судя по заставке, и по исполняемому файлу, похож на шифратор *[URL=mailto:[email protected]][email protected][/URL]
[IMG WIDTH=560 HEIGHT=397]http://i021.radikal.ru/1501/d2/f17b0c1c129d.jpg[/IMG]

еще один свежий вид шифратора.
[IMG WIDTH=560 HEIGHT=397]http://i021.radikal.ru/1501/d2/f17b0c1c129d.jpg[/IMG]
судя по тексту, слегка модифицированный вариант с *[URL=mailto:[email protected]][email protected][/URL]
т.е. Trojan.Encoder.741/по классификации ДрВеб/
судя по исполняемому файлу из автозапуска - он же

ESET сейчас детектирует как

[URL=https://www.virustotal.com/ru/file/ddc676a3f583618b05dea0f97f54d4a3eddbda65765b22768a0433026c426441/analysis/]https://www.virustotal.com/ru/file/ddc676a3f583618b05dea0f97f54d4a3eddbda65765b22768a0433026c426441/...[/URL]
ESET-NOD32     Win32/Filecoder.NAM

по очистке системы
1.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\АРХИВНАЯ ДОКУМЕНТАЦИЯ  О ПРИВЛЕЧЕНИИ  В КАЧЕСТВЕ СВИДЕТЕЛЯ ПО ГРАЖДАНСКОМУ ДЕЛУ №673265.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF­428CA953E75FBA95E85FAA7A049F46163BF4FEE2E8370CDAB058289EB288­C70675F8 8 Win32/Filecoder.CQ [ESET-NOD32]

;------------------------autoscript---------------------------

chklst
delvir

delnfr
;-------------------------------------------------------------

czoo
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
2. по расшифровке данных
напишите сообщение в [URL=mailto:[email protected]][email protected][/URL]
добавьте в сообщение несколько зашифрованных файлов, а так же архив ZOO
+
можно указать ссылку на эту тему

[B]Filecoder.CQ/Ransom.Win32.Cryakl.be/Trojan.Encoder.567[/B]
             скачивается скорее всего из сети (в виде архива с исполняемым файлом) по ссылке из почты.
к имени зашифрованного документа добавлено  id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589}[URL=mailto:[email protected]][email protected][/URL]
где id-{SXDJPVBHMSYDJPVAGMRXCINTZFKQWBHNTYEK-28.01.2015 13@18@508370589} - уникальный идентификатор для текущего процесса шифрования.

в автозапуск прописан winrar.exe, и детектируется т.о. (тот вариант что был использован для теста)
[URL=https://www.virustotal.com/ru/file/e6c30052d15c6c324ff53ac3403bafed22ce13168a02ca07afeb366130f6507b/analysis/]https://www.virustotal.com/ru/file/e6c30052d15c6c324ff53ac3403bafed22ce13168a02ca07afeb366130f6507b/...[/URL]

[QUOTE]Полное имя C:\PROGRAM FILES\TEMP\WINRAR.EXE
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)                                                    
Процесс создан              13:18:49 [2015.01.28]
С момента создания          00:01:07
parentid = 952              C:\PROGRAM FILES\TEMP\WINRAR.EXE
SHA1                        24C94F1F8256A2A6FB8AE70BFFC794898459262F
MD5                         2A65F147BED3039E64F1A2B09F18A9AB                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\progrmma
progrmma                    C:\Program Files\temp\WINRAR.EXE                            
Ссылка                      HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\PROGRAM FILES\TEMP\WINRAR.EXE                            
Образы                      EXE и DLL
WINRAR.EXE                  C:\PROGRAM FILES\TEMP
WINRAR.EXE                  C:\PROGRAM FILES\TEMP[/QUOTE]
процесс шифрования завершается красочным банером вместо обоев системы.

[IMG WIDTH=560 HEIGHT=360]http://s017.radikal.ru/i423/1501/73/5737f6cab71f.jpg[/IMG]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\SAFESURF\SURFGUARD.EXE
addsgn 0DC977BA156A4C720BD4AEB164C81205258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA79DFEB7255DA802C2DF7AA2F­C7067273 63 Win32/Adware.SafeSurf.AC [ESET-NOD32]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\0.42736045692086955.EXE
hide %SystemDrive%\PROGRAM FILES\THE BAT!\THEBAT.EXE
hide %SystemDrive%\PROGRAM FILES\AVG\AVG PC TUNEUP\REGISTRYDEFRAG.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HOME.WEBALTA.RU

delref HTTP://WEBALTA.RU/SEARCH

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

видимо ошибка при копировании ссылки из текста
должно быть так:
[URL=http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow]http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#shadow[/URL]

аналогично, для Дропбокса
[URL=http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#dropbox]http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information#dropbox[/URL]

расширение какое у зашифрованных файлов?

[URL=http://forum.esetnod32.ru/user/20133/]Виктория Пустовойтова[/URL], здесь не надо прикреплять файлы, отправьте в [URL=mailto:[email protected]][email protected][/URL]

[URL=http://forum.esetnod32.ru/user/20134/]Мария Щукина[/URL], дешифратора для данного типа еще нет. поэтому ничего и не расшифровывается.
напишите в [URL=mailto:[email protected]][email protected][/URL], опишите проблему, добавьте несколько зашифрованных файлов
возможно решение будет найдено

раз никто ничего не помнит, пробуем восстановить данные традиционными методами восстановления.

[URL=http://forum.esetnod32.ru/forum35/topic11575/]http://forum.esetnod32.ru/forum35/topic11575/[/URL]