[QUOTE]Олег МСК написал:
Пытался восстановить файлы на внешнем диске (удаленные вирусом, я так понял он их стирает и пишет поверх новый). В удаленных старых-оригинальных файлов нет, в удаленных если восстанавливать все файлы с расширением как у зараженных.[/QUOTE]
файл шифруется, затем зашифрованный файл перемещается на место оригинала, затем уже шифрованный файл с именем оригинала переименовывается так, как это надо злоумышленнику.
в итоге файл оригинала затирается информацией шифрованного файла.

да, очистку системы можно завершить,
по этой реплике поясните подробнее, что имеете ввиду
[QUOTE]но все что было на внешнем диске открываю R-studio .....имена файла как у зашифрованных. [/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
sreg

delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ASPACKAGE\ASSRV.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\CONVERTAD\CASRV.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCRTP.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TAOFRAME.EXE
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMIEPROTECT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QMUDISK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQSYSMON.SYS
delref %Sys32%\DRIVERS\TAOACCELERATOR.SYS
delref %Sys32%\DRIVERS\TAOKERNELXP.SYS
delref %Sys32%\DRIVERS\TFSFLT.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TS888.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSCPM.SYS
delref %Sys32%\DRIVERS\TSDEFENSEBT.SYS
delref %Sys32%\DRIVERS\TSFLTMGR.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSKSP.SYS
delref %Sys32%\TSSK.SYS
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\TSSYSKIT.SYS
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\AMIGO\APPLICATION\AMIGO.EXE
delref %SystemDrive%\PROGRAM FILES\APPLICATION ASSISTANCE\AP.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\APPLICATION DATA\ETRANSLATOR\ETRANSLATOR.EXE
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=35391B73824B1D65A68AD5­909F83571A&TEXT={SEARCHTERMS}
delref %SystemDrive%\PROGRAM FILES\TENCENT\QQPCMGR\10.10.16434.218\QQPCTRAY.EXE
delref %SystemDrive%\DOCUMENTS AND SETTINGS\USER\LOCAL SETTINGS\APPLICATION DATA\WINCHECK\WINCHECK.EXE
delref HTTP://WWW.HAO123.COM/?TN=97951667_HAO_PG
delref HTTP://XTEAM.IN/
areg

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска, но сделайте это актуальной версией uVS
3.85.25
скачать отсюда
https://content.wuala.com/contents/al_1963/avirus/Universal%20Virus%20Sniffer/file­s/uvs_latest.zip/?dl=1

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 1A5B2B9A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7B6CA397­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 64 ConvertAd

zoo %SystemDrive%\USERS\56555\APPDATA\ROAMING\2330BC00-1435501281-81E2-3353-4C72B91593D2\HNSG1123.TMP
deldir %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0
addsgn 1A002F9A5583338CF42B627DA804DE52730188D29971535C9148B9985C5D­B0C7F214056CC0239572D38F06F7451649F5C7FA502417DAB15F2A8400C6­D0052273 8 skinapp

zoo %SystemDrive%\PROGRAM FILES (X86)\SKINAPP\SKINAPP.EXE
delall %SystemDrive%\USERS\56555\LOCAL SETTINGS\APPLICATION DATA\EXTENSIONINSTALLER_14\EXTINST.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref %SystemRoot%\SKINAPP.SYS
del %SystemRoot%\SKINAPP.SYS

REGT 27
regt 28
regt 29
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

обновился КриптоМонитор до версии 2.0.503.
разработчики изменили подход и добавили во free версию, то что было в версии Pro,
пока не получается с помощью КриптоМонитора задетектировать (и заблокировать) к примеру VAULT.
обещают продолжить работу, возможно в будущем останется бесплатен.
-----------
пока что слаб.
шифратор Encoder.567 зашифровал документы из целевых каталогов КриптоМонитора, реакция монитора нулевая.

Татьяна,
по очистке системы:
выполните скрипт uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\LOCAL SETTINGS\APPLICATION DATA\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\EXT\HE6.EXE
delall %SystemDrive%\PROGRAM FILES\PROWISE\PROWISE.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
addsgn A7679B23596A4C7261D4C4B12DBDEB5673DD44269FB91F9061873843DBEB­05386017F0976B3D8F1E6880E0607672C0DA95788F8FAA5140A9DB0BEC69­F4DDAF26 8 Trojan.Fakealert.47622 [DrWeb]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\1\APPLICATION DATA\NEWSI_620\S_INST.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref %SystemDrive%\PROGRAM FILES\DRIVERTOOLKIT\DRIVERTOOLKIT.EXE

delref HTTP://SEARCH.QIP.RU

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов. теневых копий нет. восстановить не получится.

3. по расшифровке документов при наличие лицензии на наш антивирус напишите в техподдержку [email protected]

по очистке:
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  No File
Toolbar: HKU\S-1-5-21-4133812564-2420411196-1259034592-1004 -> No Name - {405DFEAE-1D2F-4649-BE08-C92313C3E1CE} -  No File
CHR Extension: (No Name) - C:\Users\Олег Гущин\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdefnbcpjeflgggkipfemfckjicceiii [2015-06-25]
EmptyTemp:
Reboot:
[/CODE]

по виртуальной машине:
используйте vmware или virtualbox
после установки программы создается виртуальная машина под конкретную систему, затем на эту машину ставится данная операционная система.
после установки системы вы можете на ней экспериментировать как угодно.

по очистке системы:
по логу мбам:

2.удалите все найденное в малваребайт
перегрузите систему
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
---------

в данное время в системе не установлен антивирус, поэтому при активной работе в сети, можете наступить на те же грабли,
семейство шифраторов все время пополняется (питаясь образно говоря, денежной кровью беспечных юзеров) и обновляется, адаптируется в средствам защиты,
поэтому если есть лицензия, то надо ее использовать и установить антивирусную программу.

1. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\DEFAULTTAB\DEFAULTTAB\DTUPDATE.EXE
addsgn 1A47239A5583C58CF42B254E3143FE84C9A2FFF6895967DAC4C34CB12474­304CAA02B3F57F5514544722C59FCF2321583CDF614F3178F12C4BFBB1BF­65472215 8 Adware.Plugin.48 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ASSETS MANAGER\SMDMF\SMDMFSERVICE.EXE
addsgn 1A48D89A5583C58CF42BC4A10C58896B25625A7289FA2CB80C862535152A­F809C79C86B305108D34380BF197CDD8B6AF69DC9D7EDCAFB8D368934FCA­0043C272 8 SearchSuite.D [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R002.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6­614423947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D0­52AF2D73 32 adobe

zoo %SystemDrive%\PROGRAM FILES (X86)\SMARTERPOWER\SMARTERPOWERBHO.DLL
addsgn A7679B1928664D070E3CEF3C64C8ED70357589FA768F179082C3C5BCD312­7D11E11BC33D323D0D7928906C22471649C9BD9F6307595F4659214E916B­BF05327C 64 Win32/BrowseFox.O [ESET-NOD32]

zoo %SystemDrive%\USERS\ALL USERS\DL159\159.DLL
addsgn 79132211B9E9317E0AA1AB5990961205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCCD49B13CA00A44DC­628F678B 64 AdWare.Win32.BHO.beso [Kaspersky]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\UNIFI-INSTALLER.EXE
addsgn 7300F79B556A1F275DE775E6ED94361DE2CED8E6E96B5F78B63503F874C2­51B33627B3173E3D9CC92B807B8AF66609FA2E20FD0E279AB04625D4BCC3­8506CA82 59 Win32/Adware.ConvertAd.AQ [ESET-NOD32]

zoo %SystemDrive%\USERS\ОЛЕГ ГУЩИН\UBIQUITI UNIFI\UNINSTALL.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
delall %SystemDrive%\USERS\ОЛЕГ ГУЩИН\APPDATA\ROAMING\SETTINGS MANAGER\SETTINGSMANAGER.EXE
hide M:\00 ЛИЧНОЕ\SETUP_11.0.0.1245.X01_2013_03_14_20_35.EXE
hide J:\FREEMAKEVIDEOCONVERTERSETUP.EXE
hide %SystemDrive%\USERS\ОЛЕГ ГУЩИН\DOWNLOADS\QIP2012.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\DOWNLOAD MASTER\DMASTER.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\PLUGINS\EXE\DECRYPTC.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\RANSOMHIDE\RANSOMHIDE.EXE
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6­914D23947EDF3A559D49A21D0C9B4616467FB6DCE872D85F24282D77F4D0­52AF2D73 8 Adware.Plugin.971 [DrWeb]

zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R001.EXE
zoo %SystemDrive%\USERS\ALL USERS\DTDATA\R003.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-CODEDOWNLOADER.EXE

delref STATS.SRVSTATSDATA.COM

delref ERRORS.SRVSTATSDATA.COM

delref APP-STATIC.CROSSRIDER.COM

delref HTTP://UPDATE.SRVSTATSDATA.COM/IE_CODE_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-FIREFOXINSTALLER.EXE

delref E0F95096-9ACD-4757-84D1-31900A5C8D72@100E8646-48F8-43C0-A36F-583295B2EABE.COM

delref HTTPS://W9U6A2P6.SSL.HWCDN.NET/PLUGIN/FF/UPDATE/48930.RDF

delref HTTP://UPDATE.SRVSTATSDATA.COM/FF_AGENT_UPDATES/{CAMP_ID}/UPDATE.JSON'

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-UPDATER.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-VALIDATOR.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\UNINSTALL.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO64.DLL

delref %SystemDrive%\PROGRAM FILES (X86)\SMARTSAVER+ 12\SMARTSAVER+ 12-BHO.DLL

deldirex %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE

delref {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}\[CLSID]

deldirex %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\TENCENT\QQDOWNLOAD\125

delref HTTP://WWW.QIP.RU/

; Defaulttab
exec  C:\Windows\system32\config\systemprofile\AppData\Roaming\defau­lttab\defaulttab\uninstalldt.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

2. по расшифровке документов при наличие лицензии на наш антивирус обратитесь в техподдержку на адрес [email protected]

1. добавьте скриншот ошибки
2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/
3. добавьте лог ESETsysinspector
http://forum.esetnod32.ru/forum9/topic10701/