выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1427994401&FROM=CMI&UID=ST31000524AS_9VPFLJC6XXXX­9VPFLJC6
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\DELTA\ADOBEFLASHPLA­YERUPDATER.EXE
delall %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BAIDU.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\BAIDU\BAIDU.LNK
delall %SystemDrive%\PROGRAM FILES (X86)\BAIDUSD3.0\BAIDUSD\3.0.0.4605\BAIDUSDTRAY.EXE


delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\HVM.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.2.15408.216\QMUDISK64.SYS
delref %Sys32%\DRIVERS\RSNDISP.SYS
delref %Sys32%\DRIVERS\RSUTILS.SYS
delref STOREGIDFILTER.SYS
delref %Sys32%\DRIVERS\SYSMON.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\BAIDU\BINDEX.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\ETRANSLATOR\ETRANSL­ATOR.EXE
delref %SystemRoot%\SYSWOW64\BSMAIN.EXE
delref %SystemDrive%\PROGRAMDATA\SCHEDULE\TIMETASKS.EXE
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DRPSU\DRVUPDATER.EXE
delref %SystemDrive%\PROGRAMDATA\KBUPDATER UTILITY\KBUPDATER-UTILITY.EXE
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\­EXTSETUP.EXE
areg

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска

+
рассылка от создателей сериала Cryakl 1, 2, 3, 4, 8, CL

[QUOTE]От кого: [email protected]
Кому: [email protected]
Дата: Вторник, 12 мая 2015, 5:09 +03:00
Тема: Срочно нужен счет на оплату

Добрый день!
Прошу Вас рассмотреть нашу заявку. Товар необходим срочно и из наличия, рассмотрим аналоги.
Потребность регулярная,сделайте пожалуйста максимально возможную скидку.
Заявка и реквизиты  [U]ссылка[/U]

С уважением,
Гутов Е.С.[/QUOTE]
----------
по ссылке - вредоносный архив ffarm.zip, содержащий файлик *.scr

Роман, перешлите письмо в архиве с паролем infected в почту [email protected]

ок,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

сделайте проверку в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

1. удалите один из антивирусов.
[QUOTE]AV: Panda Free Antivirus (Disabled - Up to date) {5FD6C936-849B-5CE2-14BA-709E1D6FD1DA}
AV: ESET NOD32 Antivirus 4.2 (Enabled - Up to date) {77DEAFED-8149-104B-25A1-21771CA47CD1}
AV: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: ESET NOD32 Antivirus 4.2 (Enabled - Up to date) {CCBF4E09-A773-1FC5-1F11-1A056723366C}
AS: Windows Defender (Disabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
AS: Panda Free Antivirus (Disabled - Up to date) {E4B728D2-A2A1-536C-2E0A-4BEC66E89B67}
FW: Panda Firewall (Disabled) {67ED4813-CEF4-5DBA-3FE5-D9ABE3BC96A1}
[/QUOTE]

2.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


[CODE]FirewallRules: [{F74E9654-2A78-47C3-8ED9-5B6A130B73C0}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe
FirewallRules: [{A515F8F4-56DC-461D-8860-8A664BDCC2E9}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe
FirewallRules: [{99C7C246-689D-4F43-8030-01DD29A9F4D2}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe
FirewallRules: [{E68C4D44-792A-4BA3-BF29-D87BF599431F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdSvc.exe
FirewallRules: [{E80EA30F-0673-4D31-A4B6-6BC96BAF2F1F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSd.exe
FirewallRules: [{235DC1B6-BA46-4014-83DD-DE5CBDA131BB}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSd.exe
FirewallRules: [{874277C7-9254-4257-AC5A-579BEC09FDBA}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSd.exe
FirewallRules: [{615A033D-9277-4F34-B707-D845AB5FABF5}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSd.exe
FirewallRules: [{022CE8CD-EC34-44E3-89EB-AF897662548F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
FirewallRules: [{F3172730-B484-4BF8-BEFC-EE2E5B94107B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
FirewallRules: [{06070E20-12F2-4400-BC6E-8E68AC949E74}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
FirewallRules: [{16EFFB62-C219-4CF1-9E28-3F277EA26B76}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdTray.exe
FirewallRules: [{DA5090F9-801F-49E2-AD6E-1CD86BB0C42B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUpdate.exe
FirewallRules: [{6471C2C6-9EF9-4526-9749-0BAA8E8A33BD}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUpdate.exe
FirewallRules: [{A6D924E0-C7E1-4243-9771-C41E5017C2EA}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUpdate.exe
FirewallRules: [{FB238D0B-0F07-4754-9F43-68EC0A18A19B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdUpdate.exe
FirewallRules: [{839FBFDC-91DB-4B60-840B-52693FDCAB0A}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdBugRpt.exe
FirewallRules: [{B748DB0D-84D3-4EF4-9F07-746900DF9CDB}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdBugRpt.exe
FirewallRules: [{D515C8EC-0E19-4A97-8565-F8BEAAC04208}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdBugRpt.exe
FirewallRules: [{A964A101-CD70-4E55-A58C-E91415708E07}] => (Allow) C:\Program Files (x86)\Baidu\BaiduSd\1.8.0.1255\BaiduSdBugRpt.exe
FirewallRules: [{E0619945-AC10-4083-96EC-65D7EB0864D9}] => (Allow) C:\program files (x86)\common files\baidu\bddownload\107\bddownloader.exe
FirewallRules: [{5E9C6189-6662-41AB-A85A-7A8E4C6A24B9}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe
FirewallRules: [{D9CC03EA-26A2-4DC7-8710-5BC4C28376C7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe
FirewallRules: [{42DCD9B0-3AC4-4446-88E7-EBCC09C53514}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe
FirewallRules: [{D35E4BB2-A0D7-48BE-B11B-6FE67D0C31FB}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnSvc.exe
FirewallRules: [{97EC918B-FB70-4612-A489-AB74C3174E4B}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAn.exe
FirewallRules: [{49EC4953-9476-4831-9E36-9ABAADC7F63A}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAn.exe
FirewallRules: [{75756E0F-27C0-424B-852C-A83A28223E9A}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAn.exe
FirewallRules: [{2CEE8C25-508B-4660-A005-839B339799D8}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAn.exe
FirewallRules: [{921B8668-688B-47C4-AA71-648EE688B414}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe
FirewallRules: [{35D5722B-35A6-4716-B65D-6359578F933C}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe
FirewallRules: [{B442C63E-7B0E-47F8-951A-388953E764BA}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe
FirewallRules: [{1F81D277-074D-4E6D-B958-7711A22FDEA4}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnTray.exe
FirewallRules: [{0F8054E9-ABAF-478A-B894-7DD28318577F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnUpdate.exe
FirewallRules: [{1B19949E-756F-4730-A6D4-A809E4C743C7}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnUpdate.exe
FirewallRules: [{50E62EFE-64B6-4579-BC1C-8AC89BD1DF48}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnUpdate.exe
FirewallRules: [{A751113E-B705-49CB-A633-EBFD69819A2F}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnUpdate.exe
FirewallRules: [{86E704A9-103E-489B-A3E7-CFA33F5E6BD1}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnBugRpt.exe
FirewallRules: [{44275E7A-4A0A-42E3-98B8-FBBCC8F9D697}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnBugRpt.exe
FirewallRules: [{5727CD43-8C65-4FFC-B397-3B3AFF7726E0}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnBugRpt.exe
FirewallRules: [{D41BEE4F-8AC4-467A-9F0F-9BD8925978EA}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\BaiduAnBugRpt.exe
FirewallRules: [{BF5F124B-0C8A-4A25-AB4E-6B1656975CA3}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\extends\VideoFast\1.2\BDAVideoFast.exe
FirewallRules: [{5D066579-5942-4523-85AF-D68FACB1E352}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\extends\VideoFast\1.2\BDAVideoFast.exe
FirewallRules: [{4BB65422-A4AC-4C71-98F1-CAE10C7488B6}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\extends\VideoFast\1.2\BDAVideoFast.exe
FirewallRules: [{3305A8EB-426B-44C0-8BFE-C0F52DC1116D}] => (Allow) C:\Program Files (x86)\Baidu\BaiduAn\2.3.0.2225\plugins\extends\VideoFast\1.2\BDAVideoFast.exe
EmptyTemp:
Reboot:[/CODE]

удалите все найденное в малваребайт,
перегрузите систему

далее,

сделайте проверку в АдвКлинере
http://pchelpforum.ru/f26/t24207/2/#post1110672

*****
в АдвКлинере, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)

остальное удалите по кнопке [b]Очистить[/b]

далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html

грустно,
если будет расшифровка - напишем на форуме.
только скорее всего, за это время добавится еще 10 новых мертвых шифраторов и ноль расшифровки по старым.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
;------------------------autoscript---------------------------


del %SystemDrive%\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME.BAT

del %SystemDrive%\LAUNCHER.BAT

del %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YADESKTOPSTARTER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

areg
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

да, проверил расшифровку нескольких файлов на виртуалке.
расшифровались.
утилитка преобразует ключ sec.key в формате PGP, извлекает утилиту VAULT-RESTORE.exe для расшифровки (это gpg.exe),
iconv.dll библиотека к gpg.exe
cyan.cmd - командный файл расшифровки данных