Юрий Белковский

1) Удалите антивирус стандартным способном и по инструкции:

http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964

2) Если выполнение панкта №1 не даст результата то:

2.1) Скачайте программу SysInspector по ссылке:

Для 32-битных ОС:
http://download.eset.com/download/sysinspector/32/RUS/SysInspector.exe
Для 64-битных ОС:
http://download.eset.com/download/sysinspector/64/RUS/SysInspector.exe

Чтобы сохранить лог файл необходимо нажать в верхнем правом углу программы кнопку "файл" , затем выбрать "сохранить журнал".
Название файла будет иметь вид "SysInspector-имя вашего компьютера-дата.zip"

Лог файл прикрепите к вашему сообщению на форуме или разместите на файлообменнике:
( http://rghost.ru или http://upwap.ru/ ), указав на форуме в своей теме ссылку на этот архив.

2.2) Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>


;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT

delref HTTP://NEWS-LAST.COM/WUKONG
delref HTTP://SEARCH-NEWS.ORG/DRAVS
delref %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL
del %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\MAIL.RU\SPUTNIK\IESEARCHPLUGIN.DLL

deldirex %SystemDrive%\USERS\NATASHA\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMFMJPFOGGIKOLKFILOFBPGCNHDCGAHIB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFJGIBHMCGNCMJHDODPAOLFBJPJJAJAL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGAIDLFGJKMEENDHKNAFAHPPLLBNIEJM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://TMUTARA.RU/?UTM_CONTENT=49F4C593A4D99A0A30351A0448198D82&UTM_SOURCE=STAR­TPM&UTM_TERM=627E347D8E55A15A457811C0EA118308&UTM_D=20160812­
delref HTTP://MAIL.RU/CNT/10445?GP=818409
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811035
delref HTTP:\\WWW.MAIL.RU\CNT\20775012?GP=811020
delref HTTP:\\GOTUT.RU\?FROM=IC3UA
regt 27
;-------------------------------------------------------------

delall %SystemDrive%\USERS\NATASHA\APPDATA\LOCAL\SCRIPTWRITER\SCRIP­TWRITER.EXE
deltmp
delnfr
restart

</code>

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

[QUOTE]Alex Li написал:
Касперского и Acronis True Image[/QUOTE]
Там системы также, как и ESET на базе Linux.
Я бы попробовал диск на базе Windows 8.
Пример: https://forum.simplix.ks.ua/viewtopic.php?id=562&p=1
Или ( что предпочтительней )
Создайте лог в uVS - Live CD
http://forum.esetnod32.ru/forum6/topic2102/
http://forum.esetnod32.ru/forum9/topic683/

Если будет нужна помощь - то создайте темы ( по каждой машине свою ) в этом разделе форума: http://forum.esetnod32.ru/forum6/

Alex Li

Есть вирусы которые портят: [URL=https://ru.wikipedia.org/wiki/%D0%A2%D0%B0%D0%B1%D0%BB%D0%B8%D1%86%D0%B0_%D1%80%D0%B0%D0%B7%D0%B4%D0%B5%D0%BB%D0%BE%D0%B2_GUID]таблицу разделов[/URL]

В таком случае нужно восстановить таблицу и только после этого появиться возможность работать с диском\системой.

Пробуйте загрузиться с других Live CD дисков.
Посмотрите, что получиться.
По теме:
http://forum.esetnod32.ru/forum27/topic5599/
или
http://forum.esetnod32.ru/messages/forum27/topic5601/message43245/#message43245
или
http://chklst.ru/forum/discussion/83/vosstanavlivaem-dostup-k-sisteme-posle-zarazheniya-mbrlock#Item_1

Сергей Колобов

readme.txt - это файл содержащий требования вымогателей.
примерно следующего содержания:

заставка на рабочем столе: [QUOTE]
"Внимание! Все важные файлы на всех дисках вашего компьютера были зашифрованы, подробности вы можете прочитать в файлах README.txt на любом из дисков."  [/QUOTE]

Текст файла:   [QUOTE] "Ваши файлы были зашифрованы.
Чтобы расшифровать их, Вам необходимо отправить код:
на электронный адрес decode****@*****.com или decode*****@*****.com .
Далее вы получите все необходимые инструкции.
Попытки расшифровать самостоятельно не приведут ни к чему, кроме безвозвратной потери информации."   [/QUOTE]

При подключение через Роутер...
Нужно Проверить DNS - настройку на соответствие.
( должен быть DNS  от провайдера, или по умолчанию )
Сбросить настройку до заводского состояния - или меняем на DNS от провайдера.
Ставим сложный пароль на настройку.

Alex Li

А по какой причине вы выбрали работу именно с Live CD
система не загружается ?

Хорошо.

1) Найденное В Malwarebytes - удалите - поместите на  карантин.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Денис Андриященко

В антивирусе есть планировщик.
Настройте его:  [URL=http://help.eset.com/ess/10/ru-RU/hmftsearch.htm?zoom_query=%D0%BF%D0%BB%D0%B0%D0%BD%D0%B8%D1%80%D0%BE%D0%B2%D1%89%D0%B8%D0%BA&zoom_per_page=10&zoom_and=1&zoom_sort=0]инструкция [/URL]