Илья Ураков,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\PUBLIC\[ЭКОНОМИСТ]\DOWNLOADS\RAMBLERFIREFOX.EXE
chklst
delvir

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\TEMP\924B4A38.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\АВИАБАЗА\APPDATA\LOCAL\WEBALTA TOOLBAR\UNINSTALL.EXE

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL

del %SystemDrive%\USERS\ЭКОНОМИСТ\APPDATA\LOCAL\YANDEX\YANDEXBRO­WSER\APPLICATION\BROWSER.URL

del %SystemDrive%\USERS\E.MOSKOVKINA\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\BR­OWSER.URL

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\МОЗИЛА\FIREFOXSETUP.EXE
addsgn 925277EA146AC1CC0B74504E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Trojan.Carberp.12 [DrWeb]

;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

да, и расширение архивов стали использовать: xz, arj, ace... при том, что winrar нормально их открывает.

ГБУЗ Самарская,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

похоже на Filecoder.DG
.id-\d{10}_%EmailAddress%

добавьте  образ автозапуска системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АФ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.17.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

; Java™ 6 Update 16
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216016FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[QUOTE]Денис Щелкунов написал:
[QUOTE] Денис Щелкунов написал:
Здравствуйте.
Нужна помощь в очистке системы.
better_call_caul
Образ автозапуска приложил[/QUOTE]Прошу отписаться, возможно ли моём случае что-нибудь сделать. Лицензия на Нод есть.[/QUOTE]

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\AXWORKS\C7D8DA30.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref HTTP://SEARCH.QIP.RU

deldirex %SystemDrive%\PROGRAM FILES\MOBOGENIE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\MOBOGENIE

; Mobogenie
exec C:\Program Files\Mobogenie\uninst.exe
; Java™ 6 Update 15
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216015FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Оксана,
у вас похоже в системе файловый вирус, т.е. вылечить систему из нормального или безопасного режима не получится
добавьте, как детектирует антивирус сейчас то что он находит и удаляет.


надо лечить систему с загрузочного диска.

пролечите зараженную систему с помощью Live.CD
DrWeb
http://chklst.ru/discussion/26/dr-web-livecd#latest
или ESET rescue
http://chklst.ru/discussion/13/eset-sysrescue-na-baze-linux-ot-eset-russia#latest
после полной проверки и очистки системы из под загрузочного диска
можно сделать новые логи по правилам для дальнейшей проверки

Алексей Геннадьевич,
выполните скрипт по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
addsgn 1A57F89A5583348CF42B627DA804DEC9AEC6D8F27E3B1C7885C3B198DAD7­F28D2293032370A25C4A2B8084EAA91349FA7DDF65D671DAB02C2DFA000B­C7062273 8 Filecoder.ED

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EKBTION\SYMMON2.DLL
delall %SystemDrive%\USERS\ALEKSEY\APPDATA\LOCAL\EHTION\SYMMON2.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Evgeniy,
добавьте образ автозапуска системы