ок.
шифровали файлы публичный ключом из пары созданной на вашей машине.
а ваш secring.gpg по всей вероятности зашифрован публичным ключом вирусописателей

[QUOTE]gpg: ключ 18422098: импортирован открытый ключ "winnix <[email protected]>"
gpg: Всего обработано: 1
gpg:                 импортировано: 1

- Public keyring updated. -

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.gpg
Time: 08.09.2016 16:57:02 (08.09.2016 9:57:02 UTC)[/QUOTE]

если, это продолжатели дела paycrypt/keybtc/vault то алгоритм у них уже отработанный.
надо искать на диске среди удаленных файл secring.gpg
ну и так же источник шифратора: js из почты, или bat файлы в %TEMP% посмотрите, возможно там что-то осталось после активности шифратора.
--------
secring.gpg в этой папке (gnupg) нулевой, естественно что они затерли этот ключ.

шифровали secring.gpg они подключом 0x91A30D28, по крайне мере, pubring.bak они зашифровали своим подключом.

[QUOTE]gpg: зашифровано 4096-битным ключом RSA с ID 91A30D28, созданным 25.07.2016
     "winnix <[email protected]>"
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\2\gnupg1\gnupg\gnupg\pubring.bak.wnx
Time: 08.09.2016 17:15:36 (08.09.2016 10:15:36 UTC)[/QUOTE]

В любом случае, надо смотреть образ автозапуска.
по расшифровке пока ничего не могу сказать: возможна или не возможна.

При попытке расшифровать файл в GnuPG получаем:

[QUOTE]gpg: зашифровано ключом RSA с ID F32503F3
gpg: сбой расшифровки: секретный ключ не найден

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx
Time: 08.09.2016 10:31:35 (08.09.2016 3:31:35 UTC)[/QUOTE]

значит, используется шифрование GnuPG, в этом случае вероятность расшифровки близка к нулю,
без приватного ключа (secring.gpg)  RSA с ID F32503F3, эти файлы не расшифровать
----------
[B]крайне интересно получить указанный выше первоисточник.[/B]

[QUOTE]Дмитрий Шуваев написал:
Спасибо большое , помогло!
не получилось добавить лог журнала обнаружения угроз.[/QUOTE]

[QUOTE]Добавлена сигнатура: bank_tr
--------------------------------------------------------
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\DOCUMENTS AND SETTINGS\DIMA\APPLICATION DATA\{212FE02D-BCAD-4D14-38FE-EF0B09899320}\SEOPKZSZL.DOHTYOJ
Файл скопирован в ZOO: C:\DOWNLOADS\АРХИВЫ\UVS_V387\ZOO\SEOPKZSZL.DOHTYOJ._A0CFEDF49ED013842C4C9A23FC095E46FC85E9D2
[/QUOTE]
Дмитрий,
выложите так же архив ZOO* на обменник, например сюда: http://sendspace.com и дайте ссылку на этот файл в вашем сообщении, или в почту [email protected]

затем, можно выполнить рекомендацию RP55 из последнего сообщения.

Роман,
добавьте образ автозапуска для очистки системы
+
если сохранился первоисточник с шифратором: вложение из почты, скрипт, ссылка - вышлите в почту [email protected] с паролем infected
+
вопрос: откуда прилетел шифратор?
+
проверьте нет ли на зашифрованной системе папки [B]gnupg[/B]

судя по зашифрованных файлам используется шифрование gnupg

[QUOTE]:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak_log.ldf.wnx[/QUOTE]

[QUOTE]:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4096 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\SQL_DB\selen_bak.mdf.wnx
[/QUOTE]

[QUOTE]:pubkey enc packet: version 3, algo 1, keyid EA073ADFF32503F3
data: [4093 bits]
:encrypted data packet:
length: unknown
mdc_method: 2

File: E:\decrypt\DATA\wnx\1\Образцы\ывапвыапывапвыапвыапвыапывапывап­.png.wnx[/QUOTE]

Тимофей,
добавьте образ автозапуска для очистки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCALLOW\UNITY\WEBPLAYER\L­OADER

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[QUOTE]RP55 RP55 написал:
santy

всё по той же теме...
Сигнатуры то в скрипт были добавлены однако для чего...  ;)[/QUOTE]
RP55,
тут не о чем говорить.
объективно, модель удаления по сигнатурам, предложенная demkd, эффективнее той, которую долгое время ты вынашиваешь. через удаление файлов по абсолютному пути.

добавьте образ автозапуска,
ссылка на инструкции есть в моей подписи.

Андрей Митин,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 1ADDF99A5583348CF42B627DEF843601D24BFFF689FA6B5C0FC2467D5152­B1386DE002543E559D3CC485849F4616C45E59DFE872555714082D77A42F­4C07988C 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref 127.0.0.1:80

delref %SystemDrive%\USERS\SKLAD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\SKLAD\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROM­E\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER1\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER2\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER3\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER4\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER5\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\IVAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ELENA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\IGOR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ROMAN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ANDR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ALEKS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\TEST\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN1C\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER7\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\QR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\IGR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER10\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER9\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\PAVEL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\INTELLIT\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\INTELLIT\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\PROFILE 1\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\INTELLIT\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\PROFILE 1\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.15.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\MANAGER8\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\TEHNOLOG\APPDATA\LOCAL\GOOGLE\CHROME\USE­R DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке решения нет. восстанавливаем документы из бэкапа.
если нет бэкапов, сохраните важные зашифрованные папки на отдельный носитель. до лучших времен.

[B]+ удалите файл вируса из вашего сообщения.[/B]