Владимир,
для начала почистите систему, крайне замусорена.
скрипт не решает проблему с расшифровкой файлов, только очищает ее от остатков шифратора и других нежелательных файлов.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Вчера и сегодня была активная рассылка Nemucod, интересно, шифрануло кого нибудь или нет?
судя по BC Nemucod рассылает свой шифратор. (совсем недавно они рассылали Teslacrypt)
детект есть только сегодня, вчера скрипт был без детекта.

[QUOTE]Column Name Value
Date Received 2016-04-01 09:53:15
Date Occurred 2016-04-01 09:44:55
Level Warning
Scanner Real-time file system protection
Object file
Name C:\Users\*****\AppData\Local\Temp\Rar$DI00.133\31 марта печать.js
Threat JS/TrojanDownloader.Nemucod.NV trojan
Action cleaned by deleting - quarantined
Information Event occurred on a new file created by the application: C:\Program Files (x86)\WinRAR\WinRAR.exe.
Details Ready[/QUOTE]

Игорь,
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\ADOBE\READER 11.0\READER\ACROEXT\ACROEXT.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.5_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU
delref %Sys32%\WTDNWBCMIXPQXV.EXE
del %Sys32%\WTDNWBCMIXPQXV.EXE

delref %Sys32%\ZKQOIYVTTVVO_L.EXE
del %Sys32%\ZKQOIYVTTVVO_L.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=D9B7AF683D63847D1D5B91­62C1EAB404&TEXT={SEARCHTERMS}
deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\VOPACKAGE

regt 28
regt 29
deltmp
delnfr

;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Владимир,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\QDICTIONARY\QDICTIONARY.EXE
chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SAVEPASS 1.1

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-5.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE
del %SystemDrive%\PROGRAM FILES (X86)\GE-FORCE\667ADFD8-B1C7-4231-B7BC-A08FDA60E9B4-6.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SENSE

delref %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE
del %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\F0EXC82.EXE.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\VIDEO SAVER

delref %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE
del %SystemDrive%\PROGRAM FILES (X86)\VK DOWNLOADER\HFB1ELU.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOPPERPRO\JSDRIVER\1485.0.0.0

delref {50F4150A-48B2-417A-BE4C-C83F580FB904}\[CLSID]
delref {8E8F97CD-60B5-456F-A201-73065652D099}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGOMNBPELPCDICBNICIMGHCECEMJPBEF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHBLDCGBJBLIPEGBECLMCNNDDNOPNHJM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHHJMIHALFDOCHHINHFOGCIAAFPPFGPJJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMKMHBBGJGKBKPAJMNFEEBDODFCELMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOFCKLFFFFGBDGNOIPDOKCCLBHOMKPIE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218\PLUGINS\FILESMASH

delref {11111111-1111-1111-1111-110611971195}\[CLSID]
delref {11111111-1111-1111-1111-110711021199}\[CLSID]
delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1435054396&FROM=XTAB&UID=8E5931BB6D964F14A15543­1924C12FA9
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
del %Sys32%\DRIVERS\BDMWRENCH_X64.SYS

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.3.17201.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\PROGRAM FILES (X86)\DF812BAB-1455880995-30C1-8980-20CF3063C5C7\KNSF47D5.TMP

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\BAIDU\BDDOWNLOAD\108

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS
del %SystemRoot%\SYSWOW64\DRIVERS\BD0001.SYS

deldirex %SystemDrive%\PROGRAMDATA\TENCENT\TSVULFW

del %SystemDrive%\PROGRAMDATA\RWUUCMIEP\REYLKPYVQ3.BAT

delref HTTP:\\MEGAGABEN.RU
regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Собственно, сервис (ID Ransomware) создан совсем недавно. Отсюда и ошибки.
Идея создать данный сервис пришла по ходу работы на форуме BC.
Так же есть ошибки в определении Ransom.Shade/Filecoder.ED, по крайней мере на better_call_saul и breaking_bad
Я думаю, если будет предложена полная информация по шифраторам, которые "популярны" в России, то эта инфо будет добавлена в ID Ransomware
Radamant, TeslaCrypt, Locky все таки получили некоторое распространение в России.

Ольга,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AD0779A55024C720BD4C69DEEA912ED219AFCF60A3E131085C3C5BCB82B­7E4C23B4F3DD5F55F5492B8084F7460649FA15DFE87255325A232D770703­4D67229B 8 filecoder.ED

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

дешифраторы от компании Emsosoft
https://decrypter.emsisoft.com/

Emsisoft Decrypter for Nemucod
Emsisoft Decrypter for DMALocker2
Emsisoft Decrypter for HydraCrypt
Emsisoft Decrypter for DMALocker
Emsisoft Decrypter for CrypBoss
Emsisoft Decrypter for Gomasom
Emsisoft Decrypter for LeChiffre
Emsisoft Decrypter for KeyBTC
Emsisoft Decrypter for Radamant
Emsisoft Decrypter for CryptInfinite
Emsisoft Decrypter for PClock
Emsisoft Decrypter for CryptoDefense
Emsisoft Decrypter for Harasom

отличная кстати страница. с указанием детального писания шифратора, с техническим руководством по расшифровке,
датой и версией дешифратора,
со ссылкой на скачивание дешифратора.

Дмитрий Иванов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %Sys32%\BETWINSERVICEVS.EXE
addsgn 1A7A5A9A5583158CF42B627DA804DE3E281275B5898F1D8B462AC29250D6­BD80EFDB0FDCC10016A5A0C58C1A8640C20BBB99E47220B9588A0477A4A6­810EA93B 8 betwimservices

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AD0779A55024C720BD4C6957D9612ED219AFCF60A3E131085C3C5BCB82B­7E4C23B4EB4E6055F5492B8084F7460649FA15DFE87255325A232D77070B­DE58229B 8 Ransom.Win32.Shade

zoo %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D027­8DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127EC­C35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\UJDMMEDIA\TDDWALLN.DLL
del %SystemDrive%\USERS\123\APPDATA\LOCAL\UJDMMEDIA\TDDWALLN.DLL

delref %SystemDrive%\USERS\123\APPDATA\LOCAL\AXMWORKS\BRKCIDGH.DLL
del %SystemDrive%\USERS\123\APPDATA\LOCAL\AXMWORKS\BRKCIDGH.DLL

delref HTTP://WEBALTA.RU/POISK
deldirex %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS

; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr

;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

да, существует
https://www.esetnod32.ru/support/knowledge_base/new_virus/

Алексей,
по очистке системы выполните:
(шифратор еще в автозапуске)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 9AD0779A55024C720BD4C6957D9612ED219AFCF60A3E131085C3C5BCB82B­7E4C23B4EB4E6055F5492B8084F7460649FA15DFE87255325A232D77070B­DE58229B 8 Ransom.Win32.Shade

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\ASK.COM\GENERICASKTOOLBAR.DLL

delref HTTPS://LAREVANTE.COM/YRYFMF3/CPJTT.EUP
delref HTTPS://83.229.188.106/


regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET