[QUOTE]Александр Терихов написал:
А можно винт снять и просто засканировать его со своего компа?[/QUOTE]
если вы самостоятельно можете выполнить проверку и очистку системы от возможных последствий открытия вредоносного файла,
то мы не против.
[B]и да, вопрос: антивирус был установлен на компьютере пользователя?[/B]

в настройках Нода в постоянной защите можно включить защиту документов - интеграция с системой.
в этом случае антивирус будет тщательно проверять офисный документ на наличие макросов, эксплойтов, прежде чем дать возможность открывать его офисному приложению.
+
[QUOTE]можно из безопасного режима системы создать образ автозапуска для проверки системы.[/QUOTE]

[QUOTE]Расширение .dot применяется текстовым редактором Microsoft Word для хранения шаблонов документов.
Microsoft Word является одним из приложений, включенных в пакет Microsoft Office. Word позволяет создавать разнообразные текстовые документы.[/QUOTE]
файлик *.dot, скорее всего содержит эксплойт, который при отрытии dot файла в Офисе может запустить внедренный в этот файл исполняемый файл.
https://www.virustotal.com/ru/file/7138217c48c2268a57b0b9fe8eb349e680f1ca87d0648998­0b51d3bd0415c7c1/analysis/

можно из [B]безопасного режима системы[/B] создать образ автозапуска для проверки системы.

похоже на файл шифратора.
-------
возможно в файле odt был внедренный объект, который он активировал нажатием.
[QUOTE]OLEDATA = Скан-копия документа от 26.10.2016 ПРОВЕРНО.jрg .scr[/QUOTE]

если сохранилось сообщение в почте с вложением,
заархивируйте с паролем infected и вышлите в почту [email protected]
я посмотрю файл и отвечу точнее.
---------
если этот файлик попал в карантин,
Скан-копия документа от 26.10.2016 ПРОВЕРНО.jрg .scr
то его можно "восстановить как" из карантина  в отдельную папку и проверить на http://virustotal.com

хорошо,
+ ко всему: выполните наши рекомендации по безопасной работе в сети.
http://forum.esetnod32.ru/forum9/topic12354/

Андрей,
1. не надо здесь никого цитировать, просто пишите по сути и не развозите ответ на целую страницу браузера.
2. я уже отчаялся следить за вашими действия,ми в какой последовательности и что вы делаете: до скрипта, после скрипта, из безопасного режима, из нормального режима,
3. полагаю что вы в состоянии самостоятельно справиться с очисткой: файлы шифратора указаны в скриптах.
4. у нас здесь все просто делается: пользователь выкладывает суть проблемы, образ автозапуска (если его об этом просят), желательно несколько зашифрованных файлов в архиве, записку о выкупе от злоумышленников, мы пишем скрипт очистки и рекомендации. и все.
5. если возникают сомнения по очистке: добавляете лог выполнения скрипта, и новый образ автозапуска для контроля.
6. и чтобы тема очистки плавно не перетекала в чатовый диалог.

[B]еще раз:[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296­71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414­0472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
zoo %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMINGRBQ51.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

deltmp
delnfr
;-------------------------------------------------------------

restart
czoo
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
+
добавьте новый образ автозапуска дял контроля.
+
добавьте все логи выполнения скриптов:
файлы дата_времяlog.txt из папки, откуда запускаете uVS.

судя по второму образу этот файлик на месте.

[QUOTE]Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
я вижу у вас свое мнение по этому поводу. Ну-ну.

[QUOTE]Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
[/QUOTE]
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?

1. по теневым копиям.
как проверить.
используйте shadowExplorer
http://www.shadowexplorer.com/downloads.html
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.