[QUOTE]Андрей Комин написал:
Благодарю, наверное избавился.

"архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)   отправить в почту  [email protected] ,  [email protected]"
не отправил, насколько обязательно?[/QUOTE]
желательно.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\ULTRAISO\ULTRAISO.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\AVG_UPDATE_0915TB\0915TB_{8C78486A-4D2D-404E-A03C-38FBA9B9CDCE}.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\7.0.25_0\ПОИСК MAIL.RU

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\TRUECHAOS\APPDATA\LOCAL\PROFITSAVER\PRFT­STB.EXE

delref HTTP:\\TRUSTEDSURF.COM\?SSID=1463657293&A=1054667&SRC=SH&UUID=C97E1F31-9519-4C3A-B66E-5DC2607F9730

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска системы, можно из безопсного режима

[QUOTE]Ольга дергунова написал:
Вирус зашифровал файлы MS Word с расширением .enigma
Помогите с расшифровкой[/QUOTE]
Ольга,
добавьте образ автозапуска

чисто теперь

судя по ответу техподдержки, расшифровка для этого варианта невозможна.
Точнее возможна, но в процессе шифрования файлы были повреждены.
поэтому после дешифровки файлов они уже не соответствуют оригиналу.

Андрей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\RAR$DI02.968\ДОКУМЕНТЫ ВАЖНЫЕ ДЛЯ БУХГАЛТЕРА ОТ 06282016 UWFDP.SCR
addsgn 1A09739A5583CC8CF42B95BCCC785005D7FFFE044A08F62583C3C555099A­714C769C2FD41B35E40C2B8007736A457A213ED6F5DEE598B046279F7934­C606A7B3 64 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\RAR$DI09.656\ДОКУМЕНТЫ ВАЖНЫЕ ДЛЯ БУХГАЛТЕРА ОТ 06282016 UWFDP.SCR
addsgn 9A983BDA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCB7DC­85E6D0984E11B3A05B38E3FFE51E461649FA7DDFE97255DAEC326913C019­B031521F 8 da_vinci_code

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ЕВСИКОВ ЮА\LOCAL SETTINGS\TEMP\GGFHHHG55486652.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Java™ 6 Update 31
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
с расшифровкой не поможем.

Анатолий,
судя по образу система уже очищена от шифратора.
------
расшифровки по da_vinci_code нет.
как вести себя: добавьте в локальные политики правила по запрету на запуск исполняемых файлов из архивов.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\UNIBLUE\SPEEDUPMYPC

deldirex %SystemDrive%\PROGRAM FILES (X86)\OLBPRE

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1434345558&Z=E710742EE44F60271525382G7Z8C3ZAC7Z­8W0W9W7Q&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1434345488&Z=A3B356FEB74C18782E9F503GBZ6C3Z9C3Z5W­9Z6BCM&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\ТСЖ\DOWNLOADS\W.JPG

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1434345558&Z=E710742EE44F60271525382G7Z8C3ZAC7Z­8W0W9W7Q&FROM=TUGS&UID=ST500LM012XHN-M500MBB_S2RSJ9AC814062&Q={SEARCHTERMS}

; istartsurf uninstall
exec  C:\Users\ТСЖ\AppData\Roaming\istartsurf\UninstallManager.exe  -ptid=tugs
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

если комп сейчас включен,
добавьте образ автозапуска системы,
расшифровки по нему скорее всего и нет
http://id-ransomware.blogspot.ru/2016/06/kozy.html