по очистке системы выполните скрипт с перезагрузкой системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
addsgn 1A33279A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B78B497­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 64 Win32/GenKryptik 7

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDDADGCDMDDLJMPKPINKALNEPDEPPLPKJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLEDKFMFCKEJKEMLMPCKIAOALDHLDFMBE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLFEJOKJOKPDJKJNKGLMJLBEBOJJBFEDC%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_21­24_31175\470_ALL_STHSET.CRX2
delref %SystemDrive%\USERS\4F6C~1\APPDATA\LOCAL\TEMP\CHROME_BITS_13­64_8153\ASA_11.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\PCRADIO\PCRADIO\PCRADIO.EXE
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %SystemDrive%\PROGRAM FILES\FOXIT SOFTWARE\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\DRIVERS\VGPU.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов для начала необходимо таки точно идентифицировать тип шифратора.

если вы лицензионный пользователь ESET
вам необходимо собрать следующие файлы:

несколько зашифрованных файлов в архиве,
несколько чистых файлов,
тело вируса в архиве с паролем infected
лог ESET log collector сделанный на пострадавшей системе.
------------
все это отправить в [email protected] и дождаться ответа.

детекты разные, но пока что мало говорят.

[QUOTE]Полное имя C:\USERS\СЕРГЕЙ НИЛОВ\APPDATA\ROAMING\30.11.2017.SCR
Имя файла                   30.11.2017.SCR
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
www.virustotal.com          2017-10-30
Symantec                    Ransom.CryptXXX
ESET-NOD32                  a variant of Win32/GenKryptik.BBVC
Kaspersky                   UDS:DangerousObject.Multi.Generic
DrWeb                       Trojan.Encoder.15047
Avast                       FileRepMalware
                                                     
Доп. информация             на момент обновления списка
pid = 680                   СергейНилов-ПК\Сергей Нилов
CmdLine                     "C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr" /S
Процесс создан              13:17:19 [2017.10.30]
С момента создания          00:04:55
parentid = 3368            
SHA1                        E09FF777AC354E7A0BA8C2580F94195F6DF3DBAC
MD5                         B02FA72FFCA941A7E6C4E34CB9146BC3
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1101135559-3815653492-3716863345-1000\Software\Microsoft\Windows\CurrentVersion\RunOnce\Certi­ficatesCheck
CertificatesCheck           C:\Users\Сергей Нилов\AppData\Roaming\30.11.2017.scr
                           
[/QUOTE]

[QUOTE]RP55 RP55 написал:
Образ нормально открывается.[/QUOTE]
да, перекачал в Хроме, нормально открылся, в FF дважды не открылся.

да, похоже что-то новое появилось
https://www.hybrid-analysis.com/sample/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb4­068aa756a78656e?environmentId=100

https://www.virustotal.com/en/file/f101cc9b232fc25f8e03282f55fb7a46ae3fbf729e891cbb­4068aa756a78656e/analysis/

Денис,
добавьте по возможности, зашифрованный файл и его чистую копию в архиве +
вышлите файл шифратора в архиве с паролем в почту [email protected]

образ автозапуска сейчас гляну.
--------
образ нечитабельный, архив не открывается.
пробуйте переделать образ автозапуска.

следите за работой браузеров.
в последнее время майнинг (без установки майнера в систему) активно используется при посещении определенных сайтов, майнер работает до тех пор пока не закрыта страница с внедренным скриптом.
(так же майнер может быть добавлен в браузерное расширение).
https://xakep.ru/2017/09/20/browser-mining-2/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCALLOW\UNITY\WEBP­LAYER\LOADER

deldirex %SystemDrive%\USERS\SPAHICH\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
del %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\WEBCOMPANION.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\LAVASOFT\WEB COMPANION\APPLICATION\LAVASOFT.WCASSISTANT.WINSERVICE.EXE
apply

deltmp
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {32020A01-506E-484D-A2A8-BE3CF17601C3}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\17.3.6720.1207\FILESYNCSHELL.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemRoot%\INF\UNREGMP2.EXE
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\17.3.6943.0625\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\17.3.6943.0625\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCALLOW\UNITY\WEBP­LAYER\LOADER\UNITYWEBPLUGINAX.OCX
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\17.3.6720.1207\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\17.3.6720.1207\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE PHOTOSHOP CC2017\ADOBE PHOTOSHOP CC 2017\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\DAUM\POTPLAYER\DTDROP.EXE
delref %SystemDrive%\PROGRAM FILES\NVIDIA CORPORATION\DISPLAY\NVLICENSINGS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET ANTIVIRUS\ECOMSERVER.EXE
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET ANTIVIRUS\EPLGOUTLOOK.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\USERS\SPAHICH\APPDATA\LOCAL\TEMP\HYD8DD3.TMP.1482095285\HTA\3RDPARTY\FS.OCX
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES\ESET\ESET ANTIVIRUS\X86\EPLGOUTLOOK.DLL
delref F:\SETUP.EXE
delref F:\HISUITEDOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

те, что в карантине файлы, безопасны для вашей системы. поэтому на ваш выбор: можете удалить их, можете оставить на какое то время, если они не занимают много места на диске.

[SIZE=14pt]Bad Rabbit: Not-Petya is back with improved ransomware[/SIZE]

[QUOTE]Киевский метрополитет пострадал от нового варианта печально известной программы Diskcoder ransomware (NotPetya)

   Согласно сообщениям СМИ, несколько транспортных организаций в Украине, а также некоторые правительственные организации подверглись кибератаке, в результате чего некоторые компьютеры стали зашифрованными.

   Публичные источники подтвердили, что затронуты компьютерные системы в Киевском метро, аэропорту Одессы, а также ряде организаций в России.

   ESET обнаружил, что в случае Киевского метро вредоносное ПО, используемое для кибератаки, было Diskcoder.D, - новый вариант выкупа, известный также как Петя. Предыдущий вариант Diskcoder использовался в разрушительной кибератаке в глобальном масштабе в июне 2017 года.
[/QUOTE]

https://www.welivesecurity.com/2017/10/24/kiev-metro-hit-new-variant-infamous-diskcoder-ransomware/

[QUOTE]Новая вспышка вымогательства сегодня и попала в какую-то крупную инфраструктуру в Украине, включая Киевское метро. Вот некоторые подробности об этом новом варианте.
Загрузка с помощью Drive-by-Download на популярных сайтах

Один из способов распространения Bad Rabbit - это загрузка Drive-by-Download. Некоторые популярные веб-сайты скомпрометированы и имеют JavaScript, введенные в их тело HTML или в один из их .js-файлов.
[/QUOTE]
[B]Drive-by-Download является распространение вредоносного кода, а реализуются они через привлечение жертв на вредоносный сайт с последующей эксплуатацией уязвимостей в ПО (браузер, flashplayer, pdfviewer, компоненты ActiveX
[/B]
https://www.welivesecurity.com/2017/10/24/bad-rabbit-not-petya-back/


Антивирусные продукты ESET детектируют шифратор как Win32/Diskcoder.D.
Угроза добавлена в базы данных вирусных сигнатур с обновлением 16295 24 октября в 15-10 по московскому времени.

[QUOTE]Captain Black написал:
Представители нода подозрительно отмалчиваются. Но мне, как гражданину россии, более интересно, будет ли антивирус отлавливать фсбшные вирусы?[/QUOTE]
а вы обратитесь к представителям российских компаний, например, ЛК, с этим же вопросом. напишите потом, куда они вас послали с этим же вопросом дальше.