cbf.
самого шифратора уже нет в живых, только ссылка в реестре

по очистке выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLJDACFOJGIKOGLDJFFNKDCIELNKLKCE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SANTANYR.COM/PRESENTS/NYEAR2.ROA

delref %SystemDrive%\PROGRAM FILES (X86)\1C\ПОЗДРАВИТЕЛЬНАЯ ОТКРЫТКА.EXE

deldirex %SystemDrive%\USERS\ALV\APPDATA\LOCAL\MEDIAGET2

deldirex %SystemDrive%\USERS\ALV\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\MEDIAGET2

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Виктор,
дешифратор для Ваулта есть только если файл шифратора был создан в интервале от 2 до 10ноября. по поздним версиям ВАУЛТа нет дешифровки.
удалять там практически нечего из автозапуска.
надо удалить файл VAULT.hta

тогда посмотрите этот архив в папке uVS
[QUOTE]архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z) отправить в почту [email protected]
[/QUOTE]и вышлите его в почту

Эльбрус,
в этой теме пишите по данному шифратору
http://forum.esetnod32.ru/forum35/topic12851/
шифратор видимо свежий, случаи расшифровки пока неизвестны.

1. заархивируйте эту папку с паролем infected и вышлите в почту [email protected]
C:\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N

2. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4­N
deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4­N
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{04B03789-F773-4378-84AF-4BB6D806C013}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV16.07

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\5PWWKBIQSHYLZ5XCYTMEGM9FC1.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\CIPLUS-4.5VV17.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\SHOP AND SAVE UP

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\JHQBHORR5PX2O.EXE

delref %SystemDrive%\USERS\������\APPDATA\ROAMING\NNVZWLOPFYQMIW9RRPC82FRQB.EXE

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\UPDATE

deldirex %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437066801&Z=942524997D6419CB25C6185G5Z4C4M4EEQ7Q­8M4B7B&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/WEB/?TYPE=DS&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O­5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ&Q={SEARCHTERMS}

delref HTTP://WWW.MYSTARTSEARCH.COM/NEWTAB/?TYPE=NT&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O­5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АНДРЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.MYSTARTSEARCH.COM/?TYPE=HP&TS=1437152427&Z=1AD59A6931D097A33261B46G3Z4CAM2G5W9O­5Z9G4W&FROM=CMI&UID=ST2000DM001-9YN164_S240B9YQXXXXS240B9YQ

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=51A28F199AD93F8FD8EB22­964A6DE445&TEXT={SEARCHTERMS}

deldirex %SystemDrive%\PROGRAM FILES (X86)\GMSD_RU_005010037

regt 27
regt 28
regt 29
; GamesDesktop 033.005010035
exec  C:\Program Files (x86)\gmsd_ru_005010035\unins000.exe
; GamesDesktop 033.005010036
exec  C:\Program Files (x86)\gmsd_ru_005010036\unins000.exe
; GamesDesktop 033.005010037
exec  C:\Program Files (x86)\gmsd_ru_005010037\unins000.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Александр,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/
+
не используйте чужие скрипты с форума. все скрипты сугубо индивидуальные.

хорошо.
по расшифровке напишите в техподдержку [email protected] при наличие лицензии на антивирус ESET

по очистке системы выполните это:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

dirzoo %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
deldirex %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N
;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\VIAO\APPDATA\ROAMING\FOXIT SOFTWARE\ADDON\FOXIT READER\FOXITREADERUPDATER.EXE
chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFAMIIOPMJJGKNBPONCNGMMLCOIAKDLD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO\5.0.1_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\VIAO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.4_0\ПОИСК MAIL.RU

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2016-01-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected]
------------

по расшифровке файлов надо обращаться в вирлаб [email protected] при наличие лицензии.

Кирилл,
вот эту папку заархивируйте с паролем infected и вышлите в почту [email protected]
[QUOTE]C:\USERS\VIAO\APPDATA\ROAMING\ODNUQNXVQTACMFPQ4N[/QUOTE]
возможно это реинкарнация прежнего варианта шифратора AES256. был такой в прошлом году.

Кирилл,
1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

2. добавьте по ссылке несколько зашифрованных файлов