Иван Лебедев,
выполните скрипт для очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BAC­CA966E53 8 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\MAIL.RU\UPDATE SERVICE\MRUPDSRV.EXE

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref %SystemDrive%\USERS\RIK\APPDATA\LOCAL\TEMP\RAR$EX00.639\GREENCHRISTMASTREE.EXE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java™ 6 Update 23 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416023FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Руслан,
добавьте образ автозапуска системы, где произошло шифрование.

[QUOTE]rusali99 написал:
То есть вообще ни как?! Даже за деньги?![/QUOTE]
за деньги, за много-деньги вы можете обратиться с расшифровкой к злоумышленникам.
Именно эту цель они и преследовали, когда шифровали ваши файлы.

@rusali99,
если очистка системы не нужна, как вы считаете,
тогда остается только добавить, что с расшифровкой Spora в данный момент вам не поможем.

@Lekar Instrument,
система очищена от файлов шифратора.
по расшифровке файловобращайтесь в [email protected] при наличие лицензии на антивирус ESET
+ добавлю, что
с расшифровкой файлов придется ждать неопределенное время, пока не будут получены приватные ключи по данному шифратору.

@rusali99,
добавьте образ автозапуска компьютера, который был атакован Spor-ой.
необходимо проверить систему, не осталось ли в ней хвостов от Spora

попробуйте в ЛК обратиться, возможно они помогут с расшифровкой старых вариантов Ransom.Shade.xtbl

дак в архив надо вначале файлы добавить, а затем уже сам архив загрузить в сообщение,
но судя по наименованию файла, это не Crysis, это Ransom.Shade.[xtbl]

@Вадим Самсоненко,
добавьте на форум в архиве несколько зашифрованных файлов xtbl. Возможно, это не Crysis.

@Lekar Instrument,

файл шифратора до сих пор в системе.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v388c
OFFSGNSAVE
addsgn A7679BF0AA0234452BD4C6BD4EE81261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CD64FFFE82BD6D73C600D775BAC­CA966E53 8 no_more_ransom

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SMIRNIAGINA.ORLK\LOCAL SETTINGS\APPLICATION DATA\CLOUDSTATIONBACKUP\CLOUDSTATION.APP\BIN\CLOUD-BACKUP-CONNECT.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SMIRNIAGINA.ORLK\LOCAL SETTINGS\APPLICATION DATA\CLOUDSTATIONBACKUP\CLOUDSTATION.APP\BIN\CLOUD-BACKUP-UI.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SMIRNIAGINA.ORLK\LOCAL SETTINGS\APPLICATION DATA\CLOUDSTATIONBACKUP\CLOUDSTATION.APP\BIN\CLOUD-BACKUP-DAEMON.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\SMIRNIAGINA.ORLK\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE

delref ITNSPLIQ.UYE

delref .\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\JWGKVSQ.VMX

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\SMIRNIAGINA.ORLK\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCLPDGMDKDNIJJBGMNAJOLNBNJEJOEOGM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKMAFJCEIPGFAOLDHHBKGDIHFBJAIOAEN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\DOCUME~1\ALLUSE~1\LOCALS~1\TEMP\MSDUBM.COM

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------