лог от малваребайта нужен здесь

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOW­S\TOOLBAR.EXE
delall %SystemDrive%\USERS\ДРИЖЕНЬКА\APPDATA\LOCAL\MICROSOFT\WINDOW­S\TOOLBAR.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

похоже что троян Stantinko связан с работой расширения браузера (добавлено в Хром и Фаерфокс)

[QUOTE]Column Name Value
Threat Id    Threat 4683
Client Name    *****
Computer Name    *****
MAC Address    *****
Primary Server    *****
Date Received    2015-02-16 10:08:50
Date Occurred    2015-02-13 17:26:45
Level    Warning
Scanner    Real-time file system protection
Object    file
Name    C:\users\user\AppData\Local\Google\Chrome\User Data\Default\Extensions\bdigkpjbmbdepgpkjeabfghlchdmphke\3.2_0\js\bg.js
Threat    Win32/Adware.Adstantinko.A application
Action    cleaned by deleting - quarantined
User    NT AUTHORITY\система
Information    Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.[/QUOTE]
и
[QUOTE]Column Name Value
Threat Id    Threat 4682
Client Name    ****
Computer Name   *****
MAC Address    *****
Primary Server    *****
Date Received    2015-02-16 10:08:50
Date Occurred    2015-02-13 17:26:43
Level    Warning
Scanner    Real-time file system protection
Object    file
Name    C:\users\user\AppData\Roaming\Mozilla\Firefox\Profiles\od3iskl­n.default\extensions\{2A4702A6-63E6-46E4-BEF3-E2769B6774A0}\chrome\content\js\bg.js
Threat    Win32/Adware.Adstantinko.A application
Action    cleaned by deleting - quarantined
User    NT AUTHORITY\система
Information    Event occurred during an attempt to access the file by the application: C:\Windows\System32\svchost.exe.[/QUOTE]

хорошо, тему закрываю.
посмотрите тему по шифровирусам.
[URL=http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-]http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-[/URL]
будьте внимательны при работе с почтой, но судя по другим фактам некоторые из шифраторов приходят при посещении сайтов, возможно при нажатии определенных ссылок.
расшифровка в настоящее время есть в вирлабах далеко не по всем типам шифраторов.

повезло.
свежая чистая копия документов есть за 5 дней до шифрования. так что процесс восстановления будет вполне успешен.

требуется еще и сам тимвьювер запустить

кстати, времени с момента шифрования прошло 10 дней, с каждым днем шанс восстановить данные все меньше.

далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
[URL=http://forum.esetnod32.ru/forum9/topic10570/]http://forum.esetnod32.ru/forum9/topic10570/[/URL]

ctblocker. расшифровки по нему нет, но есть возможность восстановить зашифрованные данные.

1. когда были зашифрованы файлы?

2. добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

1. по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-3708740514-4052076479-1772467548-1000\$IVCW3QH.EXE
hide %SystemDrive%\USERS\SEKRET\DOWNLOADS\FRST.EXE
deltmp
delnfr
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению данных, проверьте возможность восстановить данные из теневой копии тома.
возможно есть свежие точки, где файлы не зашифрованы.

если нужна будет помощь в восстановлении, напишите в почту [URL=mailto:[email protected]][email protected][/URL] id и пароль от Тимвьювера, с указанием на тему форума.