Помогите восстановить компьютер...MyBestOffersToday , GamesDesktop и расширение .xcrypt

[Avaros]

Компьютер стал неимоверно глючить (оссобенно когда загружаешь Хром), гудит, постоянно что-то пытается сделать.. Кроме того AdwCleaner нашёл такие файлы: MyBestOffersToday и GamesDesktop, но сколько бы их не удалял всё бесполезно. А вчера ещё и заметил, что на диске С:/ и на рабочем столе все файлы переименовались в расширение .xcrypt
Вот как то так, незнаю теперь как и восстановить компьютер.., раньше же не было таких глюков.. 8 Гб оперативы, а как-будто их вообще нету..(((

[Info_bot]

Уважаемый(ая) Avaros, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Vvvyg]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

[Avaros]

Прикрепил файлы FRST

[Vvvyg]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CloseProcesses:
CreateRestorePoint:
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKU\S-1-5-21-719636915-215866751-2395612439-1000\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
SearchScopes: HKLM -> Yahoo URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}\
SearchScopes: HKLM-x32 -> Yahoo URL = hxxp://ru.search.yahoo.com/search?p={searchTerms}\
SearchScopes: HKU\S-1-5-21-719636915-215866751-2395612439-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B209A66A2-0A92-46C0-A53F-0A24FEDA6C68%7D&gp=789106
S2 gixibypyzbt; no ImagePath
U2 Updater.Mail.Ru; no ImagePath
S2 wucotusy; no ImagePath
S2 zutuzuni; no ImagePath
2016-01-24 00:06 - 2016-01-24 00:06 - 00000001 _RHOT C:\Users\Михаил\AppData\Local\gmsd_ru_005010216
2016-01-24 00:06 - 2016-01-24 00:06 - 00000001 _RHOT C:\Program Files (x86)\gmsd_ru_005010216
2016-01-24 00:05 - 2016-01-24 00:05 - 00000001 _RHOT C:\Users\Михаил\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
2016-01-24 00:05 - 2016-01-24 00:05 - 00000001 _RHOT C:\Users\Михаил\AppData\Local\mbot_ru_014010216
2016-01-24 00:05 - 2016-01-24 00:05 - 00000001 _RHOT C:\Program Files\SpaceSoundPro
2016-01-24 00:05 - 2016-01-24 00:05 - 00000001 _RHOT C:\Program Files (x86)\mbot_ru_014010216
2016-01-23 23:55 - 2016-02-01 11:27 - 00000000 ____D C:\Users\Все пользователи\rvzPtdA
2016-01-23 23:55 - 2016-02-01 11:27 - 00000000 ____D C:\Users\Все пользователи\GMRRtMkpo
2016-01-23 22:45 - 2016-02-01 11:27 - 00000000 ____D C:\ProgramData\SHOpGJV
2016-01-23 22:45 - 2016-02-01 11:27 - 00000000 ____D C:\ProgramData\eyvQkJEow
2016-01-23 22:43 - 2016-01-24 04:03 - 00000000 ____D C:\Users\Михаил\AppData\Roaming\WindowsUpdater
2016-01-23 22:42 - 2016-02-01 11:29 - 00000000 ____D C:\Users\Михаил\AppData\Roaming\MailProducts
2016-01-23 22:41 - 2016-02-01 11:27 - 00000000 ____D C:\ProgramData\XHSlgBZNjh
2016-01-23 22:41 - 2016-02-01 11:27 - 00000000 ____D C:\ProgramData\knnKEyKMc
2016-01-23 22:41 - 2016-02-01 11:27 - 00000000 ____D C:\ProgramData\aTlEtwaFjf
2016-01-23 22:41 - 2016-01-24 04:03 - 00000000 ____D C:\Program Files (x86)\Adobe Update
2016-01-14 23:50 - 2016-01-17 02:54 - 00000000 ____D C:\Users\Все пользователи\boost_interprocess
2016-01-24 00:05 - 2016-01-24 00:05 - 0000001 _RHOT () C:\Program Files\SpaceSoundPro
2016-01-24 00:06 - 2016-01-24 00:06 - 0000001 _RHOT () C:\Program Files (x86)\gmsd_ru_005010216
2016-01-24 00:05 - 2016-01-24 00:05 - 0000001 _RHOT () C:\Program Files (x86)\mbot_ru_014010216
2016-01-23 22:42 - 2016-01-23 22:42 - 0000001 _RHOT () C:\Program Files (x86)\Torrent Search
2016-01-24 00:06 - 2016-01-24 00:06 - 0000001 _RHOT () C:\Users\Михаил\AppData\Local\gmsd_ru_005010216
2016-02-01 11:27 - 2016-02-01 11:27 - 0000008 _____ () C:\Users\Михаил\AppData\Local\gmsd_ru_005010216.xcrypt
2016-01-24 00:05 - 2016-01-24 00:05 - 0000001 _RHOT () C:\Users\Михаил\AppData\Local\mbot_ru_014010216
2016-02-01 11:28 - 2016-02-01 11:28 - 0000008 _____ () C:\Users\Михаил\AppData\Local\mbot_ru_014010216.xcrypt
2016-02-01 11:28 - 2016-02-01 11:28 - 0007608 _____ () C:\Users\Михаил\AppData\Local\Resmon.ResmonCfg.xcrypt
2016-02-02 22:04 - 2016-02-02 22:04 - 0000016 _____ () C:\ProgramData\mntemp
2016-02-01 11:27 - 2016-02-01 11:27 - 0000032 _____ () C:\ProgramData\mntemp.xcrypt.xcrypt
Task: {58DBEB43-8A7B-4614-80E6-476D2AB88C5C} - \Microsoft\Windows\WindowsUpdater -> No File <==== ATTENTION
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

У Вас установлено 1-го февраля множество расширений к Chrome. Все их не только проверить, но и прогуглить нет возможности. Отключите хотя бы эти и проверьте эффект:

Teaser.bz
SurfEarner
Кнопка \

Упакуйте содержимое папки C:\Users\Михаил\AppData\Roaming\gnupg в архив, загрузите на файлообменник (rghost.ru, желательно) и дайте ссылку в личном сообщении.

[Avaros]

Прикрепил Fixlog

Расширения вообще удалил:
Teaser.bz
SurfEarner

папка C:\Users\Михаил\AppData\Roaming\gnupg совершенно пуста...

[Vvvyg]

Что с рекламой и тормозами?

По поводу шифровальщика - вспоминайте, что именно запускали перед тем, как.

[Avaros]

MyBestOffersToday и GamesDesktop больше нет, спасибо..
А шифровальщик, как я понял и думаю залез через какое-то письмо с почты mail.., больше догадок дак нет..

[Vvvyg]

Без тела шифровальщика ничего нельзя сказать, это что-то новое...

[Avaros]

а как проверить.., может тело шифровальщика всё ещё на компе..?

[Vvvyg]

По логам не видно. Давайте ещё проверочку сделаем.

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Avaros]

так...сделал, думаю то..)

[Vvvyg]

Чисто.
Выполните скрипт в uVS:

Код:

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
delnfr
delref %SystemDrive%\USERS\МИХАИЛ\APPDATA\LOCAL\CATALINAGROUP\UPDATE\CATALINAUPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\RENEWALSERVICE\SERVICE.EXE
deltmp
restart

Компьютер перезагрузится.

Java 8 обязательно обновите до Java 8 Update 73.

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

[Avaros]

по подробнее плиз..

[Vvvyg]

О чём именно?

[Avaros]

ошибка BEGIN в позиции 1:1

- - - - -Добавлено - - - - -

сначала не понял..всё сделал!!!

[Vvvyg]

На "Выполните скрипт в uVS:" - ссылка, как и в чём выполнять скрипт.

Всё на этом тогда.

[Avaros]

спасибо..