выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

delall %Sys32%\DRIVERS\KLBG.SYS
delall %Sys32%\DRIVERS\KLIM6.SYS
delall %Sys32%\DRIVERS\KLKBDFLT.SYS
delall %Sys32%\DRIVERS\KLMOUFLT.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLOEHK.DLL
delall %Sys32%\KLOGON.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLSCAV.DLL
delall %Sys32%\DRIVERS\KLTDI.SYS
delall %Sys32%\DRIVERS\KNEPS.SYS
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SBHOOK64.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SCRCHPG.DLL
delall %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SHELLEX.DLL
deltmp
delnfr
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

а что вы думаете по поводу компании, которая предлагает расшифровку для xtbl, vault?

по расшифровке keybtc@foxmail* обратитесь в ДрВеб (при наличии лицензии), у них есть решение по расшифровке encoder.741

проверьте наличие теневых копий этой программой
[URL=http://www.shadowexplorer.com/downloads.html]http://www.shadowexplorer.com/downloads.html[/URL]

шифратора нет в автозапуске,

по расшифровке документов обратитесь в техподдержку вирлабов при наличии лицензии на антивирус.

по восстановлению документов - проверьте возможность восстановить документы из теневой копии.

нет, в вашем случае опасности в зашифрованных доках нет. антивирус видимо среагировал на текстовые сообщения о порядке востановления документов и покупке дешифратора от злоумышленников.
-----------
хотя есть уже варианты шифраторов, которые не просто шифруют файлы, но еще и превращают их в  свои "сообщники", добавляя исполняемую компоненту, которая при  запуске зашифрованного дока будет  работать как шифратор.
[URL=https://club.esetnod32.ru/news/novosti_eset/verbovka-zalozhnikov/]https://club.esetnod32.ru/news/novosti_eset/verbovka-zalozhnikov/[/URL]

[URL=http://forum.esetnod32.ru/user/20518/]Lana Kuz[/URL]
добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

шифратора сейчас нет. удалился скрипом
но судя по первому образу был.[CODE]%SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE[/CODE]такой еще скрипт выполните.

-------------
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 9252773A106AC1CC0BA4544EA34F0AAF238A42A6131F48F1604E5998D017­8EB312D7936EE220660F6DD3ECA66F1E49ADFE1CEC213D961C2E2D2127EC­C35572B4 8 Win32/Agent.VZD [ESET-NOD32]

delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
delall %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEB­MNRZ.DLL
delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE
delall %SystemRoot%\SYSWOW64\SERVICE.EXE
addsgn 925277AA3C6AC1CC0B34784EA34F0A99088A02A79FCF48FB483C2EB2C046­E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD128­4C18A19D 8 Win32/Wasppacer.A [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\WINRAR32\WASPPACER.EXE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES\WINRAR32

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.

этот файл проверьте, зачем он здесь

[QUOTE]Полное имя C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT\CTFMON.EXE
Имя файла                   CTFMON.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ВИРУС
Сигнатура                   ctfmon [глубина совпадения 64(64), необх. минимум 8, максимум 64]
                           
[URL=http://www.virustotal.com]www.virustotal.com[/URL] 2015-03-12
-                           Файл был чист на момент проверки.
                           
Удовлетворяет критериям    
CURRENTVERSION.RUN          (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Процесс                     64-х битный
File_Id                     546F19715000
Linker                      12.0
Размер                      3072 байт
Создан                      09.04.2014 в 16:17:52
Изменен                     04.03.2014 в 11:16:17
                           
TimeStamp                   21.11.2014 в 10:52:33
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
pid = 3296                  HELIOS\rasskazov
Процесс создан              14:03:49 [2015.03.12]
С момента создания          00:14:52
parentid = 3860            
SHA1                        DA6CA57FA1A4B655626630091A7525A78A9111E3
MD5                         9D2AB1B66B4C40792246B918A2BD24EC
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-3907708775-245259275-1662875392-2214\Software\Microsoft\Windows\CurrentVersion\Run\CTFMON
CTFMON                      C:\Users\rasskazov\AppData\Roaming\Microsoft\ctfmon.exe u
                           
Образы                      EXE и DLL
CTFMON.EXE                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
                           
Загруженные DLL             НЕИЗВЕСТНЫЕ
MSVCRX.DLL                  C:\USERS\RASSKAZOV\APPDATA\ROAMING\MICROSOFT
                           [/QUOTE]

давайте по каждому отдельному компу в отдельной теме разбираться. иначе путаница возникнет.

для самостоятельного изучения работы с uVS
[URL=http://pchelpforum.ru/f26/t94635/]http://pchelpforum.ru/f26/t94635/[/URL]