Suspeita de algo malicioso

Estou com suspeita de algo malicioso nesse PC, há alguns dias ao tentar abrir um site baixei um arquivo e desde então observo comportamento estranho da maquina, hoje ao ligar vi alguns arquivos que estavam no formato World virarem PDF, segue um log do Hijack para uma averiguação.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:24:53, on 21/12/2015
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.10240.16412)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\sihost.exe
C:\WINDOWS\Explorer.EXE
C:\Windows\System32\RuntimeBroker.exe
C:\Windows\SystemApps\ShellExperienceHost_cw5n1h2txyewy\ShellExperienceHost.exe
C:\WINDOWS\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe
C:\WINDOWS\system32\DllHost.exe
C:\Program Files\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Program Files\Google\Chrome\Application\chrome.exe
C:\Users\UESPI\Desktop\HijackThis.exe
C:\Program Files\Google\Chrome\Application\chrome.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Lync Click to Call BHO - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O2 - BHO: avast! Online Security - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Microsoft OneDrive for Business Browser Helper - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office\root\Office16\GROOVEEX.DLL
O4 - HKLM\..\Run: [VDownloader] "C:\Program Files\VDownloader\VDownloader4.exe" /silent
O4 - HKLM\..\Run: [AvastUI.exe] "C:\Program Files\AVAST Software\Avast\AvastUI.exe" /nogui
O4 - HKCU\..\Run: [OneDrive] "C:\Users\UESPI\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
O4 - HKCU\..\Run: [CCleaner Monitoring] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
O4 - HKUS\S-1-5-19\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup (User 'SERVIÇO DE REDE')
O8 - Extra context menu item: &Enviar para o OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xport to Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar para o Microsoft Excel - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] Files\Microsoft Office\Root\Office16\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIE.dll
O9 - Extra button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra 'Tools' menuitem: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office\root\Office16\OCHelper.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files\Microsoft Office\root\Office16\ONBttnIELinkedNotes.dll
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: mso-minsb-roaming.16 - {83C25742-A9F7-49FB-9138-434302C88D07} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: mso-minsb.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf-roaming.16 - {42089D2D-912D-4018-9087-2B87803E93FB} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: osf.16 - {5504BE45-A83B-4808-900A-3A5C36E7F77A} - C:\Program Files\Microsoft Office\root\Office16\MSOSB.DLL
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\System32\tbauth.dll
O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe
O23 - Service: Avast Antivirus (avast! Antivirus) - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Avast Firewall (avast! Firewall) - AVAST Software - C:\Program Files\AVAST Software\Avast\afwServ.exe
O23 - Service: Serviço do Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Serviço do Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: KMS-R@1n - Unknown owner - C:\Windows\KMS-R@1n.exe
O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

--
End of file - 6398 bytes

/!\ Boa Noite! luizvilarinho /!\

> Acesse este site: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >
> Faça a análise deste arquivo: C:\WINDOWS\system32\sihost.exe   

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Se já ocorreu,anteriormente,uma análise da amostra,clique em: "Reanalyse file now"

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Ao concluir,poste o link ao relatório.

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > ( ... by Farbar )

> No banner àcima,é para sistemas 32bits!

< [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> No link àcima,é para sistemas 64bits!
> Salve-o no desktop! (Área de trabalho ...)
> Execute a ferramenta! Clique "Sim" >> "Examinar".

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Antes de clicar "Examinar",verifique se as caixinhas em "Whitelist" estão assinaladas.
> Em "Exame Opcional",deixe marcada as checkbox "Addition.txt" e "Arquivos 90 Dias".
> Ps: Será gerado,também,o relatório "Addition.txt" que estará disponibilizado na 1ª execução da ferramenta.
> Poste os relatórios! (FRST.txt + Addition.txt)

> Como os logs serão extensos,envie-os à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Clique no botão Parcourir...
> Busque o relatório e clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.
> Fique atento,pois serão 2 links a serem postados!

A+

Segue analise do vírus total, irei realizar agora o falbar.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (Addition)

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link] (FRST)

/*\ Bom Dia! luizvilarinho /*\

> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<

> Copie estas informações que estão em vermelho,para o Bloco de Notas.
> Salve-as com o nome fixlist. << Texto!
> Salve-as no desktop! ( Área de trabalho ... )

start
CloseProcesses:
() C:\Windows\KMS-R@1n.exe
() C:\Windows\KMS-R@1nhook.exe
IFEO\OSppSvc.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
IFEO\SppExtComObj.exe: [Debugger] [Tens de ter uma conta e sessão iniciada para poderes visualizar este link]
R2 KMS-R@1n; C:\Windows\KMS-R@1n.exe [23040 2015-10-17] () [Arquivo não assinado]
U3 idsvc; não ImagePath
S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X]
U3 wpcsvc; não ImagePath
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ () C:\Windows\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ () C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ () C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00023040 _____ C:\WINDOWS\KMS-R@1n.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00004096 _____ C:\WINDOWS\KMS-R@1nhook.exe
2015-10-17 12:10 - 2015-10-17 12:10 - 00003072 _____ C:\WINDOWS\KMS-QADhook.dll
2015-10-17 12:10 - 2015-10-17 12:10 - 00000000 ____D C:\Users\UESPI\AppData\Local\mpress
2015-10-08 08:53 - 2015-10-08 08:53 - 00013238 ____H C:\Users\UESPI\Desktop\~WRL3592.tmp
2015-09-29 18:22 - 2015-09-29 18:22 - 00000000 ____D C:\Users\UESPI\AppData\Roaming\MPC-HC
CustomCLSID: HKU\S-1-5-21-613365655-2104278902-840499372-1000_Classes\CLSID\19041B6B-8F97-4669-BA21-C17572737ED2\localserver32 -> "C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe" => Nenhum Arq (a entrada de dados tem 4 mais caracteres).
Task: {1282FC15-1103-4CC4-8630-07A419833F2B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Nenhum Arquivo <==== ATENÇÃO
Task: {375CC9FE-BE1D-4C3E-9A27-0920785184F2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {3C535243-49DF-4F39-A640-87EBF84C3AD8} - System32\Tasks\R@1n-KMS\Office16ProPlus => wmic
Task: {41A30663-69C4-4DBC-99D8-74A637C55ACB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {4BBFE1BC-EF09-4667-BE78-AC77E66AA8E0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Nenhum Arquivo <==== ATENÇÃO
Task: {61A7E732-C19C-400D-A4A3-AFEB298ED26A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Nenhum Arquivo <==== ATENÇÃO
Task: {61D070C1-4CB9-4E30-B6F3-9247E470386B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Nenhum Arquivo <==== ATENÇÃO
Task: {89E9E002-221D-4291-9ED5-D1B41EC10038} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Nenhum Arquivo <==== ATENÇÃO
Task: {90F7A4BC-D73A-4019-B2C1-60C844647422} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {9B62F802-FFD1-469F-A5A9-C8418318BC52} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Nenhum Arquivo <==== ATENÇÃO
Task: {A1774D5A-9F22-4F92-9591-98C12C4AF06A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Nenhum Arquivo <==== ATENÇÃO
FirewallRules: [{E766BD95-1400-472A-B64E-ABE092E026FB}] => (Allow) C:\Windows\KMS-R@1n.exe
FirewallRules: [{C4AE4C80-B914-4E96-92EF-955537A7C6CC}] => (Allow) C:\Windows\KMS-R@1n.exe
C:\Users\UESPI\AppData\Local\BoBrowser\Application\42.0.2311.96\delegate_execute.exe
C:\Users\UESPI\AppData\Local\BoBrowser
CreateRestorePoint:
EmptyTemp:
Reboot:
Hosts:
end

> Execute FRST/FRST64 >> Clique "Corrigir" << Aguarde!
> Na mensagem,clique Executar.
> Poste o relatório! (Fixlog.txt)

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em outros computadores,sob risco de danos aos mesmos! >

A+

Segue log.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

/*\ Bom Dia! luizvilarinho /*\

> Vc conhece este arquivo? ( C:\Users\UESPI\atualizar.exe ) <<

> Como está o PC,após o Fix com FRST?

Abs!

Desconheço o arquivo, digo que meus arquivos que eram no formato World que viraram PDF coloquei para abrir com World agora dizem ser "Arquivo LOCKED (.locked)"

Acho que esse arquivo que me perguntou se conheço deve ser o que baixei no site que estava tentando acessar e esse arquivo informava que era atualizador do flash player, e danificou alguns arquivos meus que estão na área de trabalho.

/!\ Boa Tarde! luizvilarinho /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] > ( ... de Nicolas Coolman )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Estando na página,clique: Télécharge
> Salve-a ao desktop! ( ZHPDiag3 )

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Execute ZHPDiag3.exe,como administrador,para instalar a ferramenta!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Ao abri-la,clique Scanner.
> Aguarde a conclusão!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> À seguir,clique Relatório.
> Poste o log de diagnóstico: ~ Modo: Scanner
> Ps: Como o log será extenso,envie-o à [Tens de ter uma conta e sessão iniciada para poderes visualizar este link].

> Ou acesse: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Clique no botão Parcourir...
> Busque o relatório ao desktop.
> Clique no botão Abrir.
> Clique no botão "Créer le lien Cjoint".
> Copie o link que está ao lado de "Le lien a été créé" e poste-o em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> O link ao relatório,que é este assinalado,deverá ser colado em sua resposta.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ou clique "Copier le lien (*)" e cole o link ao seu Post.

A+

Segue log.

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

/!\ Boa Tarde! luizvilarinho /!\

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] > << Link!

> Estando na página,clique: "Télécharger"
> Salve-o no desktop!
> Instale-o,clicando em: Suivant >> Suivant >>...>> Suivant >> Suivant >> Installer >> Terminer
> Execute este script na ferramenta ZHPFix.

Script ZHPFix
EmptyPrefetch
EmptyClsid
EmptyFlash
EmptyTemp
FirewallRaz
HiddenFix
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job [426] =>.Superfluous.Easeware
O39 - APT: DriverEasy Scheduled Scan - (.Easeware.) -- C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan [3898] =>.Superfluous.Easeware
O39 - APT: klcp_update - (...) -- C:\WINDOWS\System32\Tasks\klcp_update [3894]
O43 - CFD: 17/09/2015 - [] D -- C:\Program Files\Easeware =>.Superfluous.Easeware =>.Superfluous.Easeware
O43 - CFD: 17/09/2015 - [] D -- C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
O45 - LFCP:[MD5.2C4BD21560A3C037F2110586BD6BE30C] 17/09/2015 A -- C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office
O87 - FAEL: "UDP Query User{04753A12-FAB3-4A20-976E-8804977E292E}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P17-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
O87 - FAEL: "TCP Query User{ECCD7191-E7B8-43F0-93B9-E5DD893DAB6B}C:\users\uespi\appdata\local\temp\keygen.exe" [In-None-P6-TRUE] .(...) -- C:\users\uespi\appdata\local\temp\keygen.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN] CheckedValue: Modified
[MD5.F607821FF3700141FDDBC5D65161C108] [APT] [DriverEasy Scheduled Scan] (.Easeware.) -- C:\Program Files\Easeware\DriverEasy\DriverEasy.exe [3189520] =>.Superfluous.Easeware
C:\Users\UESPI\atualizar.exe
C:\WINDOWS\Tasks\DriverEasy Scheduled Scan.job =>.Superfluous.Easeware
C:\WINDOWS\System32\Tasks\DriverEasy Scheduled Scan =>.Superfluous.Easeware
C:\Program Files\Easeware =>.Superfluous.Easeware
C:\Users\UESPI\AppData\Roaming\Easeware =>.Superfluous.Easeware
C:\WINDOWS\Prefetch\OFFICE 2010 TOOLKIT.EXE-567B1802.pf =>Hacktool.Office

> Selecione e copie estas informações que estão em vermelho,para o Bloco de Notas.
> Com o Bloco de Notas aberto,faça: ctrl+a >> ctrl+c ( Selecionar e Copiar )
> À seguir,minimize o Bloco de Notas.

> Abra a ferramenta ZHPFix. < [Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem] >

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

> Clique IMPORTAÇÃO >> OK.
> Ps: Ao clicar "OK",verifique se o campo está limpo para que receba,somente,as informações do script.
> Clique "GO".

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Ou,clique CONFIGURAR >> Personalizar.
> Cole as informações contidas no Bloco de Notas,ao campo da ferramenta.
> Clique "GO".
> Poste o relatório!

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]
< Peço aos visitantes que não utilizem este script em seus computadores,sob risco de danos aos mesmos! >

A+

Segue.
[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

Agora fica mostrando todos arquivos ocultos, já fui no painel de controle mas fica marcado as opções de exibir e de não exibir os arquivos não consigo modificar.

/!\ Boa Tarde! luizvilarinho /!\

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]


> Abrindo o registro (Windows+R) e indo pelo caminho dado,verifique se encontra as indicações,em seu PC,segundo a imagem postada.

Abs!

Positivo, da está da mesma forma que a imagem.

/!\ Boa Tarde! luizvilarinho /!\

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Verifique em NOHIDDEN,se está de acordo com a imagem.

Abs!

Diferente, vai imagem em anexo.

/!\ Boa Tarde! luizvilarinho /!\

> Altere em "CheckedValue" para 00000002 e reinicie o computador!
> Informe!

Abs!

Feito.

/!\ Boa Tarde! luizvilarinho /!\

> Execute este antivírus online: Eset

> Baixe: < [Tens de ter uma conta e sessão iniciada para poderes visualizar este link] >

> Salve-o no desktop!
> Desabilite seu antivírus e execute o arquivo esetsmartinstaller_enu.exe <<
> Aceite o contrato e marque: "YES, I accept the Terms of Use"
> Clique: "Start"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Em "Computer scan settings",marque:

<*> Enable detection of potentially unwanted applications

> Em "Hide advanced settings",marque:

<1> Scan archives
<2> Scan for potentially unsafe applications
<3> Enable Anti-Stealth technology
<4> Remove found threats

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

> Desejando,somente,o diagnóstico deixe desmarcada a caixa "Remove found threats".

> Clique em "Advanced settings".
> Clique "Change" e marque a caixa "Computador".
> Clique: "Start" >> Aguarde! ( Pode durar algumas horas,esse scan... )
> Ao concluir,clique em "List of found threats".
> Clique em "Export to text file" e salve o relatório no desktop.
> Ou busque o relatório em C:\Program Files\ESET\EsetOnlineScanner\log.txt <<
> Clique "Back" >> "Finish".
> Poste o relatório!

> Desejando o Fix,podemos restaurar algumas remoções indo em: C:\Program Files\ESET\ESET Online Scanner\Quarantine <<

Abs!

Segue relatório do ESET.

C:\FRST\Quarantine\C\Windows\KMS-QADhook.dll.xBAD Win32/HackKMS.AB potentially unsafe application
C:\FRST\Quarantine\C\Windows\KMS-R@1nhook.exe.xBAD a variant of Win32/HackKMS.AB potentially unsafe application
C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\atualizar.exe.VIR a variant of MSIL/Filecoder.Y trojan
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\Keygen.exe Win32/HackKMS.A potentially unsafe application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\setup.exe a variant of Win32/Adware.CognosAds.C application
C:\Users\UESPI\AppData\Roaming\ZHP\Quarantine\smt_istartsurf.exe a variant of Win32/ELEX.EY potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application

/!\ Bom Dia! luizvilarinho /!\

> Abra o FormatFactory e clique no botão Opções.
> Desmarque: Verificar nova Versão

> Das detecções da Eset,vc pode manualmente deletar estes arquivos em destaque.

C:\Program Files\FormatFactory\FFModules\Package\Ask\AskPIP_FF_.exe a variant of Win32/Bundled.Toolbar.Ask.G potentially unsafe application
C:\Users\UESPI\Downloads\VDownloader4OC.rar Win32/Somoto.G potentially unwanted application
C:\Users\UESPI\Downloads\VDownloader4OC_downloader-Q3R1Zrw0D.exe Win32/Somoto.G potentially unwanted application
C:\Program Files\FormatFactory\FFModules\Package\Ask << Esta pasta!

Informe!

Abs!

Tudo feito.

/!\ Bom Dia! luizvilarinho /!\

> Informe a situação de sua máquina!

Abs!