если сохранился архив с вредоносной программой (или сообщение со ссылкой на вредоносный архив), откуда был запущен шифратор,
вышлите в почту [email protected]

по образу все чисто.

по расшифровке документов - это в техподдержку [email protected] при наличие лицензии на наш антивирус

по восстановлению: судя по образу вы уже смотрели теневые копии с помощью shadowexplorer
если теневых копий нет, тогда шансы восстановить документы стремятся к минимуму.

это
[QUOTE]Процессы: 1
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, 2756, , [71e70bd4107ab87e5b2db6b0cf3109f7][/QUOTE]
это
[QUOTE]Файлы: 752
Trojan.FakeAlert, C:\Windows\kmsem\KMService.exe, , [71e70bd4107ab87e5b2db6b0cf3109f7], [/QUOTE]
и это
[QUOTE]PUP.Optional.APNToolBar.Gen, C:\ProgramData\APN\APN-Stub\КАК_РАСШИФРОВАТЬ_ФАЙЛЫ, , [45135f802e5cec4a7bca47b58d757a86],

[/QUOTE]
оставьте в мбам,
остальное удалите
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

используйте проверку теневых копий с помощью shadowexplorer
http://www.shadowexplorer.com/downloads.html

Дмитрий,
по очистке системы: образ чистый,
по восстановлению документов: проверяйте наличие чистых теневых копий на дисках
по расшифровке документов: при наличие лицензии на наш антивирус напишите в техподдержку [email protected]

+
проверьте наличие чистых теневых копий на дисках

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07\D131932D-2BFB-4F57-94FC-116F683BACAE-3.EXE
addsgn 1AB2939A5583338CF42BFB3A889E99702D0F0A8E80128E9D85C3FE8C2CD1­99C4C617C3DC0EBDE6AC2B800F9BF648143928540424BD1AF32C2DFC54AA­317325CB 8 Trojan.Crossrider

zoo %SystemDrive%\USERS\АДМИН\DESKTOP\ТОЙОТА\PLAYER.EXE
addsgn 6E8C9F98556A4C41CB5F6A32A4CC818EC601A70A08111858C5C34261D36B­4C656317C258BA6699492B0039CD695649FA09E865F7AEF6F02C7D8831F8­EB4622FE 24 svghost

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\386ECC81-1436278116-11CB-8B3E-DA59DE49C098\BNSW80D9.EXE
addsgn 1A6FDE9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B44D892­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Adware.ConvertAd

zoo %SystemDrive%\USERS\АДМИН\APPDATA\ROAMING\VOPACKAGE\VOPACKAG­E.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC3­8506CA82 64 Adware.ConvertAd

addsgn 1ABF639B5583C58CF42B254E3143FE6F2FE0FC09FCF2F77B92C2C53F94DA­2C8FA8E896DCD2AAE845418AEE9FB963411268C8E972D61EA071EEFC5B7A­4CEA7F9A 8 Amonetize

zoo %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\29527\UPDATER.EXE
hide %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\DROPBOX\UPDATE\DROPB­OXUPDATE.EXE
hide %SystemDrive%\PROGRAM FILES\LENOVO\COMMUNICATIONS UTILITY\TPKNRSVC.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

deldirex %SystemDrive%\PROGRAM FILES (X86)\CROSSBROWSE\CROSSBROWSE\APPLICATION

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE

delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\GOOGLEUPDATE.EXE

delref %SystemDrive%\USERS\�����\APPDATA\ROAMING\QZDGUDMYUBELHLTYRKBI4F.EXE

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 3\EXTENSIONS\PAPBADOLDDDALGCJCICNIKCFENODPGHP\1.26.88_0\CINEMAPLUS-3.2CV06.07

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE

; CinemaPlus-3.2cV06.07
exec  C:\Program Files (x86)\CinemaPlus-3.2cV06.07\Uninstall.exe /fcp=1 /runexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\UninstallBrw.exe' /url='http://notif.keyprobox.com/notf_sys/index.html' /brwtype='uni' /onerrorexe='C:\Program Files (x86)\CinemaPlus-3.2cV06.07\utils.exe' /crregname='CinemaPlus-3.2cV06.07' /appid='72893' /srcid='002974' /bic='907e95f846ea368b8c89d9a90425bf52IE' /verifier='9d62fd073cdcb48724936a09665a08c5' /brwshtoms='15000' /installerversion='1_36_01_22' /statsdomain='http://stats.keyprobox.com/utility.gif?' /errorsdomain='http://errors.keyprobox.com/utility.gif?' /monetizationdomain='http://logs.keyprobox.com/monetization.gif?'
; Crossbrowse
exec  C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\39.6.2171.95\Installer\setup.exe" --uninstall --system-level
; Remote Desktop Access (VuuPC)
exec  C:\Users\АДМИН\AppData\Roaming\VOPackage\Uninstall.exe

deldirex %SystemDrive%\PROGRAM FILES (X86)\CINEMAPLUS-3.2CV06.07

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

Володимир,
откуда восстановили документы? из точек восстановления?

Сергей Мунзиков,
не надо плодить учетные записи на форуме, вам здесь
http://forum.esetnod32.ru/forum6/topic12176/
уже было указано,
что пользователям, которые используют взлом антивируса на оф. техническом форуме ЕСЕТ помощь в решении проблемы
не будет оказываться.

обратитесь за помощью на другой форум

тнод используем, тема будет закрыта
[CODE]C:\PROGRAM FILES\ESET\TNOD USER & PASSWORD FINDER\UNINST-TNOD.EXE[/CODE]
обратитесь за помощью на другой форум