Искандер,
добавьте образ автозапуска системы

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction - Chrome <==== ATTENTION
CHR HomePage: Default -> hxxp://ezrexus.ru/?utm_source=startpage03&utm_content=87006554c61899fd571951893­f23d4d1&utm_term=5810FA2E2424DCF3042E136196C610B8&utm_d=2017­0809
CHR Extension: () - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmhomipkklckpomafalojobppmmidlgl [2017-08-26]
CHR Extension: (zen temple) - C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nlmiiioabolbmhbhphhfjbohiiijmkee [2017-07-26]
AlternateDataStreams: C:\ProgramData\TEMP:B3ED3AFF [127]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:B3ED3AFF [127]
EmptyTemp:
Reboot:
[/CODE]

+
такой скрипт еще выполните в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

setdns Ethernet\4\{281EF27C-9AC0-4CA1-B0BA-96A517C3E949}\8.8.8.8,8.8.4.4
setdns Сетевое подключение Bluetooth\4\{B218F0B0-19AA-43CC-A3C3-08C8BF93B675}\8.8.8.8,8.8.4.4
delall %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\WUTPHOST\WUTPHOST.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK\PYTHON\PYT­HONW.EXE
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK\PYTHON\PYT­HONW.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK\ML.PY
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK\ML.PY
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK_UPD\PYTHON­\PYTHONW.EXE
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK_UPD\PYTHON­\PYTHONW.EXE
delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK_UPD\ML.PY
del %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\SETUPSK_UPD\ML.PY
apply

deltmp
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2LAK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAP2RPK.EXE
delref %SystemRoot%\SYSWOW64\SPOOL\DRIVERS\X64\3\CNAC8SWK.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref EZCD EXTENSION\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\NERO\NERO 2017\NEROSHELLEXT\X64\NEROSHELLEXT.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\QYERBVXRHIE\PUIRVLWQNJ.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
и далее
выполняем проверку в малваребайт

[QUOTE]+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )[/QUOTE]

[QUOTE]Евгения Чебаненко написал:
прикрепила вроде правильный в этот раз[/QUOTE]
да, этот файл, но он пустой, размером всего 8 байт.
пробуйте еще раз переделать образ автозапуска, дождитесь, пока завершится процесс, (выйдет сообщение что образ автозапуска создан)
обычно размер файла в архиве 1-2 Мб.

это совершенно посторонний файл, никакого отношения к образу автозапуска в uVS он не имеет.
Я удалил это файл, потому что он содержит ваши пароли.
--------
прочтите внимательно инструкцию, и пробуйте еще раз сдалать образ автозапуска.
http://forum.esetnod32.ru/forum9/topic2687/

Евгения,
добавьте образ автозапуска системы.
(как это сделать  - ссылка на инструкцию в моей подписи)

Вчера Майкл Гиллеспи из ID-Ransomware обнаружил новый вариант шифратора Crysis / Dharma, который добавляет расширение .arena к зашифрованным файлам. Неизвестно точно, как распространяется этот вариант, но в прошлом Crysis обычно распространялся путем взлома в Remote Desktop Services и ручной установки ransomware.

Когда этот ransomware установлен, он сканирует компьютер для определенных типов файлов и шифрует их. При шифровании файла он добавит расширение в формате .id- [id]. [E-mail] .arena. Например, файл с именем test.jpg будет зашифрован и переименован в test.jpg.id-BCBEF350. [[email protected]] .arena.

[B]Как защитить себя от Crysis Ransomware[/B]

Чтобы защитить себя от Crysis или от любых вымогательств, важно, чтобы вы соблюдали определенные правила для обеспечения безопасной работы в сети. Прежде всего, у вас всегда должно быть надежное и проверенное резервное копирование ваших данных, которые могут быть восстановлены в случае возникновения чрезвычайной ситуации, например, при попытке вымогательства.

У вас также должно быть программное обеспечение безопасности, которое содержит поведенческие детектирования.

Наконец, но не в последнюю очередь, убедитесь, что вы практикуете следующие хорошие привычки в отношении безопасности в Интернете, которые во многих случаях являются наиболее важными для всех:

Резервное копирование, резервное копирование, резервирование
Не открывайте вложения, если вы не знаете, кто их отправил.
Не открывайте вложения, пока не убедитесь, что человек действительно отправил вам их,
Сканирование вложений с помощью таких инструментов, как VirusTotal.
Убедитесь, что все обновления Windows установлены, как только они выходят! Также убедитесь, что вы обновляете все программы, особенно Java, Flash и Adobe Reader. Более старые программы содержат уязвимости безопасности, которые обычно используются злоумышленниками. Поэтому важно обновлять их.
Убедитесь, что вы используете какое-то программное обеспечение безопасности.
Используйте сложные пароли и никогда не используйте один и тот же пароль на нескольких сайтах.
Если вы используете службы удаленного рабочего стола, не подключайте его напрямую к Интернету. Вместо этого сделать это доступным только через VPN.

https://www.bleepingcomputer.com/news/security/new-arena-crysis-ransomware-variant-released/

образ автозапуска переделайте актуальной версией uVS 4.09
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

добавьте образ автозапуска системы, из которой приведен скриншот сканирования.

критическое обновление для систем установлено?
https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

проверяйте системы на уязвимость CVE-2017-0143
можно с помощью nmap
https://nmap.org/download.html