+
вопрос: эта программа что у вас делает? судя по образу очень активно работает с сетью
[CODE]C:\PROGRAM FILES\WINRAR32\WASPPACER.EXE
a variant of Win32/Wasppacer.A
Tool.Wasppacer.2
not-a-virus:NetTool.Win32.Wasppace.l[/CODE]

поставьте лицензионный ESET File SECURITY v 4.5 или v6.0
--------------
если уже все отправили в карантин, сделайте повторное быстрое сканирование в мбам

[QUOTE]пишем о старых и новых проблемах.[/QUOTE]
о старых проблемах можно как правило судить по реакции системы: лучше, хуже.
появился доступ в сеть или нет,
прекратил сигналить антивир по вирусам или продолжает
убралась реклама из браузер или без изменений
и т.п.
--------
а по новым, это если появились новые ошибки в работе системы после скрипта.
теоретически может быть и такое.

да, полный комплект:
шифратор + бэкдор, + троян_прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEBMNRZ.DLL
addsgn A7679B199186C77F1844AEA13590DBC7298AE4A689A2183FEFDAC6BD058B­774C20BDD8640D70977242D50F73F91649FA7D98451235515C48A662942F­C706A921 64 TrojanProxy:Win32/Bunitu.F

zoo %SystemRoot%\SYSWOW64\CONFIG\SYSTEMPROFILE\APPDATA\LOCAL\OEB­MNRZ.DLL
delall %Sys32%\CONFIG\SYSTEMPROFILE\PLMHGIXJ.EXE
addsgn A7679B19B91E1F245C13EB2D9BB11205E2CF5C3D8AFA1FBFC03B23BD50D6­B609FF11C2573E92D8E52782849F8153B9637FDFE8B51016E92D2D77636A­7BF72273 8 Backdoor.Win32.Drivedos.z

zoo %SystemRoot%\CHROMEMNGR.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

другие точки проверили? есть с чистыми документами ли все файлы испорчены и не открываются?
проверьте дату изменения данных файлов (в теневых копиях) которые не открываются

ВТ или VT - это мы так сокращенно называем Virustotal.com
---------
не факт конечно, что это вредоносный файл. ведь детектируется как неподписанный, без цифровой подписи.

здесь немного другой файл в образе, и он теперь детектируется, после того как Есет добавил сигнатуру на svchost.exe левый.
а этот файл C:\WINDOWS\SYSTEM32\SNMPAPI.DLL чист. и подписан Микрософт.


[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\[B]SNMPTRPS.EXE[/B]
Имя файла                   SNMPTRPS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
[URL=http://www.virustotal.com]www.virustotal.com[/URL] 2015-03-11
Kaspersky                   UDS:DangerousObject.Multi.Generic
ESET-NOD32                  a variant of MSIL/Gruf.A
                           
Удовлетворяет критериям    
TEMP.KRIT                   (SHA1 ~ 1D31123D3268D2A0D44F0B30BB5936518198FDC2)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      сервис в автозапуске
File_Id                     5440CEFB24000
Linker                      6.0
Размер                      118784 байт
Создан                      13.01.2012 в 10:25:55
Изменен                     16.07.2011 в 08:37:12
                           
TimeStamp                   17.10.2014 в 08:10:35
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            ta.exe
Версия файла                6.1.7600.16385
Версия продукта             6.1.7600.16385
Описание                    Сliеnt Sеrvеr Runtimе Prосеss
Производитель               Miсrоsоft Соrpоrаtiоn
Комментарий                 Сliеnt Sеrvеr Runtimе Prосеss
                           
Доп. информация             на момент обновления списка
SHA1                        1D31123D3268D2A0D44F0B30BB5936518198FDC2
MD5                         54108C290A9BA2D3B00545FAEA76A9FE
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\SNMPTRAP\ImagePath
ImagePath                   C:\Windows\System32\snmptrps.exe -k
SNMPTRAP                    тип запуска: Авто (2)[/QUOTE]
                         

т.е. после запуска шифратора и завершения шифрования , вы открыли теневую копию в которой ваши документы были незашифрованы.

на какой момент относительно момента шифрования была точка восстановления?

были ли еще другие ранние точки?

выполните наши рекомендации
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]

да, удаляйте
+
далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

+

Далее (даже если проблема решена) выполните лог программой Malwarebytes

[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]



Выберите первый вариант сканирования ( Угроза сканирования )

Отчет предоставить для анализа ( в своей теме на форуме ).

Отчёт нужно предоставить в .txt ( блокнот )