а в безопасный режим загружается рабочий стол?

вижу что образ был создан из под winpe.
система так и не грузится после удаления AC(Yet Another Cleaner!)?
от Касперского
Kaspersky Endpoint Security 10 for Windows
похоже здесь остались тольк рожки да ножки .

эту программу деинсталлируйте из безопасного режима системы
YAC(Yet Another Cleaner!)
потом добавьте новый образ автозапуска.

Alan Prost,
логи по FRST добавьте на форум.

[QUOTE]борис Моисеев написал:
Попался шифровщик троян . Файл "NO_MORE_RANSOM" (.no_more_ransom). помогите с расшифровкой. есть зараженные и оригинальные файлы[/QUOTE]
Борис Моисеев,
добавьте образ автозапуска системы,
возможно в системе есть еще тела шифратора.

да, закрываем.
третий комп после взноса в юанях :)

да, непонятно, что это за сервис, хотя антивирусы молчат по нему.
C:\PROGRAM FILES (X86)\POPAPP\QUARTZMIDIMAPSCHED.EXE


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\WALALALA CO\AMULECUSTOM\ED2K.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\POPAPP\QUARTZMIDIMAPSCHED.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\SERVICEPROVIDER.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MYGOYA\KMPFASTER\KMPFASTER.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

добавьте новый образ автозапуска для контроля, посмотрю, может еще что-то осталось.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction <======= ATTENTION
GroupPolicy\User: Restriction <======= ATTENTION
FF Extension: (SimilarWeb) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A­66E7E5EE1\Extensions\@DA3566E2-F709-11E5-8E87-A604BC8E7F8B.xpi [2016-10-05] [not signed]
FF Extension: (GsearchFinder) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A­66E7E5EE1\Extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi [2016-03-01]
FF Extension: (FF Adr) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A­66E7E5EE1\Extensions\@H99KV4DO-UCCF-9PFO-9ZLK-8RRP4FVOKD9O.xpi [2016-10-05] [not signed]
FF Extension: (Advanced SystemCare Surfing Protection) - C:\Users\Кристина\AppData\Roaming\Firefox\Firefox\Profiles\41A­66E7E5EE1\Extensions\[email protected] [2016-09-20] [not signed]
FF Extension: (No Name) - C:\Program Files (x86)\BetterSurf\BetterSurfPlusV1\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\VideoPlayerV3\VideoPlayerV3beta1714\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewerV1\MediaViewerV1alpha1854\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha9148\ff [not found]
FF Extension: (No Name) - C:\Program Files (x86)\MediaViewV1\MediaViewV1alpha3577\ff [not found]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR DefaultSearchURL: Default -> hxxp://www.amisites.com/search/?type=ds&ts=1479811693&z=6099462040046d3dfa1dc73gez0m1t6b6g7g­aq4t9g&from=che0812&uid=HGSTXHTS545050A7E680_TMA55DTF14VNGR1­4VNGRX&q={searchTerms}
CHR DefaultSearchKeyword: Default -> amisites
EmptyTemp:
Reboot:
[/CODE]

да, теперь FRST

[QUOTE]далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/[/QUOTE]