+
добавьте лог сканирования малваребайт из предыдущего соообщения (#7). в формате txt

[QUOTE]Выполнил полную проверку в малваребайт найдено 144 вредоносных обьекта поместил в карантин,система требует перезагрузки.[/QUOTE]

советы по предупреждению и профилактике заражений Ransomware
https://chklst.ru/discussion/1566/sovety-i-rekomendacii-po-preduprezhdeniyu-i-profilaktike-ransomware
https://chklst.ru/discussion/1579/kak-zaschitit-i-obezopasit-kompyuter-ot-vymogateley

Сергей,
в начале теме есть ссылки на описание Spora, так что я думаю, вы уже в курсе, что расшифровать файлы без мастер-ключа, которым шифруется информация о сессионных ключах, созданных на стороне пользователя невозможно.

если необходима помощь в очистке системы, добавьте образ автозапуска системы для проверки.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[QUOTE]Сергей Бренев написал:
Здравствуйте, прилетел вирус с почты, открыли и зашифровались файлы с расширением *no_more_ransom.  
Образ автозагрузки системы во вложении
 
[/QUOTE]
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296­71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414­0472251B 28 No_more_ransom

;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DHDPGLLBNILFCBCKBDCHJCFGOPIJGLLCM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://WWW.QIP.RU/

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected], [email protected]  
------------

далее,
поскольку у вас установлен другой антивирус  -выполните полную проверку системы с помощью он_лайн сканера ESET
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

по расшифровке не поможем.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
addsgn 1AF7349A5583338CF42BFB3A88999F40D9DA948A8BBB1F12853CD0385097­71C9E363D43FAA57DC49D4F57860539E49BB7D5A28065025C524D2A72FCA­9AC577F8 8 Adware.Wombat.8 [DrWeb]

zoo %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
addsgn 9252771A1C6AC1CC0B44584EA34FAA522F8ACF3FC13348FB483C2EB2C046­E1DCA91185DF39129C925E870F81C5F8B5EBA6AD05CA54DAB02C2CACD128­4C18A19D 8 Win32/Filecoder.NBJ [ESET-NOD32]

unload %SystemDrive%\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\BIKAQRSSREADER\BIKAQ.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\-\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL
del %SystemDrive%\USERS\-\APPDATA\ROAMING\WINSAPSVC\WINSAP.DLL

delref HGSTXHTS541010A7E630_S0A001SSGXHYRKGXHYRKX.EXE
delref HTTP://D2BUH1BF1G584W.CLOUDFRONT.NET/MSI/REL.PHP?U=HGSTXHTS541010A7E630_S0A001SSGXHYRKGXHYRKX&V=2017212
deldirex %SystemDrive%\USERS\-\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGBJEIEKAHKLBGBFCCOHIPINHGAADIJAD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAM FILES (X86)\BULILY\KONOGHSTUQTAINMODULE.DLL
del %SystemDrive%\PROGRAM FILES (X86)\BULILY\KONOGHSTUQTAINMODULE.DLL

delref %SystemDrive%\USERS\-\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Артем,
добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

Иван Петров,
судя по образу файлов шифратора уже нет.
по расшифровке файлов обращайтесь в [email protected] при наличие лицензии на антивирус ESET.
(на сегодня расшифровки по споре нет)

[QUOTE]Konstantin написал:
Здравствуйте, прилетел вирус с почты, открыли и зашифровались файлы с расширением *no_more_ransom.
Образ автозагрузки системы во вложении.[/QUOTE]
файлов шифратора уже нет в автозапуске.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGCIFLJFAPBHGIEHKJLCKFJMGEOJIJCB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLBJJFIIHGFEGNIOLCKPHPNFAOKDKBMDM%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\CHROMEDEFAULTDATA\EXTENSIONS\BGCIFLJFAPBHGIEHKJLCKFJMGE­OJIJCB\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\CHROMEDEFAULTDATA\EXTENSIONS\EIODDFAEPDOEIFBHJPHFEFGIPC­JCDIEO\7.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\CHROMEDEFAULTDATA\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMK­HIJDEK\4.0.25_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\CHROMEDEFAULTDATA\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJ­MCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\ЭКСПЕРТ\APPDATA\LOCAL\UNITY\WEBPLAYER

; OpenAL
exec C:\Program Files\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке, при наличие лицензии на продукты ESET напишите в почту [email protected]
(в настоящее время расшифровки нет.)

[QUOTE]Геннадий Дежников написал:
Здравствуйте, коллеге по почте прилетел шифрователь, образ:[/QUOTE]
сорри, пропустил вчера образ,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIAGET2\MEDIAGET­-UNINSTALLER.EXE
addsgn 9252771A116AC1CC0B44554E33231995AF8CBA7E8EBD1EA3F0C44EA2D338­8D5DF8652EEF3F559D492A5BF198CD08CA1481CE336395DB6B5F26028CA4­D985CC8F 14 Win32:FakeSys-BF [PUP]

addsgn A7679BF0AA028C9F2BD4C6FBA7E81261848AFCF689AA7BF1A0C3C5BC5055­9D24704194DE5BBDAE92A2DD78F544E95C42A8FFE82BD6D7A0390C775BAC­CA123752 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
addsgn 1AEF719A5583CC8CF42B5194FCF95505AEC7089200F71F7885C39CE30F88­2AC7C64A92A5FDDED0B9184D767756E3B6058F36328DAA253B61C14469DD­2FF9D68C 8 Adware.HPDefender

zoo %SystemDrive%\USERS\AIVANOV\APPDATA\ROAMING\GAMELAUNCHER\SEV­ILER\SEVILER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://TOPSNOTE.RU/ALONSM

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEIODDFAEPDOEIFBHJPHFEFGIPCJCDIEO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DICANJJKADCEEBMHANPEKKOFDHCLNOIJL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIFLPPBJNPNEIIGCBDFJPNKEBIDMKJMOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPPOILMFKBPCKODOIFDLKMKEPCAJFJMHL%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIAGET2

delref %SystemDrive%\USERS\AIVANOV\APPDATA\ROAMING\MYDESKTOP\QWEEEC­L.EXE

delref HTTP:\\HELLO.LIMBBO.RU\OFFERS\RU.CSV

delref HTTP://NATSIMA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=4E8C9050D51EBFF187B4E21DDD852E­D8&UTM_TERM=ED90F0FC6FAA9CA0031DFE0631CACC9A&UTM_D=20160816

delref %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\HOST SERVICE\LAUNCHALL.JS

deldirex %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\TSERVERINFO

deldirex %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\ISERVERINFO

deldirex %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2\USER_SEARCH\SSERVERINFO

deldirex %SystemDrive%\USERS\AIVANOV\APPDATA\LOCAL\MEDIA GET LLC\MEDIAGET2

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------