по xlsx, docx возможна дешифровка
ссылку на расшифрованные файлв добавил ЛС

если есть в зашифрованном виде другие типы файлов, так же выложите по нескольку файлов

Сергей Васильев,
общее средство такое:
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

тело шифратора было здесь
C:\PROGRAM FILES (X86)\WINRARS\EXPLORER.EXE
судя по образу файла на текущий момент уже нет. если есть теневые копии, поищите файл, возможно будет полезен для расшифровки документов.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.2
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

del %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{JKCYHFFNURWEQYDMXGLLFMKSMURZTBGHAINV-03.10.2015 19@13@271120222}[email protected]

del %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\DESKTOP.INI.ID-{JKCYHFFNURWEQYDMXGLLFMKSMURZTBGHAINV-03.10.2015 19@13@271120222}[email protected]

delref %SystemDrive%\PROGRAM FILES (X86)\WINRARS\EXPLORER.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке выложите несколько документов doc, docx, xls, xlsx, jpg в архиве по ссылке для проверки возможности расшифровки.

а зачем нужен образ автозапуска? :)
1. в логах много информации по конкретному заражению, которая может быть интересна и полезна хелперам в их работе.
так же полезно знать, что осталось в системе после выполнения скрипта uVS, т.е. вполне возможно что какие то файлы не были удалены в uVS

в инструкции по ссылке конкретно указывается,
[QUOTE]Сохраняем файл на диск, даем файлу произвольное имя и прикрепляем лог на форуме[S] по запросу хелпера.[/S][/QUOTE]

т.е. система была до отказа была забита адварными программами.
в таких случаях мы чистим uVS, затем сканируем в малваребайт, потом еще в AdwCleaner, и еще в FRST приходится что-то добивать.

а иначе юзер вернется к вам через несколько дней со своими проблемами.

Владимир,
просьба все запрашиваемые логи добавлять в тему лечения.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\SERVICE\CCSVC.EXE
addsgn 1A85219A5583378CF42B627DA804DEC9E946303A4536D3B40E8FE1B00753­B843A785C3573E03CEC2F20BF0BB52E18FF97DDFE8F929FEA05926B64D2D­C883A773 8 Win32/AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\USERS\PK\APPDATA\ROAMING\DIGITALSITES\UPDATEPR­OC\UPDATETASK.EXE
addsgn A7679B19919AF4E68195AE59D409ECFA4F8A94EA01BB1F10ED4A84BC384A­F80D23AEF3DC7F552729A0C184273E9D08FA9538BD8DAA322A83D388A42F­38F9DD8C 8 Win32/DealPly

zoo %SystemDrive%\PROGRAM FILES\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B805­244C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C474A42F­C7CAEEBF 64 Win64/Adware.Vitruvian.B [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLICKCAPTION_1.10.0.2\IE\CLICKCAPTIONCLIENTIE.DLL
addsgn A7679B1928664D070E3CD1F464C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D55932A906CDA451649C9BD9F6307595F4659214E9187­CD04327C 64 AdWare.Vitruvian.D [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD064.DLL
addsgn BA652BBE5D22C5062FC4F9F9E724324CAE72772CC171EEFB7FC2B0B9B8F9­114C235B4890B586D5C2E5C80FC36226017109FBD03AD61E9073C4D05AD0­38CAEEBF 64 Trojan.BPlug.219 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\BCD0.DLL
addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF29­2811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562C­D7D1A671 64 Win32/BrowseFox.M [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER.EXE
addsgn 1A29569A5583C58CF42B254E3143FE58CC79F9F689C11208F582C5C95225­B2A56035C357B5AAC8C2C703688FAD1BB68F7537AE5155DAE9A9ED03ABD0­B20ECAF9 8 Win32/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.BROWSERADAPTER64.EXE
addsgn BA6F9BB2BDA96A720B9C2D754C2140FBDA75303A60111A78850F09709C1A­BD80EFDB0F9BF2995185E74CE2F94909CDFA7DDFE8721DE1BD057476A45A­D64EE3B2 8 Win64/BrowseFox

zoo %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN\CLEARTHINK.PURBROWSE64.EXE
addsgn BA6F9BB2BD1DD8720B9C2D754C2164FBDA75303AC57712DD29C1C58F909F­FA9D679A835F055FE962D440CD9C9695B1D70F2D6533B859483D5A711C22­C70622B0 8 edu_app

;------------------------autoscript---------------------------

sreg

chklst
delvir

; ClearThink
exec C:\Program Files (x86)\ClearThink\ClearThinkUn.exe OFS_

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIAGET2

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS
del %Sys32%\DRIVERS\CCNFD_1_10_0_2.SYS

delref %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS
del %Sys32%\DRIVERS\{1FE5A9EB-D0AD-44C6-8E0E-E079118DB915}GW64.SYS

delref %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS
del %Sys32%\DRIVERS\{2429C312-24D3-4127-94ED-C247FE9E02FC}W64.SYS

delref %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS
del %Sys32%\DRIVERS\{2AC9EB83-636E-4A51-AB66-BF4F388A02AB}GW64.SYS

delref %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS
del %Sys32%\DRIVERS\{481A6589-8E34-4BD5-9BE2-2F7CE66C44D6}GW64.SYS

delref %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS
del %Sys32%\DRIVERS\{4DBBE3B0-AF29-43DD-BCBA-7BFABD419F61}GW64.SYS

delref %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS
del %Sys32%\DRIVERS\{663D99D0-F31D-457E-980B-DC5DAF227786}W64.SYS

delref %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS
del %Sys32%\DRIVERS\{6CFEC6A5-9D93-4492-985A-470A68EFF4E9}W64.SYS

delref %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS
del %Sys32%\DRIVERS\{75729234-632F-47D7-8E20-2E89BA1587CF}GW64.SYS

delref %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS
del %Sys32%\DRIVERS\{94538859-34DE-4CD4-9DC6-AA29E98FF214}GW64.SYS

delref %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS
del %Sys32%\DRIVERS\{B35AFCF6-0992-4551-B2DA-3AF8A5DC5119}GW64.SYS

delref %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS
del %Sys32%\DRIVERS\{BCD08FC8-CB56-41A3-8B19-3C556687A504}W64.SYS

delref %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
del %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS

delref %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS
del %Sys32%\DRIVERS\{C89879CB-75B8-4CB6-BC13-07C704396FD0}GW64.SYS

delref %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS
del %Sys32%\DRIVERS\{D609E0EB-8157-494A-B166-6F24F8A1CBB4}W64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}GW64.SYS

delref %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS
del %Sys32%\DRIVERS\{F8280EDE-2AB0-420D-AE0F-169BA406978B}W64.SYS

delref %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS
del %Sys32%\DRIVERS\{FE90D265-3BE8-45CD-8D93-3CA3523FD9EA}GW64.SYS

deldirex %SystemDrive%\USERS\PK\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

delref HTTP:\\PLARIUM.COM\PLAY\RU\PIRATES\TOP\?ADCAMPAIGN=31909&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PU­BLISHERID=72
delref HTTP:\\PLARIUM.COM\PLAY\RU\STORMFALL\TOP\?ADCAMPAIGN=34522&CLICKID=TAYETBTAZZYB0DYC0EYBZZ0CYETDYETD&PU­BLISHERID=2_72
regt 27
regt 28
regt 29
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Антон Григорьев,
по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\APNMCP.EXE
addsgn 1A981D9A5583C58CF42B254E3143FE8E6886AFC552C1D40E9EA9258F828E­86BD1852D32431BDB14A2B80439F4A1649FA4E1F03335A75FD3C7B202FDE­FE5B2A07 8 Toolbar.Ask

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

deldirex %SystemDrive%\PROGRAMDATA\ASKPARTNERNETWORK\TOOLBAR\SHARED\C­RX

delref %SystemDrive%\USERS\UPDATUSUSER\APPDATA\LOCAL\YANDEX\UPDATER­\PRAETORIAN.EXE

delref %SystemDrive%\USERS\WIN 7\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\SFGDMYPU.DEFAULT\EXTENSIONS\[email protected]

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2

delref %SystemDrive%\USERS\WIN 7\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL_2030.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

это исполняемая программа, которая зашифровала документы
[CODE]%SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE[/CODE]
если сохранилась копия этой программы, или возможно есть в карантине, или во вложении электронной почты, откуда был запущен шифратор.

добавить в архив с паролем infected тело шифратора + несколько зашифрованных файлов.
если есть чистые аналоги данных файлов, то и их добавьте в архив.

Антон,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES\ДОГОВОР ДЛЯ ПОДПИСАНИЯ И ПЕЧАТЕЙ ДЛЯ БУХГАЛТЕРИИ.DOCX.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]