[QUOTE]Максим Серебрянский написал:
Есть еще два файла в папке Program Files ASTXGLJCNM.MXX и TBMKUJTNSF.OZR думаю это часть ключа или что-то подобное.[/QUOTE]
это скорее всего означает, что  шифрование было двумя ключами. возможно часть файлов зашифрована одним ключом, а другие файлы после перезагрузки системы зашифрована другим ключом. т.е. процесс шифрования не завершился, и продолжился после перезагрузки системы.

по проверкам на VT просто ссылку добавьте в тему на линки проверки.

по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\PRICEMETERLIVEUPDATE.EXE
addsgn 1AD2539A5583358CF42BC4BD0CD02344256278F689FA940D8D4633C82555­4CD02F56C3544B16F74DC3A8A29F464FCA9F81DFBE9A05FCB02C74FEE1CB­42C6567A 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\NPGOOGLEUPDATE3.DLL
addsgn 79132211B9E9317E0AA1AB5962841205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA8536B113BDF9B98DE6A7587B2F62­D78D5F7B 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEBROKER.EXE
addsgn 1A24619A5583348CF42B254E3143FE8E7082AA7DFCF648938CA5407524C7­330E6551CCE0305A2A4B24377DB48162A3A5235A280F505978D370B4DA2C­F4C6622E 8 Adware.Shopper.363 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PSMACHINE.DLL
addsgn 79132211B9E9317E0AA1AB59568E1205DAFFF47DC4EA942D892B2942AF29­2811E11BC39BF2995185E74C48538ADA1C719188BEF920D63B613DFCD927­4CC7A9A2 64 Win32:DealPly-A [PUP]

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEONDEMAND.EXE
zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF­428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288­C70675F8 8 [email protected] v 1.0.0.0

zoo %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0\PRICEMETERLIVEUPDATEHANDLER.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER\FLVPLAYERAPP.EXE
addsgn A7679B1991AE1F245CE76E3821389B40F9627A627605F7F5233C3A544C7F­8EB3CB440AA8C1BD0780D47F6C56B4E9B6124D2B178D661AE544D1D5E42F­A3F91217 8 Win32/InstallCore

hide %SystemDrive%\PROGRAM FILES\XVID\VIDCCLEANER.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\PRICEMETERLIVEUPDATE\UPDATE\1.3.23.0

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\LOCAL SETTINGS\APPLICATION DATA\PRICEMETER

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}T.SYS

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\HIMKI\APPLICATION DATA\FLVPLAYER

deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]  
------------
по расшифровке, при наличие лицензии на антивирус можно обращаться в [email protected]

по восстановлению из теневых копий ничего не получится.
система Windows XP не поддерживает теневое копирование документов.

+ этот файл так же проверьте
[CODE]C:\DOCUMENTS AND SETTINGS\HIMKI\РАБОЧИЙ СТОЛ\БИЛЕТЫ ПДД РФ. ЭКЗАМЕН ГИБДД РОССИИ 2015.5.2 PRO PORTABLE.EXE[/CODE]

+ этот файл еще проверьте
[QUOTE]C:\DOCUMENTS AND SETTINGS\HIMKI\МОИ ДОКУМЕНТЫ\144109.DEVID.INFO.EXE[/QUOTE]

вот этот файл проверьте на Вирустотал. это скорее всего тело шифратора, хотя оно не в автозапуске сейчас.
[CODE]C:\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE[/CODE]
файл пока не удаляйте. он не опасен  сейчас.

Максим,
1. для проверки системы на предмет остатков шифратора и троянов добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

нужен лог сканирования в малваребайт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B51944CEC9405DAAFD8D20FFAE05D35E743BCAFF3­C568A51748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42F­C7CADD56 8 mediaget

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\FUNMOODS\UPDATE~1\U­PDATE~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.APEHA.RU

delref HTTP://YAMBLER.NET/?IM

deldirex %SystemDrive%\USERS\USER\APPDATA\LOCAL\MEDIAGET2

REGT 27
regt 28
regt 29
; Java™ 6 Update 43
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216043FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозавпуска
http://forum.esetnod32.ru/forum9/topic683/

тема на псхп ваша?
http://pchelpforum.ru/f26/t148039/

если да, то решаем проблему в одном месте:
или здесь или там. лучше здесь.
-----------
>>>>вирусов везде всё чисто
если бы везде все было чисто, не было ты этого всплывающего сообщения