что делать подробнее вам напишут в техподдержке вашего антивируса.
при наличие лицензии на антивирус ESET напишите в [URL=mailto:[email protected]][email protected][/URL]

добавьте образ автозапуска системы для проверки на остатки тел шифратора.

по encoder.741 расшифровка должна быть в рВеб. или в ЛК.

[QUOTE]zloyDi написал:
[QUOTE] santy написал:
если и сейчас продолжает кидать[/QUOTE]
У меня тоже самое, может ломанули их...[/QUOTE]
угу, перекидывает туда же.

если и сейчас продолжает кидать, сделайте проверку в FRST
[URL=http://forum.esetnod32.ru/forum9/topic2798/]http://forum.esetnod32.ru/forum9/topic2798/[/URL]
+
логи добавить на sendspace.com

@[URL=http://forum.esetnod32.ru/user/25761/]Бекзат Егизбаев[/URL],

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A4E439A5583C58CF42B254E3143FE8E60825FAE38BB1F2546483AE9DB3A­F0A00B14C3579F4530082BB3411603EA1A7120D7BFF1AE25C42B7E9FA01A­C7067BF0 8 Win32/Filecoder.NFY [ESET-NOD32]

zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\АКТ СВЕРКИ.DOC.EXE
zoo %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]
delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\АКТ СВЕРКИ.DOC.EXE
delall %SystemDrive%\USERS\RECEPTION\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\[email protected]
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_**.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL]
------------
по расшифровке файлов, с лицензией на продукт ESET обращайтесь в техподдержку [URL=mailto:[email protected]][email protected][/URL]

угу,
1. что у вас с системной датой происходит?[QUOTE]13.05.2016 11:55:20;Защита в режиме реального времени;файл;C:\WINDOWS\system32\drivers\etc\hosts;Win32/Qhost троянская программа;очищен удалением;;Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\system32\cmd.exe (18D5BF5B022F62A4C546BF92F0A4D1B599253669).;37A39A2A81C631999C3D8C31D4C85BBDF8F45476[/QUOTE]
при том что на момент создания дата нормальная.
2016.05.13 11:58

2. вот эти ключи надо удалить из реестра с помощью regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\9817015
и
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\24990015

через них запускаются команды:
cmd.exe /c copy C:\DOCUME~1\Admin\LOCALS~1\Temp\9816984FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
и
cmd.exe /c copy C:\DOCUME~1\Admin\LOCALS~1\Temp\24989671FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f
------------
по идее, после скрипта выше, это уже не должно работать, потому что файлы \Temp\9816984FdOh и Temp\24989671FdOh должны быть очищены из temp

если они там сохранились, то добавьте их опять же по ссылке на sendspace.com

по образу:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER
REGT 14

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

+
туда же, на sendspace.com добавьте лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]

@[URL=http://forum.esetnod32.ru/user/9639/]Dodger[/URL],
зачем вы опять добавляете ссылку на сайт, который находится в черном списке?
[IMG WIDTH=538 HEIGHT=287]http://s017.radikal.ru/i413/1605/08/4abe0a43ab10.jpg[/IMG]
добавьте образ на [URL=http://sendspace.com]http://sendspace.com[/URL], посмотрим куда на этот раз выведет кривая...

образ залейте на [URL=http://rghost.ru]http://rghost.ru[/URL]