выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\MEDIA PLAYER\UPDATE CENTER\MEDIAPLAYERUPDATER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C10­8506CA82 21 Trojan.BPlug.921 [DrWeb]

zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\BITMASTER\BITMASTER.EXE
addsgn 1AAEAE9A5583C58CF42B254E3143FE8E6082CF3FB2FED2D0D096C5C84397­F2B50E6532DA76B81EB03AF78AF54B4E1439F6DB25DE008FB071EE72E0D0­38F9487D 8 Adware.Downware.2095 [DrWeb]

zoo %SystemDrive%\USERS\PC\APPDATA\LOCAL\WINNERDM\WDM.EXE
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\KOMETA\PANEL\KOMETALAUN­CHPANEL.EXE
delall %SystemDrive%\USERS\PC\APPDATA\LOCAL\KOMETA\PANEL\PANELREMOV­E.EXE
hide %SystemDrive%\PROGRAM FILES\VS REVO GROUP\REVO UNINSTALLER\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU/?START

delref HTTP://WEBALTA.RU/SEARCH

delref HTTP:\\HOME.WEBALTA.RU\?START&S=D9E39F14

delhst 204.93.210.52 7538.com ok.ru
delhst 204.93.210.52 8949.ru m.ok.ru
delhst 204.93.210.52 20512.com
delhst 204.93.210.52 21600.net

deldirex %SystemDrive%\USERS\PC\APPDATA\LOCAL\WINNERDM

deltmp
delnfr
;-------------------------------------------------------------



restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

*[URL=mailto:[email protected]][email protected][/URL] - это скорее всего вариант encoder.741. поскольку у ДрВеб есть успешные расшифровки другого варианта encoder.741 (*[URL=mailto:[email protected]][email protected][/URL]), то вполне возможно, что они и для этого варианта найдут решение.

ну, объективно говоря, наставлений читать никто не любит. Так же как и признавать свою часть (или долю) ответственности за инциденты в сети, связанные с безопасностью данных.

по шифраторам можно сказать что случаи с bat.encoder-ом, ctb locker-ом безнадежны для восстановления, хотя прошел уже почти год с момента их запуска в сети.
encoder.741 все зависит от вирлабов, насколько активно они занимаются разбором шифраторов, поскольку основная их работа - это выпускать сигнатуры, и правила для HIPS для предотвращения запуска вредоносных программ.

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

+
добавьте лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]

выйдите на сайт ДрВеб, там все найдете. по расшифровке в ESET не могу сказать точно есть расшифровка или нет. Надо уточнить в техподдержке, кто занимается расшифровками файлов.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
deltmp
delnfr
restart[/CODE]перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

1. по очистке системы от банера шифратора выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
delall %SystemDrive%\USERS\VIKA\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\FOXMAIL.BMP
deltmp
delnfr
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

2. у вас два установленных антивируса: AVG и корпоративный Касперский. один из них (скорее всего AVG лучше деинсталлировать)

3. обратитесь в любой из трех вирлабов: ESET NOD32, Касперский, Дрвеб.
однако имейте ввиду, что помощь в расшифровке возможно вам будет оказана только при наличии лицензии на антивирус.
по [URL=mailto:[email protected]]*[email protected][/URL] возможно есть расшифровка в DrWeb

по очистке системы поможем, сделайте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

по расшифровке нет, с этой проблемой надо обращаться в вирлабы

да, след от ctb locker остался.

[QUOTE]Полное имя C:\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
Имя файла                   XLBWVRG.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\QVJRTGL
                           [/QUOTE]
расшифровке по ctb locker нет в вирлабах, а система основательно заражена, необходимо очистить скриптом.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\BONANZADEALSLIVE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C82555­4CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB­42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62­D78D5F7B 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEONDEMAND.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7­330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2C­F4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERAPP.DLL
addsgn 79132211B9E9317E0AA1AB5973961205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E7D50F731140C28F7154A562DEA7B8A7ECFC752C­013DDC05 64 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEBROKER.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC49­42CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERENG.DLL
addsgn 79132211B9E9317E0AA1AB59C2531205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5C35FD39F46E93CEAFE1FC822AAAFBCD3587F4C3D­5B0622F0 64 Adware.Toolbar.205 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD927­4CC7A9A2 64 DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\METACRAWLER\1.8.19.0\METACRAWLERSRV.EXE
addsgn 1A1EFD9A5583C58CF42B254E3143FE86C99AAB09FCEA9235752B215CAF29­FA312B923C2219BDA05D2B80439F501649FA9586FF72555ACDD02D03A3A4­82FEA113 8 Win32/Toolbar.Montiera.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\GOOPDATE.DLL
addsgn 79132211B9E9317E0AA1AB59229C1205DAFFF47DC4EA942D892B2942AF29­2811E11BC33D323D95EF21986C807B16497108D76D8421AF33118901AF37­C4736119 64 Win32/DealPly.L [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0\BONANZADEALSLIVEHANDLER.EXE

del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.AREPO.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL_3DH.BAT
del %SystemDrive%\USERS\СЛАВА\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0
deldirex %SystemDrive%\PROGRAM FILES (X86)\WEBCONNECT
delall %SystemDrive%\USERS\2C1D~1\APPDATA\ROAMING\METACR~1\UPDATE~1­\UPDATE~1.EXE
hide %SystemDrive%\TOTAL\SOFT\AIMP\AIMP3.EXE
hide %SystemDrive%\PROGRAM FILES\CORELDRAW 9 SETUP FILES\SETUP32.EXE
hide %SystemDrive%\MP4\UPDATE\KLUPDATER\KASPERSKYUPDATER.EXE
delall %SystemDrive%\USERS\2C1D~1\APPDATA\LOCAL\TEMP\XLBWVRG.EXE
delall %SystemDrive%\USERS\СЛАВА\6130065.EXE
delall %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\MICROSOFT\WINDOWS\TO­OLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\LYLL.NET

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1422534499&FROM=COR&UID=ST9500325AS_S2WH85HDXXXXS­2WH85HD&Q...

delref HTTP://YAMBLER.NET/?IM

REGT 28
REGT 29

; WebConnect 3.0.0
exec C:\Program Files (x86)\WebConnect\WebConnectuninstall.exe
; Bonanza Deals (remove only)
exec  C:\Program Files (x86)\BonanzaDeals\uninst.exe" /uninstall
; metaCrawler
exec  C:\Program Files (x86)\metaCrawler\1.8.19.0\uninstall.exe
; MetaCrawler
exec C:\Users\2C1D~1\AppData\Roaming\METACR~1\UpdateProc\UpdateTask­.exe /Uninstall

deldir %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX
deldir %SystemDrive%\USERS\СЛАВА\APPDATA\LOCAL\SKYMONK2

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

поправил скрипт