Алексей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

hide %SystemDrive%\USERS\FOTS\DESKTOP\BS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\FOTS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

deltmp
delnfr

;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

в случае шифрования желательно сохранять файл шифратора в каком то виде:
переименовать, добавить в карантин антивируса, откопировать копию и добавить в архив.

при наличие файла шифратора у вирлаба больше шансов получить ключ расшифровки, а для пользователя соответственно больше шансов получить дешифровку файлов.

Снегирь Зимний,
через автозапуск с флэшки ВАУЛТ не распространяется.

Георгий Ермолаев,
по первому образу все чисто.
по второму выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref %SystemDrive%\PROGRA~2\IOBIT\SURFIN~1\BROWER~1\ASCPLU~1.DLL

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAEEMBEEJEKGHKOPIABADONPMFPIGOJOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNJABJMHINNDPHFNBJEHDALKPHPDMEPLI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MOZILLA\FIREFOX\PR­OFILES\HEOCQEMK.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB\6.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NJABJMHINNDPHFNBJEHDALKPHPDMEPLI\1.0.9_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.0.9.1_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION\4­5.0.2454.103

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDHDGFFKKEBHMKFJOJEJMPBLDMPOBFKFO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\KOMETA\APPLICATION

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\KOMETA

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\MEDIAGET2

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Ирина Власюк,
+
еще и майнер активный
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\RAYDLD\IHPMSERVER.EXE
addsgn 1AF5019A5583338CF42BFB3A8843570D73010D75EFFE1FBF83679AFE5010­374423E8F3BF96559D49A046DAC2841249AFF63363375D1DB1887235A4A4­C78F6377 8 Win32/ELEX

zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\REPORT.EXE
addsgn A7679B19919AF47E6194AE593C0EEDFA4DD6E396C99290BA70EBAD36E501­6726237FEC1818067570E77F7B77F6A0B6057DDFE87255DAB02C2D77A42F­C7062273 9 Trojan.PWS.Siggen.29248 [DrWeb]

addsgn BA6F9BB2926FFE6C30D4AEB164C8FA68D184FC1E1106E08715538D3F94FE­B2DC765F4AB276D679A96301681F451649B27EC82C93ACB472E8CF0ABDEF­02FBF666 8 Win64/BitCoinMiner

zoo %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\SVCHOST.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\ROAMING\NSSM.EXE
delall %SystemDrive%\PROGRAM FILES\UBAR\UBAR.EXE
delall %SystemDrive%\PROGRAM FILES\UBAR\UBARSERVICE.EXE
delall %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCAL\HOSTINSTALLER\4129­336333_INSTALLCUBE.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\IOBIT\ADVANCED SYSTEMCARE 8\REPORT.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\USERS\ДМИТРИЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

delref {10921475-03CE-4E04-90CE-E2E7EF20C814}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\11.2.17058.221

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Георгий Ермолаев,
добавьте образ автозапуска системы,
как это сделать, смотрите в подписи
+
добавьте несколько зашифрованных файлов

судя по образу - чисто,

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Евгений,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

по ecc;exx

для расшифровки документов нужны файлы:
File extension: .ecc
Location of data file on disk: %appdata%\key.dat [656 bytes]
или
Location of data file on disk: %appdata%\key.dat [752 bytes]
или
Location of data file on disk: %localappdata%\storage.bin [752 bytes]
Location of data file in registry: [HKCU\Software\Microsoft\Windows\CurrentVersion\Settings\storage] [752 bytes]

добавьте образ автозапуска зашифрованной системы.
как сделать - ссылка в подписи