Alex Sekov,
судя по образу, активности шифратора уже нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPGANLGLBHGFJFGOPIJBHEMCPBEHJNPIA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPLDBIENODKPGKCCOCELIDINMCIEDJDOK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1410883750&FROM=SKY&UID=WDCXWD10EZEX-00UD2A0_WD-WMC3F021712617126&Q={SEARCHTERMS}

delref %SystemDrive%\USERS\BUHGALTER_2\APPDATA\LOCAL\GOOGLE\CHROME\­USER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.1_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

+
покажите список загрузчиков.
это  секция: SYSTEM.INI и загрузчики.

Алексей,
mbr вашего диска скорее всего заменен,
поэтому когда стартуете лайв диск с uVS необходимо выбрать режим - текущий пользователь. (без выбора системы)
и затем создать образ автозапуска.
(ничего не надо править пока, напишем скрипт, и вылечим систему)

Алексей,
необходимо создать образ автозапуска с помощью загрузочного диска или флэшки Winpe&uVS,
для этого вам необходимо:
1. на чистой машине создать загрузочный диск или флэшку,
2. на зараженной машине, при включении компьютера необходимо зайти в БИОС и установить приоритет загрузки с CD или USB
соответственно вставить вставить загрузочный диск или загрузочную флэшку,
сохранить параметры БИОС,
и еще раз перегрузить компьютер.
далее,
по этой инструкции сделать образ автозапуска из под winpe&uVS
http://forum.esetnod32.ru/forum9/topic683/

сохранить этот файл на флэшку, и передать нам на форум.

возможно, некоторые из файлов оутлука зашифровались, а возможно и почтовая база.

Александр Иванов,
активности шифратора в настоящее время нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\[CLSID]

delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.SWEET-PAGE.COM/?TYPE=HP&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDLAGKJOCHBKKFMCGOFJLIPNJNEAHKFJN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1403616294&FROM=COR&UID=WDCXWD1200JS-00MHB0_WD-WCANM507224172241&Q={SEARCHTERMS}

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

[QUOTE]POUL UILIAMSON написал:
я так понимаю скорее всего это этот файл может быть тем файлом который нужен QQ123.EXE ?[/QUOTE]
не факт, что именно этот файл,
но вышлите в почту [email protected] с паролем infected - проверю на виртуалке

по факту проверки троян,
https://www.virustotal.com/ru/file/3ff1f63dcc7e87a837304e1e5d75fb84717b2adefa45c89b­130dbc705f0492b4/analysis/
т.е его в любом случае надо было удалить.

ищите исполняемые файлы на момент (в интервале) шифрования, которые были удалены.
exe, com, cmd, js, vbs, bat

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

delref %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDMPOJJILDDEFGNHIICJCMHBKJGBBCLOB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

Наталья,
добавьте образ автозапуска из зашифрованной системы,
можно из безопасного режима системы
http://forum.esetnod32.ru/forum9/topic2687/