кстати, защищенный браузер работает крайне медленно. в Хроме до сих пор не открылся, в FF страница банка открылась, но перерисовка страницы очень медленно выполняется, да и url медленно вбивается. (на XP)

Я замечал такую вещь, когда пути добавленные из темы не работают,
а вот если этот же путь импортировать из реестра, то правило будет работать

Валерий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delref HTTP://API.YOUQIAN.BAIDU.COM/V1/NAV?SOFT=12&UID=176015&GUID=F310826151AD5A580A877B521447C526&VD=­519264648
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕВТИНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\KJLPDPFMPOGGIBMJGMBAOIDFFIDIFAKH\3.0.1_0\ВИЗУАЛЬНЫЕ ЗАКЛАДКИ MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕВТИНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JKAGAKIPLHPGACMEGFBLCDDBCKENMIIO\3.0.1_0\ДОМАШНЯЯ СТРАНИЦА MAIL.RU
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕВТИНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEIEEEABMHIJGEBILMBDBNGFKEMNGINB\4.8_0\ЩИТ БЕЗОПАСНОСТИ KIS.AV
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕВТИНА\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FIDIBEIEHAOKOHHBNKDJMKCAPGNNDFKC\3.0.1_0\ПОИСК MAIL.RU
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFIDIBEIEHAOKOHHBNKDJMKCAPGNNDFKC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJKAGAKIPLHPGACMEGFBLCDDBCKENMIIO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKJLPDPFMPOGGIBMJGMBAOIDFFIDIFAKH%26INSTALLSOURCE%3D­ONDEMAND%26UC
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\АЛЕВТИНА\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\109

regt 27
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

судя по логу, последняя угроза была три дня назад
[CODE]10/17/2015 1:32:09 AM ?????? ? ?????? ????????? ??????? ???? C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ihctrl32\ihctrl32.dll ???????????????? Win32/TrojanDownloader.Stantinko.AM ????????? ????????? ?????? ????????? - ?????????? NT AUTHORITY\SYSTEM ??????? ????????? ? ????? ?????, ????????? ????????? ???????????: C:\Windows\SysWOW64\svchost.exe.
10/16/2015 9:32:07 PM ?????? ? ?????? ????????? ??????? ???? C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ihctr­l32\ihctrl32.dll ???????????????? Win32/TrojanDownloader.Stantinko.AM ????????? ????????? ?????? ????????? - ?????????? NT AUTHORITY\SYSTEM ??????? ????????? ? ????? ?????, ????????? ????????? ???????????: C:\Windows\SysWOW64\svchost.exe.
10/16/2015 5:32:32 PM ?????? ? ?????? ????????? ??????? ???? C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ihctr­l32\ihctrl32.dll ???????????????? Win32/TrojanDownloader.Stantinko.AM ????????? ????????? ?????? ????????? - ?????????? NT AUTHORITY\SYSTEM ??????? ????????? ? ????? ?????, ????????? ????????? ???????????: C:\Windows\SysWOW64\svchost.exe.
10/16/2015 5:13:47 PM ?????? ? ?????? ????????? ??????? ???? C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\ihctr­l32\ihctrl32.dll ???????????????? Win32/TrojanDownloader.Stantinko.AM ????????? ????????? ?????? ????????? - ?????????? NT AUTHORITY\SYSTEM ??????? ????????? ? ????? ?????, ????????? ????????? ???????????: C:\Windows\SysWOW64\svchost.exe.
[/CODE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\IHCTRL32.DLL
del %Sys32%\IHCTRL32.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %Sys32%\WSAUDIO.DLL
del %Sys32%\WSAUDIO.DLL

delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.4_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\3.0.3_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\130

deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[QUOTE]Валентин написал:
В этом не уверен, прежде, чем покупать лицензию, уточните по наличию дешифратора для данного типа шифратора.
[/QUOTE]
Валентин, по Дрвеб, не в курсе даже, есть у них дешифровка по xtbl, или нет, по крайней мере на техническом форуме нет упоминаний по расшифровке xtbl,
а так же нет там счастливчиков, которые выбегают с форума с криками "ура, мне расшифровали".

в ЛК, судя по сообщениям на форуме кому то помогли с расшифровкой,
хотя предполагаю, что универсального способа расшифровки нет, кому то видимо повезло, что часть ключей попало в лабораторию.

проверьте, запустится ли программма uVs на телефоне?
http://forum.esetnod32.ru/forum9/topic2687/

если запустится, то пробуйте создать образ автозапуска

если была бы сигнатура на данный файл на данный момент, так предупредил бы.
если файл был открыт из офисного документа, так претензии предъявите к тому кто открывает подобные документы.

Наталья,
если,
в ЛК (или ДрВеб) есть дешифровка по xtbl, так не жалко думаю потратить деньги на покупку еще одной лицензии, чем платить мошенникам (гораздо больше) за дешифратор.
(так сказать, заплатить соц. налог за нарушение правил безопасной работы в сети).

проверьте настройки роутера, возможно добавлены левые DNS,
или сбросьте аппаратно настройки, настройте заново выход в сеть по настройкам от провайдера,
и установите надежный пароль на настройки роутера.