1. включить защиту дисков, зарезервируйте 5-10% от дискового пространства для системного тома, и для диска, на котором храните документы.
это работает в Vista и выше
2. пробуйте настроить локальные политики по ограниченному запуску программ. Например чтобы в %temp% юзера не запускались нежелательные испольняемые файлы.

3. конечно установленный антивирус с постоянно обновляемыми базами.

4. внимательно работаем с электронной почтой
[URL=http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-]http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-[/URL]

5. если уже попали на шифратора, пробуйте восстановить доки из теневой копии, по крайней мере для тех шифраторов по которым нет расшифровки: ctb locker, xtbl, vault, creakl
восстановление из теневой копии - единственный способ. (+ еще конечно основной вариант - это архивные копии документов)

если необходима помочь в восстановлении документов из теневой копии, отправьте в почту [URL=mailto:[email protected]][email protected][/URL] id и пароль от тимвьювера.

1. по очистке системы;

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\A8F5B9E6\BIN.EXE
restart
czoo
[/CODE][/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL]
------------
2. по расшифровке документов:
расшифровки для данного шифратора (xtbl) на сегодня нет.

3. по восстановлению документов.
пробуем восстановить документы из чистой теневой копии.
если необходима помочь, отправьте в почту [URL=mailto:[email protected]][email protected][/URL] id и пароль от тимвьювера.

1. когда произошло шифрование?
2. если есть письмо с которого было шифрование, то опубликуйте письмо здесь, возможно это поможет другим избежать ошибки с открытием вредоносного письма.
3. добавьте образ автозапуска для очистки системы (если есть заражение)
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

можно еще проверить расширения браузеров, может что-то добавилось из левых расширений, поскольку система была обильно загружена вирусняком, так что даже пришлось скрипт записать в отдельный файл.

оказывается, вышла 26 февраля русская версия ESET Endpoint 6, ERA 6, а также шестая версия ESET File Security. что не может не радовать.
пока разобрался более-менее с лицензированием, что и зачем: конвертация старого ключа в новый, управление лицензиями, а так же с администрированием под учеткой администратора безопасности.
чуть позже буду разбираться с ERA 6

удалите все найденное в малваребайт,

далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
-----------
пишем результат

ок, ждем логи мбам

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XTAB\PROTECTSERVICE.EXE
addsgn 1A2E749A5583008CF42B5194207B53054F8694F65ABB1F90DFC2C5BCD3B3­954CA84ACFDCFDDEE059242F4314331E4A0AF4AAE0F13026B063A40AB457­CB2DD1FA 8 Adware.Mutabaha.107 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\WINDOWSMANGERPROTECT\PROTECTWINDOW­SMANAGER.EXE
addsgn 1A2C9D9A5583338CF42BFB3A88434711AEC7F4A00C286A75000AB0B1699B­7D39022403BC10D0543D320BC193C3D63DE8F80D9D76DDCB5BC5A602B4AA­317335B5 8 Adware.Mutabaha.123 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\GLOBALUPDATE\UPDATE\GOOGLEUPDATE.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\INOFVH.EXE
addsgn 1A8B8A9A5583338CF42BFB3A889E99702D0F0A8E8012858685C3FE8C2CD1­99DDDD17C3DC0EBD19B72B800F9BF648143928540424BD59EC2C2DFC54AA­317325CB 8 inofvn

delall %SystemDrive%\PROGRAM FILES\MYPC BACKUP\SIGNUP WIZARD.EXE
delall %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE PROTECTOR\REIGUARD.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\NCEUOHJ.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS
del %Sys32%\DRIVERS\{BAB3007B-75F3-4020-8EEE-4C923FDCB91B}GW.SYS

delref HTTP:\\WWW.OMNIBOXES.COM\?TYPE=SC&TS=1425152977&FROM=OBW&UID=ST9250315AS_5VCFZPELXXXX5­VCFZPEL
deltmp
delnfr
CZOO
areg

;-------------------------------------------------------------[/CODE]

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL]
------------
+
вопрос: какое расширение стало у зашифрованных файлов?

стартуем uVS под текущим пользователем. (если текущий с правами админа)
скачайте файл скрипта отсюда
[URL=http://rghost.ru/private/6k4CrmdPg/d78bfba3764668d13b9ae05875178588]http://rghost.ru/private/6k4CrmdPg/d78bfba3764668d13b9ae05875178588[/URL]
выполните в uVS [B]скрипт из файла.[/B]
после завершения работы скрипта и автоперезагрузки системы


далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]