Руслан,
если необходима помощь в очистке системы,
добавьте образ автозапуска: из безопасного режима системы или из под winpe

Виктор Никитюк,
добавьте образ автозапуска системы, на которую было совершено нападение (по сути разбойное) с шифрованием.

Руслан,
какой у вас тип шифрования?
можно загрузиться с Winpe и проверить систему, или создать образ автозапуска
http://forum.esetnod32.ru/forum27/topic2102/

[QUOTE]Vadim Stadnik написал:
Добрый день.
Так же столкнулись с этой проблемой. Пользователь получил письмо, запустил файл из вложения. Теперь все документы с расширением enigma.
Прикрепляю образ автозагрузки.
Заранее благодарны.[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA
del %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DABLPCIKJMHAMJANPIBKCCDMPOEKJIGJA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\AZS2\APPDATA\LOCAL\TEMP\72C77E7E635F0B28­BB8EC8E523DE479E.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

[QUOTE]Алексей Белоглазов написал:
Не получил ответа[/QUOTE]
102 сообщение
http://forum.esetnod32.ru/messages/forum35/topic13206/message94332/#message94332

Илья,
активных тел шифратора уже нет.
по ПК2 выполните очистку

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://SEARCH.QIP.RU/SEARCH?QUERY={SEARCHTERMS}&FROM=IE

delref HTTP://SEARCH.QIP.RU/IE

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке если есть важные файлы, и нет копий, сохраните зашифрованные файлы до лучших времен.
на отдельный носитель.
возможно они наступят.

[QUOTE]Женя Хан написал:
Здравствуйте! Зашифровал файлы шифратор Енигма! Создал образ автозапуска!!  Напишите скрипт для его очистки если он есть!  Ну подскажите когда ждать дешифратор, и какая вероятность что он поможет ?[/QUOTE]

по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.2
OFFSGNSAVE
zoo %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\USERS\KOMPROMISS.LS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке ждем вердикта вирлаба.

[QUOTE]Роман написал:
красный код, товарищи.
ещё нашел и отправил на safety, утреннее, не детектит до сих пор.
я бы отправлял больше данных, но многие вложения удаляются и их нет в карантине.[/QUOTE]
исполняемый, который загружается через js детектируется.

[QUOTE]Время;Модуль сканирования;Тип
объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш
11.08.2016 18:52:43;Фильтр
HTTP;файл;хттп*/scrwin.exe;Win32/Filecoder.ED
троянская программа;соединение прервано;***\***;Обнаружена угроза при
попытке доступа в Интернет следующим приложением: C:\Program
Files\Mozilla Firefox\firefox.exe
(EF0BE2E6772E96878E9E6825C7D97E3D2578E508).;AEF20CB9FB96E62083134B4366377EA223AC09C0[/QUOTE]

на этот случай, когда все пропало, надо восстанавливать из архива.
проверьте так же может что-то в теневых копиях осталось.

Женя,
нужен полный образ автозапуска, не список.
смотри все по инструкции как его сделать.