каким образом было запущено шифрование? из сообщения почты? по ссылке из браузера?

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\USERS\SERGEI\DESKTOP\EDIUS_LOADER_4_0_FINAL.EXE
addsgn A7679B19919AF4FA5896AE59403AEFFA9D42A8B4891235647B3C4EA9105E­334CAA1548427EDDDF49A09225D7CE544912990C178DDECFF0A46F772F3D­66DAA531 64 dropper.encoder.567

zoo %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNLOCKER\IOBITUNLOCKER.EXE
addsgn A7679B23526A4C7261D4C4B12DBDEB5476327809CFFAF76DE53A3A8F9083­19233F50C333C165F9C00B68DA42B9E9CD3A725B727055DA5845F0885BAB­0709A6FE 8 Program.Unwanted.276 [DrWeb]

zoo %SystemDrive%\USERS\SERGEI\DESKTOP\HDLINK_LOADER.EXE
addsgn 9252622A156AC1CCE08B514E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4B5967573E021E8A2FD3ECBF581649ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 Trojan.DownLoader10.14058 [DrWeb]

hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
delall %SystemDrive%\USERS\SERGEI\APPDATA\LOCAL\MICROSOFT\WINDOWS\T­OOLBAR.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref 0HTTP://127.0.0.1:8088/PPSVA.PAC
deldirex E:\IQIYI VIDEO\LSTYLE

deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS

delref HTTP://WWW.SMAXXI.BIZ
delref %Sys32%\DRIVERS\KAVBOOTC64.SYS
del %Sys32%\DRIVERS\KAVBOOTC64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\KINGSOFT ANTIVIRUS\SECURITY\KXESCAN

delref %Sys32%\DRIVERS\KISKNL.SYS
del %Sys32%\DRIVERS\KISKNL.SYS

delref %Sys32%\DRIVERS\KSAPI64.SYS
del %Sys32%\DRIVERS\KSAPI64.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.5.15816.217

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref HTTP://127.0.0.1:8088/PPSVA.PAC
regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Java™ 6 Update 31
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216031FF} /quiet
deltmp
delnfr
areg

;-------------------------------------------------------------
[/code]

по расшифровке документов напишите в [email protected] при наличие лицензии на наш антивирус.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

утилиту для удаленного управления сами ставили?
[QUOTE]Remote Office Manager unit[/QUOTE]

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

addsgn 9A7859DA5582BC8DF42BAEB164C81205158AFCF6D9FA1F78C5C3C5BC639E­7B37089BDF15879FB782000C6EE9461649FA7DDFE97255DAFA2C8877AF2F­9469511F 8 Generik.LELVRSX [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KRUEP\LOCAL SETTINGS\TEMP\7ZOA7.TMP\INFO234523.PDF.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KRUEP\LOCAL SETTINGS\TEMP\7ZOA8.TMP\INFO234523.PDF.EXE
hide %SystemDrive%\PROGRAM FILES\SECURITY CODE\TERMINAL STATION\VPN\SCC3SVC.EXE
hide %SystemDrive%\PROGRAM FILES\AMICON\CLIENT FPSU-IP\FILEHASH\WINFPSUHASH.EXE
addsgn 9A9065DA5582A28DF42BAEB164C81205158AFCF6B1FA1F7885C3C5BCB77A­6786954AD91B98AA79DEFEE817D8461649FA7DDFE97255DAB02C2D77A42F­A96C4C19 8 Wauchos

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\MSYMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\INFO234523.PDF.EXE

; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------

образ переделайте,
скорее всего архив битый

Андрей Владыко,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Станислава Ерченко,
удалите из сообщения ссылку на вирус.

+
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

Аристархов Кирилл,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://ERTACO.COM/WALLS/ENTERED2.ROU

delref HTTP://ERTACO.COM/WALLS/ENTERED2.ROU

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов при наличие лицензии на наш антивирус напишите в [email protected]

Роман Гончаров,
по образу автозапуска все чисто.
по расшифровке документов напишите в [email protected]
по восстановлению документов напишите в почту [email protected] + дайте ссылку на эту тему

я не могу вам ответить за суппорт, что они вам ответят в этом случае.

[QUOTE]по восстановлению документов напишите в почту [email protected][/QUOTE]