Евгений Коваленко,

судя по образу, система уже очищена от файлов шифратора.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\SWEET-PAGE

deldirex %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC

deldirex %SystemDrive%\PROGRAM FILES\NETCRAWL

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\U­PDATE~1.EXE
delref {95289393-33EA-4F8D-B952-483415B9C955}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС
delref HTTP://WWW.DELTA-HOMES.COM/?TYPE=HP&TS=1419324969&FROM=WPM12233&UID=HITACHIXHDS721050CLA­362_JP1572JE3PRLPK3PRLPKX
delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE
apply

deltmp
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\SWEET-PAGE\UNINSTALLMANAGER.EXE
delref %SystemDrive%\PROGRAM FILES\USB-МОДЕМ БИЛАЙН\HUAWEI\UNINST.EXE
delref %Sys32%\KMTWAINCTRL.CPL
delref {D03D3E69-0C44-3D45-B15F-BCFD8A8B4C7E}\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES\NETCRAWL\UPDATENETCRAWL.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.135\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.99\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.23.9\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.27.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.26.9\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.115\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.31.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.1\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.123\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\V8_BF99_AA.TMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.32.7\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER2\BROWS­ERMANAGERSHOW.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.21.111\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.28.15\PSUSER.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\UPDATE\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\ASOUTEXT.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\RIMAN\A4SCANDOC\VSTWAIN.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\BROWSESTUDIO\BIN\{770F8173-DBEB-406E-BB39-F5F1A22362D8}.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~1\KYOCERA\KMTWAIN\KMTWAI~1.EXE
delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref D:\AUTORUN.EXE
delref D:\INSTALL MEGAFON INTERNET.EXE
delref E:\INSTALL MEGAFON INTERNET.EXE
delref F:\SETUP.EXE
delref D:\LENOVO_SUITE.EXE
delref E:\SISETUP.EXE
delref H:\AUTORUN.EXE
delref D:\NOKIAPCIA_AUTORUN.EXE
delref %SystemDrive%\PROGRAM FILES\MEGAFON MODEM\UPDATEDOG\OUC.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

+
добавьте на форум в ваше сообщение несколько зашифрованных файлов + записку о выкупе (README*.TXT) в архиве.

@Влад vrate,

[QUOTE]Sage 2.0
Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_filename: !HELP_SOS.hta
   ransomnote_url: http://7gie6ffnkrjykggd.onion/
   sample_extension: .sage
   sample_bytes: [0x28505 - 0x28509] 0xBEBA9E5A[/QUOTE]
https://id-ransomware.malwarehunterteam.com/identify.php?case=3af97157994233f97a4eb0bb35ef925ed8706d11


@Толстой Алекс,
добавьте несколько зашифрованных файлов в архиве, и образ автозапуска системы.
если сохранилось тело шифратора (или вложение из почты), вышлите в почту [email protected] в архиве, с паролем infected.

Евгений Протасов,
закодированные файлы с каким расширением? *.no_more_ransom или другое?
добавьте на форум в ваше сообщение несколько зашифрованных файлов + записку о выкупе (README*.TXT) в архиве.

Евгений Протасов,
шифратора нет в системе, а вот майнер есть активный.


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\SVCHOST.EXE
addsgn BA6F9BB2926F3E303CD4AEB164C8FAB8FDAAFC1E1106E08715538D3F94FE­B2DC765F4AB276D679A96301681F451649B27EC82C93ACB472E8CF0ABDEF­02FBF666 8 Win64/BitCoinMiner 7

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian 7

chklst
delvir

setdns DNS Server list\8.8.8.8,8.8.4.4
setdns Беспроводное сетевое соединение\4\{191B47E5-C09A-4777-90DB-BD4F0440ED8B}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{F31D07A0-4A0A-4E87-AF52-FE19B559C50F}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

deldirex %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\USER\QULPRYCM.EXE
apply

regt 28
regt 29
; Java™ 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\YUPDATE-PING-PUNTO.TEMP
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MAIL.RU\MAILRUUPDATER.EXE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\DISTRIBTIVE\WINRAR3.71_FULL_THEME.EXE
delref %SystemRoot%\SYSWOW64\TBSSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MAIL.RU\SPUTNIK\MAILRUSPUTNIK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\ELEMENTS\BARTABHOST.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBC}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\062399~1.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\068523~1.EXE
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\DRIVERS\TSUSBHUB.SYS
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\BAPIDRV64.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEE.EXE
delref %Sys32%\DRIVERS\SYNTH3DVSC.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKYPE\PLUGIN MANAGER\EZPMUTILS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %Sys32%\NVCUVENC.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.145\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.22.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.135\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.123\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.165\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\BROWSERMANAGER­\BROWSERMANAGERSHOW.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.23.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.149\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\{CEC9656D-2EF4-4FDB-97DF-1914B7A5C14D}\LAUNCHER_I117447929.EXE
delref %SystemRoot%\SYSWOW64\NVCUVENC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\USER\DESKTOP\RUSFOLDER_DOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.107\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref G:\HTC_SYNC_MANAGER_PC.EXE
delref E:\AUTORUN\AUTORUN.EXE
delref {10DB41A2-8A81-4788-B635-ABA6749A7D87}\[CLSID]
delref {898EA8C8-E7FF-479B-8935-AEC46303B9E5}\[CLSID]
delref {AE805869-2E5C-4ED4-8F7B-F1F7851A4497}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\BROMIUM\APPLICATION\1­8.0.1025.1634\INSTALLER\SETUP.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\BROMIUM\APPLICATION\C­HROME.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MIPONY\MIPONY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL\RAIDCALL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAIDCALL\UNINST.EXE
delref D:\ИГРЫ\МОНОПОЛИЯ\MONOPOLY\SNKMP.EXE
delref D:\ИГРЫ\МОНОПОЛИЯ\MONOPOLY\HOMEPAGE.URL
delref D:\ИГРЫ\ТАНКИ ТЕСТ\WOTLAUNCHER.EXE
delref D:\ИГРЫ\ТАНКИ ТЕСТ\UNINS000.EXE
delref D:\ИГРЫ\AGE OF MYTHOLOGY\AOMX.EXE
delref D:\ИГРЫ\AGE OF MYTHOLOGY\AOM.EXE
delref D:\ИГРЫ\AGE OF MYTHOLOGY\ND.URL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

@Алексей Сергеевич,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\AEE9C62F.EXE
addsgn 9252774A0A6AC1CC0B944E4EA34FFE85168A8D1AD65748F1604E5998D017­8EB312D7936EE220660F6DD3ECE23A2049ADFE1CEC213DD1773A2D2127EC­C35572B4 8 a variant of Win32/Filecoder.ED 7

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\A86B5C6747183B1C­9BBB4181C53F302D.DLL
addsgn 729053925465C99500D4AED1DAC88216350742F60916E02F0C2648207456­B0B3DC2603070789E8B26DC6D7F736D16BFA2A5C2B7606B2FD732277F2AC­04027123 64 a variant of Win32/Filecoder.ED 7

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679B19B9761B1AC1C0AEB1C5DCD15725DA03E37D7D4D780003B1BE9DCF­FA9EA842CBDCECDC8855E8D284166BEA8BA87D19AD81551DF5C035B7F62F­0043CA0F 8 Win32/Kryptik 7

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CE14E8BD.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A60F4690848F1604E5998D027­8DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DFDC4212D2127EC­C35572B4 8 Win32/Filecoder.ED [ESET-NOD32] 7

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\030049F0.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D027­8DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127EC­C35572B4 8 Win32/Filecoder.ED 7

zoo %SystemDrive%\PROGRAMDATA\CSRSS\CSRSS.EXE
zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
zoo %SystemDrive%\PROGRAMDATA\SERVICES\CSRSS.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\APPLICATION DATA\ASPACKAGE\ASPACKAGE.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0FA02483C5353CF2­65B3362753173E3D9CC92B807B8AFE8609FA2820FDB2C79AB04625D45C09­B806CA45 59 AdWare.ConvertAd 7

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\DEALPLY

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\APPLICATION DATA\VOPACKAGE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\VOPACKAGE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\APPLICATION DATA\MYDESKTOP\QWEEECL.EXE
delref HTTP:\\HELLO.LIMBBO.RU\OFFERS\RU.CSV
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\COUPONRISER\COUPONRISER_STB.EXE
delref HTTP://DCUBEGE.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=65D7070BB524C9CE20A0E94F70433­559&UTM_TERM=0752C824510FFFD073CDC97F558A4D1F
delref %SystemDrive%\PROGRAM FILES\FITBIT CONNECT\FITBIT CONNECT.EXE
delref %SystemDrive%\PROGRAM FILES\OBNOVI SOFT\OBNOVISOFT.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\AHNPHCMHMHCJJCJHMNNJJLBMAELJECGA\12.0.8_0\ПОИСК MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_1\ПОИСК MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\PROFILE 4\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
apply

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}\[CLSID]
delref {6E32070A-766D-4EE6-879C-DC1FA91D2FC3}\[CLSID]
delref {8E5E2654-AD2D-48BF-AC2D-D17F00898D06}\[CLSID]
delref {91397D20-1446-11D4-8AF4-0040CA1127B6}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref {E2E2DD38-D088-4134-82B7-F2BA38496583}\[CLSID]
delref {1B1F6171-E8D6-4F5F-9778-3009CC2748E2}\[CLSID]
delref {FF20459C-DA6E-41A7-80BC-8F4FEFD9C575}\[CLSID]
delref {452ADB5B-00BE-469D-A65F-3046146B2ED5}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref E:\AUTORUN.EXE
delref E:\AUTOINSTALL.EXE
delref G:\LAUNCHER.EXE
delref G:\AUTOINSTALL.EXE
delref {BDEADF00-C265-11D0-BCED-00A0C90AB50F}\[CLSID]
delref {041CA328-918A-4EB9-BBC0-525BB3E5B535}\[CLSID]
delref {09900DE8-1DCA-443F-9243-26FF581438AF}\[CLSID]
delref {0E8A89AD-95D7-40EB-8D9D-083EF7066A01}\[CLSID]
delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
delref {17B4E3DD-1CD4-4BCE-AC11-8DCD50771F5E}\[CLSID]
delref {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\[CLSID]
delref {29B6CFD5-0064-411A-8C42-9890C83F9921}\[CLSID]
delref {2A5D2C17-4836-4BBE-897F-64167A9101EB}\[CLSID]
delref {3431BE7D-729A-421C-B05F-DA10D63C4F38}\[CLSID]
delref {444785F1-DE89-4295-863A-D46C3A781394}\[CLSID]
delref {5FAB84B8-F777-45C0-A23A-A7074432A2B9}\[CLSID]
delref {61628E2A-4FF9-4454-992D-D92A8CD27399}\[CLSID]
delref {6220FB26-353D-4F22-9E8B-2CAA1B1A5211}\[CLSID]
delref {6325E28F-D844-41BC-A0DA-098771915D9B}\[CLSID]
delref {6414512B-B978-451D-A0D8-FCFDF33E833C}\[CLSID]
delref {748E146C-5842-4AD4-8A01-ACA7E61C6FCE}\[CLSID]
delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]
delref {77E06B43-DAE7-44C8-A17E-142F018E412C}\[CLSID]
delref {77E65655-CE52-4AA0-B431-1ABED0D9A59C}\[CLSID]
delref {8151E923-BAE1-4C40-9A7D-1E8BBFB438F7}\[CLSID]
delref {8A06DE21-1DB8-426F-8E46-3B96134B9FA8}\[CLSID]
delref {8E39EBE3-185C-40DC-88D7-D3285CFF07B2}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref {9B162141-8C4B-47B8-B0A4-678026ADB884}\[CLSID]
delref {AAF93162-F338-41CB-BB5F-4115BDA972FB}\[CLSID]
delref {B5B27B9D-BDFC-4645-9AA5-33A8008E3860}\[CLSID]
delref {B738032D-77A3-443B-B7FB-BAD755CBB314}\[CLSID]
delref {BC7D8114-76A4-47B5-A009-15ABB5E6AB57}\[CLSID]
delref {C8804369-9983-48B4-ACED-DB6C44418EA4}\[CLSID]
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]
delref {DFEAF541-F3E1-4C24-ACAC-99C30715084A}\[CLSID]
delref {EF7BD87A-8024-11E2-F316-F3E56188709B}\[CLSID]
delref {FE341F2F-1296-4C20-82C0-E6EC54F4D8B7}\[CLSID]
delref {C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\TRUEKEY\MCAFEE.TRUEKEY.INSTALLERSERVICE.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ACROBAT READER DC\ACRORD32INFO.EXE
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref D:\SETUP.EXE
delref D:\ASRSETUP.EXE
delref %SystemDrive%\PROGRAM FILES\OUTLOOK EXPRESS\MSIMN.EXE
delref %Sys32%\RCIMLBY.EXE
delref %SystemDrive%\PROGRAM FILES\OUTLOOK EXPRESS\WAB.EXE
delref %SystemDrive%\PROGRAM FILES\ANYSEND\ANYSENDUI.EXE
delref %SystemDrive%\PROGRAM FILES\ANYSEND\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\HAMSTER SOFT\HAMSTER PDF READER\HAMSTERPDFREADER.EXE
delref %SystemDrive%\PROGRAM FILES\PHOTOCONVERTER STANDARD\PHOTOCONVERTER.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\LOCAL SETTINGS\APPLICATION DATA\COUPONRISER\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\DEALPLY\UNINST.EXE
delref %SystemDrive%\PROGRAM FILES\MIPONY\MIPONY.EXE
delref %SystemDrive%\PROGRAM FILES\TOTAL COMMANDER\PLUGINS\EXE\TWEAKTC.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ОПЕРАТОР\APPLICATION DATA\VOPACKAGE\VOPACKAGE.EXE
delref %SystemDrive%\PROGRAM FILES\OBNOVI SOFT\UNINSTALL.EXE
delref %SystemDrive%\PROGRAM FILES\OPERA\LAUNCHER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

по расшифровке файлов восстанавливаем файлы из архивных копий
если таковых нет,
сохраните важные каталоги с зашифрованными файлами на отдельный носитель до лучших времен, когда вирусописатели начнут раздавать всем бесплатно приватные ключи.

проверьте так же назначение этого файла
C:\PROGRAMDATA\SYSTEMAVX-AES\ST.EXE
HKLM\mfpqvpuks\Software\Microsoft\Windows\CurrentVersion\Run­\st.exe
C:\ProgramData\SystemAVX-AES\st.exe

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0b11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\INTEL\SRVANY.EXE
addsgn 1A54A79A5583338CF42B627DA804DEC9E946303A4536482E0EB7E1ACDB9A­5558A86BE75BB59416982846BF61301E7202725D807155DABF96088B9563­C7075174 8 Win32/Filecoder.Ishtar 7

zoo %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\FONTDRVHOST.EXE
addsgn 9A64769A55024C720BD4C68D508912ED79CAFCF60A3E131085C3C5BCB883­314C23B483637F55F5492B8084F7460649FA15DFE8725532F26C2D770713­F347229B 8 Trojan:Win32/Dynamer!ac [Microsoft] 7

zoo %SystemDrive%\INTEL\LOGS\FONTDRVHOST.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE

delref D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE
del D:\АРХИВ 1С\NICEHASHMINER_V1.7.3.6\NICEHASHMINER.EXE
delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS
del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\M\START.VBS
delref %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE
del %SystemDrive%\USERS\BUH2\APPDATA\ROAMING\MICROSOFT\WEBISIDA.BROWSER.EXE
delref %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS
del %SystemDrive%\PROGRAMDATA\SERVICE\PUBWIN.VBS
delref %SystemDrive%\PROGRAMDATA\UPDATE.EXE
del %SystemDrive%\PROGRAMDATA\UPDATE.EXE
delref %SystemDrive%\PROGRAMDATA\MUI.EXE
del %SystemDrive%\PROGRAMDATA\MUI.EXE
apply

deltmp
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref HELPSVC\[SERVICE]
delref TABLETINPUTSERVICE\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref NATIVEWIFIP\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref WLANSVC\[SERVICE]
delref %Sys32%\DRIVERS\DGIVECP.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\PENNYBEE\PENNYBEE.EXE
delref %Sys32%\PSXSS.EXE
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.30.3\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.24.7\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.28.13\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.29.5\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.25.11\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.24.15\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.29.1\PSUSER_64.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.21.149\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.21.145\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.21.79\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.30.3\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.24.7\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.21.153\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.28.13\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.29.5\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.25.11\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.24.15\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.21.165\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.22.3\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.29.1\PSUSER.DLL
delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\UPDAT­E\1.3.22.5\PSUSER.DLL
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_C707_91­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_C94B_80­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_4D70_AE­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_A2F5_AE­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\5\V8_50AF_A8­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\2\V8_E6F7_8D­.TMP
delref %SystemDrive%\USERS\МОСЕНЁВА\APPDATA\LOCAL\TEMP\3\V8_48F3_5C­.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_DD99_94.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\2\V8_F7C6_AB.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\4\V8_40AE_A1.TMP
delref %SystemDrive%\USERS\ЮРЛОВА\APPDATA\LOCAL\TEMP\5\V8_C4EB_63.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\5\V8_1DE0_E3.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_61F1_9B.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_F987_68.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\2\V8_FDE7_99.TMP
delref %SystemDrive%\USERS\АЛЬКИНА\APPDATA\LOCAL\TEMP\3\V8_DCCA_CA.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\4\V8_D33_5B.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E127_9B.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_FC03_98.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_72EB_51.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_A90F_94.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_E4DC_91.TMP
delref %SystemDrive%\USERS\UNIVER\APPDATA\LOCAL\TEMP\2\V8_C34_66.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_29_6B.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\2\V8_126D_97.TMP
delref %SystemDrive%\USERS\RYAZAN\APPDATA\LOCAL\TEMP\5\V8_EC2B_94.TMP
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\3\V8_7DD_DF.TMP
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\TEMP\4\V8_D32A_64.TMP
delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\2\V8_9B66_­A5.TMP
delref %SystemDrive%\USERS\СОЛОМАТИНА\APPDATA\LOCAL\TEMP\5\V8_A4BF_­D9.TMP
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SAERHDLR.DLL
delref %SystemRoot%\SYSWOW64\SAIMGFLT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SASEGFLT.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SAMINDRV.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {92780B25-18CC-41C8-B9BE-3C9C571A8263}\[CLSID]
delref %SystemDrive%\USERS\ANTON\WINDOWS\TWAIN_32\SAMSUNG\SCANMGR.EXE

restart
;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

минутку, сейчас еще раз проверю скрипт, пока ничего не выполняем

по расшифровке обращайтесь в техн. поддержку [email protected] при наличие лицензиии на продукты ESET

А чем зашифровано? в Krjakl или Crysis?