[QUOTE]Наталья Ко написал:
[QUOTE] santy написал:
[QUOTE] Наталья Ко написал:
Добрый вечер. Нам прислали такую "бяку", которая напакостила и зашифровала документы.
Сможете ли вы помочь мне их вернуть в нормальное состояние?
Во вложении зашифрованный и нормальный.
Также могу отправить "бяку", скажите куда.[/QUOTE]доброе утро,
а где вложенные файлы?
файлик шифратора в архиве с паролем infected вышлите в почту  [URL=mailto:[email protected]][email protected][/URL] [/QUOTE]Отпавила.[/QUOTE]
Наталья - это Spora. на сегодня она один из лидеров по зашифровке файлов, начиная с 2017 года.
И без возможности расшифровать файлы, без мастер-ключей, которое есть только у владельцев этого шифратора.

[QUOTE]Дмитрий ______ написал:
Странно что антивирусных компаний нет,  а вот у этих ... есть
Прислали расшифрованных файл. Как такое возможно в чем подвох?[/QUOTE]
расшифровать один файл вы можете бесплатно и без посредников. в записки о выкупе мошенников указаны адреса сайтов, куда можно обращаться.
тем самым они подтверждают, что у них есть ваш ключ для расшифровки всех файлов, и этот ключ обойдется вам в немалую копеечку.

если же вы обратитесь за помощью в расшифровке к указанным выше посредникам, они возьмут с вам ту же самую "копеечку" за ключ, + % за свою "тяжелую работу по расшифровке".

да, вышлите в почту [email protected] в архиве с паролем infected

по очистке системы:
поскольку у вас установлен другой антивирус, сделайте полную проверку системы он_лайн сканером
http://download.eset.com/special/eos/ESETOnlineScanner_RUS.exe

по расшифровке файлов не поможем.

Марат,
а какой смысл переспрашивать.
ясно ведь написано в двух сообщениях.
(повторный образ
   WIN2008NEW_2017-02-15_12-45-37.7z (470.53 КБ)
не нужен)

по win2008:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML
del %SystemDrive%\USERS\KUZMINA.A.A\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RU500-BDXRA-ROTEK-RTZTF-ZRKXT-AAZEG-GTFRX-KYYYY.HTML
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

для тщательной очистки системы обновите базы антивируса и выполните полное сканирование системного диска.

если сохранилось сообщение с вредоносным вложением,
вышлите в почту [email protected] в архиве, с паролем infected

Марат,
судя по образу файлов шифратора уже нет в системе, по крайней мере нет в списке автозапуска.

(это по comp15)

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\ORBITUM\APPLICATION\O­RBITUMUPDATER\ORBITUMUPDATER.EXE

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGDLJKKMGHDKCKHAOGAEMGBGDFOPHKFCO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DKEKDLKMDPIPIHONAPOLEOPFEKMAPADH\2.0.2.11_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PNJKKCOJFMPFPDOALEGLKKGHGMBGKOBC\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

для тщательной очистки системы обновите базы антивируса и выполните полное сканирование системного диска.

----------------------
по расшифровке документов не поможем.

по образу автозапуска:
активности шифратора уже нет.

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\AOJOECKCMJGHLCHNNENFKBFLNDBEPJPK\8.22.5_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_1\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\СЕКРЕТАРЬ\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

delref %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\LOCAL\GOOGLE\CHROM­E\USER DATA\DEFAULT\EXTENSIONS\GEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE\1.2.9.0_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке:
при наличие лицензии на антивирус ESET напишите в [email protected]
(в настоящее время расшифровки нет).

[QUOTE]Наталья Ко написал:
Добрый вечер. Нам прислали такую "бяку", которая напакостила и зашифровала документы.
Сможете ли вы помочь мне их вернуть в нормальное состояние?
Во вложении зашифрованный и нормальный.
Также могу отправить "бяку", скажите куда.[/QUOTE]
доброе утро,
а где вложенные файлы?
файлик шифратора в архиве с паролем infected вышлите в почту [email protected]

[QUOTE]Дмитрий Иванов написал:
[QUOTE] santy написал:
пробуйте решить проблему через переустановку антивируса.[/QUOTE]Это первое, что мне пришло на ум. Потом я решил спросить тут.
Подскажите, где взять последнюю 8-ю вервию ESS? Иначе придется качать отсюда:
[QUOTE] santy написал:
судя по скриншоту у вас пробная версия.[/QUOTE]Это имеет значение?[/QUOTE]

добавьте лог ESET sysinspector
http://forum.esetnod32.ru/forum9/topic10701/

судя по скриншоту у вас пробная версия.
пробуйте решить проблему через переустановку антивируса.