Алексей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\KOMETA\KOMETAUP.EXE
addsgn 1A99DB9A5583C58CF42B254E3143FE54A6EF00F6DF775A84D53CB0B0AFA3­79A4D2BBC357B5A51E8D270572EA5E2F0C0609CC008141DAB0A9ED03AEC7­2D122273 8 Trojan.LoadMoney.681 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\00000035-1441698834-0000-6408-401D30206010\JNSDB3B4.TMP
addsgn 1ACB319A5583C58CF42BC8BE8B084356AE4B7F16867FDF0DFA48073FB2A9­B0A42463F4DA9A719D492B80E29039172FF5029EF8145AA5F10C4B78DB6E­F7602D0C 64 ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\00000035-1441698834-0000-6408-401D30206010\HNSYEC43.TMP
addsgn 1A452B9A5583C58CF42B518480D95005DA9F7456C8FA9AB8F1C13A6C3ACF­99577217C33D3F3F9DA1839E849FC5D2451310C1E872DE25E5A7C1F4480F­4C432A25 64 ConvertAd

zoo %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\SYSTEMDIR\NETHOST­.EXE
addsgn 1A05B69A5583C58CF42BC4BD0C900C592562457F89FA2C870CBE218F905D­044018E0CCC2FE6E5A3C3368508646168EFA6BDFE872BDAC182C2DF46CD0­2EB22273 8 Win32/RuKometa

addsgn 1A311D9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BC4B087­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES (X86)\00000035-1441698834-0000-6408-401D30206010\KNSN64B4.TMPFS
addsgn 1AF7429A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BAC3394­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 64 ConertAd

zoo %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\00000035-1441709697-0000-6408-401D30206010\SNSI42AC.TMP
delall %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\HOST INSTALLER\741982603_INSTALLSPRO.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

; AnySend
exec  C:\Users\Natalie2\AppData\Roaming\ASPackage\Uninstall.exe
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

deldirex %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\KOMETA\APPLICATIO­N

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

delref %SystemDrive%\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"

delref %Sys32%\DRIVERS\CONTENTDEFENDERDRV.SYS
del %Sys32%\DRIVERS\CONTENTDEFENDERDRV.SYS

delref HTTP://NTITULA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=1B32206EC895835D5B7A97AFE6506F­7D&UTM_TERM=35C0ACD6BAC8539FF8E00605E0BF746F
delref %SystemDrive%\USERS\NATALIE2\APPDATA\ROAMING\MOZILLA\FIREFOX­\PROFILES\NHJ28BCS.DEFAULT\EXTENSIONS\[email protected]\PLUGINS\VERIFY.DLL
del %SystemDrive%\USERS\NATALIE2\APPDATA\ROAMING\MOZILLA\FIREFOX­\PROFILES\NHJ28BCS.DEFAULT\EXTENSIONS\[email protected]\PLUGINS\VERIFY.DLL

delref %SystemDrive%\USERS\NATALIE2\APPDATA\ROAMING\MOZILLA\FIREFOX­\PROFILES\NHJ28BCS.DEFAULT\EXTENSIONS\[email protected]\PLUGINS\EXEMANAGER.DLL
del %SystemDrive%\USERS\NATALIE2\APPDATA\ROAMING\MOZILLA\FIREFOX­\PROFILES\NHJ28BCS.DEFAULT\EXTENSIONS\[email protected]\PLUGINS\EXEMANAGER.DLL

del %SystemDrive%\USERS\NATALIE2\APPDATA\LOCAL\GOOGLE\CHROME\CHR­OME.BAT

del %SystemDrive%\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.BAT

deldirex %SystemDrive%\USERS\NATALIE2\APPDATA\ROAMING\ASPACKAGE

del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.BAT

del %SystemDrive%\PROGRAM FILES (X86)\OPERA\OPERA.BAT

REGT 28
REGT 29

delref HTTP://WWW.QIP.RU/
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Ольга, по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

exec C:\Program Files\SearchSnacks\Uninstall.exe
delall %Sys32%\DRIVERS\SSNFD.SYS
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
по восстановлению документов напишите в почту [email protected]

[QUOTE]Bigcars написал:
Сегодня тоже поймали на работе такого же шифровальщика, помогите решить вопрос с расшифровкой файлов[/QUOTE]

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Евгений Сергеев,
по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUME~1\NTISH\LOCALS~1\TEMP\XKYOJBRNV_MMGZ.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NTISH\LOCAL SETTINGS\TEMP\XKYOJBRNV_MMGZ.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на наш антивирус

по xtbl в офисный документ внедрен объект типа пакет. в качестве пакета используется дроппер xtbl (исполняемый файл)
(думаю, надо быть совсем без башни, чтобы открывать такие документы и запускать презентации.)

[IMG WIDTH=720 HEIGHT=283]http://s018.radikal.ru/i512/1509/25/c622b5d7f9a7.jpg[/IMG]

[QUOTE]NickM написал:
Тут все ясно - "систем" не может отрезолвить переменные пользователя. Правда %temp% тут не причем.[/QUOTE]
работает же у них фаервол или контроль доступа в Инет с профилями пользователей, значит могут определить какой юзер в систему залогинился.

Евгений,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Владислав,
по образу все чисто.
по расшифровке документов напишите в [email protected] при наличие лицензии на наш антивирус.

Андрей Владыко,
по расшифровке документов при наличие лицензии на наш антивирус напишите в [email protected]

Aleksey Ivanov,
1. если письмо с вложением сохранилось, вышлите в почту [email protected], можно отдельно вложение добавить в архив с паролем infected
2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/