Alex Klo,
выполните скрипт очистки

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\TEMP\VLT\FIREFOX.EXE
delall %SystemDrive%\TEMP\VLT\TORBROWSER\TOR\TOR.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://333E45LPJQREBKNR.ONION/AUTH.PHP?KEY=CYB26R2G2R9WD%2FBE2H8I%2FMFL%2B6MM6RRI%2BRNDFGMOKKVU5IER­WPNZNL0A2YQT%2BGBNTQGWHH7WBEDEIMHNYP66LD02E%2FG%2F03QIZWBX4W­UDA0FNLA43VN5GAMSHGQBOB47LBOAHYFL%2BCPTL3WYXNB83AZPBF0AHLLH%­2BBB4SDWDZ4GI3A%2FJIOZ6Z1HDJTR9KUSECOWHC

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\MOZILLA\FIREFOX\PROFILES\09OXG9KH.DEFAULT-1381923604656\SEARCHPLUGINS\WEBALTA-SEARCH.XML

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref HTTP://WEBALTA.RU/SEARCH

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

добавьте образ автозапуска по инструкции из подписи

да, все зашифрованные файлы с расширением VAULT
сохраните важные файлы, + vault.key на будущее на отдельный носитель,
может быть
    когда нибудь  
              кто-нибудь
                    как-нибудь
                          расшифрует их :)
--------
или опубликуют ключи расшифровки.

на xtbl не похоже:
судя по hex конечный блок повторяется во всех файлах с одним ID, за исключением заголовка файла.

6B00650079006700700067002E00720061007200000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A0047351AEFFAC1C0E8A81390EE4841­72438A41080000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

72006500610064006D0065002E00740078007400000030303656474C50CC­9C69FB4CD37B6CC8B78E0CD4CCF10A004735589FDEF8FF6105F8DAD13CA7­4107F0DC070000000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF­72F767ED5C1E43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D­385765735BA6118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFD­A5736E1695612402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E­93D8D5579E22D3C6CDB2D113F693736A16000000

69006E0066002E00740078007400000030303656474C50CC9C69FB4CD37B­6CC8B78E0CD4CCF10A004735AD2F9B44EB3C3BDDAB8EB04D3451DAB90900­00000850FB9ACAF14F0FFFE2CAC132A1C075F797528CFAFF72F767ED5C1E­43ABD939467AA578F72E0FA404840F7A15064E0AE66AA72D385765735BA6­118C1B3328E34BFE07E7FA8077920CE36C2F2FAF3A7C5EFDA5736E169561­2402EDD2AF161D8CEF631D4EE460360595567BC9D42BE53E93D8D5579E22­D3C6CDB2D113F693736A10000000

Vasiliy,
по очистке системы выполните:

[SIZE="4"][COLOR="Red"]выполняем скрипт в uVS[/COLOR][/SIZE]
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

del %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\VAULT.HTA
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
----------
с расшифровкой не поможем.

Виктор[QUOTE]пїЅпїЅпїЅпїЅпїЅпїЅ пїЅпїЅпїЅпїЅпїЅпїЅпїЅ написал:
Здравствуйте, такая же проблема, заражено этим шифровальщиком несколько машин, сделал образ автозапуска непосредственно с компьютера источника заразы по инструкции  [URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL] Во вложении.
С уважением, Виктор[/QUOTE]

выполните скрипт очистки, поскольку шифратор сейчас в автозапуске.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
addsgn 1ABE399A5583C58CF42BC4BD0CB82A472562DEBA89FA9C1D61C3F67CDBA3­79C9D5185697BB95E851C31A809F46D149EC7DDFE89A51DEB02CAEBF5BC6­77062273 8 Win32/Filecoder.NFY [ESET-NOD32]

zoo %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7ZO0B536F9B\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\[email protected]
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Олег,
выполните скрипт очистки, без перезагрузки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %Sys32%\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE

regt 27
deltmp
delnfr
;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.

+
добавьте выполните этот reg файл, этот ключ будет защищать от запуска исполняемых файлов из архивов. для win7
http://rghost.ru/7GFPTJtyv
для XP
http://rghost.ru/6QNlh54PX

[QUOTE]Олег Бордзиховский написал:
uVS нашла четыре явно вирусных файла, ничего лечить/удалять не стал, жду дальнейших инструкций.[/QUOTE]
судя по образу, файл шифратора в автозапуске удален.

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Имя файла                   ДОКУМЕНТЫ ДЛЯ ПОДПИСИ НА 29.02.2016.DOC.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Имя файла                   Двойное расширение
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\документы­ для подписи на 29.02.2016.doc
документы для подписи на 29.02.2016.docC:\Windows\System32\документы для подписи на 29.02.2016.doc.exe[/QUOTE]
                           

сейчас добавлю скрипт очистки.

Александр,
все что в наших силах мы уже сделали. очистили систему, провели тестовое шифрование, отправили зашифрованные, чистые файлы + тело шифратора в вирлаб.
ждем ответ от вирлаба, от специалистов.
---------
поверьте, возможно теневые копии остались живые,

добавьте образ автозапуска, можно из безопасного режима системы
ссылка на инструкцию в моей подписи