по этому компу выполните очистку системы:
BUH9_2016-11-02_08-56-54.7z (261.3 КБ)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\06330BCE.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D027­8DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127EC­C35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\320039DF.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D027­8DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127EC­C35572B4 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\TEMP\RAD99786.TMP
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296­71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414­0472251B 8 da_vinci_code

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL

delref %Sys32%\IR16_32.DLL
del %Sys32%\IR16_32.DLL

delref %Sys32%\KBDMAI.DLL
del %Sys32%\KBDMAI.DLL

delref %Sys32%\WLANMGR.DLL
del %Sys32%\WLANMGR.DLL

delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL

; Java™ 6 Update 22
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Админа однозначно надо наказывать. образы сейчас посмотрю.
---------
здесь чисто уже
[B]OOO_2016-11-02_09-02-34.7z (251.9 КБ)[/B]
и здесь чисто
[B]GLAVBUH_2016-11-02_08-45-59.7z (497.67 КБ)[/B]

по этому компу
HP_2016-11-01_17-46-18.7z (577.2 КБ)

выполните очистку системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\UPDATEMOBOGENIE.EXE
addsgn 1AB3729A5583FF8FF42B627DA804DEC9E90A05B6FAEF9F81A5B0C3B3F514­A2ACE09C1364FED57C56F86247AC86259B39B188BE2166253B680963AFEF­BA1265F8 8 demon_process

zoo %SystemDrive%\USERS\НАСТЯ\APPDATA\BITCEE3.TMP
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF2­65B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD­8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

delref %SystemDrive%\USERS\НАСТЯ\APPDATA\ROAMINGKES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\USERS\НАСТЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\L­OADER

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE

delref HTTP://WEBALTA.RU/SEARCH

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

; Java™ 6 Update 22 (64-bit)
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F86416022FF} /quiet
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; Mobogenie
exec  C:\Program Files (x86)\Mobogenie\uninst.exe
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Роман, здравствуйте,
но вы можете отвечать за контент своего сайта.
удалить ссылку, на которую вам указали не сложно, предупредить или заблокировать доступ пользователю, который постит ссылки на вредоносные сайты.

[QUOTE]Дмитрий Страхов написал:
Отправил запрос в техподдержку ( приложил образ).
Подскажите, реально ли расшифровать данные на данном ПК?[/QUOTE]
трудно сказать. первые варианты [email protected] были расшифрованы,
затем злоумышленники видимо улучшили алгоритм шифрования.

в техподдержку необходимо как правило отправить:
1. зашифрованные файлы,
2. копии чистых файлов, если есть такие,
3. файл шифратора, если был найден (или источник откуда был запущен шифратор)
4. лог ESET log collector взятый из зашифрованной системы.

Дмитрий,
судя по образу система уже очищена от тела шифратора,

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Егор Денисов написал:
Хорошо. Буду ждать результата. Спасибо.[/QUOTE]
замечу, что разработка дешифратора не минутное дело,
как правило если расшифровка возможна, то дешифратор может быть выпущен в течение месяца.

выполнил тестовое шифрование, попробую отправить файлы в вирлаб.

кстати да, оба файла с одинаковым хэшем. и являются файлов шифратора.
https://www.virustotal.com/ru/file/bf09d6fc95cf7fd5f44e62e9515cbb5650fc1e544a566247­83d8071af7712e23/analysis/1477974362/

так же прописывает свою копию в автозапуск

[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\username\LOCAL SETTINGS\APPLICATION DATA\MOZILLA\NCLUJGPW.EXE
Имя файла                   NCLUJGPW.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске [Запускался неявно или вручную]
File_Id                     54514FCD23000
Linker                      7.0
Размер                      134656 байт
Создан                      01.11.2016 в 10:32:21
Изменен                     31.10.2016 в 00:15:24
                           
TimeStamp                   29.10.2014 в 20:36:29
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Доп. информация             на момент обновления списка
SHA1                        AF846503643705A6BF9FD8A3CF0CA933CA7049FA
MD5                         E809C35B5D8C2CECE9A6D895873D98F4
                           
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK
                           
Ссылка                      HKEY_USERS\S-1-5-21-2052111302-1383384898-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Run\VKvYJeTs
VKvYJeTs                    "C:\Documents and Settings\username\Local Settings\Application Data\Mozilla\nclujgpW.exe"
SHORTCUT                    C:\DOCUMENTS AND SETTINGS\username\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\VKVYJETS.LNK[/QUOTE]

[QUOTE]RP55 RP55 написал:
[QUOTE] Алексей Замуруев написал:
вызвал спеца он всё уладил.[/QUOTE]
С какой программой он работал ?[/QUOTE]
RP55, скорее всего, переустановил систему :).

@Егор Денисов,
это похоже на RotoCrypt, возможно не безнадежный случай, хотя и неизвестно пока есть расшифровка по нему или нет.
когда было шифрование? есть ли записка или файл о выкупе? если есть такой файл, так же добавьте его на форум.
+
если возможно, сделайте образ автозапуска системы из зашифрованной системы,
можно из безопасного режима системы,
или из под Winpe&uVS