если в вирлабе ЛК расшифровки нет для данного шифратора: Encoder.398, то обращайтесь в ДрВеб, у них есть расшифровка в техподдержке, но при этом у вас должна быть лицензия ДрВеб.
восстановить из теневой копии мы не поможем, поскольку для XP теневое копирование документов не выполняется.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

+
добавьте логи расширений браузеров
[URL=http://forum.esetnod32.ru/forum9/topic10570/]http://forum.esetnod32.ru/forum9/topic10570/[/URL]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\3299C2A0-1424110925-11B2-8000-ED82B7AB0B7E\JOSRV.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\SOFTWAREUPDATER\­SUSRV.EXE
delall %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\LOCAL\MICROSOFT\WINDOWS\­TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Optimizer Pro v3.2
exec  C:\Program Files (x86)\Optimizer Pro\unins000.exe" /VERYSILENT
; Remote Desktop Access (VuuPC)
exec  C:\Users\Алексей\AppData\Roaming\VOPackage\Uninstall.exe

deldirex %SystemDrive%\USERS\АЛЕКСЕЙ\APPDATA\ROAMING\VOPACKAGE

REGT 27
REGT 28
REGT 29
deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

хорошо,
выполните наши рекомендации
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]

хорошо,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %Sys32%\DRIVERS\BD0001.SYS
delall %Sys32%\DRIVERS\BD0002.SYS
delall %Sys32%\DRIVERS\BD0003.SYS
delall %Sys32%\DRIVERS\BD0004.SYS
delall %Sys32%\DRIVERS\BDDEFENSE.SYS
delall %Sys32%\DRIVERS\BDMNETMON.SYS
delall %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delall %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
exec32 C:\Program Files (x86)\smiles\uninstall.exe
exec32 C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe
exec32 "C:\Program Files (x86)\Sweet Home 3D\unins000.exe"
deltmp
delnfr
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\D3DADAPTER.DLL
delall %Sys32%\KBDMAI.DLL
delall %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\AVASTEMUPDATE.EXE

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH_X64.SYS
delref %Sys32%\DRIVERS\BDANTIEXP.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
; superpromokody 1.1
exec  C:\Program Files (x86)\DolkaRuIePlugin\uninst.exe
deltmp
delnfr
areg

;-------------------------------------------------------------

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
добавьте новый образ автозапуска
+
добавьте лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]

[QUOTE]Дмитрий Морозов написал:
Не сильно они нужны, в пересылке по mail файлы не криптуются, запарка на 1-2 дня, я с ужасом прикидываю ситуацию, если бы криптограф дошел-бы до сервера и попаганил 1 С файлы... Реально задумаешься об оплате ххх баксов[/QUOTE]
реально надо задуматься о других вещах.
1. регулярное создание архивных копий всех важных файлов, документов, баз
2. настроить локальные политики безопасности таким образом, чтобы левые приложения не запускались на серверах и рабочих станциях
3. зайдите на форум Касперского и вы увидите ту же самую картину - "зачем мы платим вам за антивирус, если вы пропускаете шифраторы и потом месяцами расшифровываете документы"
4. как правило громче всех кричат об этом те, кто палец о палец не ударил, чтобы улучшить политику безопасности на своем предприятии
5. поглубже вникните в вопросы шифрования и криптологии, и вы поймете, что спецы которые занимаются разработкой алгоритмов шифрования делают все возможное для того, чтобы документы зашифрованные по их алгоритмам не были расшифрованы за разумное время.

к сожалению восстановление документов невозможно. единственная копия документов уже с зашифрованными документами.
расшифровки по xtbl нет в вирлабах.

дешифратора, скорее всего не будет.
по предыдущим версиям этого энкодера расшифровки нет до сих пор. (прошло уже больше чем полгода с момента выхода этого типа шифраторов).
кому сильно нужны файлы.vault, то надо идти на поклон к злодеям.

кстати не все зашифрованные файлы xtbl заканчиваются на =
пример:
xtbl\doc_uvs\SDlTIxdHKsJXTOk3DC7vP0Sp8-Me-ucZ+8ebt-1BYBlYgONJhxVlmA4qFzgjm517.xtbl
и размер между зашифрованным файлом и чистым не совпадает