лог мбам чистый,

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

Иван Шишкин,
можно загрузиться со специализированного диска и установить права админа для вашей учетной записи.
пробуйте из DaRT изменить права вашей учетной записи
https://www.wuala.com/al_1963/avirus/Live.CD/DaRT

или с загрузочного диска elcomsoft system recovery поищите в сети

Примеры использования

Elcomsoft System Recovery позволяет не только восстанавливать или сбрасывать пароли, но поможет и при некоторых других проблемах, связанных с доступом в систему. Например, с его помощью также можно:

   [QUOTE]Присвоить привилегии Администратора учётной записи любого пользователя
   Разблокировать учётную запись (которая была явно заблокирована Администратором, или после нескольких неудачных попыток ввода пароля)
   Сбросить или поменять пароль к учётной записи пользователя
   Показать список всех учётных записей в системе, выделив те, у которых есть привилегии Администратора
   Показать список привилегий пользователя
   Найти учётные записи с пустым паролем
   Мгновенно восстановить пароли к некоторым специальным/системным учтным записям (например, IUSR_, HelpAssistant и т.д.)
   Создать резервные копии файлов SAM/SYSTEM (и при необходимости восстановить из них – например, после входя в систему с новым паролем или после повышения привилегий)[/QUOTE]

там много этих файлов ПРОЧТИ_МЕНЯ.txt
скрипт удалил лишь те, что были в автозапуске.
возможно в каждую зашифрованную папку добавлен этот файлик для напоминания.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET
или в другой вирлаб - если не будет расшифровке у нас.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR4\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR3\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR2\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\USR1\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
delall %SystemDrive%\USERS\ALEX\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\ПРОЧТИ_МЕНЯ.TXT
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

добавьте образ  автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

по ссылкам у вас  зашифрованный файл дважды

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
czoo

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\SYSTEMDIR\NETHOST.EXE
addsgn 1A05B69A5583C58CF42BC4BD0C900C592562457F89FA2C870CBE218F905D­044018E0CCC2FE6E5A3C3368508646168EFA6BDFE872BDAC182C2DF46CD0­2EB22273 8 Win32/RuKometa

delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delall %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\OPERA\OPERA\WIDGETS­\EVERYSALE-4.1.0.0.OEX
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBPGANGMFFJCOFIKNIBCMFJIONICOHFGJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC
;------------------------autoscript---------------------------

sreg

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\SKINAPP

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\­LOADER

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\ASPACKAGE

deldirex %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\ASPACKAGE

deltmp
delnfr
areg

;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Алексей Егоров,
расшифровка документов - это не является спецификой работы антивирусных компаний, тем более, что часть шифраторов (работа которых основана на методах стойкой криптографии)  из тех что доминируют сейчас вообще не оставляют шанса для расшифровки за конечное время.
--------
вообщем, одной антивирусной защиты недостаточно для противодействия шифраторам.
используйте различные средства для безопасности ваших документов:
- регулярные бэкапы
- локальные политики по ограничению запуска нежелательных программ

да пусть там висит, в карантине он безопасен.
если же есть подозрение на то, что что-то осталось в системе, сделайте образ автозапуска системы,
http://forum.esetnod32.ru/forum9/topic2687/

проверим здесь

Сергей,
удалите продукты ESET с помощью ремувера
http://download.eset.com/special/avremover/avremover_nt64_enu.exe
и пробуйте еще раз установить актуальную версию антивируса

da da,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\DIG DEEP\BIN\F40A.DLL
addsgn 79132211B9E9317E0AA1AB59C5B61205DAFFF47DC4EA942D892B2942AF29­2811E11BC3EF13DB9F598818769C56D14C668FDCF851D0D8A0EB28D7562C­D7D1A671 64 Win32/BrowseFox.M [ESET-NOD32]

delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1024\S_INST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1019\S_INST.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\APPLICATION DATA\NEWSI_1008\S_INST.EXE
addsgn 4A58FEDB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6­102F5725C3F176D7D64B7E4C719573C53DA6CEE2CBE92FC0B94BC14A1DFF­C3D5F1C1 8 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\VICTORIA. KHAN\LOCAL SETTINGS\TEMP\ОРИГИНАЛ ДОГОВОРА.DOC.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

; McAfee Security Scan Plus
exec D:\Program Files\McAfee Security Scan\uninstall.exe
; Utubebario Toolbar
exec D:\PROGRA~1\UTUBEB~1\UNWISE.EXE   /U D:\PROGRA~1\UTUBEB~1\INSTALL.LOG
; Time tasks
exec C:\ProgramData\TimeTasks\uninstall.exe

delref %Sys32%\XP_EOS.EXE
del %Sys32%\XP_EOS.EXE

delref {02478D38-C3F9-4EFB-9B51-7695ECA05670}\[CLSID]
delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
deldirex %SystemDrive%\PROGRAM FILES\ZAXAR

delref C:\PROGRAMDATA\TIMETASKS\TIMETASKS.EXE"

delref %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE
del %SystemDrive%\PROGRAM FILES\ОРИГИНАЛ ДОГОВОРА.DOC.EXE

delref %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS
del %Sys32%\DRIVERS\{41CFE62E-E44A-4FAF-B15B-A5CF9F5069F0}GT.SYS

delref %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS
del %Sys32%\DRIVERS\{F40AFB5F-D91E-4F36-AFE2-5CEF49FE5411}GT.SYS

deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET