@Semen Sherstnev,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\MARTACHAKOVA.MARINA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGOMEKMIDLODGLBBMALCNEEGIEACBDMKI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.
при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

Константин Соболев,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF2­65B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD­8506CA66 8 Ransom:Win32/Troldesh.A [Microsoft]

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\SECRETAR\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3D­ONDEMAND%26UC

; Java™ 6 Update 26
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216026FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке:

сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

это оставьте в мбам,
[QUOTE]Файлы: 5
RiskWare.IStealer, C:\ProgramData\KMSAutoS\bin.dat, , [3fa9b1e84357ce68ca71e55bcf33d828],
RiskWare.IStealer, C:\ProgramData\KMSAutoS\bin\KMSSS.exe, , [19cf9bfeeab041f5cc6f94acd52d6f91],
[/QUOTE]
остальное удалите,

далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Ilya Khokhlov написал:
Лицензии на ESET, к сожалению нет, я уже пенсионер и сами понимаете, финансовые возможности мои ограничены..
[/QUOTE]
Илья,
надо просто сопоставить риски и затраты:
потратить 1-1,5 тыс в год на лицензию и получить безопасность вашей системы и данных.
потратить 0рублей на безопасность и получить счет на 22 000рублей за восстановление ваших данных.

@Санжар Газизов,
а если скачать новый дистр 6.4 с оф. сайта, и переустановить вместо 6.2?

Виктор,
активности шифратора уже нет, хотя остались еще в системе файлики шифратора.

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
addsgn 7300AF98556A1F275D83C49157254C8C49AEE431CDDE0F481783C5353CF2­65B33623B3173E3D9CC92B807B8AFA6609FA2820FDDE279AB04624D41CBD­8506CA66 8 Ransom:Win32/Troldesh.A [Microsoft]

zoo %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\ROAMINGKES.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deldirex %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCALLOW\UNITY\WEBPLAYER­\LOADER

deldirex %SystemDrive%\USERS\НАТАЛЬЯ\APPDATA\LOCAL\SKYMONK2

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке:

4.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

@Санжар Газизов,
пробуйте обновить (или переустановить) антивирус до актуальной версии 6.4

[QUOTE]Ilya Khokhlov написал:
Глупо поймал по почте тоже "da_vinci_code". Просканировал и что-то поудалял SpyHunter 4, но очевидных изменений не вижу.

Буду благодарен за помощь и советы.[/QUOTE]
1. проверьте этот файл на http://virustotal.com
C:\WINDOWS\SQ931STI.EXE

2. файлов шифратора уже нет в системе.

3. по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.6 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\YANDEX\UPDATER\PRAETO­RIAN.EXE
addsgn 1AF67A9B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\MEDIAGET2\MEDIAGET.EXE
addsgn 1A65719A55839B8EF42B5194406C9105DAAF40530AFAE05DD96646BCAFF3­29E9A01748A86BDE71B65E886C1EB3E9B6A3201C638D00515C71C46AA42F­C7CADD56 8 mediaget

;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети\4\{1D5278C0-5E47-4A57-87FF-5E83DF3907DA}\8.8.8.8,8.8.4.4
deldirex %SystemDrive%\USERS\ILYA\APPDATA\ROAMING\BROWSER EXTENSIONS

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBOPAKAGNCKMLGAJFCCECAJHNIMJIIEDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\ELEX-TECH\YAC

delref %Sys32%\DRIVERS\{587CB346-A3D8-4884-B39B-F0ED918B6F96}GW64.SYS

del %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\XPOM\CHROME.BAT

del %SystemDrive%\IEXPLORE.BAT

del %SystemDrive%\USERS\ILYA\APPDATA\LOCAL\GOOGLE\CHROME\CHROME.BAT

del %SystemDrive%\AEROSOFT\LAUNCHER\AEROSOFTLAUNCHER.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\00_TITLE_AND_MENUS_747_400_V20.BAT

delref HTTP:\\HISAERCHE.RU

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\01_TAKEOFF_DATA_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\02_CRUISE_AND_FUEL_PLANNING_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\03_LANDING_PERFORMANCE_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\04_LIMITATIONS_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\05_NORMAL_PROCEDURES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\06_ABNORMAL_PROCEDURES_QRH_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\07_COCKPIT_OVERVIEW_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\08_AUTPILOT_FLIGHT_DIRECTOR_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\09_FLIGHT_TECHNIQUES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\10_PROCEDURES_PROFILES_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\11_AIRCRAFT_SYSTEMS_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\12_FMC_USERS_GUIDE_747_400_V10.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\PMDG_747_400_CHECKLIST.BAT

del %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT GAMES\MICROSOFT FLIGHT SIMULATOR X\PMDG\CHAPTER_00_747-8_DIFFERENCES.BAT

del %SystemDrive%\PROGRAM FILES (X86)\PROXY SWITCHER STANDARD\FIREFOX.BAT

del %SystemDrive%\GAMES\WORLD_OF_TANKS\WOTLAUNCHER.BAT

del %SystemDrive%\GAMES\WORLD_OF_WARPLANES\WOWPLAUNCHER.BAT

regt 28
regt 29
; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
4.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

[QUOTE]Ирина Черных написал:
ПОдхватили вирус da vinchi - файлы закодированы

Образ автозапуска  [URL=http://rgho.st/7j7rH2ZPD]http://rgho.st/7j7rH2ZPD[/URL]

Подскажите что делать и код[/QUOTE]
Ирина, система уже очищена от тел шифратора.
сохраните документы из важных папок на отдельный носитель, и ждите решения по расшифровке.

при наличие лицензии на антивирус ESET сделайте запрос на расшифровку в [email protected]

[QUOTE]mike 1 написал:
[QUOTE] AD Wizard написал:
[QUOTE] santy написал:
по расшифровке документов пишите в   [URL=mailto:[email protected]][email protected][/URL] при наличие лицензии на антивирус ESET[/QUOTE]а что, появился дешифратор?[/QUOTE]Нет запроса - нет проблемы, нет проблемы - нет и дешифратора.[/QUOTE]
mike_1 все верно пишет. Есть лицензия на антивирус, пишите запрос в техподдержку по расшифровке в [B]любом случае[/B]. Нет на сегодня решения по расшифровке, это не значит, что вирлаб будет сидеть сложа руки. Будет поиск решения в любом случае.