Что-то грузит процессор, но стоит зайти в диспетчер задач, как в глаза кидается этот процесс с максимальным приоритетом памяти. После открытия диспетчера, через секунд 5 этот файл скрывается. Заходил в системное хранилище, там где хранится файл, нашел его (он был среди скрытых), удалил. Через минуту захожу и вижу картину: файл, который я удалял минуту назад, снова на своем месте. Лог делал после удаления файла (после того как файл восстановился, грузить процесс он перестал, возможно так будет продолжаться до перезагрузки)

Здравствуйте!

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО (http://safezone.cc/forum/showthread.php?t=18577).

Выполните скрипт в АВЗ (http://forum.oszone.net/post-1430637-4.html) (Файл - Выполнить скрипт):

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantineEx(true);
TerminateProcessByName('c:\programdata\rundll\rundll.exe');
TerminateProcessByName('c:\programdata\rundll\system.exe');
TerminateProcessByName('c:\programdata\windows\rutserv.exe');
QuarantineFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '');
QuarantineFile('C:\Programdata\RealtekHD\taskhost.exe', '');
QuarantineFile('C:\ProgramData\RealtekHD\taskhostw.exe', '');
QuarantineFile('c:\programdata\rundll\rundll.exe', '');
QuarantineFile('c:\programdata\rundll\system.exe', '');
QuarantineFile('c:\programdata\windows\rutserv.exe', '');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');
DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDStartUP');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhost');
DeleteSchedulerTask('Microsoft\Windows\Wininet\Taskhostw');
DeleteFile('C:\Program Files\rdp wrapper\rdpwrap.dll', '32');
DeleteFile('C:\Program Files\RDP Wrapper\rdpwrap.dll', '64');
DeleteFile('C:\Programdata\RealtekHD\taskhost.exe', '64');
DeleteFile('C:\ProgramData\RealtekHD\taskhostw.exe', '64');
DeleteFile('c:\programdata\rundll\rundll.exe', '32');
DeleteFile('c:\programdata\rundll\system.exe', '32');
DeleteFile('c:\programdata\windows\rutserv.exe', '32');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'Software\Microsoft\Windows\CurrentVersion\Run', 'Realtek HD Audio', '64');
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\TermService\Parameters', 'ServiceDll', 'x64');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.


Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина (http://dragokas.com/virusnet/) или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

"Пофиксите" в HijackThis (http://forum.oszone.net/post-1430293-2.html):

O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [10] = Cezurity_Scanner_Pro_Free.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [11] = Cube.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [1] = eav_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [2] = avast_free_antivirus_setup_online.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [3] = eis_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [4] = essf_trial_rus.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [5] = hitmanpro_x64.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [6] = ESETOnlineScanner_UKR.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [7] = ESETOnlineScanner_RUS.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [8] = HitmanPro.exe (disabled)
O7 - Policy: HKCU\..\Policies\Explorer\DisallowRun: [9] = 360TS_Setup_Mini.exe (disabled)
O7 - Taskbar policy: HKCU\..\Policies\Explorer: [DisallowRun] = 1




Скачайте Farbar Recovery Scan Tool (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/) (или с зеркала (http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/)) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17759/').

Нажимаю запустить, выдает ошибку:
Undeclared identifier: 'DeleteSchedulerTask' в позиции 13:21
И указывает на строку DeleteSchedulerTask('Microsoft\Windows\Wininet\RealtekHDControl');

Запускать следует эту версию:
C:\Users\Samsung\Desktop\autologger\AutoLogger\AVZ\avz.exe

Все сделал по инструкции, проблема теперь решена? по крайней мере в списке процессов ничего нету

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

Отключите до перезагрузки антивирус.
Выделите следующий код:
Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {1eb36e77-225d-11ea-af4d-8a38d1b65448} - F:\SDI_auto.bat
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {3de9e819-7e3f-11ea-9de9-e811327012ce} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {4b22101b-61cb-11ea-86e8-e811327012ce} - H:\HiSuiteDownLoader.exe
HKU\S-1-5-21-2789528202-2806050775-268277386-1000\...\MountPoints2: {6023e2b0-2807-11ea-a8dc-e811327012ce} - F:\HiSuiteDownLoader.exe
CHR HKU\S-1-5-21-2789528202-2806050775-268277386-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
2020-09-10 19:40 - 2020-09-11 09:54 - 011431936 _____ C:\ProgramData\temp5.exe
2020-09-10 13:59 - 2020-09-11 12:29 - 000000000 __SHD C:\ProgramData\Windows
2020-09-10 13:58 - 2020-09-11 12:29 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-09-10 13:58 - 2020-09-10 13:58 - 000210944 _____ (Microsoft Corporation) C:\Windows\system32\rdpclip.exe
2020-09-10 13:47 - 2020-09-11 09:54 - 000000000 __SHD C:\ProgramData\RunDLL
2020-09-10 13:47 - 2020-09-11 09:23 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-09-10 13:47 - 2020-09-10 15:46 - 000000000 __SHD C:\ProgramData\Setup
2020-09-10 13:47 - 2020-09-10 13:59 - 000000000 __SHD C:\ProgramData\install
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Norton
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\McAfee
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\grizzly
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\ESET
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\ProgramData\360safe
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\SpyHunter
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\ESET
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\COMODO
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\Cezurity
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\ByteFence
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\AVG
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\Program Files (x86)\360
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\KVRT_Data
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 __SHD C:\AdwCleaner
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\Windows\speechstracing
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\System32
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\MB3Install
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Indus
2020-09-10 13:47 - 2020-09-10 13:47 - 000000000 ____D C:\ProgramData\Avira
2020-08-18 09:24 - 2017-12-27 22:20 - 001460224 _____ (Stas'M Corp.) C:\ProgramData\RDPWinst.exe
FirewallRules: [{512D656D-7EC4-4095-8FAA-28F855634AE0}] => (Block) LPort=139
FirewallRules: [{4378EA10-4469-40EB-97B1-B8BE88E9C382}] => (Block) LPort=445
FirewallRules: [{A499BC8E-3EE0-42CC-BA7F-4CA51E1D95F6}] => (Block) LPort=445
FirewallRules: [{8C5F3729-0CC6-4D15-AF0B-5F7CB81E8148}] => (Block) LPort=139
FirewallRules: [{60EE6366-9558-4CFC-8FC3-93DD0727C2B3}] => (Allow) LPort=3389
FirewallRules: [{805B6AE7-2A18-4CB6-95AA-A59AC6CCF9F8}] => (Allow) C:\ProgramData\Windows\rutserv.exe => No File
CMD: net user john /delete
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве ('http://safezone.cc/threads/17760/').

спасибо, проблема решена

Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению »
Покажите и не спешите. Вы же не хотите на следующий день опять заразиться, верно?

Да, конечно, просто не заметил просьбы прикрепить

В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
Загрузите SecurityCheck by glax24 & Severnyj (https://safezone.cc/resources/security-check-by-glax24.25/download), сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

держите

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 8.0.7601.17514 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820)
^Используйте Средство устранения неполадок (https://aka.ms/diag_wu) при проблемах установки^
Контроль учётных записей пользователя отключен (Уровень 1)
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB3177467 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3177467)
HotFix KB3125574 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB3125574)
HotFix KB4012212 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212)
HotFix KB4499175 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175)
HotFix KB4474419 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419)
HotFix KB4490628 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628)
HotFix KB4539602 Внимание! Скачать обновления (https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602)
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.7.8.5 Внимание! Скачать обновления (https://notepad-plus-plus.org/downloads/)
Microsoft .NET Framework 4.5.2 v.4.5.51209 Внимание! Скачать обновления (https://dotnet.microsoft.com/download/dotnet-framework/net48)
Zoom v.5.2.2 (45108.0831) Внимание! Скачать обновления (https://zoom.us/client/latest/ZoomInstaller.exe)
Python 3.6.0 (64-bit) v.3.6.150.0 Внимание! Скачать обновления (https://www.python.org/downloads/windows/)
Microsoft Office Enterprise 2007 v.12.0.4518.1014 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии (https://products.office.com/ru-ru/) или используйте Office Online (https://products.office.com/ru-RU/office-online/) или LibreOffice (https://ru.libreoffice.org/download/)
K-Lite Codec Pack 13.7.5 Full v.13.7.5 Внимание! Скачать обновления (https://files3.codecguide.com/K-Lite_Codec_Pack_1570_Full.exe)
-------------------------------- [ Arch ] ---------------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления (https://www.rarlab.com/download.htm)
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45790 Внимание! Клиент сети P2P с рекламным модулем!.
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления (https://www.java.com/ru/download/manual.jsp)
^Удалите старую версию и установите новую (jre-8u261-windows-x64.exe)^
------------------------------- [ Browser ] -------------------------------
Opera Stable 70.0.3728.154 v.70.0.3728.154 Внимание! Скачать обновления (https://net.geo.opera.com/opera/stable/windows)
^Проверьте обновления через меню О программе!^
Google Chrome v.85.0.4183.83 Внимание! Скачать обновления (https://www.google.ru/chrome/browser/desktop/index.html)
^Проверьте обновления через меню Справка - О Google Chrome!^
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player (x64) (All users) v.4.6.6f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Всё перечисленное постарайтесь исправить/обновить.

Читайте Рекомендации после лечения. (http://forum.oszone.net/post-1838507-9.html)