Есть подозрение, что кто-то из окружения мог установить программу-шпион.
Сканирование CureIT и Касперской утилитой ничего не показало.
В системе стоит макафи, но, похоже, он без лицензии и неактивен.

Сам ноутбук с Windows 10 домашней, куплен официально с лицензией и всё такое.
Пользователь вроде никуда не шарится без рабочей необходимости. А необходимости там Thunderbird, Chrome, телеграм и еще пару проверенных программ.

teamviewer - сами устанавливали?

Сам ноутбук с Windows 10 домашней, куплен официально с лицензией и всё такое. »
В логах явно видна служба KMService, это часть активатора

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

Спасибо за разбор. Новый архив в аттаче.

Активатор оказался от Word 2010 (!!!)
При этом по работе достаточно Google Docs Sheets

А может быть ворд как-то хитро настроен, чтобы отправлять куда-то документы в фоне? Есть такие опции?

Тимвьювер осознанно - ковыряю ноут удаленно через него.

Только для совместной работы, если не изменяет память. https://ecm-journal.ru/post/Parallelnoe-redaktirovanie-v-Microsoft-Office-2010---nekotorye-tekhnicheskie-podrobnosti.aspx

Общие папки и пароли учетных записей проверили? Ну и проверить кто подключался к учетной записи Google (если используете их хранилище). И посмотрите в сторону шифрования данных.


Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
VirusTotal: C:\WINDOWS\system32\tcbres.wim;C:\WINDOWS\system32\DataStoreCacheDumpTool.exe
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Подготовьте лог лог SecurityCheck by glax24 (http://safezone.cc/threads/kak-podgotovit-log-securitycheck-by-glax24.19945/)

И еще раз спасибо. Собрал все логи... Людей проверяем...

Исправьте по возможности
——————————————————————————— [ OtherUtilities ] ————————————————————————————
NVIDIA GeForce Experience 3.5.0.70 v.3.5.0.70 Внимание! Скачать обновления
Classic Shell v.4.3.1 Данная программа больше не поддерживается разработчиком.
TeamViewer 10 v.10.0.134865 Внимание! Скачать обновления
———————————————————————————— [ ProxyAndVPNs ] —————————————————————————————
OpenVPN 2.3.18-I602 v.2.3.18-I602 Внимание! Скачать обновления
——————————————————————————————— [ Browser ] ———————————————————————————————
Google Chrome v.70.0.3538.110 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Google Chrome!^
———————————————————————————— [ UnwantedApps ] —————————————————————————————
McAfee Security Scan Plus v.3.11.895.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Ну и последнее стоит деинсталлировать, если не используете. Больше придраться к нечему.

большое спасибо, дальше сам по себе )