Роман,
судя по образу система уже очищена от вирусных тел.
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

Роман,
я тоже заметил (на 9домашней версии, по интерфейсу близкой к 6ке корпоративной), что файлик шифратора (с расширением scr), который не детектировался сигнатурно был удален после копирования в другую папку с детектом Suspicious Object

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TORRENT SEARCH\IEEF\7HDUVGQD5A.EXE
addsgn 1A19E89A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B80689A­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Toolbar.Neobar

zoo %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX\UNINSTALL.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6B96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF26609FA2E20FD0E279AB04625D43C08­BD06CA7A 64 AdWare.Win32.Vopak

;------------------------autoscript---------------------------

sreg

chklst
delvir

; AnyProtect
exec  C:\Program Files (x86)\AnyProtectEx\uninstall.exe
; AnySend
exec  C:\Users\User01\AppData\Roaming\ASPackage\Uninstall.exe
; CiPlus-4.5vV30.07
exec  C:\Program Files (x86)\CiPlus-4.5vV30.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\UninstallBrw.exe' /url='http://notif.globalnodemax.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CiPlus-4.5vV30.07\utils.exe' /crregname='CiPlus-4.5vV30.07' /appid='74261' /srcid='003082' /bic='eb790b8a404b109460af8f774fe44714IE' /verifier='f0f281074e4ecce44ecdc9ca6e844df9' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.globalnodemax.com/utility.gif?' /errorsdomain='http://errors.globalnodemax.com/utility.gif?' /monetizationdomain='http://logs.globalnodemax.com/monetization.gif?'
; GamesDesktop 033.005010053
exec  C:\Program Files (x86)\gmsd_ru_005010053\unins000.exe
; SmartWeb
exec  C:\Users\User01\AppData\Local\SmartWeb\__u.exe _?=C:\Users\User01\AppData\Local\SmartWeb
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

setdns DNS Server list\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети 2\4\{022C19E8-A469-425A-9B07-DF287E16B9E9}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\PROGRAM FILES (X86)\MIUITAB

delref {6E727987-C8EA-44DA-8749-310C0FBE3C3E}\[CLSID]
delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\USERS\USER01\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\IQIYI VIDEO\LSTYLE

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RAV

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HPPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E­2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374
delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DS&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0Q­BWCBAT&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS}
deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.7.16066.216\PLUGINS\FILESMASH

delref HTTP://WWW.ISTARTSURF.COM/?TYPE=HP&TS=1438906663&Z=9735BCA528A824F66AFDAA9GDZEC3BDTEE0Q­BWCBAT&FROM=FACE&UID=3219913727_198313_90690374
delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\HNSGFA35.TMP

delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\JNSBCADA.TMP

delref %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS
del %Sys32%\DRIVERS\RRFD_VT_1_10_0_21.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\RISING\RSD

delref %Sys32%\DRIVERS\RSUTILS.SYS
del %Sys32%\DRIVERS\RSUTILS.SYS

delref %Sys32%\DRIVERS\SYSMON.SYS
del %Sys32%\DRIVERS\SYSMON.SYS

delref %Sys32%\DRIVERS\TAOACCELERATOR64.SYS
del %Sys32%\DRIVERS\TAOACCELERATOR64.SYS

delref %Sys32%\DRIVERS\TAOKERNEL64.SYS
del %Sys32%\DRIVERS\TAOKERNEL64.SYS

delref %Sys32%\DRIVERS\TFSFLTX64.SYS
del %Sys32%\DRIVERS\TFSFLTX64.SYS

delref %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS
del %Sys32%\DRIVERS\WSAFD_1_10_0_19.SYS

deldirex %SystemDrive%\PROGRAM FILES (X86)\WORDSURFER_1.10.0.19\SERVICE

delref %SystemDrive%\PROGRAM FILES (X86)\03000200-1438771651-0500-0006-000700080009\KNSY9437.TMP

delref %SystemDrive%\USERS\USER01\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\BFAOHPMJMHDGNJBLOJEKJLNADHEHIADJ\1.26.57_0\CIPLUS-4.5VV30.07

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

delref HTTP://WWW.ISTARTSURF.COM/WEB/?TYPE=DSPP&TS=1438906810&Z=3CD9461E8ECAC3B066E5DEFG7Z1CCBDT2E­2Q0MEC0W&FROM=FACE&UID=3219913727_198313_90690374&Q={SEARCHTERMS}
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.BAT

del %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\CHROME.BAT

regt 27
REGT 28
REGT 29

deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

а эту программу сами ставили?
C:\PROGRAM FILES (X86)\LITEMANAGER PRO - SERVER\FILES\ROMVIEWER.EXE

этот файл знаком вам?
D:\CONNECTION\ACCOUNER01.VBS

DNS прописан левый
https://www.nic.ru/whois/?query=52.18.92.32

[QUOTE]OrgName: Amazon Technologies Inc.
OrgId:          AT-88-Z
Address:        410 Terry Ave N.
City:           Seattle
StateProv:      WA
PostalCode:     98109
Country:        US[/QUOTE]

[QUOTE]mike 1 написал:
А я вот расшифровал файлик. :D[/QUOTE]
да, работает расшифровка

[QUOTE]Starting decryption ...

Encrypted file: E:\distr_temp\soft\decrypt\radamant\otchet2015.docx.RDM
Destination file: E:\distr_temp\soft\decrypt\radamant\otchet2015.docx
Status: Successfully decrypted!

Finished!

[/QUOTE]

Артур,
добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

New TeslaCrypt version adds .VVV extension to encrypted filenames

A new version of the TeslaCrypt ransomware has been released that for the most part is identical to previous versions. The most notable difference is that this new version adds the .vvv extension to encrypted filenames. Other changes include new ransom note filenames and different TOR payment site gateways. The new names for the ransom notes are in the format how_recover+abc.html and how_recover+abc.txt.
The .VVV version of TeslaCrypt cannot be decrypted for free

Unfortunately, this version of TeslaCrypt cannot be decrypted for free without the private key that is known only to the TeslaCrypt developers. If you have been infected by this version of TeslaCrypt, at this time the only way to recover your files is through a backup or by paying the ransom.

(К сожалению, эта версия TeslaCrypt не могут быть расшифрованы бесплатно без закрытого ключа, который известен только разработчикам TeslaCrypt. Если вы были заражены этой версии TeslaCrypt, в это время единственный способ восстановить ваши файлы через резервного копирования или заплатив выкуп.)

http://www.bleepingcomputer.com/news/security/new-telsacrypt-version-adds-the-vvv-extension-to-encrypted-files/

Ирина,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\ADGUARD\NSS\CERTUTIL.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES\ALTERGEO\HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\NPHTML5LOC.DLL

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDKNICMNHBAAJDGLBINPAHHAPGHPAKCH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES\CONTENT DEFENDER

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.5_0\ПОИСК MAIL.RU

delref %SystemDrive%\PROGRAMDATA\ALTERGEO\UPDATE FOR HTML5 GEOLOCATION PROVIDER\HTML5LOCSVC.EXE

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

про "мониторят".
сейчас это дело обычное.
если вы подозреваете что мониторит кто-то из ваших колег по работе, то включите брэндмауэр, или попросите администратора настроить защиту.

если же мониторят администраторы, то от админов защиты нет. :)
в этом случае надо просто делать хорошо свою работу, не засиживаться в соц_сетях и со временем, они переключатся на других сотрудников.