теневые копии остались чистые?

а какие файлы зашифровались там?

какие программы вы хотите стереть?

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
[CODE];uVS v3.85.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

;------------------------autoscript---------------------------

hide %SystemDrive%\USERS\ADMIN\DESKTOP\ESETFILECODERQCLEANER.EXE
chklst
delvir

delref HTTP://HI.RU/?4

delref HTTP:\\LYLL.NET

delref HTTP://KEMANOSH.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=0792193BBCDF5967BA9A02D4617A59­17

REGT 27
REGT 28
REGT 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\oalinst.exe" /U
; Sopcast Ask Toolbar
exec  MsiExec.exe /X{86D4B82A-ABED-442A-BE86-96357B70F4FE} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE][/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по расшифровке документов - не поможем. нет расшифровки для xtbl

3. по восстановлению данных - смотрите архивные или теневые копии документов.

1.да, в данном случае восстановление возможно либо из теневых копий, если они сохранились,
для этого проверьте наличие теневых копий с помощью shadowExplorer
[URL=http://www.shadowexplorer.com/downloads.html]http://www.shadowexplorer.com/downloads.html[/URL]

2. либо из архивных копий. если они есть.

3. более сложен вариант восстановления будет, если под теневые копии было зарезервировано дисковое пространство
и копии файлов были в этом пространстве,
но VAULT отключает теневые копии.
что происходит с данными в этот момент времени непонятно.

возможно сами данные остаются на диске до тех пор пока это пространство не будет заполнено другими данными.
и их возможно каким то образом вытащить и спасти.
но для этого необходимо использовать специализированные утилиты поиска и восстановления.
(я не готов на эту тему говорить. может быть и есть спецы, которые могут вытащить данные таким образом.)

1. образ чистый
2. побороть шифровальщик VAULT уже поздно, раз все документы зашифрованы.
3. поищите в папках %TEMP% юзера файл secring.gpg (или vaultkey.vlt), если найдете этот файл ненулевого  размера,
тогда возможна будет дешифровка.

если файл будет нулевой (0байт), в этом случае дешифровка невозможна.
в этом случае восстановление документов возможно только из архивных копий.

[URL=http://forum.esetnod32.ru/user/20620/]Леонид Болотов[/URL]
если файл secring.gpg ненулевой, т.е. примерно около 1Кб, то вышлите в почту [URL=mailto:[email protected]][email protected][/URL] этот ключ и несколько небольших зашифрованных файлов для проверки возможности расшифровки.

[URL=http://forum.esetnod32.ru/user/20400/]Андрей Свирида[/URL],
восстановление из теневых копий есть только в Vista, Win7, Win8
для XP этот метод восстановления не будет работать.

это файл Corkow, видимо был прибит при создании образа автозапуска, или при проверке в AVZ
[QUOTE]C:\DOCUMENTS AND SETTINGS\FILIMONTSEVSA\APPLICATION DATA\DAODL\SKDTAPI.RRO[/QUOTE]
сейчас осталась только ссылка в реестре.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.11 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\FILIMONTSEVSA\APPLICATION DATA\DAODL\SKDTAPI.RRO
deltmp
delnfr
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.

+
java все таки надо обновить, возможно через него и пробивает корк

[QUOTE]; Java™ 6 Update 32[/QUOTE]

все таки, сделайте образ актуальной версией uVS,
ссылку выше я указал.
(любит вас corkow)