добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Андрей,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Edgar Man написал:
Я обращался 25.11.2015 отвечали "К сожалаению данный шифратор является новой модификацией Win32/Filecoder.FH. Вирусная лаборатория не сомжет расшифровать Ваши файлы"[/QUOTE]
Edgar,
в вашем случае (19ноября), действительно расшифровка в настоящее время невозможна. метода расшифровки рассчитан на шифраторы от 2 до 10 ноября. далее, уже метод шифрования был изменен.

Алексей, образ чистый,
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Константин,
второй комп чист, нет следов шифратора.
по другим компам проверяйте, если есть зашифрованные файлы, значит был шифратор.

Максим,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFESVC.EXE
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNL.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLKIT.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLMON.SYS
delref %SystemDrive%\PROGRAM FILES\ELEX-TECH\YAC\ISAFEKRNLR3.SYS
delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1405067554&FROM=COR&UID=ST500DM002-1BD142_W2AYSS8ZXXXXW2AYSS8Z&Q={SEARCHTERMS}
delref HTTP://WWW.V9.COM/?TYPE=HP&TS=1448259845&FROM=MYCH123&UID=ST500DM002-1BD142_W2AYSS8ZXXXXW2AYSS8Z&Z=5111AD8073ECB159E1571E5G0Z5Z5B­1O4W2TCBFW0E
areg

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска

Константин,
по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\NERO\UNINSTALL_NERO12.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\KRB UPDATER UTILITY.LNK

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

deldirex %SystemDrive%\USERS\PROSVETOV.TU29\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\PROSVETOV.TU29\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\ASPACKAGE

deldirex %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\CONTENT DEFENDER

regt 27
; AnySend
exec C:\Users\prosvetov.TU29\AppData\Roaming\ASPackage\Uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в support вашего антивируса
+
добавьте в локальные политики правила по ограничению запуска исполняемых программ из архивов

Vitali,
по образу все чисто, по расшифровке обратитесь в техподдержку вашего антивируса.

Serge T,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Анастасия,
по очистке системы выполните
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\1C\ИЗМЕНЕНИЯ В ТАРИФНОМ ПЛАНЕ.EXE
addsgn 1ABC4A9A5583C58CF42B69B08C495305CC1106097671E02D0E2F9337A111­77A4A256C3BFB6AF62B6DDC58C9E32111F120D27178D0C51767270B5A02F­4CF977F8 8 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ARTAM.LUSZNMO\LOCAL SETTINGS\TEMP\1C\ИЗМЕНЕНИЯ В ТАРИФНОМ ПЛАНЕ.EXE
zoo %SystemDrive%\PROGRAM FILES\DBFNAVIGATOR\UNINS000.EXE
addsgn 9252778A146AC1CC0BD4514E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 14 Trojan.Win32.Jorik.Carberp.bt

hide %SystemDrive%\PROGRAM FILES\DBFNAVIGATOR\UNINS000.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref E:\RAVMONE.EXE

delref RAVMONE.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ARTAM.USZN027\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\RAVMONE.EXE

delref %Sys32%\01.TMP

regt 1
regt 2
regt 9
deltmp
delnfr
CZOO
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET