по образу нет ничего подозрительного.
если провайдер продолжает сигналить что комп пытается подключиться к серверам ботнета, проверьте диск с помощью Live.CD
http://chklst.ru/forum/discussion/13/eset_sysrescue-na-baze-linux-ot-eset-russia

Pavel,
это файл удалите
C:\PROGRAMDATA\TENCENT\TSVULFW\TSVULFW.DAT
или можете всю папку
C:\PROGRAMDATA\TENCENT удалить
в остальном все чисто.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

вначале была версия[B] xxx[/B]
New TeslaCrypt was released today. It has xxx extension. Build time is 12.01.2016 09:39:43. I am starting with analysis and let you know what they changed.

и чуть позже ttt
Another TeslaCrypt was released. Version number is still 3.0.0., but they changed the extension to [B].ttt[/B], everything esle except links, extension and agent name is the same as .xxx variant. Currently we can't recover the key for these 2 variants, so if you were infected by these two, please backup all your encrypted files and wait for solution. I do not recommend to pay the ransom, because you would provide another funding for their malicious activity.

+
Another release of TeslaCrypt v3.0.0. Changes are the same as last time and extension changed to[B] .micro.[/B]

http://www.bleepingcomputer.com/forums/t/601379/teslacrypt-vvv-ccc-etc-files-decryption-support-requests/page-25#entry3908622

сделайте новый образ автозапуска из безопасного режима системы

Pavel,
да, шифратор по прежнему в автозапуске.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\1C\ИНФОРМАЦИЯ О СРОКАХ ЗАКРЫТИЯ ЛИНИИ И ИЗМЕНЕНИЙ В ТАРИФНЫХ ПЛАНАХ.EXE
addsgn 1AD6419A5583C58CF42B254E3143FE8E60825FCE4CBB1F2546483AE9DB3A­F0A00B14C3579FBD2A082BB3411603EA1A7120D7BFF1AE25C42B7E9F3819­C7067BF0 8 Trojan-Ransom.Win32.Cryptor

zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\COPROFIT\COPROFIT_STB.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D4FC10­8506CA7A 21 Win32/TrojanDropper.Addrop

addsgn 1A1ED19A5583C58CF42B5184D0BC5405DA9F74B6CAFA9AB8F1C13A6C3ACF­99FB7417C33D3F3F9DA1D5A5849FC5D24513BEFAE87299167CE0E1BB68E3­0BCAEEBF 64 Win32/Adware.ConvertAd

zoo %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\HNSD5400.TMP
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C10­8506CA82 8 Win32/ExtenBro.BH [ESET-NOD32]

zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\MICROSOFT\EXTENSIONS\S­AFEBROWSER.EXE
zoo %SystemDrive%\PROGRAM FILES\COMMON FILES\DISTRIBUTE APPLICATION\APPDISTRIB.EXE
zoo %SystemDrive%\PROGRAMDATA\KBUPDATER UTILITY\KBUPDATER-UTILITY.EXE
zoo %SystemDrive%\USERS\ADM\APPDATA\LOCAL\COPROFIT\UNINSTALL.EXE
zoo %SystemDrive%\PROGRAM FILES\PDF READER\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C10­8506CA82 59 Win32/ExtenBro.BH [ESET-NOD32]

;------------------------autoscript---------------------------

hide %SystemDrive%\PROGRAM FILES\COMMON FILES\DISTRIBUTE APPLICATION\APPDISTRIB.EXE
chklst
delvir

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\MICROSOFT DOWNLOAD MANAGER\MSDOWNLOADMANAGER.EXE
del %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\MICROSOFT DOWNLOAD MANAGER\MSDOWNLOADMANAGER.EXE

deldirex %SystemDrive%\USERS\ADM\APPDATA\LOCAL\SYSTEMDIR

delref %SystemDrive%\PROGRAM FILES\ADVPLUGIN\TOOLBAR32.DLL
del %SystemDrive%\PROGRAM FILES\ADVPLUGIN\TOOLBAR32.DLL

delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\TOOLBAR32.DLL
del %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\TOOLBAR32.DLL

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQPHONEMANAGER\2.0.201.3198

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\KNSI7CAD.TMPFS

delref %SystemDrive%\PROGRAM FILES\D29D3580-1446986256-81E0-21E1-14DAE91896D4\JNSIED6F.TMP

deldirex %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\11.0.16794.227

delref %Sys32%\TSSK.SYS
del %Sys32%\TSSK.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MYDESKTOP\QWEEECL.EXE
del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MYDESKTOP\QWEEECL.EXE

delref HTTP:\\MPNL.RU\OFFERS\RU.CSV
delref HTTP:\\HELLO.LIMBBO.RU\OFFERS\RU.CSV
del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\YANDEXDISKSTARTER.BAT

deldirex %SystemDrive%\USERS\ADM\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\VOPACKAGE

del %SystemDrive%\USERS\ADM\APPDATA\ROAMING\YANDEXDISKSCREENSHOT­EDITOR.BAT

del %SystemDrive%\USERS\ADM\APPDATA\LOCAL\YANDEX\BROWSER.BAT

del %SystemDrive%\LAUNCHER.BAT

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

POUL UILIAMSON,
здесь надо иметь ввиду следующее:
если зашифровка была в ноябре со 2 по 10 ноября, тогда высокие шансы расшифровать файлы,
если после 10 ноября, тогда практически шансов на расшифровка (пока) нет.

Марина,
судя по образу шифратора уже нет в  автозапуске,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИН\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GBJEIEKAHKLBGBFCCOHIPINHGAADIJAD\1.0.9.5_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE EXPRESS

deldirex %SystemDrive%\PROGRAM FILES\REIMAGE\REIMAGE REPAIR

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; Java™ 6 Update 14
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216014FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

опять же, когда стартуете uVS, надо выбрать систему с вашего проблемного диска.
далее, выполняете скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем систему с вашего проблемного диска, меню - скрипты - выполнить скрипт из буфера обмена;
[code]

;uVS v3.86.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
v385c
OFFSGNSAVE
delall %SystemRoot%\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
zoo %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\VAULT.HTA
delall %Sys32%\DRIVERS\{C5E48979-BD7F-4CF7-9B73-2482A67A4F37}GW64.SYS
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_1801\S_INST.EXE

delref %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\NEWSI_21590\S_INST­.EXE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\SWEET-PAGE

delref HTTP://WWW.SWEET-PAGE.COM/WEB/?TYPE=DS&TS=1410935445&FROM=COR&UID=WDCXWD5000AAKX-08U6AA0_WD-WCC2EAPT5367T5367&Q={SEARCHTERMS}

delref %Sys32%\DRIVERS\SSNFD.SYS

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СВЕТА\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.9.0_0\СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\PROGRAM FILES (X86)\CLEARTHINK\BIN

deldirex %SystemDrive%\USERS\ADMINV\APPDATA\ROAMING\VOPACKAGE

deldirex %SystemDrive%\USERS\СВЕТА\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\VOPACKAGE

deldirex %SystemDrive%\PROGRAM FILES (X86)\ZAXAR

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.

да, сейчас добавлю скрипт.

Владимир, да, в автозапуске прописан запуск шифратора.
Полное имя                  K:\WINDOWS\SYSWOW64\IE5BAKEX\IE5BAKEX.LNK
Имя файла                   IE5BAKEX.LNK
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ POLICIES\EXPLORER\RUN\)(1) [auto (1)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Размер                      1868 байт
Создан                      16.04.2013 в 21:50:49
Изменен                     17.11.2011 в 09:38:39
Атрибуты                    СКРЫТЫЙ  
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
                           
Доп. информация             на момент обновления списка
SHA1                        5321EEEB083E328B802D465DDAEC3D70C847D407
MD5                         0579E0135CFB690D7C04691F9FC55B9A
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_software\Microsoft\Windows\CurrentVersion\Policies\­Explorer\Run\IE5BAKEX
IE5BAKEX                    C:\Windows\SysWOW64\IE5BAKEX\IE5BAKEX.lnk
                           
------------------
сейчас добавлю скрипт для очистки.