поставьте CrocoTime на ваши компьютеры, будете больше знать о компьютерной активности ваших пользователей.
https://crocotime.com/ru/

да, видимо задание было в tasks (и осталось в кэше задач, судя по логу FRST), просто в версии uVS 3.87 эта задача не попала в образ автозапуска
[QUOTE]uVS v3.87 [http://dsrt.dyndns.org]: Windows 10 Pro x86 (NT v10.0 SP0) build 14393 [C:\WINDOWS][/QUOTE]
надо использовать актуальную версию uVS
http://chklst.ru/data/uVS%20latest/uvs_latest.zip

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]FF Extension: (SaveFrom.net helper) - C:\Users\Макс\AppData\Roaming\Mozilla\Firefox\Profiles\k7reifsr.default\Extensions\[email protected] [2016-06-25]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2016-12-02]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-10-09]
CHR Extension: (No Name) - C:\Users\Макс\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-10-09]
Task: {8DABD838-E47E-4343-BEEC-DA4ADB4A7DE0} - \InternetBD -> No File <==== ATTENTION
EmptyTemp:
Reboot:
[/CODE]

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Антон Фомичев написал:
Здравствуйте, у меня аналогичная проблема, файлы стали 1txt
Помогите с расшифровкой пожалуйста.
Архив с файлами и enigma rsa прилагаю[/QUOTE]
Отправьте зашифрованные файлы + enigma.rsa в [email protected] при наличие лицензии на антивирус ESET
так же необходимо приложить файл лога ESET log collector
https://download.eset.com/special/logcollector/ESETLogCollector_rus.exe

[QUOTE]Сергей Колобов написал:
[URL=https://forum.esetnod32.ru/user/22/]santy[/URL]
а что за readme.txt, такого файла на рабочем столе невидел.[/QUOTE]
записка о выкупе.
систему сами чистили или на форумах? (на некоторых форумах удаляют readme*.txt при очистке системы)
так же проверьте в карантине антивируса. если был установлен на момент шифрования.

Сергей,
добавьте несколько зашифрованных документов+readme*.txt в архиве на форум.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\USERS\МАКС\APPDATA\LOCALLOW\UNITY\WEBPLAYER\

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

новая рассылка с ВАУЛТОМ,
в офисный документ внедрен объект, содержащий тело шифратора.
https://www.virustotal.com/ru/file/43137d643c7052e29bc1f2dc666cf1f2a02aec5f98028209­f5ffd5b63728b064/analysis/1481005036/
https://www.virustotal.com/ru/file/fbbaeaaea62438ab70571c89a47cf2ec6c81e7f77cb91a7b­d59ecec37b096cdc/analysis/1481005132/

просят дважды нажать на мутное изображение документа, для увеличения резкости :)

[IMG WIDTH=778 HEIGHT=740]http://s014.radikal.ru/i327/1612/c3/7e9e2cb761f1.jpg[/IMG]

да, в любом случае надо выполнить скрипт в FRST.