[QUOTE]Игорь Когай написал:
подскажите какие действия предпринять[/QUOTE]

Игорь Когай,
добавьте образ автозапуска системы, где произошло шифрование.
http://forum.esetnod32.ru/forum9/topic2687/

Игорь Рогов,
да файлы шифратора удалены
[QUOTE]Завершено процессов: 1 из 1
Изменено/удалено объектов автозапуска 1 из 1
Удалено файлов: 2 из 2[/QUOTE]

В данном случае - это рекомендация для всех пользователей форума, независимо от принадлежности к той или иной версии антивируса, или без нее. помощь в очистке системы мы оказываем всем посетителям форума. (кроме тех, кто использует вломанные антивирусы)

1. очистить систему от дел шифратора
2. если были зашифрованы ценные файлы, сохранить зашифрованные копии на отдельный диск и ждать когда появится решение по расшифровке от вирлабов.
3. отправить запрос на расшифровку в техподдержку своего антивируса: как минимум в этом случае о вас не забудут, когда будет решение.

[QUOTE]Ilya Khokhlov написал:
Дак оно понятно, но у меня "Касперский интернет секьюрити" лицензия уже куплена, "СпайХантер4" лицензионный... ну не десять же антивирусов ставить..
[/QUOTE]
Илья,
а смысл тогда непонятен в вашем обращении на технический форум ESET.
если есть лицензия на антивирус Касперского - так сразу к ним и надо обращаться за помощью с расшифровкой данных.

Игорь Рогов,
на момент создания образа файл шифратора был активен.
%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
если скрипт был выполнен, то теперь система должна быть очищена от файла шифратора.
добавьте лог выполнения скрипта,
это файл дата_времяlog.txt
по нему можно будет увидеть, какие действия были выполнены при выполнении скрипта.

по поводу договориться с злоумышленником - это ваше право.
(если решитесь выкупить ключ и дешифратор, напишите мне в личку)

Виталий,
судя по образу система уже очищена от тел шифратора.
по расшифровке шансы есть. но не сегодня и завтра.
в будущем.

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

Игорь Рогов,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF2­65B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD­8506CA66 24 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\USERS\СВЕТЛАНА ГЕН\APPDATA\ROAMINGIOH28.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAMDATA\DRIVERS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

что сейчас с проблемами?
если решены, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic12354/

FRST находится там, откуда вы запускаете frst.exe
(просто для краткости мы называем исполняемый файл FRST)

Константин,
техподдержка обычно запрашивает по расшифровщикам
несколько зашифрованных файлов в архиве,
желательно копии чистых файлов, если есть возможность из найти.
тело шифратора, (оно  есть в файле ZOO в папке, откуда вы запускали uVS)
а так же лог ESET collector log, полученный из системы, где было шифрование.