[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
29.12.2020 11:59:38;Фильтр HTTP;файл; wheelcomoving.com/p/RuMeRPa;вероятно, модифицированный Win32/Emotet.gen троянская программа;подключение завершено;ANDREW\Admin;Событие произошло при попытке доступа к Интернету следующим приложением: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe [/QUOTE]


Анализ одного из сайтов: wheelcomoving.com/p/RuMeRPa

https://urlhaus.abuse.ch/url/944378/
https://www.virustotal.com/gui/url/62f9d2b7e74fdf07456084d5b1907bbe6ce4ac300a3d609e­18b51984a5056722/detection

Видимо зверь пытался подключиться к ресурсу и скачать дополнительную "полезную" нагрузку.

Здесь же не сайт Доктора Веба. :)
-------
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/

+
С FRST  в плане удаления папок с: 000000000
нужно действовать  осторожно.
По идее это пустые папки - но я специально смотрел: в логе 000000000 а по факту в папке есть файлы...
Так что без необходимости я бы не стал...

А потом вы станете холодцом э... т.е. молодцом.
https://www.comss.ru/page.php?id=8416
[S]МОЛОДЦЫ.[/S]

Вирусов не увидел.
Немного мусора и есть изменения в политиках.  ( если изменения в политики вносили сами - скрипт можно не выполнять )


Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

[code]

ContextMenuHandlers1: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File
ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> No File
ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
ContextMenuHandlers1: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} => -> No File
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File
ContextMenuHandlers4: [7-Zip] -> {23170F69-40C1-278A-1000-000100020000} => -> No File
ContextMenuHandlers4: [WorkFolders] -> {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => -> No File
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
HKU\S-1-5-21-1585131043-1017290590-1199785018-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION

EmptyTemp:
Reboot:

[/code]
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

+
Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой



Проверяем, как работает система...
и
Пишем по _общему результату.

И этот файл:  C:\Users\User\AppData\Local\ОК Игры\libcurl.dll
Можно здесь проверить: https://www.virustotal.com/gui/home/upload

Ничего другого подозрительно не увидел.
uVS пробуйте скачать через другой браузер, пробуйте загрузить через другой ресурс, или флэшкой...

Попробуйте скачать uVS с сайта разработчика: http://dsrt.dyndns.org:8888/files/uvs_v411.zip
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]santy написал:
возможно, проблема в этом:[/QUOTE]

forum.kasperskyclub.ru/topic/78938-prihodit-uvedomlenie-o-priostanovke-zagruzki-vredonosnogo-fajla/

Что уж там загружалось...

[QUOTE] Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг


Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек. [/QUOTE]

https://habr.com/ru/company/yandex/blog/534586/
https://www.comss.ru/page.php?id=8411

Видимо в uVS есть недоработка.
В образах нет информации по файлам каталога.
Даже если файлы на момент создания образа были не активны.
Что их запускало: Расширения браузера; RUNDLL32.EXE; ADNEKMOD8B4.DLL
Странная история.