1. судя по системе (XP) восстановление документов из теневой копии невозможно.

2. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\174.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\TASKHOST.EXE
hide %SystemDrive%\PROGRAM FILES\VENTA\VENTAFAX & VOICE\VFMANAGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\19887033\19887033.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://BROWSERHELP2.RU

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
+
добавьте лог выполнения скрипта uVS
это файл: дата_времяlog.txt из папки uVS
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

скорее всего вариант encoder.741

1. добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

2. если сохранилось тело шифратора, или ссылка из адрес скачивания, вышлите в почту [email protected]
в архиве, с паролем infected

Станислав,
[QUOTE]Станислав Михайленко написал:
На этот DNS?
Не сильно в этом разбираюсь.[/QUOTE]

этот DNS заменить на DNS от вашего провайдера.
если нет доступа в настройки роутера, аппаратно сбросьте настройки роутера и перенастройте его по настройкам от провайдера.
+ установите надежный пароль на настройки.
если это сложно сделать вам, попросите это сделать специалиста, или человека который умеет настроить роутер для работы в сети.

[QUOTE]СТАРЫЙ ЛОГ:[/QUOTE]
старый образ не нужен.
нужен новый образ после выполнения последнего скрипта.

1. перенастройте DNS роутера и установите надежный пароль на доступ к настройкам
https://www.nic.ru/whois/?query=5.104.175.150

[QUOTE]inetnum: 5.104.175.0 - 5.104.175.255
netname:        Verdina
descr:          Verdina Ltd.
org:            ORG-VL172-RIPE
country:        BG[/QUOTE]

2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE­614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F­879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F­3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B­4E2611A1 40 Program.Unwanted.285 [DrWeb]

addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870­304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D­666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте все логи выполнения скриптов uVS
это файлы дата_Времяlog.txt из папки uVS

4. добавьте новый образ автозапуска

добавьте новый образ автозапуска,
посмотрим что осталось, заодно и скриптом AutoKMS.exe отключим

тогда временно исключите его из автозапуска, посмотрим что будет в результате.

я думаю, смысл вам понятен,
(как в русской пословице: дурак не заметит, умный заметит не скажет :))

потому нужен ответ по существу:
добавлено это приложение (AutoKMS.exe) в исключение из проверки антивируса или нет.
---------
или временно исключите из автозапуска: посмотрим результат - причина детекта в нем или в чем то другом.

[QUOTE]zloyDi написал:
+ Добавьте программу AutoKMS.exe в исключение антивируса, скорее всего реакция на этот файл.[/QUOTE]
возможно и так, поскольу ESET его детектрует как:
MSIL/HackKMS.A potentially unsafe [ESET-NOD32]

т.е. ЕСЕТ по прежнему находит в памяти это
[QUOTE]10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3EE0000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_970000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_960000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
[/QUOTE]

ок, добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/