хорошо, сейчас посмотрю.

secring.gpg с каким размером? 0байт? тогда не поможет.
если же с другим размером, то вышлите в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] в архиве (без пароля) один зашифрованный файл и secring.gpg
для проверки расшифровки

скорее всего восстановил из теневой копии (или из хранилища) файлы, если система была Win7 или Win8.
расшифровать не получится, если нет secring.gpg
восстановить возможно, если есть копии документов.
-------
если не трудно,  опубликуйте здесь текст письма, из которого было запущено шифрование,
а файл, который был скачен из письма, или вложен в письмо вышлите в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL]
(только с паролем infected, иначе антивирус на почте его может прибить)

добавьте образ автозапуска.
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

хорошо, тему закрываю.
видимо левое расширение Хрома было тому виной, и оно через локальную политику Хрома могло восстановиться.

сохраните код в файл fixlist.txt и положите файл fixlist.txt в папку, откуда запускаете frst.exe.
еще раз запустите frst.exe (если не запущен сейчас) и нажмите кнопку fix
[CODE]CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
CHR dev: Chrome dev build detected! <======= ATTENTION
BHO: UniDeaLsa -> {055f6683-fb13-4007-a21e-c2fbcfb2bfdc} ->  No File
BHO: UniDeals -> {418eb00e-64d1-432c-8811-5c57257b495d} ->  No File
BHO: UniDealssa -> {48be9c81-a658-4824-9fd2-955c2e610247} ->  No File
BHO: UniDealisii -> {6302a321-13f5-4a0f-9daf-6880b55ef160} ->  No File
BHO: youtubeadblocker -> {9c24a415-c3ec-4596-ab7a-438b1fe5e5e6} ->  No File
CHR StartupUrls: Default -> "hxxp://4pda.ru/", "hxxp://www.mystartsearch.com/?type=hp&ts=1425195274&from=wpc&uid=ST500LT012-1DG142_S3P3XFLZXXXXS3P3XFLZ"
CHR Extension: (YouTube) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-01-26]
CHR Extension: (Pushbullet) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\chlffgpmiacpedhhbkiomidkjlcfhogd [2015-01-26]
CHR Extension: (Tampermonkey) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2015-01-26]
CHR Extension: (YaVoice) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\ifcpbicednmacedefboponipkjlafeih [2015-01-26]
CHR Extension: (Ed2kHelper) - C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmeeplonmihpchdbfccgmjhcnpecbppk [2015-03-01]
Reboot:
[/CODE]будет перезагрузка системы,
пишем результат, что стало с проблемой.

по очистке системы:
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

zoo %SystemDrive%\PROGRAM FILES\1\SVCHOST.EXE
delall %SystemDrive%\USERS\EKOM\DESKTOP\DOWNLOADSETUP_S.EXE
delall %SystemDrive%\USERS\EKOM\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 9AC043DA5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BCED91­A9569326851BBFDE5104BF3D73EE461649FA7DDFE97255DAB02C2D77A42F­A4637D23 8 shifr_cbf

hide %SystemDrive%\PROGRAM FILES\BACK2LIFE 2.7R\UNINST.EXE
;------------------------autoscript---------------------------

chklst
delvir

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
CZOO
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL]
------------
по восстановлению данных:
скиньте в почту [URL=mailto:safety@chklst.ru]safety@chklst.ru[/URL] id и пароль от Тимвьювера, проверим, возможно ли восстановление документов или нет.

сделайте [URL=http://www.cyberforum.ru/viruses-faq/thread1362245.html]проверку в FRST[/URL]

далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]
----------
пишем результат

1. там по ссылке смотрите ниже


[QUOTE]5. Как и в Windows Vista, в Windows 7 защита и восстановление системы реализованы с помощью службы теневого копирования тома. Эта служба отслеживает изменения по всему разделу, и в этом большое отличие от Windows XP, где службой восстановления системы отслеживался лишь ключевой набор файлов системы и приложений. Однако пользовательские файлы не включаются в точки восстановления системы, поэтому возврат к предыдущей точке не приведет к потере документов и других файлов в вашем профиле. Тем не менее, служба теневого копирования тома следит за изменениями в пользовательских файлах, и вы можете восстановить их предыдущие версии.[/QUOTE]
2.
да с помощью оснастки системы, если она установлена.
[QUOTE]2. настраиваем в локальных политиках безопасности правила ограниченного использования программ. С помощью правил блокируем запуск троянов по относительным путям и маскам файлов.[/QUOTE]
или с помощью Cryptoprevent, но к сожалению в бесплатной версии нельзя редактировать правила, только добавить те что есть.