Александр Баев,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\ILIVID.EXE
addsgn 1A8B7F9A5583508FF42B25B1E5F07176486A88F5BA3ADC9169CBC5BC3AC2­191400B3C3BF04509D49A8E5789FB95B59824754A57A7E97BCA5607F5B7A­D3EDCFF8 8 Win64.SearchSuite.d [Kaspersky]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 9AF41FDA5582BC8DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCA9F2­3894A5206C1EBBDBB115189D2A5F461649FA7DDFE97255DAB02C2D77A42F­AA63431D 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DSITE\UPDATEPR­OC\UPDATETASK.EXE
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A­420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F­38F9DD8C 9 Adware.Downware.1195 [DrWeb]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\DEALPLY\UPDATE­PROC\UPDATETASK.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB549D06E8B78912614E7A3CF67C05BE­E25A6217A7A80E311469C3539560B99389F5F980E9725532B2B2D288296A­2BEED44D 18 Adware.Shopper.331 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D3­4C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\DEALPLY\DEALPLYIE.DLL
addsgn A7679B1928664D070E3CA68264C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D25562A906CC47E1649C9BD9F6307595F4659214E916F­F807327C 64 Adware.Shopper.328 [DrWeb]

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YANDEX\UPDATER\P­RAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES (X86)\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB5937AF1205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC49­42CF5782 64 Win32/Toolbar.Conduit

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\CODEC PACK PACKAGES\UNINSTALLER.EXE
addsgn A7679B19919AF4468194AE59313DEDFA258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 9 Win32/InstallCore.AZ

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\UNIN­STALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC3­8506CA82 59 Win32/Adware.ConvertAd

zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\ROAMING\ASPACKAGE\ASPA­CKAGE.EXE
zoo %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2\MEDIAG­ET-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 14 Win32:FakeSys-BF [PUP]

zoo %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE
addsgn 9252771A156AC1CC0B44514E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Trojan.Encoder.1214 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\НОВЫЙ ДИСК\НЭНСИ ДРЮ. ПО СЛЕДУ ТОРНАДО\BONUS\EPLAY-NENSI_DRJU_BELYI_VOLK_LEDYANOGO_USCHELIYA.EXE
;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\XVID\VIDCCLEANER.EXE
chklst
delvir

; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; AnySend
exec  C:\Users\DOMINATOR\AppData\Roaming\ASPackage\Uninstall.exe
; Conduit Engine
exec  C:\PROGRA~2\CONDUI~1\ConduitEngineUninstall.exe
; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe
; madLen.uCoz.coM Toolbar
exec  C:\PROGRA~2\MADLEN~1.COM\UNWISE.EXE   /U C:\PROGRA~2\MADLEN~1.COM\INSTALL.LOG
exec C:\Users\DOMINATOR\AppData\Roaming\DealPly\UpdateProc\UpdateTa­sk.exe /Uninstall

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
del %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR

delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E0595­6.EXE
del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\19E0595­6.EXE

delref %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL
del %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\YTMDPACK\XYZSE.DLL

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\PLATFORMS­

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID\IMAGEFORM­ATS

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\ILIVID

delref (X86)\DEALPLY\DEALPLYUPDATE.EXE

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCALLOW\UNITY\WEBPLAY­ER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKBEHDIBCCCCAKLBCHJDJKPIFIKJICLO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL
del %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

deldirex %SystemDrive%\USERS\DOMINATOR\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY

deltmp
delnfr
;-------------------------------------------------------------
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

добавьте образ автозапуска системы,
посмотрим что там есть
http://forum.esetnod32.ru/forum9/topic2687/

Снегирь ЗИмний,
да, это еще старый вариант ваулта с gpg шифрованием, который был до 2 ноября.
[QUOTE]gpg: зашифровано ключом RSA с ID FAEFB328
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\исследовать\40\123\Тарифы по ИДУ.docx.vault
Time: 22.01.2016 11:57:25 (22.01.2016 5:57:25 UTC)
[/QUOTE]
соотвественно, для расшифровки необходимо искать в системе или среди удаленных файлов secring.gpg
если этот файл будет найден живым, то вероятность расшифровки документов будет высокой.
посмотрите эту статью.
http://chklst.ru/forum/discussion/1481/vault-chto-delat

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL

deldirex %SystemDrive%\USERS\SONY\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LO­ADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFLLIILNDJEOHCHALPBBCDEKJKLBDGFKK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\SONY\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

; Bonjour
exec MsiExec.exe /X{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D} /quiet
deltmp
delnfr
;-------------------------------------------------------------

regt 28
regt 29
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Юрий Юрьев,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

Игорь Вагнер,
напишите в почту [email protected]

скрипт был дан не для расшифровки файлов, а для очистки системы от остатков вирусов

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Дмитрий,

выполните по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref {03993315-5CE9-4F00-8790-D14A94F1D91A}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGKNPFANCPEAMEJMCOOEDLJJNADDLDHG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGNDACICECCGAPJHPNIECKNJLMMLANAEM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKPPACDMMDDEDIAHKLMCGKGDHHOOJEMMD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLANABBPAHPJNALJEBNPGKJEMCBKEPIAK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNKOOAPPJEONIFFJMOPLBAGPNGEDKCKPL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPALMGGEFDFEIKONGHAEONGKABMGCAGCO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CEGDOMHOCAEOEDBDPFOLMGJKJAIJFOMO\1.0.8_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.0.7_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.12.4_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\DOCUMENTS AND SETTINGS\MASTER\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LANABBPAHPJNALJEBNPGKJEMCBKEPIAK\2.0.2_0\ПОИСК MAIL.RU

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Александр,
у вас перебор с антивирусами: из установленных АВаст и ESET. деинсталлируйте один из них, дажее уже пробуйте работать

Снегирь Зимний,
добавьте несколько зашифрованных файлов в архиве на форум