Федор Перекрест,
в данном случае не нужны логи очистки и ZOO.
лог выполнения скрипта, и ZOO обычно мы пишем в сообщении после скрипта, если они необходимы для анализа.

Василий,
активности шифратора (уже) нет судя по образу

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\TOOLDEV342\WEATHERBAR\TRACERSTOOLBARBHO_X86.DLL
addsgn A7679B1928664D070E3C08B264C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D2E3DCDC92B906CAB471649C9BD9F6382DCAF541FF6FEF9D3­4C7B2EFA 64 Trojan.BPlug.116 [DrWeb]

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-2001398493-2628175497-996280023-1000\$IDWXIX6.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\Ё0U.LNK
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\Ё0U.LNK

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\U­PDATE~1.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\DIGITA~1\UPDATE~1\U­PDATE~1.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref %SystemDrive%\PROGRA~3\MSIFHG.EXE
del %SystemDrive%\PROGRA~3\MSIFHG.EXE

delref %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS
del %Sys32%\DRIVERS\{255A824A-3CDE-4DEE-9785-284605606456}W64.SYS

delref %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS
del %Sys32%\DRIVERS\{6B89253F-7097-40C7-9EAD-2D5B1CEB02E2}W64.SYS

delref %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS
del %Sys32%\DRIVERS\{A3F28269-AD17-41A8-B032-3E0313EF8979}GW64.SYS

delref %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS
del %Sys32%\DRIVERS\{B0C7827F-C845-429A-833B-C2A798FC4FC3}W64.SYS

delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE
del %SystemDrive%\USERS\USER\APPDATA\ROAMING\MSIFHG.EXE

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=21A974D0E7645DDCC97F00­DEF2F43E38&TEXT={SEARCHTERMS}
regt 27
delhst 204.44.87.184 ok.ru
delhst 204.44.87.184 m.ok.ru
; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

судя по образу, активности нет шифратора.
хорошая выучка у сотрудников.
увидели активность шифратора, сразу отключили комп и вызвали специалиста. :)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I4E71G3.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I773FOT.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IG1VGSX.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IJWEXZQ.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$ILEOZ3L.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IN49B8R.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IOM3FZ5.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$IS8T10F.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\USERS\VICTOR~1\APPDATA\ROAMING\MSFXM.EXE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-1200086240-256105311-267561620-1000\$I13D489.SCR
delall %SystemDrive%\USERS\VICTORIYA\APPDATA\ROAMING\MOZILLA\FIREFO­X\PROFILES\BTUNQDB7.DEFAULT\EXTENSIONS\[email protected]
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по тому что зашифровано, проверьте, возможно есть чистые файлы в теневых копиях.
(если они остались живые)

повторный образ чист

если проблемы решены,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic12354/

Александр,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BAC­CA8ABE33 8 breaking_bad

zoo %SystemDrive%\USERS\MASLOV\DOWNLOADS\SCHET.NOMER.10400511-09-12 (1).SCR
zoo %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
delall %SystemDrive%\USERS\MASLOV\APPDATA\LOCAL\IBWSOFT\846F2F63.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

regt 27
regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]  
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

повторный образ чистый

Александр Медведев,

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BAC­CA8ABE33 8 breaking_bad

;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

Эдуард,
если шифрование завершилось выставлением заставки на рабочий стол, а так же размещением файлов  readme*.txt в корне диска,
то самое страшное уже случилось.
файл что висит в памяти может подгружать другие вредоносные файлы,
но это не страшно вообщем.

сделайте образ автозапуска, очистим систему от остаков шифратора, а дальше уже думать, как расшифровать документы

Федор,
выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn A7679BF0AA0234044BD4C61739881261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95CE20F9FE82BD6D738B06D775BAC­CA8ABE33 8 breaking_bad

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_21\S_INST.EXE
addsgn A7679B235F6A4C7261D4C4B12DBDEB5476DCAB4EFD0E5D786D9CA441AF5D­4C907254C364FE00F5091DC384FBB9262D735D379E0BA8253BDCA881D867­8135F9FE 21 Trojan.Fakealert.47029

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\IDENTITIES\USEIDENTITIES.EXE

; RegClean Pro
exec C:\Program Files\RegClean Pro\unins000.exe" /silent
deltmp
delnfr
;-------------------------------------------------------------
CZOO
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET