1.Можливо це не є файли документу Ворд, а лише тіньові копії змін в них? Імена файлів незмінні? чи вони приховані і починаються із " ~ "?
2. зловредів небуло на попередній ОС?
3. Яким чином копіювали ці файли? м.н.у. із неінфікованої ОС? якими діями/командами? це не ярлики?
4. В тестах були гіперпосилання на контент в іншому локальному розташуванні?