROGRAM FILES\NVIDIA CORPORATION\NVCONTAINER\NVCONTAINER.EXE
АКТИВЕН    | C:\WINDOWS\SYSTEM32\HASPLMS.EXE
АКТИВЕН    | C:\WINDOWS\SYSWOW64\PNKBSTRA.EXE

Из недавно обновившихся программ:
C:\PROGRAM FILES (X86)\ORIGIN\ ( 11.01.2017 в 18:14:02 )
C:\PROGRAM FILES (X86)\NVIDIA CORPORATION\NVTELEMETRY\ ( 18.01.2017 в 14:31:10 )
C:\WINDOWS\SYSTEM32\MACROMED\FLASH\  ( 18.01.2017 в 12:11:32 )
--------------
У вас есть программа uVS
В программе есть возможность поиска.
В место категории: Подозрительные и вирусы выберите категорию: Сетевая активность
Выберите поиск по имени, или пути файла.
Для нормальной работы курсор должен быть на одной из строк.
Есть календарь = отсев по дате создания файла.
И  вперёд.
---------
Для программ ( в настройках самой программы можно отключить проверку\обновления )
Ненужные программы - удалить.

[QUOTE]Алексей Бахир написал:
однако не трогает RAW-ки и BMP-шки[/QUOTE]

Злоумышлении заинтересованы в том, чтобы шифрование прошло как можно быстрее и шифровались важные файлы.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Удалите: ESS 8 стандартно и по: [URL=http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964]инструкции[/URL]

Установите ESS 10

Настройка сети.
http://forum.esetnod32.ru/forum9/topic5130/