выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide D:\DFX AUDIO ENHANCER 12.021 REPACK BY KPOJIUK\DFX.AUDIO.ENHANCER.V12.021.EXE
hide %SystemDrive%\PROGRAM FILES\EVERYTHING\UNINSTALL.EXE
;------------------------autoscript---------------------------

zoo %SystemDrive%\USERS\USER-PROFI\DOWNLOADS\REIMAGEREPAIR.EXE
addsgn 7300A398556A1F275D83C49157254C8C49AEE431CDDE0FA01483C5353CF2­65B3362743173E3D9CC92B807B8AFE9609FA2820FDB2D79AB04625D41C01­8006CA44 25 Program.Unwanted.1470 [DrWeb] 7

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

delref HTTP://UNSTOPP.ME/WPAD.DAT?0CCC217EB7D9023EE9FBC197DA5190222227642
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\6D25187B81A248F46­4B4686B1224DABE\D2DAE420979E9A7C8EF983A6CA9B57FAF3FA474E-1
delref %SystemDrive%\USERS\USER-P~1\APPDATA\LOCAL\TEMP\CHROME_BITS_1452_8929\0.57.44.2492_HNIMPNEHOODHEEDGHDEEIJKLKEAACBDC.CRX
delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\MICROSOFT\MSI.EXE
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {2E9FFF5C-4375-494D-951F-098BAA42239E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\59.0.3071.109\INSTALLER\CHRMSTP.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR\REI_AXCONTROL.DLL
delref %SystemRoot%\SYSWOW64\PLASRV.EXE
delref %SystemDrive%\PROGRAMDATA\FREE DOWNLOAD MANAGER\FIREFOX\EXTENSIONS\2.0.19
delref %SystemDrive%\USERS\USER-PROFI\APPDATA\ROAMING\EMERGENCY SOFT\HISTORY KILLER PRO\HISTORYKILLERPRO.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\AU3_SPY.EXE
delref %SystemDrive%\PROGRAM FILES\AUTOHOTKEY\COMPILER\AHK2EXE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\OPENAL 1.1 SDK\SAMPLES\BIN\WIN32\EFXFILTERWIN32.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Андрей,
добавьте образ автозапуска.
ссылка на инструкцию как это сделать  в моей подписи.

[QUOTE]Вадим Ратушный написал:
Здравствуйте, у моих друзей более чем пол года назад возникла та же проблема, был подхвачен вирус из письма, который зашифровал документы и фотографии в формат .vvv Нас интересуют именно фото.
Искренне буду вам благодарен за любую информацию по этому вопросу, спасибо.
[/QUOTE]

Вадим Ратушный,
да, расшифровка ваших файлов возможна,

[QUOTE]PrivateKeyBC:
[B]98AE2DD5CDDB4CF06739C0920F3D30B156EACC420E690D9DE0C6F4C9F9E5669F[/B]
[/QUOTE]

выполните наши рекомендации по безопасной работе в сети
https://forum.esetnod32.ru/forum9/topic13764//

Теперь патч MS-2017-010 защищает от проникновения AdylKuzz, WannaCry и им подобных через уязвимость SMB

Сергей,

шифратор в данном случае уже не активен, файлы шифратора удалены,

выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE
apply

deltmp
delref %SystemDrive%\DOCUME~1\PCR104~1\LOCALS~1\TEMP\CHROME_BITS_19­16_17184\EXTENSION_7.CRX
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D96A05-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A06-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A07-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A08-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D96A0A-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {764BF0E1-F219-11CE-972D-00AA00A14F56}\[CLSID]
delref {853FE2B1-B769-11D0-9C4E-00C04FB6C6FA}\[CLSID]
delref {FAC3CBF6-8697-43D0-BAB9-DCD1FCE19D75}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.115\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref D:\ПРОГИ\WINSETUP-1-0-BETA7\FILES\TOOLS\RICHTX32.OCX
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRA~1\STATSOFT\STATIS~1\STATIST.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CS5.1\PHOTOSHOP.EXE\AUTOMATION
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
delref E:\LENOVO_SUITE.EXE
delref F:\LENOVO_SUITE.EXE
delref %SystemDrive%\PROGRAM FILES\RAINLENDAR2\RAINLENDAR2.EXE
delref D:\П Ц Р\SN060807\ANK32.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке решения для данного шифратора нет,
сохраните документы на отдельный носитель, и остается ждать, когда решение будет возможно.

да, он самый.
троян AdylKuzz пытался закрыть порты, открытые снаружи, и отменить шары, как бы защищая систему от последующих вторжений. :)
от атаки WannaCry это бы спасло. :)

netsh ipsec static add policy name=win
[QUOTE]netsh ipsec static add filterlist name=Allowlist
netsh ipsec static add filterlist name=denylist
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=135
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=137
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=138
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=139
netsh ipsec static add filter filterlist=denylist srcaddr=any dstaddr=me description=not protocol=tcp mirrored=yes dstport=445
netsh ipsec static add filteraction name=Allow action=permit
netsh ipsec static add filteraction name=deny action=block
netsh ipsec static add rule name=deny1 policy=win filterlist=denylist filteraction=deny
netsh ipsec static set policy name=win assign=y
ver | find "5.1." > NUL && sc config SharedAccess start= auto && net start SharedAccess && netsh firewall set opmode mode=enable && netsh firewall set portopening protocol = ALL port = 445 name = 445 mode = DISABLE scope = ALL profile = ALL[/QUOTE]

Сергей Шаталов,
добавьте образ автозапуска системы.

добавьте в настройки антивируса исключение  (не проверять) для расширений VBAT
а при восстановлении из карантина выбрать действие "сохранить как", и укажите ему имя c2.vbat
(потом можно удалить эту запись VBAT из настроек)

если патч установлен, то теперь система не должна пробиваться из внешней сети.
все что было вредоносное в системе мы вычистили,

понаблюдайте за реакцией антивируса, будет ли он еще что то подобное обнаруживать.

или отсюда можно скачать патч для вашей системы win XP SP3

http://rgho.st/6rKy5zRWV

+
восстановите c2.bat из карантина в c2.vbat, добавьте его в архив с паролем infected и вышлите в почту [email protected]