6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[QUOTE]CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
FF Extension: Kino-Filmov.Net - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\kino-filmov.net.xpi [2010-09-19]
FF Extension: madLen.uCoz.coM - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\madlen.ucoz.com.xpi [2010-09-19]
FF Extension: Podsolnushki.com  - C:\Users\Админ\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\podsolnushki.com.xpi [2012-08-27]
FF Extension: No Name - C:\Program Files (x86)\MediaPlayerV1\MediaPlayerV1alpha220\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaWatchV1\MediaWatchV1home897\ff [not found]
FF Extension: No Name - C:\Program Files (x86)\MediaBuzzV1\MediaBuzzV1mode3770\ff [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6h­a2.default\extensions\{95778f0c-827d-4aba-b416-f07dd840fd6a} [not found]
FF Extension: No Name - C:\Users\Админ\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6h­a2.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
CHR HKLM-x32\...\Chrome\Extension: [gdknicmnhbaajdglbinpahhapghpakch] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jedelkhanefmcnpappfhachbpnlhomai] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [pganlglbhgfjfgopijbhemcpbehjnpia] - https://clients2.google.com/service/update2/crx
OPR Extension: (AdBlock) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-02-03]
OPR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2014-07-15]
OPR Extension: (PhoenixGuard - бесплатный антивирусный тулбар) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\pleoihkpdomoijdpaibdciidfoeedamm [2014-08-03]
OPR Extension: (ПромоКупоно) - C:\Users\Админ\AppData\Roaming\Opera Software\Opera Stable\Extensions\dnamklmggdjcdcflcgodfbmcepmbmaii [2014-07-15]
CHR Extension: (Скачивание с Вконтакте) - C:\Users\Админ\AppData\Local\Google\Chrome\User Data\Default\Extensions\kfegjkgamdgpojndjlflplinedgplfdh [2015-03-29]
EmptyTemp:
Reboot:
[/QUOTE]

лог frst обязательно нужен для контроля очистки политик Хрома, через которые  (в данном случае) активизируется реклама

да, вот этот блок нужен для контроля.

[QUOTE]--------------------------------------------------------
regt 27
--------------------------------------------------------
Удаление всех политик Google Chrome...
RegOpenKeyRead (user):  [Не удается найти указанный файл. ]
SavePolicy (user):  [Отказано в доступе. ]
Операция завершена.[/QUOTE]

продолжайте очистку системы

+
по xtbl нет расшифровки ни у кого. (кроме злоумышленников)
нет по Creakl CL, ctb locker, VAULT возможно по некоторым другим.
поэтому делайте выводы на будущее
(дальше будет хуже, для мошенников это просто очень эффективный метод заработка средств, возможно и развлечение):
1. регулярные копии документов
2. ограничить запуск нежелательных программ через локальные политики
3. включить защиту диска с резервированием пространства под теневые копии,
4. включить  ясное представление об угрозах в сети: браузеры, электронная почта
-------

нужен лог выполнения скрипта, не путайте это с образом автозапуска.
лог лежит в папке uVS
его имя формируется от даты выполнения скрипта.
дата_времяlog.txt
он нужен для контроля выполнения некоторых команд скрипта.
-----------------
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

1. по расшифровке не поможем,

2. по восстановлению документов смотрите чистые теневые копии, возможно сохранились.

3. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_20117\S_INST­.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D­4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D867­8135F9FE 21 Trojan.Fakealert.47029

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 14 sohanad_vir

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTER-SURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\IE
deldir %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE
deldir %SystemDrive%\PROGRAM FILES (X86)\MEDIABUZZV1\MEDIABUZZV1MODE3770
deldir %SystemDrive%\PROGRAM FILES (X86)\WEBEXPENHANCEDV1\WEBEXPENHANCEDV1ALPHA486
deldir %SystemDrive%\PROGRAM FILES (X86)\BETTERSURF\BETTERSURFPLUS
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\MICROSOFT\WINDOWS\­MSIVDY.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\LIBCURL-4.DLL
deldir %SystemDrive%\PROGRAMDATA\SCHEDULE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\GRETECH\GOMPLAYER\GOMWIZ.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\NEWSI_2149\S_INST.EXE
delall %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\12512\A15925.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

del %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT

regt 27
regt 28
regt 29
; Java™ 6 Update 25 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416025FF} /quiet
; SmilesExtensions version 2.1
exec  C:\Program Files (x86)\smwdgt\unins000.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216025FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
+ добавьте лог выполнения скрипта. это файл
дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска, возможно шифратор еще активен в системе
http://forum.esetnod32.ru/forum9/topic2687/

1. по расшифровке xtbl не поможем.

2. по восстановлению тоже плохо. для XP нет теневых копий.

3. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %Sys32%\IHCTRL32.DLL
addsgn 79132211B9E9317E0AA1AB592AA61205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A0D588C9CD6341AD7269EEFF1D65F6AFD46ED32C­44C6027C 64 Stantinko.AM [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC49­42CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\OPERA\OPERA\TEMPORARY_DOWNLOADS\MMCSETUP185.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F­3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B­4E2611A1 40 Program.Unwanted.285 [DrWeb]

delall %Sys32%\WJQQXDK.DLL
hide %Sys32%\WSAUDIO.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\NAHD6HA2.DEFAULT\EXTENSIONS\{71238372-3743-33AB-8A9F-93722AF74C97}\INSTALL.RDF
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUSD\2.1.0.3086

del %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\BROWSER.BAT

del %SystemDrive%\IEXPLORE.BAT

del %SystemDrive%\LAUNCHER.BAT

del %SystemDrive%\OPERA.BAT

deldirex %SystemDrive%\PROGRAM FILES\BAIDU

regt 28
regt 29
; Java™ 6 Update 18
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216018FF} /quiet

deldir %SystemDrive%\PROGRAM FILES\ANYPROTECTEX
deldir %SystemDrive%\PROGRA~1\SEARCHPROTECT\SEARCHPROTECT\BIN
deldir %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\SWVUPDATER

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска, возможно шифратор еще активен в системе
http://forum.esetnod32.ru/forum9/topic2687/

по майл.ру сами решайте удалять или нет.
кому мусор, кому майл родной.
лично я не пользуюсь их продуктами, кроме настроенной почты.
обвешают браузер своими поделками, шагу ступить не дадут, обязательно что-то свое откроют прежде чем доберешься до полезной страницы.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKLM-x32\...\Run: [Timestasks] => C:\ProgramData\TimeTasks\timetasks.exe"
CHR HKLM-x32\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
[/CODE]

пишем результат

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE


sreg

delref %SystemRoot%\SKINAPP.SYS
areg


[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991