ссылка на инструкцию "как создать образ автозапуска?" добавлена  в подписи каждого моего сообщения.

Виктория,
что конкретно вы ходите удалить?
копии файлов [B]*.enigma.backup_by_eset[/B]
которые остались после работы дешифратора?

можно применить такой скрипт:

[CODE]@ECHO OFF

FOR %%f IN (C D E ) DO call :del_copy_enigma %%f
goto eof
:del_copy_enigma

dir /B "%1:\"&& for /r "%1:\" %%i in (*.enigma.*) do (
echo "%%~fi" >>enigma1.txt
del /f /q "%%~fi"
)
:eof
ECHO.
ECHO FINISHED![/CODE]

здесь C D E в командной строке IN (C D E) - это список дисков, локальных и сетевых, на которых вы хотите удалить копии файлов с расширением *.enigma.*
строки кода сохраните в файл del_copy_enigma.bat и запустите его.

добавьте образ автозапуска
можно из безопасного режима системы

Вадим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B497­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetworkUpdate.mbam

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B045494­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\APPLICATION DATA\E53B8451-81DA-4AA3-D1C3-DA5710C770D5\E53B8451-81DA-4AA3-D1C3-DA5710C770D5.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 14 Adware.Downware.1528 [DrWeb]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{194E91AA-07FC-4B37-A19D-D588E524F1AC}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ВЛАДЕЛЕЦ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://ESTANOS.COM/INFORM/RECORD.RGB

delref %SystemDrive%\DOCUME~1\7B5C~1\LOCALS~1\TEMP\A0C4A2A7605A88ED­FAE1D9292AF3EDAE.EXE

; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe
; Weatherbar
exec MsiExec.exe /I{BE742AE3-0C95-46CC-B5C8-9F942FDD9360} /quiet
; etranslator
exec C:\Documents and Settings\Владелец\Application Data\etranslator\etranslator.exe" /uninstall
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

[QUOTE]Вадим Вадим написал:
как собрать образ для очистки системы??[/QUOTE]
в моей подписи ссылка на тему "как создать образ автозапуска"

может ОЗУ не достаточно на этом компьютере? + пробуйте обновить антивирус до 5.0.2260

[QUOTE]Алекс Дёмин написал:
А с расшифровкой что то можно сделать?[/QUOTE]
ждать, когда будет дешифратор
или за этой темой следите
http://www.bleepingcomputer.com/forums/t/617802/kozyjozy-ransomware-help-support-wjpg-31392e30362e32303136-num-lsbj1/

Ольга,
судя по образу система уже очищена от тел шифратора, за исключением ссылки на файл шифратора.

[QUOTE]Полное имя C:\DOCUME~1\WORK\LOCALS~1\TEMP\CBD0D7C4D3051665511BAF4E666172C9.EXE
Имя файла                   CBD0D7C4D3051665511BAF4E666172C9.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
[B]Ссылка HKEY_USERS\S-1-5-21-484763869-651377827-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Run\dedbdebfcb[/B]
dedbdebfcb                  "C:\DOCUME~1\Work\LOCALS~1\Temp\cbd0d7c4d3051665511baf4e666172c­9.exe" [/QUOTE]
---------------
поэтому вам лучше сейчас собрать необходимые файлы и отправить в техподдержку.
(если это еще не сделано)
(при наличие лицензии на продукт ESET)

если же сделано, то я могу добавить скрипт очистки от мусора в системе.

Ольга Дергунова,

по очистке системы от остатков шифратора добавьте образ автозапуска системы.

по расшифровке документов, при наличие лицензии на продукт ESET обращайтесь в техподдержку [email protected]

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

Максим,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
delall %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ЕВГЕНИЙ\APPDATA\LOCAL\TEMP\891B896834E06­94E0E4383F547177D23.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

от вас в техподдержку необходима следующая информация:
файл шифратора,
файл ENIGMA_NN.RSA
несколько зашифрованных файлов.

в ответ,
ждите декодер и ключ +инструкцию  от техподдержки