выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\DRIVERS\360ANTIHACKER64.SYS
delall %Sys32%\DRIVERS\360AVFLT.SYS
delall %Sys32%\DRIVERS\360BOX64.SYS
delall %Sys32%\DRIVERS\360CAMERA64.SYS
delall %Sys32%\DRIVERS\360FSFLT.SYS
delref HTTP://START.FACEMOODS.COM/?A=FALCO
deldirex %SystemDrive%\PROGRAM FILES (X86)\360\TOTAL SECURITY
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\MOBOGENIE.URL
deltmp
delnfr
exec32 "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.11\uninstall.exe"
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ZIVLINGAMER.ORG/

setdns Подключение по локальной сети 2\4\{AEC930A8-E426-4B52-996A-24726C5749B7}\8.8.8.8,8.8.4.4
delref HTTP://ZIVLINGAMER.ORG

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1401437915&FROM=COR&UID=ST1000DM003-9YN162_W1D0MNYKXXXXW1D0MNYK&Q={SEARCHTERMS}

del %SystemDrive%\IEXPLORE.BAT

del B:\LAUNCHER.BAT

regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]Task: {0C2E7C0B-5663-4672-AE17-171699BEBAFD} - \{D32065ED-9D0F-47C6-8412-E71DBE61557B} No Task File <==== ATTENTION
Task: {2F318F05-5E4E-41F6-8CC8-172D5F7CADE5} - \{868E6F80-4C20-4C0E-93EC-941763C8E3E4} No Task File <==== ATTENTION
Task: {2F7CA6A8-BCDB-4E0F-93D5-65F0B29AB18C} - \{34AA3152-6391-4F81-BB7E-F37923CCDF64} No Task File <==== ATTENTION
Task: {33305863-AE88-4EA8-AEB1-85C30D6A9BF0} - \{F06CD596-2057-44ED-837A-891655EAEED7} No Task File <==== ATTENTION
Task: {38C010B8-ED9C-46AC-8C0C-463F5132B9AB} - \{BD3310A8-81A0-43F8-BD1A-277B67D9C97C} No Task File <==== ATTENTION
Task: {416118D1-6BBB-421F-9366-34DE258F79AF} - \{FC5B1168-4DA9-489B-85F7-FDC290DFFDA6} No Task File <==== ATTENTION
Task: {449DA26E-FA10-44B6-BA83-1BDE10E1F833} - \{A53592C0-6C1C-44D8-BBEC-D1A80AB354E9} No Task File <==== ATTENTION
Task: {7B575DA2-C37B-4925-9CDE-EF1D3583E1AB} - \{3ED576AD-5F93-4E24-BF02-806AFB5F18BD} No Task File <==== ATTENTION
Task: {89BB0D25-3AE9-4573-A49E-36F7E096C87D} - \{9271386E-0F0E-40D5-9128-7EDF48AF31EB} No Task File <==== ATTENTION
Task: {B8F3D65B-76CB-4B78-BFA3-A25E203D8108} - \{7A4A141C-6ED1-42D3-9EC5-E5906D328CF5} No Task File <==== ATTENTION
Task: {CBAC45C8-A664-466C-869A-C36DB324E00E} - \{E3665C0A-3C3E-4DAC-86E9-4A708626761D} No Task File <==== ATTENTION
Task: {CF18B87E-BD83-4DB5-A242-9D0089885F71} - \{01099F03-DA5B-4999-BCAE-992F363DD2E3} No Task File <==== ATTENTION
Task: {F88F5FA0-77DA-4251-9BCD-D21BB1980890} - \{A71901DB-FF00-41DC-85EC-69FF60E7C795} No Task File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:16CE60FB
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A
AlternateDataStreams: C:\ProgramData\TEMP:430C6D84
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC
AlternateDataStreams: C:\ProgramData\TEMP:ADF211B1
AlternateDataStreams: C:\ProgramData\TEMP:C31F31E6
AlternateDataStreams: C:\ProgramData\TEMP:DFC5A2B2
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKU\S-1-5-21-732928416-860588168-3219211031-1001\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles­\3mlmcdna.default\extensions\{B100D0FF-0001-8CE4-2790-AACE49B8AE35} [not found]
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles­\3mlmcdna.default\extensions\[email protected] [not found]
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles­\3mlmcdna.default\extensions\[email protected] [not found]
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles­\3mlmcdna.default\extensions\{7b6de06c-7013-4a87-957e-d27d7b977d21} [not found]
FF Extension: No Name -  C:\Users\Андрей\AppData\Roaming\Mozilla\Firefox\Profiles\3mlmc­dna.default\extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7} [not found]
FF Extension: No Name -  C:\Program Files\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CHR HKLM\...\Chrome\Extension: [blbkdnmdcafmfhinpmnlhhddbepgkeaa] - https://chrome.google.com/webstore/detail/blbkdnmdcafmfhinpmnlhhddbepgkeaa
CHR HKLM\...\Chrome\Extension: [ofjddojcpeoofimcdnkhebklamdnblap] - D:\VkTema\vktema.crx [2011-11-28]
CHR HKLM\...\Chrome\Extension: [pgaidlfgjkmeendhknafahppllbniejm] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [phlgogdggphlhmlalgnpffgbekglmopm] - C:\Users\A4F7~1\AppData\Local\Temp\crx14CD.tmp [Not Found]
EmptyTemp:
Reboot:
[/CODE]

по логу мбам:
2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

Тестируем это продукт, может получится заставить его реагировать на шифрование файлов.


EasySync CryptoMonitor is one of the best prevention measures for an encrypting Ransomware. CryptoMonitor will actually kill an encryption infection, blacklist it from running again, and notify you as soon as the infection starts. Because of the unique way that CryptoMonitor is made, it will effectively stop even the newest of encryption infections and requires no signatures or updates. It will protect you in a way that traditional antiviruses can’t!

[IMG WIDTH=521 HEIGHT=291]https://nebula.wsimg.com/7d6e3cf7460b66c2091b8b934d8a5085?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

[IMG WIDTH=523 HEIGHT=235]https://nebula.wsimg.com/0309b22c9f6616afbf30745204bb9573?AccessKeyId=22F842173B2E38F84596&disposition=0&alloworigin=1[/IMG]

https://www.easysyncsolutions.com/products.html

Светлана,
взгляните чуть вверх (а теперь и вниз), там написаны первоначальные рекомендации: что делать.

[QUOTE]1. если письмо еще не удалено, вышлите в почту [email protected]
2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

3. проверьте наличие теневых копий на дисках[/QUOTE]

образ чистый, а вот с восстановлением документов из теневых копий  ничего не получится.
поскольку система у вас XP
по расшифровке, если есть лицензия на наш антивирус, обратитесь в [email protected]

добавьте лог малваребайт по ссылке или через вложение

это не вирус, раз обычным винраром все пошифровано.
помочь здесь в первую очередь могут только бэкапы.