Sandor

+ Текстовый файл с требованием выкупа тоже прикрепите к следующему сообщению.

Павел Лещишин , здравствуйте! Для очистки в системе достаточно собственных утилит. Мы не рекомендуем пользоваться подобными сторонними "чистильщиками".

Пожалуйста. Только Вы не ответили на вопрос

Проделайте завершающие шаги: 1. Пожалуйста, запустите adwcleaner.exe В меню Настройки - Удалить AdwCleaner - выберите Удалить. Подтвердите удаление, нажав кнопку: Да. Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Компьютер перезагрузится. Остальные утилиты лечения и папки можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Попробуйте эти рекомендации (на англ.)

Что сейчас с проблемой?

Здравствуйте! В логах ничего плохого (вирусоподобного) не видно. В безопасном режиме как, тоже "тупит"?

Здравствуйте! Почему бы Вам не создать тему в специальном разделе? Собранные по правилам того раздела логи включают в себя также и лог HiJackThis, но только актуальной версии.

@Alexandrit1986 Вы разве не видели во втором сообщении темы ссылку на официальную страницу загрузки утилиты?

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь.

Скачайте OTCleanIt, запустите, нажмите Clean up. Загрузитесь в безопасном режиме и проверьте - также "тупит"?

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится. Если повезет, пробуйте восстановить файлы средствами Windows.

Проблема решена?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKU\S-1-5-21-4090807558-1153170189-2203632477-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.NT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> trotux FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> trotux FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.HP FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B559C2AD4-D3B6-41FF-9B21-A4753A65868C%7D&gp=821116 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-09] FF Extension: (No Name) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\iobitascsurfingprotection@iobit.com [2015-02-27] [not signed] FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-09] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-09] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1484133182&z=c05cd5a6acc61cf5e6de04eg4zabaz4g6c3c7gbb2q&from=archer1028&uid=ST3250310AS_6RYHY7PGXXXX6RYHY7PG&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2017-01-09] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2017-01-09] CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn [2017-01-10] OPR Extension: (cgmnfnmlficgeijcalkgnnkigkefkbhd) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgmnfnmlficgeijcalkgnnkigkefkbhd [2015-11-08] OPR Extension: (coupondo) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\ikihdpjgbomalcdgfdbkeodegggogdfk [2015-11-03] OPR Extension: (nlldbplhbaopldicmcoogopmkonpebjm) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlldbplhbaopldicmcoogopmkonpebjm [2015-11-08] OPR Extension: (No Name) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-09] 2017-01-09 20:21 - 2017-01-09 20:21 - 07316480 _____ C:\Users\1\AppData\Roaming\agent.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 01907256 _____ C:\Users\1\AppData\Roaming\QuoIng.tst 2017-01-09 20:21 - 2017-01-09 20:21 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 00070704 _____ C:\Users\1\AppData\Roaming\Config.xml 2017-01-09 20:21 - 2017-01-09 20:21 - 00023840 _____ (REALiX(tm)) C:\Windows\system32\Drivers\HWiNFO32.SYS 2017-01-09 20:21 - 2017-01-09 20:21 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2017-01-09 20:21 - 2017-01-09 20:21 - 00000000 ____D C:\Windows\IObit 2017-01-09 20:35 - 2015-02-26 22:06 - 00000000 ____D C:\Program Files\IObit 2017-01-09 20:20 - 2015-02-26 22:06 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit Task: {A4176898-EEE7-425D-8B67-1227747940D2} - System32\Tasks\Uninstaller_SkipUac_1 => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F9AF14DB-9F96-40C2-82E9-08C596649216} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\4.1.0\DriverBooster.exe EmptyTemp: Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод! Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Если сохранился файл тоже покажите.

1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Surfing Protection YAC(Yet Another Cleaner!) Файл CheckBrowserLnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.