Вчера стала появляться ошибка C:\WINDOWS\winupd.dll не найден указанный модуль, если закрыть окно, то ошибка появится заново ровно в 00 секунд следующей минуты.
Откат на прежнюю точку восстановления результата не дал, проверка системы (sfc /scannow) тоже результатов не дала. Антивирусы тоже молчат.
На здоровой машине с win10 и после такого же обновления проблем нет, как и файла, который указан в ошибке.
Так же каждую минуту стала появляться командная строка, буквально не доли секунд.
Началось все примерно после очередного обновления win10. Логи прикреплены.

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
QuarantineFile('C:\Program Files\Windows NT\Accessories\task.exe', '');
QuarantineFile('C:\Users\днсс\AppData\Roaming\Microsoft\Licence\Scheduled_Validation\WinUpd.dll', '');
QuarantineFile('C:\WINDOWS\WinUpd.dll', '');
DeleteSchedulerTask('251a94de-fce3-49e4-9a38-b8fd41747fd4');
DeleteSchedulerTask('Microsoft\Windows\WindowsColorSystem\WindowsColorSystem');
DeleteSchedulerTask('WindowsLicenceValidationCheck');
DeleteFile('C:\Program Files\Windows NT\Accessories\task.exe', '64');
DeleteFile('C:\Users\днсс\AppData\Roaming\Microsoft\Licence\Scheduled_Validation\WinUpd.dll', '64');
DeleteFile('C:\WINDOWS\WinUpd.dll', '64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



Повторите логи по правилам (http://forum.oszone.net/thread-98169.html). Для повторной диагностики запустите снова Autologger.
Прикрепите свежий CollectionLog.

Здравствуйте!
Скрипт помог, ошибка перестала появляться. Спасибо!
Имя карантин-а(ов) сообщите в теме:
2019.04.25_quarantine_5892911de91eedab1926941e99e74c3f.7z

Теперь заметил, что при закрытом диспетчере задач запускается второй процесс explorer.exe с атрибутами:
--background --url=csgoserver.hopto.org:5555 --user=Dll --pass=x --max-cpu-usage=25 --keepalive --variant=-1 --av=0 --nicehash --donate-level=0
И он грузит процессор на ~25% и если запустить диспетчер задач то каждую минуту моргает командная строка

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Готово

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
Task: {19ECCEEA-ED5D-41D0-A16E-536336BB8D40} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {3AE31EA3-BC5E-4D86-AB30-E424A3DF9F68} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {4A902AC9-A71D-406A-93BE-36A58646328E} - \WPD\SqmUpload_S-1-5-21-14862841-3118787910-24063189-1011 -> No File <==== ATTENTION
Task: {710708A6-BDD8-4B59-A58E-27B4611040C3} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {93E5CB99-FFB0-4194-904D-3EEF86DDD0B7} - \WPD\SqmUpload_S-1-5-21-14862841-3118787910-24063189-1002 -> No File <==== ATTENTION
Task: {9FE21FA7-0C6E-4774-9768-527EA4302438} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {B33FEF5E-6342-49E9-A877-D6220CFC54FD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EA1A01D7-CD6B-4625-AFDD-B05A60C1BEB4} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {F90B1C98-733D-4F9E-B3AA-B9B9918B98B7} - \Microsoft\Windows\Setup\GWXTriggers\Time-3xd -> No File <==== ATTENTION
BHO: ExplorerWnd Helper -> {10921475-03CE-4E04-90CE-E2E7EF20C814} -> No File
BHO-x32: No Name -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> No File
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - No File
CHR StartupUrls: Default ->
ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> No File
ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> No File
ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} => -> No File
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [482]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

Выполнил по инструкции. Процесс все-равно запускается

заметил, что при закрытом диспетчере задач запускается второй процесс explorer.exe с атрибутами »
Чем (какой программой) смотрите?

Чем (какой программой) смотрите? »
Process Explorer

Скачайте AutorunsVTchecker (https://safezone.cc/resources/211/). Распакуйте и запустите. Не дожидаясь окончания сканирования,
Скачайте Universal Virus Sniffer (https://safezone.cc/resources/7/) (uVS)
Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
!!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
Дождитесь окончания работы программы и прикрепите лог к посту в теме.
!!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Подробнее читайте в руководстве Как подготовить лог UVS. (https://safezone.cc/threads/14508/#post-79351)

Готово

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
;---------command-block---------
bl 92065A647E13CA1983D43DDCCC57CB93 14848
zoo %SystemDrive%\USERS\ДНСС\APPDATA\ROAMING\MICROSOFT\LICENCE\SCHEDULED_VALIDATION\WINUPD.DLL
delall %SystemDrive%\USERS\ДНСС\APPDATA\ROAMING\MICROSOFT\LICENCE\SCHEDULED_VALIDATION\WINUPD.DLL
apply

deltmp
czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (https://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).

Имя карантин-а(ов) сообщите в теме:
2019.04.25_ZOO_2019-04-25_15-52-18_6352fe84e33bea9027a2170392caa337.7z

Что сейчас с процессами?

Что сейчас с процессами?
К сожалению без изменений.

Соберите ещё раз образ автозапуска в uVS.

Выгрузил еще раз

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
BREG
icsuspend
;---------command-block---------
bl 92065A647E13CA1983D43DDCCC57CB93 14848
zoo %SystemDrive%\USERS\ДНСС\APPDATA\ROAMING\MICROSOFT\LICENCE\SCHEDULED_VALIDATION\WINUPD.DLL
delall %SystemDrive%\USERS\ДНСС\APPDATA\ROAMING\MICROSOFT\LICENCE\SCHEDULED_VALIDATION\WINUPD.DLL
apply

czoo
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).


Ещё раз соберите контрольный образ автозапуска.

Не помогло, хотя при выполнении скрипта было написано, что заблокированы потоки у процесса explorer.exe

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (https://safezone.cc/threads/18577/).
Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
SREG
icsuspend
zoo %SystemDrive%\USERS\ДНСС\APPDATA\ROAMING\MICROSOFT\LICENCE\SCHEDULED_VALIDATION\WINUPD.DLL
bl 92065A647E13CA1983D43DDCCC57CB93 14848
addsgn BA4D77BA55EA4D720BD4515164C81205258AFCF689FA1F7885C3C5BC50D6714C2317C3573E559D492B80849F461649FA7DDF E87255DAB02C2D77A42FC7062273 64 WinUpd.dll 7

zoo %Sys32%\B2PLIB.DLL
bl CB28FA6170ADFDBB67BE430BA364E7DC 25088
chklst
delvir

czoo
areg
restart

В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)
Если архив отсутствует, то заархивруйте папку ZOO (https://safezone.cc/threads/19310) с паролем virus.
Полученный архив отправьте с помощью этой формы (https://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
Подробнее читайте в этом руководстве (https://safezone.cc/threads/14509/#post-79352).

Контрольный лог покажите, пожалуйста.