Roman,
используем TNOD
C:\PROGRAM FILES\ESET\TNOD USER & PASSWORD FINDER\TNODUP.EXE
по правилам форума тема будет закрыта.

обратитесь за помощью на другой форум. тем более, что комп основательно завирусован.

можно в архив добавить, а имя архива уже свое создать

Дмитрий,
шифратора уже нет в автозапуске,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDFONANKHFNHIHDCPAAGPABBAOCLNJFP\1.2.0.1_0\ПОИСК  ЯНДЕКСA
;------------------------autoscript---------------------------

hide %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\МОИ ДОКУМЕНТЫ\ЗАГРУЗКИ\RECTORDECRYPTOR.EXE
chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEIDJEEFDDHGEFEPLHDLEGOLDLGIODON%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\1.2.0.4_0\СТАРТОВАЯ — ЯНДЕКС

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

шифратора уже нет в автозапуске

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\DSYNC\DSYNCHRONIZE.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\WIN7CODECS\TOOLS\SETTINGS32.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\R-STUDIO\UNINSTALL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {1392B8D2-5C05-419F-A8F6-B9F15A596612}\[CLSID]

delref {B4EFB02B-CD4A-44B9-B5D9-AA486CDFFAB6}\[CLSID]

delref {37483B40-C254-4A72-BDA4-22EE90182C1E}\[CLSID]

delref {074C1DC5-9320-4A9A-947D-C042949C6216}\[CLSID]

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

deldirex %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCALLOW\UNITY\WEBPL­AYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3D­ONDEMAND%26UC

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALBPA.BAT

del %SystemDrive%\USERS\USER\APPDATA\ROAMING\BROWSERS\EXE.REHCNUALENILTOH.BAT

regt 28
regt 29
; SkyMonk Client
exec  C:\Program Files (x86)\SkyMonk\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

+
добавьте несколько зашифрованных файлов.

Антон,

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

понятно, breaking_bad
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

расширение какое у зашифрованных файлов? добавьте несколько файлов в архиве на форум,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОРЕЛ\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAMDATA\MCAFEE SECURITY SCAN\EXTENSIONS\REGFIREFOXADDON.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHCNCJPGANFOCBFOENAEMAGJJOPKKINDP%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODKMEDFOMGHPHDNMMEMHKPOANGGCFBBE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE

delref %SystemDrive%\USERS\ОРЕЛ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBMKCKGPGEKMANIPELFIDLHMKFCJICION%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WEBALTA.RU/SEARCH

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Bonanza Deals (remove only)
exec  C:\Program Files (x86)\BonanzaDeals\uninst.exe" /uninstall
; Java™ 6 Update 30
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet
; Webalta Toolbar
exec C:\Users\орел\AppData\Local\Webalta Toolbar\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Ais,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АЙСУЛУ\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A99DB9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA3­79A4D2BBC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC7­2D122273 8 Trojan.LoadMoney.681 [DrWeb]

zoo %SystemDrive%\USERS\АЙСУЛУ\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775\PANELREMOVE.EXE
addsgn 1A612D9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B9C3992­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Adware.ConvertAd

addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6196B5F780C9FE19C9692­555803E8D6634E159D212A00849FB903558B3DDFBB8D4056C26C2D1DAD8C­BFE26073 8 timetask

zoo %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKSSETUP.EXE
zoo %SystemDrive%\PROGRAMDATA\TIMETASKS\UNINSTALL.EXE
addsgn A7679BF0AA02EC574BD4C62379881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544491E056863C932558333216530E42F­38852F3F 8 breaking_bad

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1A99849A5583C58CF42B254E3143FE84C9A2FFF68959EF9BCDC34CB1BC35­394CAA022BB476551454CF63CC9FCF23A91935DF614F8939F82C4BFBB127­234E2215 8 Win32/ZaxarGames

zoo %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE

delref %SystemDrive%\USERS\B35B~1\APPDATA\ROAMING\UPDATE~1\UPDATE~1­\UPDATE~1.EXE
del %SystemDrive%\USERS\B35B~1\APPDATA\ROAMING\UPDATE~1\UPDATE~1­\UPDATE~1.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL
del %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL
del %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALS\BONANZADEALSIE.DLL
del %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALS\BONANZADEALSIE.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS
del %Sys32%\DRIVERS\{408FCD28-F599-4B29-ADA2-D72E26C39377}GW64.SYS

delref %SystemDrive%\USERS\АЙСУЛУ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\АЙСУЛУ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

delref HTTP://TORRENTEXPERT.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=D8C8C69145C0EDE6B502A7ABCF1488­A4&UTM_TERM=24EFBB0C907909281BD4350FECC9F556
deldirex %SystemDrive%\USERS\АЙСУЛУ\APPDATA\LOCAL\KOMETA\PANEL

; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET