образ чистый.
какие проблемы оставить после запуска вируса?

[B]Никита Чумак,[/B]

1. по очистке системы выполните это

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PRO­FILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\DELTA-HOMES.XML
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PRO­FILES\5RS0HTV1.DEFAULT\EXTENSIONS\[email protected]\INSTALL.RDF
hide %SystemDrive%\PROGRAM FILES\WINDJVIEW\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
delref HTTP://WWW.LUCKYSEARCHES.COM/?TYPE=HP&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_J­P2940HQ36K0PH36K0PHX
delref HTTP://WWW.LUCKYSEARCHES.COM/WEB/?TYPE=DS&TS=1428742831&FROM=EXP&UID=HITACHIXHDS721010CLA332_J­P2940HQ36K0PH36K0PHX&Q={SEARCHTERMS}
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MOZILLA\FIREFOX\PRO­FILES\5RS0HTV1.DEFAULT\SEARCHPLUGINS\LUCKYSEARCHES.XML
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.DELTA-HOMES.COM/NEWTAB/?TYPE=NT&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW­4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K­0PH36K0PHX

delref HTTP://SEARCH.DELTA-HOMES.COM/WEB/?TYPE=DS&TS=1432145526&Z=5F5A9FAA8DD17521C472ADFG3Z0C5ODGCZBW­4W4Z6M&FROM=WPM05203&UID=HITACHIXHDS721010CLA332_JP2940HQ36K­0PH36K0PHX&Q={SEARCHTERMS}

regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U /S
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. восстановлению зашифрованных документов проверьте наличие чистых теневых копий.

3. по расшифровке документов (если необходима) при наличии лицензии на наш антивирус обратитесь в техподдержку [email protected]

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.24 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

del %SystemDrive%\USERS\ВЛАД\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
hide %SystemDrive%\FRAPS\UNINSTALL.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DUKTO\DUKTO.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://UNESXHANGE.COM/JTTW23L/PROXY.PAC

delref HTTP://ZENIGAMEBLINGER.ORG

delref HTTP://WWW.QIP.RU/

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OALInst.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

окно gui пустое только сразу после загрузки рабочего стола, или таким и остается спустя интервалы времени?

если эта ошибка остается, то лучше деинсталлировать антивирус и заново установить актуальную версию.
+
в таких случаях желательно иметь копию настроек, если вы настраиваете правила для фаерволла.

может и ложная.
поддерживаю рекомендацию обратиться в техподдержку, возможно они в курсе этого предположительно ложняка.

[B]alex momai,[/B]
ответил в почту.
если сохранились письма с вредоносным архивом, или ссылкой на вредоносный архив,
вышлите в мою почту в архиве с паролем infected
(если ссылка в письме, то можно и без пароля)
----------------
судя по данным в архиве что имеем:
два ключа pubring.gpg но видимо с разных машин, поскольку ID разные
документы из архива зашифрованы одним из ключей
VAULT.KEY конечно без расшифровки,

поищите еще файлы
[QUOTE] соберите в один архив все файлы из %TEMP% пользователя, созданные на дату и время шифрования документов.
Это могут быть и такие файлы (с произвольным набором букв и цифр):
268244f0.8e651db9, c3803433.adc31ea7, d6ccb63f.88b5e541
возможно, в одном из таких файлов хранится экспортированный секретный ключ (secring.gpg) в незашифрованном виде.[/QUOTE]

Евгений,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.24 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1AD78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAM FILES (X86)\PANDORA.TV\PANSERVICE\PANDORASERVICE.EXE
chklst
delvir
exec32 "C:\Program Files (x86)\PANDORA.TV\PanService\unins000.exe"
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

это сделали?
[CODE]по левому DNS вам решать. если есть доступ к настройкам роутера - вбейте гугловские DNS: 8.8.8.8 и 8.8.4.4[/CODE]

еще раз,
по расшифровке документов обращайтесь в тех поддержку [email protected]
при наличие лицензии на наш антивирус.

на форуме мы оказываем помощь в очистке системы от шифраторов, вирусов.