Началось неделю назад примерно, выскакивал куча рекламы в браузере, в диспетчере всечто нашел по удалял, реклама все равно открывалась тогда я открыл проксифаер и нашел ещё несколько программ пытающихся зайти в инет, так же их удалил, в итоге осталась реклама в хроме при открытии закрытии вкладок и просто нажимая на пустые места, и остался этот скрытый вирус который грузит систему на 100%

через монитор ресурсов увидел что при закрытии диспетчера зада,цп начинают грузить два одинаковых файла windir.exe только при открытии закрытии диспетчера id их постоянно меняются

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
TerminateProcessByName('C:\ProgramData\System32\Logs\servise.exe');
TerminateProcessByName('C:\ProgramData\WindowsTask\windir.exe');
TerminateProcessByName('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe');
TerminateProcessByName('c:\windows\system32\hale.exe');
TerminateProcessByName('C:\Windows\Temp\g5E36.tmp.exe');
StopService('TCPSvc');
QuarantineFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '');
QuarantineFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '');
QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '');
QuarantineFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '');
QuarantineFile('C:\ProgramData\System32\Logs\servise.exe', '');
QuarantineFile('C:\ProgramData\WindowsTask\windir.exe', '');
QuarantineFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '');
QuarantineFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '');
QuarantineFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '');
QuarantineFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '');
QuarantineFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '');
QuarantineFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '');
QuarantineFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '');
QuarantineFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '');
QuarantineFile('c:\windows\system32\hale.exe', '');
QuarantineFile('C:\Windows\Temp\g5E36.tmp.exe', '');
DeleteFile('C:\Program Files\ATI\AUJQAJHRTR\VEQWCAAREP.exe', '32');
DeleteFile('C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e\chipset.exe', '32');
DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\chipset.exe', '32');
DeleteFile('C:\ProgramData\91d21502ed034ab1bb7e9a98d54adb01\PTEPRESOCG.exe', '32');
DeleteFile('C:\ProgramData\System32\Logs\servise.exe', '32');
DeleteFile('C:\ProgramData\WindowsTask\windir.exe', '32');
DeleteFile('C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51\chipset.exe', '32');
DeleteFile('c:\users\89\appdata\local\temp\csrss\proxy\tor\tor.exe', '32');
DeleteFile('C:\Users\89\AppData\Local\Temp\e3ddad81fdf84a01999deecb3988e8cd\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df\chipset.exe', '32');
DeleteFile('C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5\chipset.exe', '32');
DeleteFile('c:\windows\system32\hale.exe', '32');
DeleteFile('C:\Windows\Temp\g5E36.tmp.exe', '32');
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_BZ" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_CA" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_HH" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_LH" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_NX" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_SU" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_TG" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_UP" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_VO" /F', 0, 15000, true);
ExecuteFile('schtasks.exe', '/delete /TN "GoogleUpdateSecurityTaskMachine_WT" /F', 0, 15000, true);
DeleteService('TCPSvc');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'oypllaplep');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'PTEPRESOCG.exe');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'service');
RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'VEQWCAAREP.exe');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
ExecuteRepair(13);
ExecuteRepair(3);
ExecuteRepair(4);
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.

цп больше не грузит, вроде все прошло) спасибище)

Не спешите.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
TerminateProcessByName('C:\Windows\Temp\gE475.tmp.exe');
QuarantineFile('C:\Windows\Temp\gE475.tmp.exe', '');
DeleteFile('C:\Windows\Temp\gE475.tmp.exe', '32');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
RebootWindows(true);
end.


Компьютер перезагрузится.



Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://www.oszone.net/virusnet/) или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.




Скачайте AdwCleaner (by Malwarebytes) (https://toolslib.net/downloads/viewdownload/1-adwcleaner/) и сохраните его на Рабочем столе.
Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt.
Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250).

сначала комп не хотел запускать адвклинер, писало заблокировано в целях защиты, в панели усправления в редакторе локальной груповой политики разрешил, и запустилось от имени адменистратора

при загрузке ноута заметил что в самом начале выскакивает выбор что запустить(вин7 и еще какието 2 строки для выбора) не успел прочесть по тому что появляется на мгновенье и резко исчерает

1.
Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
Нажмите кнопку "Scan" ("Сканировать").
По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить:

Файл Hosts
Политики IE
Политики Chrome
и нажмите Ok.

Нажмите кнопку "Clean" ("Очистить") и дождитесь окончания удаления.
Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt.
Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве (http://safezone.cc/threads/22250/#post-157088).

2.
Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

файл Shortcut.txt не создался

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeFinder

Secure Driver Updater - если не самостоятельно ставили, тоже удалите.

Затем:

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION
HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION
HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION
HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION
HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION
HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION
HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION
HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION
HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
AppInit_DLLs: C:\ProgramData\Subair\Namhold.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Subair\Damdax.dll => No File
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
Hosts:
SearchScopes: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7BFA5E264E-5037-4127-8C65-CDB4E152BEB4%7D&gp=811014
Toolbar: HKU\S-1-5-21-2765936551-2667526510-2789033726-1000 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} - No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> Поиск@Mail.Ru
FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://granena.ru/?utm_content=31b5cebd524a9af6c7a772dca81815e9&utm_source=startpm&utm_term=8CE40919BE8D398C4FA77CD13385524E&utm_d=20171016
FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?fr=ntg&product_id=%7B3BDEA89A-F9D6-4A59-ADBD-2850BADC7377%7D&gp=811014
FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Subairs\ff.NT
FF Extension: (Домашняя страница Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-10-17]
FF Extension: (Поиск@Mail.Ru) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-10-17]
FF Extension: (Пульт) - C:\Users\89\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-10-17]
C:\Users\89\AppData\Local\Google\Chrome\User Data\Default\Extensions\knmnopfmccchnnfdoiddbihbcboeedll
C:\Users\89\AppData\Roaming\Opera Software\Opera Stable\Extensions\llkfnldljepopholdohmfjjlofppajii
2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\Users\Все пользователи\0036458fe7674c3f83c9c2ac15fb886e
2017-10-19 00:00 - 2017-10-20 00:00 - 000000000 ____D C:\ProgramData\0036458fe7674c3f83c9c2ac15fb886e
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\6124773a27944022b717bd3d0c10d5df
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Roaming\4abcd95c65c640c9a0cb08be7bff222d
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\f455f3647c6f402a8e60bb66c44e6f51
2017-10-19 00:00 - 2017-10-19 00:00 - 000000000 ____D C:\Users\89\AppData\Local\081a1314444b49a09887f95e4b5d337f
2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\dc6d8a7569d74a929573fa8d76baf1a5
2017-10-17 00:49 - 2017-10-20 12:58 - 000000000 ____D C:\Users\89\AppData\Roaming\3a04a4f8800646f2b6f10c4d794bbfcd
2017-10-17 00:49 - 2017-10-18 00:00 - 000000000 ____D C:\Users\89\AppData\Local\446b880b69e4463b95537f57d66df96c
2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\Users\Все пользователи\WindowsTask
2017-10-16 23:17 - 2017-10-20 12:58 - 000000000 ____D C:\ProgramData\WindowsTask
2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\Users\Все пользователи\temps
2017-10-16 23:17 - 2017-10-17 14:58 - 000000000 ____D C:\ProgramData\temps
Task: {4E82B1D1-73AC-4900-BA31-4DCAEBF8E1AC} - System32\Tasks\SHAlph => C:\Windows\system32\rundll32.exe "C:\Program Files\SHAlph\SHAlph.dll",QdbtVVGvNL <==== ATTENTION
FirewallRules: [{84D73AFC-4CFE-4CDB-B67A-F82B9404A084}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{649C1069-725D-464B-B413-3CB1A8332AD5}] => (Allow) C:\Users\89\AppData\Local\MediaGet2\mediaget.exe
FirewallRules: [{3E7D094E-A0DD-4FDA-9574-F3ED8DFB4BDD}] => (Allow) C:\Program Files\UBar\ubar.exe
FirewallRules: [{93CAA842-3B3E-43C6-B1A0-90433BD42259}] => (Allow) C:\Windows\rss\csrss.exe
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

SafeFinder не удалилась, в списке так и висит, жму на нее снова правой ктнопко (изменит\удалить) чтото грузится но не выскакивает окно с выбором изменить либо удалить

SafeFinder не удалилась так и висит в списке, пытаюсь снова удалить невыскакивает окно с выбором удалить или изменить

Удалите принудительно, например, через Revo Uninstall (http://www.revouninstaller.com/download-free-portable.php).

удалил

при загрузке виндовс изменился вид на такой

и в самом начале загрузки выскакивает такое на мгновенье

Компьютер - Свойства - Дополнительные параметры системы - вкладка Дополнительно - раздел Загрузка и восстановление - Параметры.
В выпадающем списке выберите Windows 7, а галочку Отображать список операционных систем - уберите.

Огромное тебе чувак спасибище)

В завершение:
1. Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

вот