Случайно заметил активность проца 100%.
Вирус "майнер", скрывается под именем "svchost.exe". Переименовал, остановил, удалил, в планировщике почистил новые правила, перезагрузил, вроде все ок. Время спустя все повторилось, лежит в том же месте "c:\Windows\System32\spool\svchost.exe".
NOD32 v5 вирус не видит, хотя на вирустотал НОД его дедектит
https://www.virustotal.com/gui/file/280a9dd6e2ec988500c1c0d345be196a9584b31ab7dd1a4053c995b2c34679f3/detection
судя по логам, гадость подтягивается из Хрома, после его запуска.
Подскажите, как красиво все зачистить, или переустановить хром?.
(не смотря на то, что старые версии антивируса обновляются автоматом, но в новых все же новые алгоритмы поиска, и пора обновиться?...)

Точно перед заражением софт не устанавливали?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ из папки Autologger (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):


begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\drivers\svchost.exe','');
QuarantineFile('C:\Windows\system32\spool\svchost.exe','');
DeleteSchedulerTask('Microsoft\Windows\SoftwareProtectionPlatform\SvcEventTask');
DeleteSchedulerTask('Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDefrag');
DeleteFile('C:\Windows\system32\spool\svchost.exe','64');
DeleteFile('C:\Windows\system32\drivers\svchost.exe','64');
BC_Activate;
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
BC_ImportALL;
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы (http://dragokas.com/virusnet/) или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма..


По поводу переустановки
Переустановка Chrome
1. Отключите синхронизацию в Chrome ('https://support.google.com/chrome/answer/6386691?hl=ru'), (если включена).
2. Сделайте еще раз Сброс настроек браузера Chrome ('https://support.google.com/chrome/answer/3296214').
3. Сохраните нужные закладки и удалите браузер - Как удалить Google Chrome ('https://support.google.com/chrome/answer/95319?hl=ru')
Убедитесь, что удалена папка

C:\Users\user\AppData\Local\Google\Chrome\

4. Скачайте и установите Хром заново. В аккаунт Google пока не входите и проверьте.

Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('https://safezone.cc/threads/17759/').

сделано. после переустановки хрома., пока тишина.

FRST нормально отработал? А то лог пустой

сори за несвоевременный ответ, работы навалилось.
Советы не подействовали в полной мере. При ручном анализе обнаружил, что был создан еще один сторонний пользователь в системе. Механизм и принцип не выяснял, грохнул его, прибрался доктор вебом, сменил пароль, вроде пока тихо.

Пункт 4 из сообщения №2 выполните ещё раз.