Вирус изменил расширение файлов на .qetputd

[goa.sar]

оно?

RSIT.zip

[thyrex]

Нет. По ссылке написано - папка с логами получается на диске С

[goa.sar]

.

rsit.zip

[thyrex]

Пофиксите в HiJack

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419356336&from=wpm12233&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1419356336&from=wpm12233&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1419356336&from=wpm12233&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419356336&from=wpm12233&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1409078633&from=cor&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S&q={searchTerms}
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1409078633&from=cor&uid=TOSHIBAXMK6475GSX_6146S1A2SXX6146S1A2S&q={searchTerms}
O2 - BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

Удалите вручную C:\ProgramData\Datamngr

 

С расшифровкой не поможем

 

http://virusinfo.info/announcement.php?f=46&a=52

http://blog.kaspersky.ru/new-version-ctb-locker/6792/