[QUOTE]Андрей Пинчук написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.[/QUOTE]
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS


[QUOTE]Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?[/QUOTE]

отправьте в почту [email protected] в архиве, с паролем infected

[QUOTE]Андрей Пинчук написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
возможно шифратор, если он активен,  с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.

да, файл шифратора в автозапуске еще.

по очистке системы выполните. (можно так же из безопасного режима системы)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296­71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414­0472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [email protected], [email protected]  
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP

задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.

Андрей,
можно в зараженной системе сделать из безопасного режима системы.

Руслан,

далее выполните рекомендацию по FRST (см. выше сообщение от RP55)
а так же кратко пишите, решены ли проблемы, о которых вы написали в первом сообщении, появились ли новые продлемы по ходу очистки системы.

[QUOTE]Андрей Пинчук написал:
Здравствуйте!
Точно такая же ситуация. Один из компьютеров организации поймал вирус-шифровальщик, скорее всего, через почту.
Есть активная лицензия на ESET Endpoint 5. Писал 2 раза в техподдержку через форму обратной связи в ответ ничего.
Какие действия нужно мне предпринять? Если я буду писать непосредственно в support@ , то это нужно делать с почтового ящика, на который приходили письма с продлением антивируса?[/QUOTE]
Андрей,
сделайте образ автозапуска системы для контроля и очистки системы,
возможно в системе еще активен шифратор.

[QUOTE]Максим Иванов написал:
Добрый день!
Поймали da_vinci_code

Расширения у файлов стали da_vinci_code

Помогите, пожалуйста!!![/QUOTE]
Максим,
система уже очищена от файлов шифратора.
по расшифровке, так же как и для всех:

[QUOTE]на сегодня и завтра расшифровке нет.
тем не менее
напишите в [email protected] при наличие лицензии на антивирус ESET
или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.[/QUOTE]

[QUOTE]Михаил Вершинин написал:
Здравствуйте, все файлы на компьютере зашифрованы с расширением da_vinci_code. Как восстановить файлы?
образ автозапуска системы по ссылке
[URL=http://rgho.st/7p9r2swyX]http://rgho.st/7p9r2swyX[/URL] [/QUOTE]
Михаил,
активности шифратора судя по образу уже нет.

по очистке системы выполните скрипт в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS
del %Sys32%\DRIVERS\{4530E639-76AB-4435-889D-A5E81AE090A4}GW64.SYS

delref %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS
del %Sys32%\DRIVERS\{733FB217-C049-41BA-9504-3F2045E61977}GW64.SYS

delref %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS
del %Sys32%\DRIVERS\{DC592624-F532-4311-9FC7-6920126FC404}GW64.SYS

delref %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS
del %Sys32%\DRIVERS\{F5D136D7-ADC2-4C84-85B2-E564334AB0BC}GW64.SYS

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС
deldirex %SystemDrive%\PROGRAM FILES (X86)\ADVANCEELITE\BIN

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по восстановлению данных помогут бэкапы (если они существуют)

по расшифровке:
на сегодня и завтра расшифровки по da_vinci_code нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.

судя по образу признаков заражения нет.
по очистке системы ТЕМПовых папок, а так же ссылок в реестре на отсутствующие файлы
можно выполнить такой скрипт.

иногда помогает стабилизировать работу системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

@Павел Андреевич,
активности шифратора уже нет в системе,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
hide %Sys32%\COMPAREVERS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\WUGSH8BZCUT.EXE

deldirex %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\ISTARTSURF

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT\\&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%­26UC%26LANG%3DEN-US&PROD=CHROME"?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAMFMNHCIPNBJJNBFMAOOOIOHIKIFEFK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGJCCKFPCNFMEGOHGPKHHJMDMGBLHBNB%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPALMGGEFDFEIKONGHAEONGKABMGCAGCO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.22.1_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\ADMIN\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\PROGRAM FILES (X86)\GLOBALUPDATE\UPDATE\1.3.25.0

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDDRIVE.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\ICLOUDPHOTOS.EXE

delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\APPLE\INTERNET SERVICES\APPLEPHOTOSTREAMS.EXE

del %SystemDrive%\PROGRAM FILES (X86)\OPERA\LAUNCHER.BAT

delref HTTP:\\WWW.MYSTARTSEARCH.COM\?TYPE=SC&TS=1441600387&Z=3F9A161FBA9534E486DEEBAG4ZFZ9GBQ2E1C­6T8OFC&FROM=CMI&UID=HITACHIXHDS721616PLA380_PVG904Z5T22G5VT2­2G5VX

delref %SystemDrive%\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\INTERNET­ EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\ОPЕRА.LNK

regt 27
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:
на сегодня и завтра расшифровке нет.
тем не менее

напишите в [email protected] при наличие лицензии на антивирус ESET

или соответственно в LK/DrWeb при наличие лицензии на антивирусы этих компаний.