Sandor

Здравствуйте! Почему бы Вам не создать тему в специальном разделе? Собранные по правилам того раздела логи включают в себя также и лог HiJackThis, но только актуальной версии.

@Alexandrit1986 Вы разве не видели во втором сообщении темы ссылку на официальную страницу загрузки утилиты?

Если в безопасном режиме проблема не наблюдается, причина кроется в сторонней службе или программе. В этом случае выполните следующие действия. Пуск - Поиск / Выполнить - msconfig - ОК и перейдите на вкладку Службы. Установите флажок Не отображать службы Microsoft. Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб. Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит. Аналогичным образом можно поступить на вкладке Автозагрузка. Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь. Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление. Подробнее об этой диагностике читайте здесь.

Скачайте OTCleanIt, запустите, нажмите Clean up. Загрузитесь в безопасном режиме и проверьте - также "тупит"?

Вынужден Вас огорчить, это новый шифровальщик Spora. Инструментов по расшифровке пока не предвидится. Если повезет, пробуйте восстановить файлы средствами Windows.

Проблема решена?

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: HKU\S-1-5-21-4090807558-1153170189-2203632477-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.NT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> trotux FF SelectedSearchEngine: Mozilla\Firefox\Profiles\nahd6ha2.default -> trotux FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> C:\ProgramData\Hotfreshs\ff.HP FF Keyword.URL: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://go.mail.ru/distib/ep/?product_id=%7B559C2AD4-D3B6-41FF-9B21-A4753A65868C%7D&gp=821116 FF Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru [2017-01-09] FF Extension: (No Name) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\iobitascsurfingprotection@iobit.com [2015-02-27] [not signed] FF Extension: (Поиск@Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru [2017-01-09] FF Extension: (Визуальные закладки @Mail.Ru) - C:\Users\1\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [2017-01-09] CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1484133182&z=c05cd5a6acc61cf5e6de04eg4zabaz4g6c3c7gbb2q&from=archer1028&uid=ST3250310AS_6RYHY7PGXXXX6RYHY7PG&q={searchTerms} CHR DefaultSearchKeyword: Default -> amisites CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms} CHR Extension: (Домашняя страница Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\bgknpfancpeamejmcooedljjnaddldhg [2017-01-09] CHR Extension: (Mail.Ru) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\lanabbpahpjnaljebnpgkjemcbkepiak [2017-01-09] CHR Extension: (Яндекс) - C:\Users\1\AppData\Local\Google\Chrome\User Data\Default\Extensions\nehapofakghljopfegjogpgpeljkhjjn [2017-01-10] OPR Extension: (cgmnfnmlficgeijcalkgnnkigkefkbhd) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\cgmnfnmlficgeijcalkgnnkigkefkbhd [2015-11-08] OPR Extension: (coupondo) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\ikihdpjgbomalcdgfdbkeodegggogdfk [2015-11-03] OPR Extension: (nlldbplhbaopldicmcoogopmkonpebjm) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\nlldbplhbaopldicmcoogopmkonpebjm [2015-11-08] OPR Extension: (No Name) - C:\Users\1\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2017-01-09] 2017-01-09 20:21 - 2017-01-09 20:21 - 07316480 _____ C:\Users\1\AppData\Roaming\agent.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 01907256 _____ C:\Users\1\AppData\Roaming\QuoIng.tst 2017-01-09 20:21 - 2017-01-09 20:21 - 00126464 _____ C:\Users\1\AppData\Roaming\noah.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 00070704 _____ C:\Users\1\AppData\Roaming\Config.xml 2017-01-09 20:21 - 2017-01-09 20:21 - 00023840 _____ (REALiX(tm)) C:\Windows\system32\Drivers\HWiNFO32.SYS 2017-01-09 20:21 - 2017-01-09 20:21 - 00018432 _____ C:\Users\1\AppData\Roaming\Main.dat 2017-01-09 20:21 - 2017-01-09 20:21 - 00005568 _____ C:\Users\1\AppData\Roaming\md.xml 2017-01-09 20:21 - 2017-01-09 20:21 - 00000000 ____D C:\Windows\IObit 2017-01-09 20:35 - 2015-02-26 22:06 - 00000000 ____D C:\Program Files\IObit 2017-01-09 20:20 - 2015-02-26 22:06 - 00000000 ____D C:\Users\1\AppData\Roaming\IObit Task: {A4176898-EEE7-425D-8B67-1227747940D2} - System32\Tasks\Uninstaller_SkipUac_1 => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {F9AF14DB-9F96-40C2-82E9-08C596649216} - System32\Tasks\Driver Booster SkipUAC (1) => C:\Program Files\IObit\Driver Booster\4.1.0\DriverBooster.exe EmptyTemp: Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод! Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. Если сохранился файл тоже покажите.

1. Запустите повторно AdwCleaner (by Malwarebytes) (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора). Нажмите кнопку "Scan" ("Сканировать"). По окончании сканирования в меню Инструменты - Настройки отметьте дополнительно в разделе Сбросить: Прокси Политики IE Политики Chrome и нажмите Ok. Нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Cx].txt. Прикрепите отчет к своему следующему сообщению Внимание: Для успешного удаления нужна перезагрузка компьютера!!!. Подробнее читайте в этом руководстве. 2. Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.

Здравствуйте! Через Панель управления - Удаление программ - удалите нежелательное ПО: Surfing Protection YAC(Yet Another Cleaner!) Файл CheckBrowserLnk.log из папки перетащите на утилиту ClearLNK. Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению. Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе. Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[Sx].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве.

Включите в проводнике отображение скрытых и системных файлов.

Один из этих файлов: тоже, пожалуйста, прикрепите. И наберитесь терпения, обещать пока ничего не буду.

Упакуйте оба с паролем на архив.

К примеру, есть зашифрованный файл "образец.doc" (вероятно с другим расширением) и есть в другом месте (на флэшке, на другом ПК и т.п.) такой же файл, но не зашифрованный.

Мы пока удаляли следы. Постарайтесь найти пару зашифрованный/не зашифрованный. Если найдете, упакуйте и прикрепите к следующему сообщению, вместе с файлом ключа и (если есть) текстом вымогателей.

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код: start CreateRestorePoint: AutoConfigURL: [S-1-5-21-699453313-3146615548-1461102757-1001] => C:\Program Files\i2p\scripts\i2pProxy.pac ManualProxies: 0C:\Program Files\i2p\scripts\i2pProxy.pac C:\Users\User\AppData\Local\Temp\4a0f17b9936.exe C:\Users\User\AppData\Local\Temp\exereader.exe C:\Users\User\AppData\Local\Temp\mini_installer_new.exe HKU\S-1-5-21-699453313-3146615548-1461102757-1001\...\ChromeHTML: -> <==== ATTENTION AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\д3п.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\завесы.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\завесы1.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\завесы2.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\Скан служебки по превышению.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:3or4kl4x13tuuug3Byamue2s4b [91] AlternateDataStreams: C:\Users\User\Desktop\Служебка по опрессовщику.jpeg:{4c8cc155-6c1e-11d1-8e41-00c04fb9386d} [0] Reboot: end и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве.