icq не надо удалять
PUP.Optional.ICQToolbar, C:\Documents and Settings\All Users\Application Data\ICQ\ICQToolbar\XML\Configuration.xml, , [5ae748ed8efd86b00a3ffc239d66ef11],

остальное удалите, перегрузите систему,
далее,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %Sys32%\NETUPDSRV.EXE
addsgn 1AA3E79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B497­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\20577\A30813.EXE
addsgn 1AADCB9A5583C58CF42B627DA804DEC9E946303A4536942CA1CF4EF074D2­F49E577EF097B411B941AF40F189C7ECC9FA7DDF9A7CD6E738F06577A45B­C2EFBDCF 8 Win32/Amonetize.BE [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\BABSOLUTION\SHARED\BABMAINT.EXE
addsgn A7679B1BB95244720BE76ED7ED4DEAF8DA75CF3FEF7392887E3C3A8F82B0­F8D9CBEE3CA8B3D065B4D47FD4F5467C499067B5E88D409E906C2DFA29D7­3AF9DD22 8 Adware.Babylon.12 [DrWeb]

zoo %Sys32%\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B045494­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetUpdate.mbam

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\APPLICATION DATA\SWVUPDATER\UPDATER.EXE
addsgn 925277FA136AC1CC0B64574E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 a variant of Win32/Amonetize.I

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\РАБОЧИЙ СТОЛ\OFFICE ACTIVATION 2010.EXE
addsgn A7679B2355684C728A38AEB264C8AA51258AFCA7DE79F37C0CF7E1EB0685­F2A0279EEF73079592CD2A81849FFCE996B97D9DBA439C5B790C98875BAE­1606697C 8 BackDoor.Ddoser.131 [DrWeb]

hide %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\РАБОЧИЙ СТОЛ\CCLEANER.EXE
czoo
restart
;------------------------autoscript---------------------------

chklst
delvir

; Better Surf Plus
exec C:\Program Files\BetterSurf\BetterSurfPlus\uninstall.exe
; Delta Chrome Toolbar
exec C:\Documents and Settings\Кирилл\Application Data\BabSolution\Shared\GUninstaller.exe" -key "Delta Chrome Toolbar" -rmkey -ask -rmbus "Delta Chrome Toolbar
; OffersWizard Network System Driver
exec C:\Program Files\Common Files\Config\uninstinethnfd.exe

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER3.DLL
delref %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\VKSAVER\VKSAVER.EXE

deldirex %SystemDrive%\PROGRAM FILES\BETTERSURF\FF

deldirex %SystemDrive%\PROGRAM FILES\BETTERSURF\BETTERSURFPLUS\FF

delref %SystemDrive%\DOCUMENTS AND SETTINGS\КИРИЛЛ\LOCAL SETTINGS\APPLICATION DATA\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\EOONCJEJNPPFJJKLAPAAMHCDMJBILMDE\1.5.1_0\DELTA TOOLBAR

deltmp
delnfr
;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

----------по расшифровке документов напишите в support@esetnod32. ru при наличие лицензии на антивирус ESET

по образу все чисто.

возможно дотянулся шифратор только до папки, в которой у юзера были права.
т.е. не факт, что шифратор был запущен на сервере,
скорее всего шифратор был запущен на компе пользователя, у которого была смонтирована как диск серверная папка.

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

ставите антивирус под учетной записью администратора?

добавьте образ автозапуска на проблемной системе.
http://forum.esetnod32.ru/forum9/topic2687/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\ARTUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\0.5_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref %SystemDrive%\USERS\ARTUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.40.1_0\ADBLOCK
delref %SystemDrive%\USERS\ARTUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\KNEBIMHCCKNDHIGLAMOABBNIFDKIJIDD\2.7.8_0\ADBLOCK SUPER
delref %SystemDrive%\USERS\ARTUR\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\MFHNKGPDLOGBKNKHLGDJLEJELJBHFLIM\1.0.0_0\AS MAGIC PLAYER
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по очистке системы (но не расшифровке документов!) выполните такой скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.5 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\WE­BCONNECT.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D49C10­8506CA82 21 Win64/BrowseFox

zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\UN­INSTALLER.EXE
addsgn A7679B19919AF4468194AE59313DEDFA258AFCF689FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 9 Win32/InstallCore.AZ

zoo %SystemDrive%\USERS\КИРИЛЛ\APPDATA\LOCAL\TEMP\IS357113909\CO­DECPACK.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

; WebConnect 3.0.0
exec C:\Program Files\WebConnect\WebConnectuninstall.exe

deldir %SystemDrive%\PROGRAM FILES\MOBOGENIE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

+
по восстановлению документов напишите в почту [email protected]

просто при наличие тела шифратора вероятность расшифровки будет выше,
проверьте есть ли подозрительные письма  с вложением файла (или архива) за вчера, если есть то сколько их.

cообщение из посты с вредоносным вложением сохранилось?
если да, то перешлите в почту [email protected]

хорошо,
выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic12354/