проверьте наличие точек восстановления на момент шифрования, так же выполните поиск среди удаленны файлов на момент шифрования с помощью R-studio, getdataback

да, это скрипт очистки системы.
по расшифровке файлов непонятно, что это за тип шифратора.
нужен файл шифратора.

[QUOTE]Юра Самсоненко написал:
[URL=https://forum.esetnod32.ru/user/22/]santy[/URL] у меня та же ситуация с файлами da_vinci_code можно и мне помочь? образ диска уже создаю![/QUOTE]
Юрий,
ничего не перепутайте.
нужен не образ диска, а образ автозапуска системы.
http://forum.esetnod32.ru/forum9/topic2687/

по образу, кроме этого файле больше нет подозрительных файлов.
возможно подключились из внешней сети.

здесь еще будет инфо по данному шифратору
http://id-ransomware.blogspot.ru/2016/10/airacrop-ransomware.html

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
ZOO %SystemRoot%\FONTS\QQ123.EXE
delall %SystemRoot%\FONTS\QQ123.EXE
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Владимир,
скачайте свежий архив с uVS
сделайте образ автозапуска из безопасного режима системы.

по образу:
этот файл вам известен?
судя по ссылкам - нежелательный файл.
https://malwr.com/analysis/N2VjMjFhYjkwODRkNDJhNmEyNjljYWZiODU5YzAyZjI/
https://www.herdprotect.com/qq123.exe-51c06e49e1c8ee61f93e8a2d27f5369612309c60.aspx

[QUOTE]Полное имя C:\WINDOWS\FONTS\QQ123.EXE
Имя файла                   QQ123.EXE
Тек. статус                 ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   debug [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
www.virustotal.com          2016-10-27
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
IMAGE FILE EXECUTION.EXE    (ССЫЛКА ~ \IMAGE FILE EXECUTION OPTIONS\)(1)   OR   (ССЫЛКА ~ .EXE\DEBUGGER)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     4FD34D7533000
Linker                      9.0
Размер                      99064 байт
Создан                      14.10.2016 в 11:55:55
Изменен                     08.05.2013 в 02:29:38
Атрибуты                    СКРЫТЫЙ  СИСТЕМНЫЙ  
                           
TimeStamp                   09.06.2012 в 13:19:49
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            WINRAR.SFX
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Тип запуска                 Неизвестный отладчик приложения(ий)
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
SHA1                        51C06E49E1C8EE61F93E8A2D27F5369612309C60
MD5                         C4D0C458DCE6B802EA946A857FA2EA12
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe\Debugger[/QUOTE]

судя по последнему образу DANILINA_2016-10-27_20-02-09.7z (509.62 КБ)
файлов шифратора нет.
а вот по этой записи разберитесь: это скорее всего настройки для левого прокси.

[QUOTE]Полное имя 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Имя файла                   0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
PROXYSERVER                 (ССЫЛКА ~ \INTERNET\MANUALPROXIES\)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Int­ernet\ManualProxies\
                           0https://larevante.com/F6D3bVd/bOl57.eup
                           

[/QUOTE]
можно в этом разделе продолжить лечение.
https://forum.esetnod32.ru/forum6/

в разделе шифрования общие темы для всех по типовым шифраторам, поэтому по возможности не надо их перегружать лишними диалогами,
в разделе лечения заражений индивидуальные темы по каждому факту заражений, там как раз более свободная форма общения в теме.

судя по образу - чисто.
к тому же установлен антивир. если базы актуальные должен был прибить файлик, которые мог "вылезь" из dot-файла.
можно еще посмотреть журнал обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

как создать образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

загрузить систему в безопасном режиме, можно с поддержкой сети,
и сделать образ автозапуска системы
и предоставить этот файл (образ автозапуска) на форум для анализа