1. по очистке системы (выполнить обязательно)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


[CODE];uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF29­2811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4­B20EA93D 64 Besttoolbars.J [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
addsgn 79132211B9E9317E0AA1AB59A52C1205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A57D0BF193CB50B67FBBABFC9ABACEB02CEA77B22F­C706CA34 64 Trojan.Siggen6.685 [DrWeb]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\YANDEX\UPDATER­\PRAETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

addsgn 1A85479A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B049396­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Filecoder.DA [ESET-NOD32]

zoo %SystemDrive%\USERS\ABILDINOV_B\APPDATA\LOCAL\TEMP\OZICEEM.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\SPEED TEST\SCRIPTHOST64.DLL
delall %SystemDrive%\USERS\ABILDI~1\APPDATA\ROAMING\MSNYVW.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\EXPRESSFILES\EFUPDATER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные и теневые копии (если есть чистые)

3. по расшифровке документов не поможем. нет расшифровки по ctblocker

нет, просто часто китайские антивирусы сами скрытно устанавливаются, (baidu, rising и нек. другие)

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


[CODE];uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

delall %SystemRoot%\TEMP\HNKEPWJ.EXE
delref HTTP://SINDEX.BIZ/?COMPANY=1
delall %SystemDrive%\DOCUME~1\ADMIN\APPLIC~1\DSITE\UPDATE~1\UPDATE~­1.EXE
chklst
delvir

delnfr
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов смотрите архивные копии (если есть), теневых копий, понятно что нет.
3. по расшифровке не поможем. нет расшифровки для CTBlocker

китайский 360 Internet Security сами ставили?

Alexey Klochko,
1. удалите все вложенные файлы с форума
2. добавьте в архив несколько зашифрованных файлов и выложите на http://rghost.ru
и добавьте ссылку на данный архив здесь.
3. добавьте образ автозапуска зараженной системы.
http://forum.esetnod32.ru/forum9/topic2687/

1. если сохранился архив с вредоносным вложением, вышлите в почту [email protected] в архиве с паролем infected
2.  по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

deldir %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\PIRRITSUGGESTOR
delref HTTP://WEBALTA.RU/SEARCH
delnfr
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
3. по восстановлению - помогут архивные или теневые копии, если есть на дисках
4. по расшифровке документов нужен ключ secring.gpg
http://chklst.ru/forum/discussion/1481/vault-chto-delat#Item_2

ctb locker,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Сергей Логинов написал:
Сейчас, после перезагрузки ноута, уже на фоне рабочего стола на секунду вышло черное окно командной строки с исполнением какого-то ехе файла, а так-же открылся пустой "VAULT - Блокнот"!!
Т.е. троян опять запущен???[/QUOTE]
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

где-то. это только в %temp%
выложите пару зашифрованных документов, или сами проверьте. переименуйте в нормальное расширение.
и проверьте файл на открытие.
иногда бывает, что выполняется только переименование файлов без шифровки. но очень редко.

восстановливается, если не был затерт. т.е. если в определенный момент времени работы шифратора выключить комп,  то есть вероятность восстановить secring.gpg
если же шифратор полностью отработал, то скорее всего восстановить secring.gpg не получится.

Сергей,
значит secring.gpg затерт до нуля. нулевой secring.gpg бесполезен для расшифровки.
другого варианта расшифровки у нас нет.