2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

да, получил.
один из них чист, вероятно не относится к шифратору, второй -
это текстовое сообщение от злоумышленников.
https://www.virustotal.com/ru/file/aa432fce3091ae1bd0660932b6dd04cb80a72f040c6d43bf­eb0b9c188ea8823f/analysis/1436532808/

по расшифровке: при наличие лицензии на наш антивирус, напишите в техподдержку [email protected]

+
вот эти файлики скопируйте в архив с паролем infected и вышлите в почту [email protected]

[QUOTE]2014-10-13 15:54 - 2014-10-13 15:54 - 3428386 _____ () C:\ProgramData\SECDD3F.tmp
2015-07-03 16:01 - 2015-07-03 16:00 - 0002069 _____ () C:\ProgramData\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ
[/QUOTE]

если проблема решена, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]CHR Extension: (WhatsWeb) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\cebcbiddpikadcfodbjihffmddoohdma [2015-04-05]
CHR Extension: (AdBlock) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2014-11-14]
DefaultPrefix-x32: => http://yamdex.net/?searchid=1&l10n=ru&fromsearch=1&imsid=825324a2ba82845128eb92­f2d5b7ef67&text= <==== ATTENTION
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2012-08-03]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Please enter your password) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\bfbmjmiodbnnpllbbbfblcplfjjepjdn [2015-04-02]
CHR Extension: (Angry Birds) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\aknpkdffaafgjchaibgeefbgmgeghloj [2015-04-02]
CHR Extension: (HTML5 location provider) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\nhgcieglcpdegkhamigiokdphfhhnlhh [2015-04-02]
CHR Extension: (CinemaPlus-3.2cV06.07) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\papbadoldddalgcjcicnikcfenodpghp [2015-07-07]
CHR Extension: (Amazon 1Button App for Chrome) - C:\Users\АДМИН\AppData\Local\Google\Chrome\User Data\Profile 4\Extensions\pbjikboenpfhbbejgkoklgkhjpfogcam [2015-04-02]
CHR HKU\S-1-5-21-970964006-845550971-1886412459-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\0A6A~1\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx [Not Found]
EmptyTemp:
Reboot:
[/CODE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

setdns Подключение по локальной сети 5\4\{9B5A462B-3AB6-4059-B1E3-4376D941C2AB}\8.8.8.8,8.8.4.4
deltmp
delnfr
dnsreset
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

каких еще суррогатов? вы уверены что не перепутали наш сайт с каким то другим?

+
читаем документацию по работе RAS/RAC
https://download.esetnod32.ru/manuals/business/era/eset_remote_administrator_5_userguid­e_rus.pdf

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\USERS\ARSENAL\DESKTOP\ВСЕ  ВСЕ РАЗНЫЕ ПРОГРАММЫ!НЕ УДОЛЯТЬ!\WATCH DOGS\SETUP.EXE
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{C1DA434F-B915-4E8E-BC48-CBC81475A646}\8.8.8.8,8.8.4.4
delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\TRUSTEDADS.DLL

delref %SystemRoot%\WIN.VBS

delref %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\111­.12_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\YANDEX\UPDATER\PRA­ETORIAN.EXE

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\TRUSTEDADSSVC.EXE

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\MAGPIE.DLL

delref %SystemDrive%\PROGRAM FILES\ADTRUSTMEDIA\PRIVDOG\2.1.0.23\SCRIPTSERVICE.DLL

delref HTTP://WEBALTA.RU/SEARCH

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.URL

deldirex %SystemDrive%\USERS\ARSENAL\APPDATA\LOCAL\MEDIAGET2

regt 27
regt 28
regt 29
; desktopy
exec C:\Program Files\desktopy\uninstall.exe
; desktopy.ru
exec C:\Users\Arsenal\AppData\Roaming\desktopy.ru\uninstall.exe
; OpenAL
exec C:\Program Files\OpenAL\oalinst.exe" /U
; Webalta Toolbar
exec C:\Users\Arsenal\AppData\Local\Webalta Toolbar\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

сделайте образ автозапуска из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/

кроме addition.txt нужен и втoрой лог frst.txt