выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deldir %SystemDrive%\ADWCLEANER\QUARANTINE\C\USERS\LUCKY\APPDATA\RO­AMING\TENCENT\ANDROIDSERVER\1.0.0.509
deldir %SystemDrive%\ADWCLEANER\QUARANTINE\C\USERS\LUCKY\APPDATA\RO­AMING\TENCENT\ANDROIDSERVER\1.0.0.485
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\LUCKY\APPDATA\ROAMING\DARKSOULSII\GOOGLE­UPD.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %SystemDrive%\USERS\LUCKY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

delref NUL)&(@START\B GPUPDATE.EXE

del %SystemDrive%\PROGRAMDATA\AKHVYDLYHEZARI\LTW0.BAT

del %SystemDrive%\PROGRAMDATA\UMCBSALZIVP\QGSEBBSEZHXVI3.BAT

del %SystemDrive%\PROGRAMDATA\IMQOY\ZPOBBWCIU5.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

возможно процесс обновления системы (иногда Акробат ридера) нагружает процессор.

какой из процессов занимает наибольшее кол-во %?

что с проблемой сейчас?

Сергей Васин,
файлики и зараза на форуме здесь не нужны
если у вас есть лицензия на антивирус ESET отправьте это "нажитое богатство" в  [email protected]
-------------
здесь
E4DDAEF489EAD2A3D1B0, который дописывается в расширение зашифрованных файлов, это код, который записан в readme.txt для предъявления в почту мошенников

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
FF Extension: No Name - C:\Users\Хитрый\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6­ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Хитрый\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6­ha2.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\Хитрый\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6­ha2.default\extensions\[email protected] [not found]
CHR HKLM-x32\...\Chrome\Extension: [cncgohepihcekklokhbhiblhfcmipbdh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [njabjmhinndphfnbjehdalkphpdmepli] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pchfckkccldkbclgdepkaonamkignanh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pjfkgjlnocfakoheoapicnknoglipapd] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:[/CODE]

судя по:
характерным файлам в автозапуске;

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

по заставке, по файлам README1-10 в корне диска,
а так же по логам в TEMP;

*.breaking_bad - это клон,или модификация шифратора *.xtbl

судя по:
характерным файлам в автозапуске;

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
"C:\Documents and Settings\All Users\Application Data\Windows\csrss.exe"

по заставке, по файлам README1-10 в корне диска,
а так же по логам в TEMP;

*.breaking_bad -  это клон,или модификация шифратора *.xtbl

2.удалите все найденное в малваребайт
(патчеры на ваше усмотрение)
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\МОИ ДОКУМЕНТЫ\ПРОГРАММЫ\INSTALL_FLASHPLAYER11X32_CHRA_AIH.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {95B7759C-8C7F-4BF1-B163-73684A933233}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=HP&TS=1419325084&FROM=WPM12233&UID=ST3500418AS_5VM3PT7Q­XXXX5VM3PT7Q

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1411478384&FROM=COR&UID=ST3500418AS_5VM3PT7QXXXX5­VM3PT7Q&Q={SEARCHTERMS}

delref %SystemRoot%\START.EXE

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1419325084&FROM=WPM12233&UID=ST3500418AS_5VM3PT7Q­XXXX5VM3PT7Q&Q={SEARCHTERMS}

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/