" TNod User & Password Finder "
В связи с нарушением Лицензионного соглашения с компанией ESET тема будет закрыта.
Обратитесь за помощью на другой форум !

Oleg Zagibalov
прочтите:
https://www.esetnod32.ru/activation/restore_password/

Как для первой так и для второй машины
Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой.

2) для ALEKSEIE-PC_2015-07-26_03-32-29.rar

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

1) По  машине UDM1_2015-07-26_03-27-18.rar

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
delref HTTP://2KNL.ORG/?SRC=HP4&SUBID1=FEB
;------------------------autoscript---------------------------

chklst
delvir

del %Sys32%\{A6D608F0-0BDE-491A-97AE-5C4B05D86E01}.BAT

del %Sys32%\{F33C3B9B-72AF-418A-B3FD-560646F7CDA2}.BAT

bl F761832A215A2D575AB8037704990C1C 574
delref \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

del %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER­\APPLICATION\BROWSER.URL

bl 698B923E2A625DC7854475325277321A 784
delref \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

deldirex %SystemDrive%\USERS\СТАРИЛОВА\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\MEDIAHITBROWSER

bl 85C51175CD31B9C1BB9FC39B2438A1A7 777
delref \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.TIHAIDEM.BAT
del \\?\C:\USERS\СТАРИЛОВА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.TIHAIDEM.BAT

regt 28
regt 29
;-------------------------------------------------------------

bl 4875BCC984DE7E75AC1BF522949C6415 2311
delall %SystemDrive%\USERS\СТАРИЛОВА\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\MEDIAHITBROWSER\MEDIAHIT.BROWSER.LNK
delall %SystemDrive%\USERS\СТАРИЛОВА\APPDATA\ROAMING\ZBROWSER\ZBROW­SER\MEDIAHIT.LAUNCHER.EXE
bl F6CAE156705054FE493D91470000A0F3 1353
delall %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\INTERNET­ EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\PIRATIUM.LNK
deltmp
delnfr
restart

Форум прежде всего для работы с продуктами ESET
А оптимизация системы тем более не по теме.
--------
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !



-------------
Если есть проблемы с системой то вам сюда: http://pchelpforum.ru/f5/

Валентин
Думаю есть смысл написать о проблеме разработчикам.

Не интересно

так, как :
First submission 2015-04-17 07:31:39 UTC (3 месяцев, 1 неделя назад)
Last submission 2015-07-18 15:18:38 UTC (6 дней, 3 часов назад)
https://www.virustotal.com/ru/file/979fb54acc4e2615713389e1acdb7c02071827e4483e9434­749f5220eafb854c/analysis/
Был бы вирус его за три месяца уже бы давно добавили в базы.
А вот все файлы этого производителя: http://www.herdprotect.com/signer-lechengbeijing-technology-development-coltd-09d77baeb0e0b5305e9a26629bcf675b.aspx

Интересно  это съёмный диск, или нет ?

Ну...
Тут нужно сказать вирусотворцы соригинальничали

Полное имя                  D:\SETUP.EXE
Имя файла                   SETUP.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ в автозапуске
                           
www.virustotal.com          2015-07-15
McAfee                      Artemis!B8F8E2E9AE14
VIPRE                       Trojan.Win32.Generic!BT
K7AntiVirus                 Trojan ( 002e28ba1 )
K7GW                        Trojan ( 002e28ba1 )
NANO-Antivirus              Riskware.Win32.BitCoinMiner.ddqhgy
Symantec                    Trojan.Gen.2
ESET-NOD32                  a variant of Win32/BitCoinMiner.M potentially unsafe
Avast                       Win32:Malware-gen
Kaspersky                   not-a-virus:RiskTool.Win32.BitCoinMiner.cdq
Comodo                      UnclassifiedMalware
DrWeb                       Trojan.Coinbit.39
McAfee-GW-Edition           Artemis!PUP
Avira                       TR/Rogue.11779900
Kingsoft                    Win32.Troj.Generic.a.(kcloud)
AVware                      Trojan.Win32.Generic!BT
Baidu-International         Hacktool.Win32.BitCoinMiner.cdq
Ikarus                      Trojan.CoinMiner
Fortinet                    Riskware/BitCoinMiner
AVG                         CoinMiner.DEO
Panda                       Trj/OCJ.F
                           
Удовлетворяет критериям    
TASK-S - ЗАДАЧА, ДЛЯ ФАЙЛА БЕЗ ПОДПИСИ.( ~ \TASK)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [skip]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ АВТОРАНОВЫЙ в автозапуске
File_Id                     51A6E057596000
Linker                      11.0
Размер                      5839360 байт
Создан                      14.02.2015 в 13:18:18
Изменен                     30.05.2013 в 09:15:06
                           
TimeStamp                   30.05.2013 в 05:15:03
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            testzip.exe
Версия файла                1.0.0.0
Описание                    Office 2013
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Автозапуск                  из AUTORUN.INF в корне диска [типично для авторановых вирусов]
                           
Доп. информация             на момент обновления списка
CmdLine                     -A D:\SETUP.EXE -D D:\
SHA1                        03E6158B3B13F88607AFFBB279D6AD4AF664E0B0
MD5                         B8F8E2E9AE145ED3C94353BC7208340A
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\{CBE7C352-2380-4E82-8BEC-96D7562DD7A0}
                           
Ссылка                      D:\autorun.inf