https://help.eset.com/era_admin/65/ru-RU/admin_ar_users.html?admin_ar_create_native_user.html

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

смотрите функцию в расширенных настройках - процессы сканирования - съемные носители - действия, которые следует предпринять после подключения съемного носителя.

+
добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[QUOTE]Edward Kan написал:
Антивирус не обновлялся с 1.12.2017гЕсли обновлю его он не удалит файлы зараженные?В карантине  MARVEL.EXE отсутствует.
[/QUOTE]
обновите антивирусные базы, выполните полное сканирование системы.
активных шифраторов, судя по второму образу в системе нет.

по зашифрованным файлам:
при наличие лицензии на антивирус ESET вы можете сделать запрос по расшифровке в техподдержку [email protected]
возможна ли расшифровка в вашем случае - ответить смогут только в вирлабе.

если есть архивные копии документов - восстановите файлы из копии.

проверьте так же наличие теневых копий.

следите за актуальностью баз антивирусов.
Если антивир не обновляется более чем полгода, тогда вероятность того, что он защитит от актуальных угроз близка к 0.

проверьте,
возможно этот файл (marwel.exe) попал в карантин антивируса, поскольку ESET его детектирует как Filecoder.NPI

скрипт в данном случае только удаляет файл шифратора.
к сожалению файл шифратора  в архив не попал.
из за неточности в первом скрипте.

должно было быть так:

[QUOTE]ZOO %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply
czoo
[/QUOTE]
сделайте новый образ автозапуска для контроля.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.12 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
apply

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/7z)  отправить в почту [email protected], [email protected]  
------------

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

судя по образу был активен в момент создания образа.

[QUOTE]Полное имя C:\USERS\IRAIRA1234\APPDATA\ROAMING\MARVEL.EXE
Имя файла                   MARVEL.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     32-х битный
File_Id                     5B30D956A2000
Linker                      14.11
Размер                      260608 байт
Создан                      17.07.2018 в 03:24:58
Изменен                     25.06.2018 в 21:00:24
                           
TimeStamp                   25.06.2018 в 12:00:22
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 3616                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:12 [2018.07.17]
С момента создания          00:40:12
parentid = 3752            
pid = 3716                  IRAS\iraira1234
CmdLine                     "C:\Users\iraira1234\AppData\Roaming\Marvel.exe"
Процесс создан              16:06:10 [2018.07.17]
С момента создания          00:40:15
parentid = 2684            
SHA1                        A33551836E5284132CC9AEDC28D9EA3450AA0128
MD5                         96C3139F571A36A1E8968208D40A4FC1
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\R­un\MarvelHost
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Ссылка                      HKEY_USERS\S-1-5-21-2137272904-2086164111-3768165105-1001\Software\Microsoft\Windows\CurrentVersion\Run\MarvelHos­t
MarvelHost                  C:\Users\iraira1234\AppData\Roaming\Marvel.exe
                           
Образы                      EXE и DLL
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
MARVEL.EXE                  C:\USERS\IRAIRA1234\APPDATA\ROAMING
                           
[/QUOTE]

линк проверки нужен именно для этого файла.