для ctb locker (Critroni) расшифровки нет, и скорее всего не будет, точно так же как и для bat.encoder

пробуем восстановить данные "нетрадиционными" методами:
- восстановлением из сохраненных копий документов (если настроено резервное копирование)
- поиск и восстановление удаленных файлов, например с помощью утилитки photorec.exe из комплекта testdisk
- восстановление файлов из теневых копий, если было настроено теневое копирование данных.

+
несколько рекомендаций будет уместно для всех читающих данный раздел.


1. Настройте почтовый сервер на действие "заблокировать" или "удалить письмо", содержащее вложенные файлы, которые обычно используются для распространения угроз, таких как .[B]vbs, .bat, .cmd, .js, .hta, .exe, PIF и .SCR[/B] файлов.
2. Обучите сотрудников не открывать вложения, если они не ожидают их. Кроме того, не выполнять запуск программ, загруженных из Интернета, пока они не были проверены на наличие вирусов.
например здесь [URL=http://virustotal.com]http://virustotal.com[/URL]
3. не забываем слушать классику.
[URL=http://www.youtube.com/watch?v=vFNntCbI0OI]http://www.youtube.com/watch?v=vFNntCbI0OI[/URL]

пробуйте образ автозапуска создать без проверки цифровой подписи.
(судя по логу Комбофикс кроме stantinko в системе еще и китайские антивирусы.)

пробуйте из безопасного режима создать образ автозапуска
(читателей здесь нет - все писатели, поэтому постарайтесь кратко все проблемы формулировать, чтобы не выходил у вас в новом сообщении очередной том изданий.)

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

судя по тексту письма похоже на шифратор Elenoocka
[URL=http://virusradar.com/en/Win32_TrojanDownloader.Elenoocka.A/description]http://virusradar.com/en/Win32_TrojanDownloader.Elenoocka.A/description[/URL]

вот только непонятно зачем бухгалтер открывает вложение из письма с подобным нечитабельным текстом.
все таки психология еще та: раз пришло письмо, то надо вскрыть и прочитать. 100% доверия.

по расшифровке документов обратитесь в [URL=mailto:[email protected]][email protected][/URL]

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

выполните очистку системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

del %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\FIREFOX.URL
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\QIPGUARD\QIPGUARD.EXE
hide %SystemDrive%\PROGRAM FILES (X86)\INTERNET DOWNLOAD MANAGER\IDMSHELLEXT64.DLL
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке данных при наличие лицензии на продукты ESET обратитесь в техподдержку [URL=mailto:[email protected]][email protected][/URL]

1. добавьте образ автозапуска для проверки системы.
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

2. вышлите архив из письмо на адрес [URL=mailto:[email protected]][email protected][/URL]