шифрование судя по образу произошло полмесяца назад
16.07.2015 в 21:05:21
однако файлы шифратора так и лежат на диске, хотя и не в автозапуске.

1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

zoo %SystemDrive%\PROGRAM FILES\CONDUIT\COMMUNITY ALERTS\ALERT.DLL
addsgn 79132211B9E9317E0AA1AB59AE4B1205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A0C58CF9CD4345117AB9D3B821CBF06C22C0AC49­42CF5782 64 Win32/Toolbar.Conduit.Y [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\50 AB 654125\АДМИНИСТРАТИВНОЕ ПОСТАНОВЛЕНИЕ\MESSAGE.EXE
addsgn 1A58D19A5583C58CF42B627DA804DEC9E94677A2ADF69434A1C7406E24BF­428CA953E75FBA95E85FAA7A049F46163BF4FEE2E80706DAB058289EB288­C70675F8 8 [email protected] v 1.0.0.0

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\TEMP\MESSAGE.EXE
hide %SystemDrive%\PROGRAM FILES\K-LITE CODEC PACK\TOOLS\VOBSUBSTRIP.EXE
;------------------------autoscript---------------------------

chklst
delvir

; FreeOnlineRadioPlayerRecorder V1 Toolbar
exec C:\Program Files\FreeOnlineRadioPlayerRecorder_V1\uninstall.exe toolbar
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивируc  обратитесь в [email protected]

судя по образу системы - система уже очищена от вирусов.

по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку [email protected]

там есть каталог DOC где наиболее полное описание работы с uVS, хотя и кратко изложено. концепция, функции, команды.
можно здесь еще посмотреть, как начать работать с uVS
http://pchelpforum.ru/f26/t94635/

функций защиты системы в увс практически нет, (потому не антивирус), зато реализованы функции анализа автозапуска системы и очистки вирусов и троянов и много чего еще.

чисто.  и там и там.
ссылка была исправлена в реестре на правильное значение.

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR HKLM\...\Chrome\Extension: [ilamgbdaebkbpkkmfmmfbnaamkhijdek] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [ofdgafmdegfkhfdfkmllfefmcmcjllec] - https://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [pnooffjhclkocplopffdbcdghmiffhji] - https://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:[/CODE]

если проблемы решены, выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

+
стоит наверное уже обновить версию корпоративного продукта, есть ведь более высокая и работоспособная версия.

лог мбам чистый.
[B]+ не надо цитировать мой ответ. пишите только ваш ответ в сообщение.[/B]

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

ярлыки браузеров удалите и пересоздайте заново, лог сканирования сейчас гляну

видно будет. может быть, у вас все профили заражены этим трояном.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\UBAR\STARTUP.EXE
addsgn A7679BF0AA02ACB24BD4C699E7881261848AFCF689AA7BF1A0C3C5BC5055­9D14704194DE5BBD625C6740C49F75C4C32EF4CA14B7A5DA3BE4AC965B2F­C706AB7E 8 tr_java

addsgn 1A19E89A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B80689A­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Toolbar.Neobar

zoo %SystemDrive%\PROGRAM FILES\TORRENT SEARCH\IEEF\7HDUVGQD5A.EXE
delall %SystemDrive%\PROGRAM FILES\IOBIT\LIVEUPDATE\LIVEUPDATE.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 1HTTP=127.0.0.1:49194

delref HTTP=127.0.0.1:49182

deldirex %SystemDrive%\PROGRAM FILES\TORRENT SEARCH

del %SystemDrive%\USERS\ПАВЕЛ\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT

del %SystemDrive%\USERS\ПАВЕЛ\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT

del %SystemDrive%\USERS\ПАВЕЛ\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT

regt 27
deltmp
delnfr
;-------------------------------------------------------------

regt 28
regt 29
exec C:\Program Files\UBar\uninstall.exe

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

не пройдет и недели, и я появлюсь, чтобы снова прийти, чтобы снова прийти... через месяц :)
посмотрим сейчас.