Андрей Алимов,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\PARETOLOGIC\UUS3\PARETO_UPDATE3.EXE
del %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\PARETOLOGIC\UUS3\PARETO_UPDATE3.EXE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_0\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\YANDEX\YANDEXBROWSE­R\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\7.20_0\SAVEFROM.NET ПОМОЩНИК
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\MEDIAGET2

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов:
добавьте на форум в архиве несколько зашифрованных файлов и readme*.txt

Алексей,
расшифровке файлов это не поможет.
вы можете проверить файл шифратора здесь:
http://virustotal.com
если наш антивирус не детектирует его, тогда вышлите в почту [email protected] в архиве с паролем infected

скрытие реальных папок с вашими файлами используется для того, чтобы пользователь, нажимал на ярлыки, которые созданы с такими же именами, как ваши корневые папки с документами.

При этом файл шифратора, который добавлен в строку lnk-файла, будет запущен повторно, и дошифрует то, что еще не было зашифровано.

[QUOTE]santy написал:
Victur,

да, это Xorist
https://www.virustotal.com/en/file/315b69c6b199fd73bd4917cae7fda2d81354b7e979b82b6f­­1a0cfb1803720b34/analysis/1488753872/

в том числе, судя по ключу
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Alcmeter
C:\DOCUME~1\user\LOCALS~1\Temp\4Zm49xdJQDGs9vF.exe
[/QUOTE]
Victur,
расшифровка действительно возможна,
так что обращайтесь к нас, если расшифровка для вас все еще актуальна.

[QUOTE]Владимир Паймаков написал:
Вот исчо[/QUOTE]
Владимир,
если необходима помощь в очистке системы, добавьте образ автозапуска.

[QUOTE]Александр Жалимов написал:
Добрый день! Пошифрованы файлы через .id-FEE12735.[ [URL=mailto:[email protected]][email protected][/URL] ].wallet. Лицензия на ваш антивирус куплена. Ваша техподдержка молчит, запросу уже больше суток. Есть ли какие нибудь наработки по дешифратору или пока нет? Файлы, сам вирус могу скинуть если нужно. Комп больше не запускается, нужно расшифровать 2 1с-ные базы по 2 гигабайта каждая. (2 файла 1cd) Остальное всё восстановимо. Логин лицензии NOD32: EAV-0180213574[/QUOTE]
добрый,
надо хотя бы убрать вирусные тела из автозапуска системы.
сделайте образ автозапуска из под winpe
файлы шифратора вышлите в почту [email protected] в архиве, с паролем infected
----------
по расшифровке ждите решения - как только будет так вам сразу станет известно,
а пока что бэкапы используйте для восстановления важных документов и баз.

[QUOTE]Эдуард Атл написал:
Может кто-то сталкивался?[/QUOTE]
Эдуард,
если есть такие, добавьте копии чистых файлов,
или если нет конкретно к этим файлам чистых копий, то другую пару: чистый -зашифрованный файл.
+
добавьте образ автозапуска, если необходима помощь в очистке системы.

Vladimir Kovalev,
сделайте образ автозапуска системы, можно попробовать из безопасного режима,
(возможно пишет свои копии на флэшку)

"все" здесь подразумевается, что могут подключаться к папке по локальной сети все пользователи с полными правами.
посмотреть надо в проводнике
в свойствах этой папки, открыт общий доступ к ней или нет.
c:\users
если открыт, то отключите, или хотя бы установите права для всех только на чтение.
если в этом есть необходимость.

Алексей,
судя по образу автозапуска вы используете tnod
[QUOTE]C:\PROGRAM FILES\TNOD\TNODUP.EXE[/QUOTE]
по правилам нашего форума, мы не оказываем помощь в очистке, и тем более в расшифровке пользователям, которые используют ломанный антивирус ESET
обратитесь за помощью на другой форум.

[QUOTE]Алексей Непряхин написал:
[QUOTE] santy написал:
Алексей,
добавьте образ автозапуска системы.

файл шифратора в архиве с паролем infected пришлите в почту  [URL=mailto:[email protected]][email protected][/URL] [/QUOTE]Тело отправил на почту. Лог прикрепил к исходному сообщению[/QUOTE]
образ сейчас гляну, файлик в настоящее время детектируется основными антивирусами т.о.
https://www.virustotal.com/en/file/137aacd65759f46a968ea1520393ffb96b292b5274b94d3d­3cf5eaafabc87c5d/analysis/