[QUOTE]A Degtyarev написал:
Шифрование, скорей всего, уже закончено. Есть просто слабая надежда, что в системе остались ключи шифрования.[/QUOTE]
ок, можно и так, отключить комп от сети, и сделать образ автозапуска
минут через 30 буду

[QUOTE]Arslan Gaipberdyyew написал:
В локалке на все ПК стоит антивирус Nod32 локалка у нас под доменом.

Каким образом можно отловить тот самый компьютер с которого все распространяется??[/QUOTE]
1. проверьте, кто является владельцем файла, когда он попадает в расширенную папку.
2. если ваши сервера доступны из внешней сети, то возможно, что через сетевую атаку, используя уязвимость системы, попадает майнер,

integr*: файл очищен.
[QUOTE]Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\NSMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           
[/QUOTE]

metbugat* - чисто.

prinect* очищено

[QUOTE]Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           
[/QUOTE]

ras* очищено

[QUOTE]Полное имя C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\CNMINER\IMG001.EXE
Имя файла                   IMG001.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
SHORTCUT                    C:\USERS\PRINECT.METBUGAT\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RUN.LNK
                           
[/QUOTE]

[QUOTE]Arslan Gaipberdyyew написал:
Я эти вирусы в ручной чистил вчера при помощи сканера ПК Nod File security
Но в течении дня они снова вылезут в расшаренных папках.[/QUOTE]
возможно, на каком-то из серверов или компутеров в локальной сети есть активное заражение, которое распространяется по расшаренным ресурсам.
надо определять источник заражения. или один из компов,
или это результат сетевой атаки, в этом случае необходимо установить обновление MS-2017-010, возможно именно эту уязвимосить эксплуатируют при сетевой атаке.

[QUOTE]Arslan Gaipberdyyew написал:
Сделайте лог программы
[URL=http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download]http://eset.ua/ru/products/utils/sysinspector?scroll_to_id=download[/URL]

Не могли бы вы показать как при помощи этой утилиты сделать лог?
Я не пользовался данной утилитой поэтому прошу Вас помочь.[/QUOTE]
сложностей там нет.
просто запускаете sysinspector и ждете завершения создания лога, потом надо будет созданный журнал сохранить.

bu* все чисто
cp-sever: здесь очищен файл, скорее всего антивирусом, остался только ярлык запуска.
[QUOTE]Полное имя C:\USERS\ARSLAN\APPDATA\ROAMING\IMAGES\IMAGE.EXE
Имя файла                   IMAGE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
STARTUP.EXE                 (ССЫЛКА ~ \START MENU\PROGRAMS\STARTUP)(1)   AND   (ИМЯ ФАЙЛА ~ .EXE)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске [Запускался неявно или вручную]
Инф. о файле                The system cannot find the file specified.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
SHORTCUT                    C:\USERS\ARSLAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IMAGE.LNK
[/QUOTE]
сейчас проверю другие.
cp-srv1 : чисто.

загрузочный диск можно скачать отсюда.
https://mega.nz/#!pAtgTCLL!-xrFBQDh42PUW8BDxxDtJt9o5WLohwyaBwHPKHLhBGA

после того как будет выложен образ, сразу напишем скрипт очистки от шифратора.
с расшифровкой все сложнее, но возможно теневые копии сохранились.
(после очистки можно проверить: живые они или нет)

A Degtyarev,
если шифрование еще не закончилось, то при включении компа в сеть, шифрование может быть продолжено,
поэтому, или снять системный диск и подключить к чистой машине, и снять образ с зашифрованной системы,
или сделать образ автозапуска используя загрузочный диск Winpe&uVS

в таком случае сделайте глубокое сканирование системы с очисткой штатным антивирусом.

либо архив некорректно скачался, либо в системе есть еще файловый вирус, который заражает start.exe.
если есть такая возможность,
попробуйте из безопасного режима еще раз распаковать архив
и еще раз создать образ автозапуска
----------
либо вы не распаковали архив, и запускаете start.exe прямо из архива.