Владимир,
сделайте образ автозапуска для системы с шифратором ВАУЛТ. я так понимаю что она сейчас неактивна.
надо запустить uVS из активной системы,
и указать ему (выбрать систему) с какого диска (выбрать каталог win на этом диске) должен быть сделан образ автозапуска.
и запостить созданный файл. проверим, есть там что-то в автозапуске или нет.

возможно, это был шифратор

Полное имя                  C:\USERS\TATIANA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Имя файла                   {75B6FD42-3SKE-818D-9865-3YTA2892536Y}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1758853870-1299484010-1216550196-5228\Software\Microsoft\Windows\CurrentVersion\Run\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}
{75B6FD42-3SKE-818D-9865-3YTA2892536Y}C:\Users\tatiana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{75B6FD42-3SKE-818D-9865-3YTA2892536Y}.exe
                           
----------------
судя по образу система чистая.

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

добавьте образ автозапуска системы, где было шифрование.
http://forum.esetnod32.ru/forum9/topic2687/

Kwaku Atta,
скрипт очистки написан не для вас, поэтому вам он бесполезен, а может случиться и вреден.
для вас скрипт очистки будет написан по [B]вашему[/B] образу автозапуска
это первое, что нужно понять.

второе - это то, что скрипт не поможет в расшифровке документов, а только в очистке системы от вредоносных программ

[B]POUL UILIAMSON[/B]
файлы расшифрованы.

если расшифровка еще актуальна, напишите в почту [email protected] для передачи приватного ключа, который нужен для расшифровки всех файлов.

Zanozka.
по очистке системы выполните:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\BWAEOSW.EXE
addsgn 1AD1419A5583338CF42B627DA804DEC972DC7782ADEA9434A1D74EC074DA­FA8DA8C6C09105ABEB4110788B1D2E1549FA7265CDEA1C98B02D5E70578B­2E112173 8 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\JMDCADFC9KG0.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B811­0D4C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42F­C7CAEEBF 64 WebToolbar.Win32.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\J9XXFYKVQ7YT.DLL
addsgn A7679B1928664D070E3C7ECF64C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D3D1F2F906C70411649C9BD9F6307595F4659214E9163­F503327C 64 Adware.Plugin.1265 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
addsgn 1A0F749A5583278FF42B624E41A4B345250103A302169E94ADC0C5BCF3CE­A70C239ECE43E8159DC03E9052DF469F54F6AB9FE8FB60D2666C2DFE992B­11462215 8 Win32/Adware.Mobogenie

zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\9S2TBREGP5WB.EXE
addsgn 1A95DC9A5583338CF42BFB3A884347098436ECBD890DCDF3C8CBE66C739B­7D47F29ED6EB2E1E9D14E868D2DB4616CC3A09D78264BDAEF42C2D2E522A­7B166973 8 WebToolbar.Win32.Neobar

hide %SystemDrive%\PROGRAM FILES (X86)\GENIE SOFT\GENIE WIFI\GENIEWIFISERVICE.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER
delall %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\WINDOWSUPDATER\UP­DATER.EXE
dirzoo %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4­N
zoo %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__­10017.EXE
delall %SystemDrive%\USERS\KNOPKA\APPDATA\LOCAL\TEMP\AMISETUP9220__­10017.EXE
deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4­N
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\KNOPKA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\UNINSTALLEXPLORER64.DLL

del %SystemDrive%\USERS\KNOPKA\APPDATA\ROAMING\BROWSERS\EXE.RESWORBOEDIV.BAT

; Mobogenie3
exec  C:\Program Files (x86)\Mobogenie3\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
по расшифровке придется обращаться в [email protected] при наличие лицензии на антивирус ESET

ок,
результат проверки js
https://www.virustotal.com/ru/file/48ade7ca7ea91cf9a73740044e0a30299d953f976f4d0846­4cb7ac9b4af68c68/analysis/1452598213/
отправлю в вирлаб
по расшифровке: расшифровки по ВАУЛТУ нет после 10 ноября.

перешлите в архиве с паролем infected в почту [email protected]
проверим детект.

в принципе, да, возможно если много файлов, то какое то время exe остается в темпе.
по ВАУЛТ скорее всего это не поможет: наличие чистого и зашифрованного файла. как это не помогало в предыдущих вариантах данного энкодера.
если свежий ВАУЛТ, то расшифровки по нему нет.
--------
шанс есть, если шифратор не успел удалить теневые копии, (и если такие были на момент запуска)

все зависит от типа шифратора. а с каким расширением зашифрованы файлы?