выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONS.DLL
delall %SystemDrive%\DOCUMENTS AND SETTINGS\NADEZHDA.OKULOVA\APPLICATION DATA\SLICK SAVINGS\COUPONSHELPER.EXE
del %SystemDrive%\FIREFOX.BAT
del %SystemDrive%\IEXPLORE.BAT
hide %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\ASCINIT.EXE
hide D:\ОТЧЕТЫ КНО\ОТНЕСЕННЫЕ В 2014 ГОДУ\!!!!!!_BROWZAR_CRASHBOX.RU\BROWZAR_CRASHBOX.RU.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=3B5996680635926235FCC7­777BE57A23&TEXT={SEAR...}

REGT 27
regt 28
regt 29
; Surfing Protection
exec C:\Program Files\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\КОМП\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1A8B7A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

delall %SystemDrive%\PROGRAM FILES\MOBOGENIE\DAEMONPROCESS.EXE
hide %SystemDrive%\PROGRAM FILES\KYODAI MAHJONGG 2006\KMJ.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP://CONFIGSPACS.COM/MMFNA7/NJ4N.URU

; Pandora Service
exec C:\Program Files\PANDORA.TV\PanService\unins000.exe

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

судя по поиску у Касперского есть дешифратор по этим файлам
[URL=http://support.kaspersky.ru/viruses/disinfection/10556]http://support.kaspersky.ru/viruses/disinfection/10556[/URL]
вот только работает он или нет, не в курсе. но в списке указано это расширение.

судя по всему шифратор либо отработал, либо работает в поте лица, и шифрует документы,
посмотрите дату создания этих файлов.
--------
дата вроде старая от 2013 года.
а антивирус случайно не эти зашифрованные файлы (с расширением nochange) вычищает до 0 байт? :)

далее,

сделайте дополнительно быструю проверку системы в малваребайт

[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

убрали утилитку sdelete.exe
добавили шифрование удаленных файлов средствами самой системы.
с помощью системной программы cipher.exe

[QUOTE]Cipher.exe является инструментом командной строки (входит в Windows 2000), которые можно использовать для управления зашифрованных данных с помощью шифрованной файловой системы (EFS). По состоянию на июнь 2001 года, Microsoft разработал усовершенствованную версию инструмента Cipher.exe, что обеспечивает возможность постоянно переписывать (или "стереть" все удаленные данные на жестком диске. Эта функция повышает безопасность, гарантируя, что даже злоумышленник, который получил полный физический контроль над компьютером для Windows 2000 не сможет восстановить ранее удаленные данные.[/QUOTE]

[URL=https://www.virustotal.com/ru/file/b948633b6f3e1a04959cf174beb6116726b951c7a76ccdc171151f157d45a69e/analysis]https://www.virustotal.com/ru/file/b948633b6f3e1a04959cf174beb6116726b951c7a76ccdc171151f157d45a69e/...[/URL]/1428505266/

раскодировал файл svchost.exe из js шифратора

[QUOTE]gpg (GnuPG) 1.4.18
Copyright © 2014 Free Software Foundation, Inc.
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Home: *****
Поддерживаются следующие алгоритмы:
С открытым ключом: RSA, RSA-E, RSA-S, ELG-E, DSA
Симметричные шифры: IDEA, 3DES, CAST5, BLOWFISH, AES, AES192, AES256,
                   TWOFISH, CAMELLIA128, CAMELLIA192, CAMELLIA256
Хэш-функции: MD5, SHA1, RIPEMD160, SHA256, SHA384, SHA512, SHA224
Алгоритмы сжатия: Без сжатия, ZIP, ZLIB, BZIP2
[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE

delref HTTP://CONFIGPACS.COM/919GG8939/XM4J4.URE

; Surfing Protection
exec  C:\Program Files (x86)\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\PK\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORI­AN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian


;------------------------autoscript---------------------------

chklst
delvir

delref 0HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://TOP-PAGE.RU/3

delref HTTP://COMPACTPACS.COM/SW4LXI/Y9S.URO

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

[CODE];uVS v3.85.16 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

sreg

delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref %Sys32%\DRIVERS\BD0003.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDDEFENSE.SYS
delref %Sys32%\DRIVERS\BDENHANCEBOOST.SYS
delref %Sys32%\DRIVERS\BDFILEDEFEND.SYS
delref %Sys32%\DRIVERS\BDMNETMON.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
delref %Sys32%\DRIVERS\BDSANDBOX.SYS
areg

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска для очистки системы.