добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

1. удалите все найденное в малваребайт

2. ссылку на прокси сами удалили? ее уже нет в образе автозапуска

прокси вредоносный судя по детекту из соседней темы
https://www.virustotal.com/ru/url/cde25ae3187c23386a0833b4701e0525577c6b6ce31f5376f­33690a76bb8f761/analysis/1454051169/

[QUOTE]добавлен левый прокси:
Цитата
BitDefender Malware site
ESET Malware site
Fortinet Malware site[/QUOTE]

причина скорее всего в этом:
добавлен левый прокси:
https://www.virustotal.com/ru/url/cde25ae3187c23386a0833b4701e0525577c6b6ce31f5376f­33690a76bb8f761/analysis/1454051169/

[QUOTE]BitDefender Malware site
ESET Malware site
Fortinet Malware site[/QUOTE]

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086

delref HTTP://UNSTOPP.ME/WPAD.DAT?6865A6AD30BD8C95C508E63267E2331F4319086

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
стоит заменить все важные пароли на вашем компе.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\WINDOWSUPDATE\UPD­ATER.EXE
addsgn 1A995E9A5583348CF42B254E3143FE84C9A2FFF689594F41C0C34CB11CEF­344CAA028B6E7B5514546FB9C19FCF2309C338DF614F69E3F52C4BFBB147­FE432215 8 BackDoor.IRC.NgrBot.566 [DrWeb]

zoo %SystemDrive%\USERS\LENOVO\APPDATA\ROAMING\MICROSOFT\WINDOWS­\THEMES\NELKLX.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

+
добавьте лог обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCKJEFCHNFJHJFEDOCCJBHJPBNCIMPPEG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://GET-ACCESS.ME/WPAD.DAT?EEA7229C619609D04561CAE3AF41A55E1806121

; Ask Toolbar
exec  MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
REGT 28
REGT 29
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Дмитрий,
tnod используем,
D:\ДИСТР\ЗАЩИТА DEFENCE\ESET_NOD32\TNOD\1.6.0-FINAL\TNOD-1.6.0-FINAL-SETUP.EXE
по правилам форума тема будет закрыта.
обратитесь за помощью на другой форум.

Виталий,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delref %Sys32%\SVCH0ST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QSTATSRV.DLL

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MUHORTOVAEV\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref %Sys32%\CSRCS.EXE

delref HTTP://WWW.QIP.RU/

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Александр Мондзалевский написал:
Добрый день.
Посмотрите файл автозапуска пожалуйста  [URL=http://rghost.ru/7vMgY57l2]http://rghost.ru/7vMgY57l2[/URL] , заразили компьютер шифратором[/QUOTE]
Александр,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ЖКУ\APPDATA\LOCAL\EWRTION\XYZSE.DLL

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET