[QUOTE]Yan Gerasimov написал:
Добрый день. Пострадали от данного вируса. Расширение файлов *.java. Образ автозапуска во вложении.[/QUOTE]

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.10 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
delall %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-BE5BB535.[[email protected]].JAVA
zoo %SystemDrive%\USERS\BRDUSER\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\1702.EXE
addsgn 1A530F9A5583348CF42BC4BD0C588E46256201FE89FA9C1D61C34EC958ED­44681553C3201C3F99A1C8BB849F1F952C067D890070D4DAB075A43240E8­82FADC8C 8 Crysis.java 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\1702.EXE
zoo %Sys32%\1702.EXE
chklst
delvir

apply

;-------------------------------------------------------------

czoo
QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected]
------------
+
добавьте на форум несколько зашифрованных файлов. лучше предварительно поместить их в один архив.

Руткит-агент, с цифровой подписью, запускает в системе майнер.
https://www.virustotal.com/#/file/f5d95d2e62eba634fe2c2393b1da26aaad9ea0f4dade0fc40a1139­19411e9963/details

это можно пропустить то что находит у вас малваребайт. никакой угрозы ващей системе они не несут.

2.удалите все найденное в малваребайт
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Алексей Тарасов написал:
Так исторически сложилось.
Когда-то была проблема с настройкой, уж чего не помню. И пришлось деинсталировать антивирусник. Теперь то уж чего...[/QUOTE]
теперь надо закрыться от произвольного доступа из внешней сети, установить актуальные обновления, установить надежные пароли, разрешить доступ только с определенных IP, + установить антивирусную программу для защиты от запуска вредоносных программ.

Crysis в настоящее время запускается вручную, после взломов доступа к рабочему столу.

если есть такая возможность, запретите временнно подключение к этому компу из внешней сети,
установите разрешение на подключение только с определенных (безпасных) айпишников
смените пароли от учетных записей, в том числе, Администратора,
закройте доступ фаерволлом.
+
большая ошибка с вашей стороны, что вы на сервере, к которому есть доступ из внешней сети не установили антивирус.
(хотя возможно что он был деинсталлирован злоумышленниками после взлома).

обычно, шифровальщик для данного типа прописывается в автозапуск, в system32, довольно быстро после начала шифрования.
в вашем случае подобных файлов нет ни в процессах, ни в автозапуске.

может быть шифрование идет с другой машины? есть еще компутеры в локальной сети?
----------
вот пример размещения в папках  файлов шифратора после завершения шифрования.

[QUOTE]C:\USERS\JULIA\DESKTOP\[email protected]
C:\USERS\PUBLIC\DOCUMENTS\BARTENDER\[email protected]
C:\WINDOWS\SYSTEM32\[email protected]
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected]
C:\USERS\JULIA\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\[email protected][/QUOTE]

этот комп виден из внешней сети? возможно его повторно взламывают из внешней сети, и запускают процесс шифрования.

судя по образу - этот комп является сервером
uVS v4.0.10 [http://dsrt.dyndns.org]: Windows Server 2008 R2 Standard x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

и система была запущена под system
uVS запущен под пользователем: NT AUTHORITY\система

потому и файл шифратора, если он запущен, так же запускается с этими правами

Алексей,

судя по обоим образам следов шифратора в автозапуске нет. Так что если вы что-то нашли, выгрузили из памяти и удалили,
то процесс шифрования остановлен.
расшифровать этот вариант Crysis.java нет возможности.
восстановление документов возможно только из бэкапов.
зашифрованные документы можно сохранить, возможно в будущем у кого нибудь появится расшифровка
этого варианта.

+
еще хорошие новости:

есть расшифровка [B]для paycrypt@gmail_com, unblck@gmail_com, unstyx@gmail_com[/B], если шифрование было в период [B]с 26.05.2014 по 28.06.2014 года[/B], c использованием известных уже мастер-ключей [B]StyxKey (StyxKey) и HckTeam (HckTeam)[/B]

С Вашей стороны нужны файл KEY.PRIVATE и пара зашифрованных файлов, если шифрование было в указанный период.


[QUOTE] [2018.02.13 21:24:28.813] - [2018.02.13 21:24:28.814] -
   [2018.02.13 21:24:28.823] - INFO: Cleaning file [files\Вырезка из паспорта.doc.paycrypt@gmail_com]
   [2018.02.13 21:24:28.882] - INFO: Cleaned.
   [2018.02.13 21:24:28.883] -
   [2018.02.13 21:24:28.883] - INFO: Cleaning file [files\Разбрасыватель опилок.JPG.paycrypt@gmail_com]
   [2018.02.13 21:24:28.959] - INFO: Cleaned.
   [2018.02.13 21:24:28.960] - [2018.02.13 21:24:28.960] - INFO: 2 infected files found.
   [2018.02.13 21:24:28.962] - INFO: 2 file(s) cleaned.
   [2018.02.13 21:24:31.017] - End

   [2018.02.13 21:27:44.354] - [2018.02.13 21:27:44.354] -
   [2018.02.13 21:27:44.354] - INFO: Cleaning file [files\0QbPrKcKTEY.jpg.unblck@gmail_com]
   [2018.02.13 21:27:44.399] - INFO: Cleaned.
   [2018.02.13 21:27:44.400] -
   [2018.02.13 21:27:44.400] - INFO: Cleaning file [files\Сергей2.docx.unblck@gmail_com]
   [2018.02.13 21:27:44.413] - INFO: Cleaned.
   [2018.02.13 21:27:44.414] -
   [2018.02.13 21:27:44.414] - INFO: Cleaning file [files\ТЕЛЕФОНЫ ХИРУРГИЧЕСКОГО КОРПУСА.docx.unblck@gmail_com]
   [2018.02.13 21:27:44.424] - INFO: Cleaned.
   [2018.02.13 21:27:44.425] -
   [2018.02.13 21:27:44.425] - INFO: Cleaning file [files\Тех паспорт хирургии.pdf.unblck@gmail_com]
   [2018.02.13 21:27:44.505] - INFO: Cleaned.
   [2018.02.13 21:27:44.507] -
   [2018.02.13 21:27:44.507] - INFO: Cleaning file [files\Экстренные 17.04.2014.rar.unblck@gmail_com]
   [2018.02.13 21:27:44.607] - INFO: Cleaned.
   [2018.02.13 21:27:44.608] - [2018.02.13 21:27:44.609] - INFO: 5 infected files found.
   [2018.02.13 21:27:44.610] - INFO: 5 file(s) cleaned.
   [2018.02.13 21:27:46.360] - End
[/QUOTE]
+
[QUOTE][2018.04.12 10:25:49.766] - INFO: Looking for infected files...
[2018.04.12 10:25:49.766] - --------------------------------------------------------------------------------
[2018.04.12 10:25:49.766] -
[2018.04.12 10:25:49.766] - INFO: Cleaning file [10\Изменения по ЛК Армении.docx.unstyx@gmail_com]
[2018.04.12 10:25:49.777] - INFO: Cleaned.
[2018.04.12 10:25:49.778] -
[2018.04.12 10:25:49.778] - INFO: Cleaning file [10\Отраслевые сайты.docx.unstyx@gmail_com]
[2018.04.12 10:25:49.783] - INFO: Cleaned.
[2018.04.12 10:25:49.784] - --------------------------------------------------------------------------------
[2018.04.12 10:25:49.784] - INFO: 2 infected files found.
[2018.04.12 10:25:49.785] - INFO: 2 file(s) cleaned.
[2018.04.12 10:25:49.787] - End[/QUOTE]




passphrase к ключу
[B]P-crypt (P-crypt) <[email protected]>0x5C63D713/0x591A1333 создан 01.03.2014 года.[/B]
к сожалению неизвестна, поэтому расшифровка файлов *.uncrpt@gmail_com на текущий момент невозможна.