Антон,
судя по образу система уже очищена от файлов шифратора.

по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

Валерий Мельничук,
расшифровка возможна, хотя видимо не для всех файлов.
напишите в почту [email protected]
------
+
добавьте образ автозапуска, можно из безопасного режима для проверки системы.
http://forum.esetnod32.ru/forum9/topic2687/

Евгений,
по правилам нашего форума мы не оказываем помощь пользователям,
которые используют ломанный антивирус.
а вы, судя по образу используете его.
[QUOTE]C:\PROGRAM FILES (X86)\TNOD\TNODUP.EXE[/QUOTE]
поэтому,
обращаемся за помощью на другой форум.

Валерий,
да, эти пары нормальные, по крайней мере чистые файлы открываются,
чуть позже напишу результат проверки

[QUOTE]Валерий Мельничук написал:
где мне взять не битый файл? если закодировало все. в архиве что я залил в сообщении выше: один файл зашифрованный, один дешифрованный касперским (и тоже не открывается) и еще сделанный в скрин экрана и забитый в пейнт (то есть сделанный уже после того как вирус убит). но вопрос  начале абзаца - где взять другой небитый файл - я не знаю ([/QUOTE]
1. архивные копии,
2. проверьте теневые копии, если чистема на клиенте выше чем XP
3. возможно есть зашифрованные файлы системы, можно найти чистые аналоги этих файлов в сети, или на других чистых машинах.

[QUOTE]Валерий Мельничук написал:
касперского патчи брал от сюда  [URL=https://support.kaspersky.ru/viruses/disinfection/4264]https://support.kaspersky.ru/viruses/disinfection/4264[/URL] [/QUOTE]

ну, во первых, это называется не патчи, а утилиты.
декодеры.
rector здесь не подойдет.

для проверки расшифровки необходима пара: чистый - зашифрованный файл.
поищите внимательно на диске, возможно есть чистые копии документов в архивах.

+ поищите среди зашифрованных файлов такие

Chrysanthemum.jpg
Desert.jpg
Koala.jpg

Валерий,
вы уже пробовали чем то расшифровать файлы?
у вас оба файла:
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG
и
CDBE3D67-4A65-4869-96F8-159DE4FD16BC.JPG.id70915
имеют одинаковые хэши, т.е. по сути это одинаковые файлы.

CRC32: 579B1997
MD5: B502B60E756A31FD18A8E1E407055540
SHA-1: D45B0ED88D422D4D7F0DAAE4AF91A7E4E98AE851

причем первый из них так же не открывается, т.е. в зашифрованном состоянии.
--------------
нужна пара: чистый и зашифрованный, и чтобы чистый файл, если это картинка, нормально открывался графической программой,
если это офисный документ: xls или doc, то нормально открывался в Офисе,
если pdf - то нормально открывался в acrobat reader или foxit

опишите, что у вас произошло яснее,
поищите таки чистые аналоги для зашифрованных документов.
--------------
это поясните: какие программы использовали для восстановления.

[QUOTE]для восстановления файлов воспользовался тремя патчами от касперского. два из них ничего не сделали. третий нашел файлы восстановил, но.... восстановленные файлы документов, видео, фото - не открываются. а архивы открываются некоторые (в основном которые содержали файлы программ -те же архивы драйверов), остальные тоже битые. [/QUOTE]

Дмитрий,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D55CC296­71C57F33DFA82BE5ED092B7F91333656499C40D9E806448958631C77A414­0472251B 28 no_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\B\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов вы можете написать обращение в техподдержку [email protected] при наличие лицензии на продукт ESET
хотя с расшифровкой данных в настоящее время не поможем.

собственно,
после завершения шифрования в автозапуске остается только html-записка о выкупе (не представляет угрозы).

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER05\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&UTM_SOURCE=IEB&UTM_MEDIUM=CPC&UTM_CAMPAIGN=BROWSERS

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU/?UTM_SOURCE=QIP2012&UTM_MEDIUM=CPC&UTM_CAMPAIGN=QIP2012_START­

delref HTTP://SEARCH.QIP.RU

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровка в данном случае, (как и с VAULT) видимо, возможна в том случае, если будет получен  доступ к приватным ключам мошенников.

[QUOTE]Олег Бакеркин написал:
- Образ автозагрузки сделанный ПО в вашей подписи
[/QUOTE]
образ автозапуска добавьте в ваше сообщение здесь, на форум.