Денис Порфирьев,
добавьте образ автозапуска с зашифрованной системы

Сергей Харитонов,
шифратор еще активен:
в процессах
C:\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
и в автозапуске
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem

по правилам форума мы не можем вам помочь с очисткой системы, поскольку вы используете tnod
C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE
-----------
обратитесь за помощью на другой форум

Николай Мухин,
вот из этого файла был запуск шифратора.
C:\DOCUMENTS AND SETTINGS\BURMISTROVAOI\LOCAL SETTINGS\TEMP\7ZO1CC6.TMP\081215SCAN.SCR
запущен из почтового вложения или архива по ссылке из сети.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\BURMISTROVAOI\LOCAL SETTINGS\TEMP\7ZO1CC6.TMP\081215SCAN.SCR
delall %SystemDrive%\DOCUMENTS AND SETTINGS\BURMISTROVAOI\LOCAL SETTINGS\TEMP\CCE347D1.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\BURMISTROVAOI\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\KLOR9T33.DEFAULT\EXTENSIONS\[email protected]
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Захар,
система чистая,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Николай Донцов,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemRoot%\ZEON.EXE
delall %SystemRoot%\ZEON_MESSAGESSERVER.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Антон П написал:
Теперь только не понятно как расшифровать файлы (([/QUOTE]
начните общаться с техподдержкой, они подскажут что делать.

Никита,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AMINLPMKFCDIBGPGFAJLGNAMICJCKKJF\1.0.3_0\ПОИСК ЯНДЕКСА
delref %SystemDrive%\USERS\1\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[QUOTE]CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
CHR HKLM-x32\...\Chrome\Extension: [aminlpmkfcdibgpgfajlgnamicjckkjf] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [cpegcopcfajiiibidlaelhjjblpefbjk] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [dbhjdbfgekjfcfkkfjjmlmojhbllhbho] - hxxps://chrome.google.com/webstore/detail/dbhjdbfgekjfcfkkfjjmlmojhbllhbho
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [gehngeifmelphpllncobkmimphfkckne] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:

[/QUOTE]

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\SMARTWEB\SMARTWEBAPP.EXE
addsgn 1A3AF59A5583338CF42BFB3A883707E934CCFC9C88590BBDC2C32DFED4D6­71B3561F2B454C559DCA169441D8461610A308D78273BDF2342C2D2ECC26­C306E29B 8 Adware.Shopper.859 [DrWeb]

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\SMARTWEB\SWHK.DLL
addsgn A7679B1928664D070E3CCC8764C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D95292A906C6D411649C9BD9F6307595F4659214E9153­4407327C 64 Adware.Shopper.859 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER\CONTENTDEFENDER.EXE
addsgn BA6F9BB2BD19DF720B9C2D754C211005258A303AC173435C958B4CC874CE­2604A0FBF3BF2E0B9D4924377426441649FA95207A725562FD762D77ECA2­FA851B88 8 Win64/Riskware.NetFilter

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\TEMP\NSHA44.TMP
addsgn 1A10EC9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E­86BD1852D32431BD63B9D47F439F4A1649FA4E1F03335A75FD3C7B202FDE­FE5B2A07 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\SWIFTSEARCH_1.10.0.25\SERVICE\SWSESRVC.EXE
addsgn 1AA4139A5583378CF42BFB3A889B995835DDCF090C216A6C6DDADABC5011­715A2317C3BF526C9D4918406FEC107EF5F97DDF8273BD9E8B2C2DFC5476­9E83D407 8 Win32/Adware.Vitruvian

zoo %SystemDrive%\USERS\PK\APPDATA\ROAMING\TEXTEDITOR\DAEMON\TEX­TEDITOR.EXE
addsgn 1A1A289A5583338CF42BFB3A8843570D73010D75EFFE1FBF83BF44FD5010­374423E8F3BF96559D49A046DAC2841249AFF63363375D1DB150AC36A4A4­C78F6377 8 Trojan.Amonetize.11311 [DrWeb]

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\SMARTWEB\SMARTWEBHELPER­.EXE
addsgn 1A3B099A5583338CF42BFB3A8837076DA4C8FC9C88593324C6C32DFFD0D6­71B3561F2BEA55559DCA16ACD8DC461610A308D78273BDF3302C2D2ECC26­C306E29B 8 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\REC_EN_77\REC_EN_77.EXE
addsgn 1A55C39A5583C58CF42B254E3143FE86C9C65D5689821F4B404A804003E5­AA1BA8EE4A0AFEDCC0F5107BF185AEFB0FFA7D18E86455DAB0C459F0A42F­44CCDDF8 8 Adware.Downware.11216 [DrWeb]

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\827C5C40-1449601080-11E3-A635-0C54A506C41B\QNSRDD77.TMP
addsgn 1A3F2B9A5583C58CF42B627DA804478EC9DDAA7DFCF694359548B8B4DB17­FA9D20D1F8A9485DA6B12402249E4616C803FDDFE87227C63311899CE62F­C7723124 8 Win32/Somoto

zoo %SystemDrive%\USERS\PK\APPDATA\ROAMING\RUSTV PLAYER\RUSTV PLAYER.EXE
addsgn A7679B19919A1FCA2B19F4B18C2FB5D0DA2BAC78E2FA947805BBFDBC24C6­D01CAD7CC3DC3EBDEF34C47F005F321AE8AAF3B4E8F95551A0D37F332F22­E7884973 8 Adware.Wysarjeg

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIAGET2\MEDIAGET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 14 Win32:FakeSys-BF [PUP]

addsgn 1A5BC39A5583C58CF42B254E3143FE86C9C65D72E9871F4B404A804003E5­AA1BA8EE4A0AFEDCC0F5107BF185AE3D0EFA7D18E86455DAB0C45FF0A42F­44CCDDF8 8 Win32/AdWare.EoRezo

zoo %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010168\GMSD_RU_005010168.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010169\GMSD_RU_005010169.EXE
addsgn 1AEAFC9A5583C58CF42B627DA804DEC9E946303A02AE3B740E8FE1B8D504­052510D749131A5D19895E960565C61649FA0FD16B4F6D90F42C2D03A1C6­A18D2273 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\827C5C40-1449414633-11E3-A635-0C54A506C41B\KNSJ75B6.TMP
addsgn 1A65219A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A89BC57­334CDC02B7A77F5518895E98D277BC0449FAF62F1767CD2AF12C7D9F0E3D­C7067BFA 8 Trojan.Amonetize.10301 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\MANAGER\MANAGER.EXE
addsgn 1A9D969A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B­7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA­317335B5 8 Adware.Downloader.BO [BitDefender]

zoo %SystemDrive%\PROGRAMDATA\TMP0X0X\PROTECTWINDOWSMANAGER.EXE
addsgn 1ACA0C9A5583378CF42BFB3A889E99702D090216FE954C2F2413B0E55053­B1393EFF5D2F3E55F757C374FC9F467EB6FA7DDF008F61DAB08DFD02FD2F­9E5FA785 64 Win32/TrojanClicker

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\TEMP\NSCB17D.TMP
zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\TEMP\NSU91DB.TMP
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC10­8506CA7A 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\TEMP\NSL5B3D.TMP
zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\LCOUPON\LCUPSTBL.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\IDMSQ\UNINST.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\GRETECH\GOMPLAYER\UNINSTALL.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\IMGBURN\UNINSTALL.EXE
addsgn 1A1A1D9A5583C58CF42B95BC8885450550880F356087747885483AED97D7­91B577172B2252559D10E80B7BCACDFA1F718C370B8DAA2546692576D028­91EECB91 64 Trojan.GenericKD.2901838 [BitDefender]

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\TEMP\WK2_CPX1G3A99NSY.TMP
addsgn 1A0BCB9A5583C58CF42B2570E7A81605E28A50D7E0FAD9388DC30637AF83­FAA0A8D6481A36929DE50AE984144F9F01FEBB9FE0720818B82CA636A0AA­077327CB 8 Win32/Adware.EoRezo

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\GMSD_RU_005010168\UPGMS­D_RU_005010168.EXE
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AMINLPMKFCDIBGPGFAJLGNAMICJCKKJF\1.0.3_1\ПОИСК ЯНДЕКСА
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG\3.1.0.83_0\СОВЕТНИК ЯНДЕКС.МАРКЕТА
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LBJIACDNBELLPBHOCABGHHOLHNLBOIBG\1.2.7_0\PIX: PIXEL MIXER
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JGDEOAGNDHABDNOENPDCAGBKKMJEIBMH\2.4_0\PIXECT
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ELMBCMLMDJFEMOLGAPOECFHCMCJGDMBH\0.0.0.8_0\LCOUPON
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LIMLKEABOOCFCFNCJKKGHCLKJIDBEDEM\1.0.12060_0\WEVIDEO NEXT
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LEDKJPBCIOJMAFIDAKNNHANNHONFOKCE\0.0.0.5_0\WIDEO.CO - MAKE VIDEOS ONLINE
delall %SystemDrive%\PROGRAM FILES (X86)\SWIFTSEARCH_1.10.0.25\UPDATE\SWIFTSEARCHAUTOUPDATECLIENT.EXE
addsgn 79132211B939C72F038225C4684DE452AEF7EC83807922B0F1C3D5BCBBF0­F2B22263C6D4C057E86B8A18019F5693898E7488BE21AA0A35EC597BF379­94EE2C8C 64 Win32/Toolbar.CrossRider

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\BROWSER TOTAL\{A177E6D4-7CFC-1511-BB3D-D9E06F981C3D}\BROWSERTOTAL.DLL
addsgn 79132211B939C72F038225C4684DE452AEF7EC8380792208C7C3D5BCBBF0­F2B22263C6D4C057E86B8A50C69F5693898E7488BE21AA0A35EC597BF379­94EE2C8C 64 Win32/Toolbar.CrossRider

zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\BROWSER TOTAL\{A177E6D4-7CFC-1511-BB3D-D9E06F981C3D}\NAVFGKSD.DLL
addsgn BA6F9BB2BDCD0D720B9C2D754C2124FBDA75303A4536D3B4490F09709C1A­BD80EFDB0F9BF299FB2F249F009F461649FA3554293AA203F8852A77A42F­B30944E3 8 Win64/Riskware.NetFilter

zoo %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER\CONTENTDEFENDERCONTROL.EXE
;------------------------autoscript---------------------------

sreg

hide %SystemDrive%\PROGRAM FILES (X86)\IDMSQ\UNINST.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\IMGBURN\UNINSTALL.EXE
chklst
delvir

; ClearThink
exec C:\Program Files (x86)\ClearThink\ClearThinkUn.exe OFS_
; AnySend
exec  C:\Users\PK\AppData\Roaming\ASPackage\Uninstall.exe
; GamesDesktop 033.005010168
exec  C:\Program Files (x86)\gmsd_ru_005010168\unins000.exe
; GamesDesktop 033.005010169
exec  C:\Program Files (x86)\gmsd_ru_005010169\unins000.exe
; SmartWeb
exec  C:\Users\PK\AppData\Local\SmartWeb\__u.exe _?=C:\Users\PK\AppData\Local\SmartWeb

deldirex %SystemDrive%\PROGRAM FILES\SPACESOUNDPRO

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIAGET2

delref HTTP://COUNTER99.COM/SYSINFO/WTHR/TEMPLATES/WEATHER_EVNING.PHP
delref HTTP://ONCLICKADS.NET/AFU.PHP?ZONEID=285354
deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\GMSD_RU_005010169

deldirex %SystemDrive%\USERS\PK\APPDATA\ROAMING\ASPACKAGE

delref %Sys32%\DRIVERS\CONTENTDEFENDERDRV.SYS
del %Sys32%\DRIVERS\CONTENTDEFENDERDRV.SYS

delref %Sys32%\DRIVERS\SWSEDRVR_VT_1_10_0_25.SYS
del %Sys32%\DRIVERS\SWSEDRVR_VT_1_10_0_25.SYS

delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\1.2.0.4_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\PK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.9_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\USERS\PK\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOAD­ER

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

delref %SystemDrive%\PROGRAM FILES (X86)\SPACESONDPRO_V53.10293\IOPRODUCT.EXE
del %SystemDrive%\PROGRAM FILES (X86)\SPACESONDPRO_V53.10293\IOPRODUCT.EXE

del %SystemDrive%\USERS\PK\APPDATA\LOCAL\QDPPTULMBJVID\JASAOOUQ1­.BAT

del %SystemDrive%\USERS\PK\APPDATA\LOCAL\JZOOTOVEQF\EHYEJHTUCO1.BAT

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010169

regt 28
regt 29
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/