[QUOTE]RP55 RP55 написал:
Само же тело шифратора, т.е. исполняемый файл работает с ключами шифрования. ( открытый & закрытый - ключи )
[/QUOTE]
Резонный вопрос. Если есть файл до работы шифратора и после? (вернее после расшифровки автором шифровальщика) - возможно ли найти ключ(закрытый)?  открытый я так понимаю можно вычленить из зашифровонного файла

[QUOTE]santy написал:
добавьте пожалуйста линк проверки на вирустотале по этому файлу[/QUOTE]
[URL=https://virustotal.com/ru/file/cf27845106efb4427c4c48c265dfd1591e1ed7a05f40f856c209406e11f12f7b/analysis/]https://virustotal.com/ru/file/cf27845106efb4427c4c48c265dfd1591e1ed7a05f40f856c209406e11f12f7b/anal...[/URL]

[QUOTE]santy написал:
+
добавьте этот файл в архив с паролем infected
C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
и вышлите в почту [URL=mailto:[email protected]][email protected][/URL][/QUOTE]
отправлено

[QUOTE]santy написал:
проверьте этот файл на  [URL=http://virustotal.com]http://virustotal.com[/URL]
C:\DOCUMENTS AND SETTINGS\DIRECTOR\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\USERDATA\DATA\CSRSS.EXE
скорее всего одно из оставшихся тел шифратора da_vinci_code,
тем более в автозапуске
HKLM\umtfpxrmq\Software\Microsoft\Windows\CurrentVersion\Run­ ­\Microsoft Windows Service[/QUOTE]
ничего не нашлось
Журнал
Журнал проверки
Версия базы данных сигнатур вирусов: 13609 (20160607)
Дaтa: 07.06.2016  Время: 17:04:53
Просканированные диски, папки и файлы: C:\Documents and Settings\Director\Application Data\Microsoft\Internet Explorer\UserData\Data\Csrss.exe
Количество просканированных объектов: 1
Количество обнаруженных угроз: 0
Время выполнения: 17:04:54  Общее время проверки: 1 сек. (00:00:01)

вирустотал - Показатель выявления:            1/56    
Но по времени совпадает с началом инфицирования.


Ни в msconfig ни в автозагрузке All users нет ничего похожего umtfpxrmq и эту ветвь не видно HKLM\umtfpxrmq\

+eset for FS постоянно блокирует рандомные URL раз в 10 мин. источником показывает процесс юзергейта, айпи назначения - показывает. 107.180.*

[QUOTE]santy написал:
ERA похоже модифицированный
C:\PROGRAM FILES (X86)\ESET\ESET REMOTE ADMINISTRATOR\SERVER\ERA.EXE
[/QUOTE]
Да, был модифицирован очень давно  и не используется.

[QUOTE]santy написал:
Михаил,
прокси ваш?
222.74.34.190:8080
[URL=https://www.nic.ru/whois/?query=222.74.34.190]https://www.nic.ru/whois/?query=222.74.34.190[/URL]
country:        CN
+
этот софт похоже использовался для майнинга.
C:\PROGRAM FILES (X86)\RUBLIK\RUBLIK.EXE
правда, файла в настоящее время нет
Не удается найти указанный файл.[/QUOTE]
Прокси - нет.
Майнинг стоял но давно удален.

Также прошу помочь
[URL=http://muonium.rgho.st/7HCvBJSv5]http://muonium.rgho.st/7HCvBJSv5[/URL]