добавьте по ссылке несколько зашифрованных файлов.
(скоре всего, это Teslacrypt)


Киберпреступники рассылают вымогательское ПО TeslaCrypt с помощью эксплоита для Flash Player, недавно добавленного в набор эксплоитов Angler. Об этом сообщает ИБ-эксперт Kafeine.
Эксплоит использует уязвимость переполнения динамической памяти в Adobe Flash Player (CVE-2015-8446), исправленную компанией Adobe 8 декабря нынешнего года. В понедельник, 14 декабря, вредоносный код был добавлен в Angler. Помимо TeslaCrypt, в настоящее время через набор эксплоитов Angler также распространяется вредоносное ПО Bedep.
В настоящее время TeslaCrypt практически не детектируется антивирусами. Вымогательское ПО шифрует файлы, меняет расширение на .vvv и требует выкуп в размере $500.


http://www.securitylab.ru/news/477836.php

Сергей,
не надо выкладывать вирусные тела на форум.
если нужна помощь в очистке системы, добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Павел Яшин написал:
Есть разблокировщик????[/QUOTE]
добавьте все таки образ автозапуска.

Судя по описанию:
Radamant Ransomware Kit

[QUOTE]A new ransomware has been discovered called the Radamant Ransomware Kit that encrypts your data using AES-256 encryption and requires you to pay .5 Bitcoins, or approximately $230.88 USD, to get your files back. It is currently unknown how this particular ransomware is spreading, but will be installed from the %Temp% folder as a .tmp file, which may indicate that it is being installed via an exploit kit. When the infection has finished encrypting your files it will display a web site that displays information on how to pay the ransom. This site is the Command & Control server for the ransomware and is hosted on the domains crazytrevor.com or crazytrevor.in. Unfortunately, at this time there is no way to crack the encryption for this infection.

When the Radamant Ransomware is first installed, it will copy of itself to [B]C:\Windows\directx.exe [/B]and create some autorun registry keys to make the infection start every time you login to Windows. It will then scan all drive letters on your computer for files that match certain file extensions. When it has found a targeted file, it will generate a unique AES encryption key and encrypt the file with it. This encryption key will then be encrypted by a Master key and embedded into the encrypted file. When a file has been encrypted the ransomware will [B]add the .RDM extension to it[/B]. When the ransom first starts, it will query the mask.php script on the Command & Control server for the list of extensions that it should target.
[/QUOTE]
http://www.bleepingcomputer.com/news/security/new-radamant-ransomware-kit-adds-rdm-extension-to-encrypted-files/


---------------
судя по описанию, для каждого файла создается уникальный ключ AES шифрования, который шифруется мастер-ключом. Мастер-ключ (видимо его публичная часть) добавлены в тело шифратора. После шифрования мастер-ключом уникальный для каждого файла ключ (в зашифрованном виде) добавлен в зашифрованный (RDM) файл. (т.е. извлечь этот зашифрованный ключ для расшифровки файла, можно только имея на руках приватную часть мастер-ключа.)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemRoot%\NETFILTERSERVICE.EXE
delall %SystemRoot%\NETFILTERSERVICE.EXE
deltmp
delnfr
czoo
restart

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
------------
пишем результат

выполните рекомендации:
http://forum.esetnod32.ru/forum9/topic12354/

добавьте новый образ автозапуска

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]CHR HKLM-x32\...\Chrome\Extension: [hcncjpganfocbfoenaemagjjopkkindp] - <no Path/update_url>
OPR Extension: (Quick Searcher) - C:\Users\Администратор\AppData\Roaming\Opera Software\Opera Stable\Extensions\chphlpgkkbolifaimnlloiipkdnihall [2015-09-08]
EmptyTemp:
Reboot:
[/CODE]

далее,

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

нужен лог из журнала проверки.
судя по рисунку мбам у вас установлен с постоянной защитой, что не есть хорошо. надо было установить только сканер.