Похоже, вы удалили все файлы без действительного издателя с помощью Process Explorer .
Это та часть, на которой вы можете застрять:
Злые приложения любят привязываться к неубиваемым системным процессам. Таким образом, они не могут быть легко удалены и волшебным образом «появятся».
Как и раньше, сканер процессов сканирования ищет процессы без действительного издателя. Запишите имена файлов этих процессов. Теперь вам нужно уничтожить все активные потоки в неубиваемых системных процессах, ссылающихся на эти злые файлы .
Используйте функцию поиска в Process Explorer, чтобы найти любые живые ссылки на злые файлы. Диалог свойств процесса - это то место, где вы хотите оказаться, а затем выберите вкладку «Нити» и нажмите кнопку «Убить» для каждой злой нити.
Запустите Process Explorer и используйте Find | Найти дескриптор или меню DLL, чтобы найти все экземпляры этой DLL по имени. (Смотрите, я говорил вам, что эта опция была мощной.) Убейте все открытые дескрипторы для этого файла, которые вы найдете, точно так же, как мы делали раньше. Но вам нужно сделать еще один шаг вперед. Из автозапуска мы знаем, что эта DLL, вероятно, будет подключена к процессам Explorer и Winlogon, но пусть результаты поиска будут вашим руководством. Дважды щелкните на любых процессах, которые вы нашли, которые ссылаются на эту DLL. В диалоговом окне свойств процесса выберите вкладку Threads. Прокрутите потоки и убейте всех, у кого загружена мошенническая DLL.
После того как вы убили все потоки, вы можете, наконец, удалить записи в автозапуске, не возвращая их. Перезагрузитесь, и ваша машина теперь полностью свободна от шпионских программ. Я считаю 17 записей в диспетчере задач, точно такое же количество, как при первоначальном запуске.
Пока вы не сделаете это, файлы не будут удалены!