Юрий Е,
и он (Николай), прав, что свежий Ваулт является модификацией Filecoder.FH, которая на сегодня не имеет решения по расшифровке.
(+ Filecoder.FH.cleaner применяется не в техподдержке, на компьютере сотрудника, а на зашифрованной системе)

Какой смысл выкладывать дешифратор в общий доступ, если область его применения ограничена со 2-ого по 9 ноября 2015 года,
т.е. прошел уже почти год с того времени, как VAULT не имеет решения по расшифровке, а вы до сих пор еще не в курсе.
Политика ESET вполне разумна, выкладывать в public только универсальные дешифраторы.
например, как дешифратор по Teslacrypt/
http://download.eset.com/special/ESETTeslaCryptDecryptor.exe

ЛК же часто выкладывает дешифраторы в общий доступ из маркетинговых соображений, как решение по многим дешифраторам, но как правило, бесполезное.
Надо потратить месяц на подбор ключа методом перебора/поиска, и на финише получить - "ключ не найден", а без ключа нет расшифровки.
т.е. вместо расшифровки файлов мы получаем бесполезно потраченное время и ресурс, поскольку система нагружается таким перебором под завязку.


вот к примеру, лежит у ЛК в общем доступе аналогичный дешифратор: ScatterDecryptor. вот и попробуйте его применить для файлов, зашифрованных в vault/bat.encoder

выполните скрипт в uVS из [B]безопасного режима системы[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

chklst
delvir

setdns Подключение по локальной сети\4\{AC5A5C8A-ACE6-4A75-91E3-6A513AD986C7}\8.8.8.8,8.8.4.4
delall %SystemDrive%\USERS\EMKIST~1\APPDATA\LOCAL\TEMP\438113FDOH

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-CHROMEINSTALLER.EXE
del %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-CHROMEINSTALLER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-CODEDOWNLOADER.EXE
del %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-CODEDOWNLOADER.EXE

delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-FIREFOXINSTALLER.EXE
del %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-FIREFOXINSTALLER.EXE

delref HTTP:\\STATS.SRVSTATSDATA.COM
delref %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-UPDATER.EXE
del %SystemDrive%\PROGRAM FILES\PLUS-HD-2.2\PLUS-HD-2.2-UPDATER.EXE

delref %SystemDrive%\PROGRA~1\SAVESH~1\SPROTE~1.DLL
del %SystemDrive%\PROGRA~1\SAVESH~1\SPROTE~1.DLL

delref %SystemDrive%\PROGRA~2\INTERE~1\INTERE~1.DLL
del %SystemDrive%\PROGRA~2\INTERE~1\INTERE~1.DLL

delref HTTP://SEARCHFUNMOODS.COM/?F=2&A=ORGNL&CHNL=&CD=2XZUYETN2Y1L1QZU0ETD0C0AZYYEYBTDYDTD0BT­AYE0D0CYDTN0D0TZU0CTATBYBTN1L2XZUTBTFTBTFTDTFTAYEYE&CR=12793­18225
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\DEALPLY

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMHLIANHLHDICJCHLBMBFAEFHHJENCBE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKFECNPMGNLNBMIPAOGFHOACOIOIFJGKO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SEARCH.QIP.RU/?QUERY={SEARCHTERMS}
deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR\UPDATER

deldirex %SystemDrive%\PROGRAM FILES\ASKPARTNERNETWORK\TOOLBAR

delref %Sys32%\DRIVERS\BDMWRENCH.SYS
del %Sys32%\DRIVERS\BDMWRENCH.SYS

delref %Sys32%\DRIVERS\TTRFD_VT_1_10_0_22.SYS
del %Sys32%\DRIVERS\TTRFD_VT_1_10_0_22.SYS

delref %Sys32%\DRIVERS\MPCBASE.SYS
del %Sys32%\DRIVERS\MPCBASE.SYS

delref %Sys32%\DRIVERS\MPCKPT.SYS
del %Sys32%\DRIVERS\MPCKPT.SYS

deldirex %SystemDrive%\PROGRAM FILES\MPC CLEANER

delref %SystemDrive%\PROGRAM FILES\QIPGUARD\QIPGUARD.EXE
del %SystemDrive%\PROGRAM FILES\QIPGUARD\QIPGUARD.EXE

delref %Sys32%\DRIVERS\QUTMIPC.SYS
del %Sys32%\DRIVERS\QUTMIPC.SYS

delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\GOOGLE\CHROME\­USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\GOOGLE\CHROME\­USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\GOOGLE\CHROME\­USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %LOCALAPPDATA%\POKKI\OCDESKBAND_0.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\107

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEHFJIHAHBPHDPLJPIADBKMGMHNFEHHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\ROAMING\QIPGUARD\QIP­GUARD.EXE
del %SystemDrive%\USERS\EMKISTATIKI\APPDATA\ROAMING\QIPGUARD\QIP­GUARD.EXE

delref HTTP://GRANENA.RU/?UTM_SOURCE=UOUA03N&UTM_CONTENT=E739009BCCD5F1E6D71A91BFF5994­529&UTM_TERM=BC9F6F4D1CD16BEAD2EFA1E404E9B995&UTM_D=20160602­
deldirex %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\MEDIAGET2

delref HTTP://WEBALTA.RU/SEARCH
delref %LOCALAPPDATA%\POKKI\ENGINE\POKKI.EXE

deldirex %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\BAIDU\BAIDUCLI­ENT\1.6.0.359

delref HTTP:\\SEARCHYACOM.RU
; OptimizerPro
exec C:\PROGRA~2\INSTAL~1\OPTIMI~1\Setup.exe /remove /q0
; SkyMonk Client
exec C:\Program Files\SkyMonk\uninstall.exe
delref %SystemRoot%\INF\OTHER.EXE
delref %Sys32%\CONFIG\WIN.EXE
delref HTTP://DO-SEARCH.COM/WEB/?TYPE=DS&TS=1433297280&Z=AF67D7D6492F650C1E5C20EG3Z2CCC3OET6M­FOEMDM&FROM=COR&UID=HITACHIXHTS543232A7A384_110911E2M312433E­WZ7JX&Q={SEARCHTERMS}
delref SEARCH.MPC.AM
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\FUPDATE\FUPDAT­E.EXE
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\POWERMONITOR\P­OWERMONITOR.EXE
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\SEARCHGO\SEARC­HGO.EXE
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\SVSHOST\SVSHOS­T.EXE
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\LOCAL\SYSNET\SYSNET.EXE
delref %SystemDrive%\USERS\EMKISTATIKI\APPDATA\ROAMING\DO-SEARCH\UNINSTALLMANAGER.EXE
delref DNSKINGSTON.EXE
delref STATS.SRVSTATSDATA.COM
delref %SystemDrive%\PROGRAM FILES\TERMTRIDENT_1.10.0.22\UPDATE\TERMTRIDENTAUTOUPDATECLIENT.EXE
delref %SystemDrive%\PROGRAM FILES\TORNTV V6.0\TORNTV V6.0-CODEDOWNLOADER.EXE
deltmp
delnfr
REGT 14
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.

+
добавьте лог выполнения скрипта:
это файл дата_времяlog.txt из папки, откуда вы запускаете uVS
+
добавьте новый образ автозапуска.

Сергей,
Уточните вашу мысль. реплика прозвучала ни о чем.
Или ждем теперь Михаила Н, который придет "с той же мыслью"?

RP55,
не факт, что проблема в этой задаче.
там указано соединение с сервером MS
192.168.0.110:57487 <-> 111.221.29.105:443

@Emkistatik Shatenev,
сделайте образ автозапуска системы из безопасного режима системы

Юрий Е,
какой у вас был тип шифратора?

@AD_Wizard,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\RAD06793.TMP
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0FA02783C5353CF2­65B3362343173E3D9CC92B807B8A729709FA2820FDDED79AB04624D4DC60­8406CA8E 8 da_vinci_code

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\RAD68CF9.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMP\RADCA05F.TMP
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\TEMPORARY INTERNET FILES\CONTENT.IE5\C0X1F04D\SCRWIN[1].EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

[QUOTE]Андрей Ч написал:
Добрый день! Как и все поймали этот ать его шифратор. Поймали его под пользователем 1. Образ снять не получается т.к. uvs_v387 виснет на сканировании автозапуска. Под пользователем 1 войти не возможно, т.к. зашифрована база БлокХост которая установлена на компьютер.[/QUOTE]
сделайте образ автозапуска из безопасного режима системы.

оригинальный ход распространителей шифраторов. :)))

[QUOTE]Здравствуйте!
Новый счет во вложенных файлах

Сергей Новиков
Менеджер по работе с клиентами Компании Р.о.с.т.е.л.е.к.о.м
[/QUOTE]
в архивном вложении добавлен офисный документ doc со следующим содержанием.

[QUOTE]В вроцессе отправки вложения произошла ошибка.
Оригинал документа сохранен и его можно скачать тут:
хттп://cloud.mail.ru/public/******
[/QUOTE]

[QUOTE]Лонид Я написал:
Спасибо за оперативность ! Выполняя скрипт у меня 1С главбуха не полетит или еще что то ,что тот страхово под словом "при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"" Спасибо за понимание )))[/QUOTE]
Не полетит. в данном скрипте нет команд деинсталляции программ.