Выбрать дату в календареВыбрать дату в календаре

Подмена arp-кэша
напишите в support@esetnod32.ru о проблеме
Подмена arp-кэша
как часто такие события наблюдаются в логах?
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
[QUOTE]Валерия МК написал:
Спасибо, есть ли возможность, в случае неудачи, обратиться к Вам с вопросом о расшифровке / подборе пароля к архиву?[/QUOTE]
пробуйте брутфорсить пароль к архиву rar например утилитой от Elcomsoft (Advanced_Archive_Password_Recovery_Professional), вы увидите какое время необходимо затратить, чтобы получить пароль хотя бы длиной 7-8, если он состоит из цифр, букв и спецсимволов.
Подмена arp-кэша
какая версия продукта ESET установлена на рабочих компьютерах?
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
этот майл rob1111stewar@usa.com  (резервный rob1111stewar@hotmail.com) давно (несколько лет) встречается в инцидентах со взломом и вымогательством.
проверьте, есть ли возможность восстановить удаленные данные с помощью например, r-studio. Только запускать r-studio необходимо со стороннего носителя. на диск удаленными данными пока ничего не пишите.

доступ из внешней сети надо прекратить, или разрешить доступ только с определенных доверенных адресов. Иначе, взломы повторятся.

возможно, подобрали пароль, если он был несложный. пароли доступа необходимо сменить.

так же проверьте по журналам событий, с каких ip к вам подключались в этот период.
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
когда шифрование произошло?
Архив Desktop.rar с паролем, Все содержимое удалено и запаковано в архив
добавьте образ автозапуска системы, и записку о выкупе в виде текстового файла.
Не могу установить NOD 32 - MSI 1920, Выдает, что установка не может быть звершена
ну, или такой скрипт (который подтверждает наличие ЗОО) выполните, затем новый образ автозапуска.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\BREK\784680686.EXE
delref HTTPS://SECURESEARCH.ORG?Q={SEARCHTERMS}
delref HTTP://SECUREDSEARCH.LAVASOFT.COM/?PR=VMN&ID=WEBCOMPA&ENT=HP_WCYID10057_344_191005
delref HTTP://SEASONDJMUSIC.COM/APP/APP.EXE
zoo %SystemRoot%\RSS\CSRSS.EXE
addsgn 1A65739A5583C28CF42BFB3A8837670DCD4A010976A342BBD048294A15DE­701AA8E604517AA7DD495F8AEE9310FE91058220B12BDE1CEE71EF73A47A­4CEA4873 8 Win32/Kryptik.GWZN 7

zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\RLIGFI.DLL
addsgn A7679B19918A1A208081BE236F0866010E4A71F6C00412914FC3D537985B­E54D142FC347C1618DF32A80849FC53A6DFD248E6B8BAAAEA5AFD486D03F­9F81F3B5 64 notcheck_VT 7

zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\IS-EMQ2C.TMP\LGNGXIOGQGR.TMP
addsgn A7679B19919E1F245C3CA4C89237FA64B97C031E3153E9876DC86B4AAF3E­FFAFD5E82BF66FA262A12FD47360AE4D3A0D823786A8A2255845B48F5BC7­BB47DB8C 64 not_check_VT1 7

zoo %SystemRoot%\WINDEFENDER.EXE
addsgn 9252620A376AC1CCE0AB734E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Win32/Agent 7

zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\EPICNET INC\CLOUDNET\CLOUDNET.EXE
addsgn 71D13ED8176A4C7D8FAAAFB164695347678A7CCE608F12380EDB467C54D5­B2EF2357895754553C913BC8846096B54DBA37DF632A69597328A46AAC6F­8D062176 8 Cloudnet 7

zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\WUP\WUP.EXE
addsgn BA6F9BB2BD2145720B9C2D754C2160FBDA75303A4536D3B4490F09709C1A­172A2C0847573E559D496303688F0A9F5DDE3156B4565D9783F761FAF00B­DF4A09A3 8 Win64/CoinMiner.DN 7

zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
addsgn 1A3F739A5583C28CF42BFB3A883E570D24DC77074EFC5B0BC4C3B1B63ADA­27A4CFED3CA8670C168F75DD469B4643C2162B209D7ADE2B5805D5885BE8­C14A5132 8 Trojan:Win32/Glupteba.D!bit [Microsoft] 7

zoo %Sys32%\DRIVERS\F1D58DA7A4049097.SYS
addsgn BA6F9BB219E18E3E801D46249B37ED4CAE5AB57D40B29CBCAD2A3702AF29­BD809367C3573E559D492B80849F8C6249FA7D9FE87255DAB02C2D77A42F­C7062273 64 Trojan.Siggen8.43711 [DrWeb] 7

zoo %SystemDrive%\PROGRAM FILES (X86)\MACHINERDATA\MODULARINSTALLER.EXE
addsgn 7300F39B556A1F245CE775D965481205ACD6D8EE4EBE3B681D6285BCD98A­556CE553E7431EAA88E9ABC08460538AC9BA7DFA178DAA65D6112B770723­33442207 26 NSIS/Injector 7

zoo %Sys32%\DRIVERS\WINMON.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCDEDB2F689B294ABCD480AF4DB8A­557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728C0BA2F­C74EA98A 64 Win64/Rootkit.Agent 6

zoo %Sys32%\DRIVERS\WINMONFS.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD9DFCF689B294ABCD480AF4DB8A­557C6B94077761BC33B7D47F48530E9D4C57C32017376613F9941FD57B02­5E2D2273 64 Win64/Rootkit.Agent 6

zoo %Sys32%\DRIVERS\WINMONPROCESSMONITOR.SYS
addsgn BA652BBE5D3D04F1E7F4E63ABE8099FCCD2D62F689B294ABCD480AF4DB8A­557C6B94077761BC2FB7D47F48530E9F15DE7588A0F1B9FAF8A728E0DA2F­C74EA98A 64 Win64/Rootkit.Agent 6

zoo %SystemDrive%\USERS\ПК\APPDATA\LOCAL\TEMP\IS-GJ2FB.TMP\PROGHUI.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9620A737605F785123C3A54344D­8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE5448CC6E42F­A3F91217 19 Win32/Adware.Agent.NSU 7

addsgn A7679B1991AE1F245CE76E3821389B40F9620A737605F785123C3A54344D­8EB3CBA05CA8C1BDCBF6D47F6C72AEE9B6122935178D661AE5448CC6E42F­A3F91217 8 PUA:Win32/CandyOpen [Microsoft] 7

zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\L23XETKYML1\I4JVKPCBT­AU.EXE
zoo %SystemDrive%\PROGRAM FILES\MPDNMXT9RI\MPDNMXT9R.EXE
addsgn 0DC977BA156A7BBC32EE61449E1B2572E721E7DB4CA0811F359F878BF399­316BA1C47DCC82CC00C73A5591EC49A937E6500993B6551DDB37A1C0E1BF­66279CC2 8 MSIL/Kryptik.LML 7

zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\KDAAIUDPYHX\LGNGXIOGQ­GR.EXE
zoo %SystemDrive%\PROGRAM FILES\2QA46FLF1B\2QA46FLF1.EXE
zoo %SystemDrive%\PROGRAM FILES\IHOSW3V4JV\U7U74314I.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\EWUBTX2TZCV\AQ515NMOU­NC.EXE
zoo %SystemDrive%\PROGRAM FILES\8R3RLDZE3B\8R3RLDZE3.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MDE31GXLEF2\XHS11UULT­QM.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GBQ1SM51JCJ\WSCV4N2J3­QP.EXE
zoo %SystemDrive%\PROGRAM FILES\3E1YXGHPJT\3E1YXGHPJ.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\M5SY4TR4KQN\IFCRNMZXC­MP.EXE
zoo %SystemDrive%\PROGRAM FILES\EM9UA6ZIYA\3HYRPLRB3.EXE
zoo %SystemDrive%\PROGRAM FILES\GNPMLQEFID\GNPMLQEFI.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\TJQJD2QVDE3\14MFT3A3W­MK.EXE
zoo %SystemDrive%\PROGRAM FILES\SGPB3HZ0OF\SGPB3HZ0O.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\VYMMVYCPFOI\OHKMDHYCV­QQ.EXE
zoo %SystemDrive%\PROGRAM FILES\QTNB293DY5\3ITQA89EX.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\DXFN1S4D3FK\43OOOIAOL­XV.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\MAHVOBFZIMZ\IVIPR1ODX­41.EXE
zoo %SystemDrive%\PROGRAM FILES\MJC1AJYGUK\MJC1AJYGU.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\WWFHYH4Y2NF\UTLNKRSVO­KH.EXE
zoo %SystemDrive%\PROGRAM FILES\6NHF0NOA1B\HBU3GWOZI.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\FOZP3MQZTNW\QUXM2FNVL­NS.EXE
zoo %SystemDrive%\PROGRAM FILES\U4PJZ4ULC5\U4PJZ4ULC.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\2RZD1332H1Y\HTCH2HKIL­XP.EXE
zoo %SystemDrive%\PROGRAM FILES\L2MK1EFOC3\H103GW31A.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\HO4AJHC40ZO\F4DRJLRCI­UI.EXE
zoo %SystemDrive%\PROGRAM FILES\ANIJHF7F7X\TGDKPI9Z1.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\P5JW5CXWCFO\FU0CJ5UII­TE.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\XPUUH14TOCR\2XQMUXAGI­O0.EXE
zoo %SystemDrive%\PROGRAM FILES\VAI0L12P4Y\VAI0L12P4.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GDF5LAKZLSL\HCCS2V3VI­F0.EXE
zoo %SystemDrive%\PROGRAM FILES\LAHVSJWQJ8\LAHVSJWQJ.EXE
zoo %SystemDrive%\PROGRAM FILES\K9C8OALJLD\K9C8OALJL.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\GLCJRWNFNU1\5U25SJHCU­0L.EXE
zoo %SystemDrive%\PROGRAM FILES\X54GZCX58B\X54GZCX58.EXE
zoo %SystemDrive%\USERS\ПК\APPDATA\ROAMING\O2J2MDL2ESR\OIJAZO0WA­4F.EXE
zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PHOTOCONVERTER_LITE.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9625E637605F7D1223C3A54841F­8EB3CB0C09A8C1BD93BAD47F6CEAB2E9B6C9BD8A80A9F49AB048D247C0A6­E735F026 8 PUA:Win32/CandyOpen [Microsoft] 7

zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PHOTOCONVERTER.EXE
zoo %SystemDrive%\USERS\ПК\DOWNLOADS\PDFCREATORWEBSETUP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F­8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42F­A3F91217 8 PUA:Win32/CandyOpen [Microsoft] 7

chklst
delvir

deldirex %SystemDrive%\USERS\ПК\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

delref MRGTMONERO@PROTONMAIL.COM
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDELHFHCFBDHNDFPCINEBIJFCJPMPEC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
apply

regt 27
regt 28
regt 29

deltmp
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARLOADER.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\58.0.3029.81\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {126F4AE6-31EC-4A1E-AC60-B1E5FF812C3D}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\MASSFILTER.SYS
delref D:\CDRIVER64.SYS
delref %Sys32%\DRIVERS\TBPANEL.SYS
delref %Sys32%\DRIVERS\ZTEUSBMDM6K.SYS
delref %Sys32%\DRIVERS\ZTEUSBNMEA.SYS
delref %Sys32%\DRIVERS\ZTEUSBSER6K.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\ПК\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\AP­PLICATION\25.0.1364.22194\DELEGATE_EXECUTE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\MCAFEE SECURITY SCAN\3.11.523\MCCOREPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET SECURITY\EPLGOUTLOOK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.2.183.39\GOOPDATE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.65\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.79\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.111\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.69\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ITUNES\ITUNES.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref I:\LAUNCHU3.EXE
delref {E1FDD8C7-FF85-4C72-A362-4EA80013F088}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\ZAXAR\ZAXARGAMEBROWSER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
[ Закрыто] Ошибка MSI.1303 вызвана вредоносными программами
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.7 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\RUNDLL\START.EXE
addsgn 1A69149A5583348CF42B254E3143FE53A8CFF4A6020BF7FA793C3A7B5622­B50E239C050963979949EC81705B0416A0CD802017F9AA8F3BC07BFC55E8­C1F2E631 8 Python/Agent.BT 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNECFMKPLPMINFJAGBLFABGGOMDPAAKAN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH\1.2.9.0_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHKBFKKOHCDGPCKFFAKHBLLIFKAKIHMH\2.0.1.16_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\IBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF\2.0.3.16_0\ПОИСК  ЯНДЕКСA
delref %SystemDrive%\USERS\ANTON\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NECFMKPLPMINFJAGBLFABGGOMDPAAKAN\2.0.3.15_0\ПОИСК  ЯНДЕКСA
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

; Java™ 6 Update 45 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416045FF} /quiet

; Java™ 6 Update 45
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216045FF} /quiet

deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\29.0.1547.67\INSTALLER\CHRMSTP.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %Sys32%\BLANK.HTM
delref SWPRV\[SERVICE]
delref %Sys32%\DRIVERS\EW_JUBUSENUM.SYS
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.15\PSMACHINE.DLL
delref D:\INSTALL MEGAFON INTERNET.EXE
delref D:\HISUITEDOWNLOADER.EXE
delref F:\INSTALL MEGAFON INTERNET.EXE
delref E:\DRIVERPACK.EXE
delref F:\HISUITEDOWNLOADER.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {91397D20-1446-11D4-8AF4-0040CA1127B6}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

+ вопрос:
что именно нашел дрвеб
[QUOTE]Проверили dr. web cureit нашлось 75 вирусов, удалили и лечили.[/QUOTE]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
Название шифровальщиков, Другие названия шифровальщиков Win32/Filecoder
В большинстве случаев файлы шифраторов образуют класс вредоносных программ, называемый FIlecoder.
варианты шифраторов подразделяются на виды Filecoder.B (bat encoder), Filecoder.BC/BD/AS (CryptoVault) и т.д.

Кроме, того, наименования шифраторов может иметь общепринятый вид, например:
CryptVault, HydraCrypt, Cerber, CryptoWall, TeslaCrypt, Enigma, RotoCrypt, Crysis и другие

префикс Win32/Kryptik добавляется к вредоносному файлу, если он закриптован таким образом, что сигнатурно невозможно определить
какой вариант вредоносного кода находится в под "криптоскорлупой".