Владимир, кратко опишите проблему  и добавьте номер обращения.

Kirill,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 4AC836DB553A288D3ED4AEB164AC9B20258AFCF6BA3A9670588686D33DA6­102F5725C314F09DF1FDBD462E5212676292401FED4310F725AEA846BEDC­228BBB7A 8 Trojan.Encoder.567 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\ДОГОВОР С ПОПРАВКАМИ.DOC.EXE
;------------------------autoscript---------------------------

chklst
delvir

; Yahoo! Toolbar
exec C:\PROGRA~1\Yahoo!\Common\unyt.exe
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v385c
OFFSGNSAVE

hide %SystemDrive%\PROGRAM FILES (X86)\CYBERLINK\POWERDVD10\NAVFILTER\KMSVC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\CHECKPRIXAXPSTOPDF\UNINSTALL.EXE
hide %SystemRoot%\NCS\SERVICE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://GANGNAMGAME.ORG

delref %Sys32%\IGFXPERS.EXE

deltmp
delnfr
;-------------------------------------------------------------

regt 35
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

addsgn 1A31549A5583348CF42B254E3143FE84C9A2FFF689590775C0C34CB144DB­344CAA02D35A7B551454278DC19FCF2341F738DF614F51D7F52C4BFBB11F­CA432215 8 Win32/Dorkbot.B [ESET-NOD32]

zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\WINDOWS\THEMES\MAPIPU.EXE
zoo %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\C731200
hide %SystemDrive%\PROGRAM FILES (X86)\SPRECORD ISDN TERMINALS CONVERTER\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\WINDOWSUPDATE\UPDATER.EXE

delref %SystemDrive%\USERS\КШЕНСКАЯ АДС\APPDATA\ROAMING\MICROSOFT\XAPIPF.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

да, судя по новому логу угрозы повторились и 30числа

[CODE]30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=kz3TVIlOTk9d2JiKz44LGMpIjk4LGMiPypiJz5iLD8qYyc+IQ4OAB51Ah0aHyo3LCoCFDgrOH4+PgEpPTg/LnoaYn11fQYjNQwvPjcCNwQLYig9eAc5fAAfFD0FJRgvPTs3BgkXKCwgBzkeKy95PBoYCQM6YjgGeR49PDc/GBQleXh5BXokBXwlLwY6fBUeKgwaKBs+dRkvYgcDCzV7KBg9ABogfQYpNXgkD38rGSMZfnsEDwMCNws1ChsGPQcDA3t1OWIEJiAsAQoGKHooJn96Cz8G-JAwCOwkGeRhmFXkfdDsnNCsIO2YJewAoBgcMHx87BgkqPRkfICsgCgV1IiYEBgU4CX0OBw94eQM3eQ87eTcdeS5/Zjs4GAw6fnl9Lg8/DzR8JB8kKxkr JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.
30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=az3bnEGGhoeVEFBCB0bD0AKARobD0ABHAlBBB1BDxwJQAQdGl1ZFl9eJV4­ANgY7WAIEHQssDV8/VyE9PiohHioqFBolBjo3GwEdCiEeGQUhPyteXQAMG1s­rGSMKBDo/PyIXGR0NWi8vID1FAzYdDEVcQRs9Fx0fAVcWAgsDIDZcDQZdITx­aLF43VwReNCM2JBksWz8HHQ9XCAUZOFoNCiM2BSkWB1lfPzsePileAywBA1c­CGxRaHSRYOCQLPB8gWg0JGkUmLTxbHBYlNzRfGik/OVhZOVtdLQJbJB00WAp­eJAw2I108KRlZNjY3PwAgWgoWAQQ4KF4jCgo4B1xZNDgeBhwAOB4AWgYWVgo­DHQEeXhstHFclOAoaIicELz8NLEVYOkEYCQk-YXlYi JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.
30.09.2015 12:17:44 Фильтр HTTP файл хттп://fsua.dotua.org/player.js?f=dN3emUSDg4KQFVVHAkPG1QeFQ4PG-1QVCB1VEAlVGwgdVBAJFTUDPAoYHhFNCik4DjAdIDYoFg08TEMpCkoyL0kdA­x09MxMMND45Hz1NPB0eKhhCUUpNSTwrS0IOFwANPRxLPBIpHRsgGTwZPi1RD­R0dHjANPhMZQjMYFR1KQz8rT0M3Hy45MD0fNghOOzcWSDwpFz0TVSsVDg82I­hICEBkoAgA2NTJLHksoTSMbTjYzFEhKKj9LPSMsQgIQPQk9ICxOEBszFVExA­C89TDY9SxA2CBYWSxYZMT5PORVDEBc5TR4/DE8qCgg1IDUQQzgLFwAWTzgQT­UsZH0oSPxU8OSwfHUsRSUkLOTM+FFFPMBgrTDM2DRlCLxk4E0M+VVEtHBsSD­E9PCRc9Iy8R JS/Spy.Banker.BT троянская программа соединение прервано - изолирован admin-ПК\admin Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files (x86)\Opera\32.0.1948.69\opera.exe.
[/CODE]
у других, которых вы называете, так же установлен антивирус ESET?

если можно, дайте ссылку в личные сообщения на сайт, откуда вас перенаправляет таким образом
+
вопрос: DNS ваши?
[CODE]178.151.211.111,109.86.2.2[/CODE]

Сергей,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\XP TWEAKER\XPTWEAKER.EXE
addsgn 9252779A076AC1CC0BC4404E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 8 Tool.BtcMine.292 [DrWeb]

delall %SystemDrive%\PROGRA~1\SYMANTEC\LIVEUP~1\LUCOMS~1.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref XBAEKYF.YA

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

если сохранился источник заражения: файл, письмо с вложением или ссылкой, перешлите в почту [email protected] в архиве, с паролем infected

Дмитрий,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\DIRMARKT\APPDATA\LOCAL\YANDEX\UPDATER\PR­AETORIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

delref SCOLZNU.SA

delref (X86)\DEALPLY\DEALPLYUPDATE.EXE

delref {5C255C8A-E604-49B4-9D64-90988571CECB}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLYLIVE\UPDATE\1.3.23.0

deldirex %SystemDrive%\PROGRAM FILES (X86)\DEALPLY

regt 27
; DealPly (remove only)
exec  C:\Program Files (x86)\DealPly\uninst.exe" /uninstall
; Java™ 6 Update 20
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216020FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

по восстановлению документов напишите в почту [email protected]

образ сейчас не нужен, нужен [B]новый лог журнала обнаружения угроз[/B], для проверки есть ли новые угрозы или нет, по сравнению с предыдущим логм

да, не помешает новый лог обнаружения угроз
форматировать системный диск не надо, можно для начала удалить браузеры вместе с профилем, и заново установить актуальные версии

пробуйте очистить кэши браузеров и проверить результат