здесь прилетел в почту архив в вложением html
при открытие html перебрасывает на другую страницу и автоматически загружается в браузере  архив уже с вложением scr. Это как раз был шифратор da_vinci_code.
возможно в следующий раз будет уже *windows10
----------

Данзан Очиров,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemRoot%\DOEVWADMFQR.EXE
addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C5494­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32]

zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667858631.DLL
addsgn 9204749A556AA5990F89EBE4A7201305258A17AB3217E0877AC0183DBBD6­B14A23947E2A3A559D49A21DF99B4616467FBDDCE872D85F39282D77F4D0­520F2D73 8 Trojan.MulDrop6.35238 [DrWeb]

zoo %SystemRoot%\DOEVWADMFQR.EXE.1467655205724.DLL
zoo %SystemRoot%\LIBEAY32.DLL
zoo %SystemRoot%\DOEVWADMFQR.EXE.1467667863121.DLL
zoo %SystemRoot%\SSLEAY32.DLL
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\ACAEBFCDB.EXE
addsgn 1A93CC9A5583348CF42B627DA804DEC9E946307DC5DE1B8F44C0C5BC50A2­55C622940256BA95E907DC41879F46163C1578DFE872555714082D77A42F­4AA20673 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\QIP\QIP SHOT\QIPSHOT.EXE

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJDFONANKHFNHIHDCPAAGPABBAOCLNJFP%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMDELDJOLAMFBCGNNDJMJJIINNHBNBNLA%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MDEFNBCPJEFLGGGKIPFEMFCKJICCEIII\1.0_0\QIP AUTHORIZER

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PJFKGJLNOCFAKOHEOAPICNKNOGLIPAPD\1.2.9.1_0\СТАРТОВАЯ — ЯНДЕКС

delref HTTP://QIP.RU

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=4E7578F9AD2425A905EF47­8502EE6A0D&TEXT={SEARCHTERMS}

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавить в блок лист:
*filmdronereview.com*/da_vinci_code

Елена,
добавьте образ автозапуска системы, посмотрим что там не так

Елена,
версия браузера Firefox актуальная? пробуйте скачать актуальную версию и переустановить Firefox

[QUOTE]Руслан Измайлов написал:
А что делать теперь?[/QUOTE]
Система сейчас в каком состоянии после восстановления из точки? Если в рабочем, то продолжать работать дальше.
если все проблемы восстановились из точки, то сделайте новый образ автозапуска.

Денис Баранов,
добавьте пример зашифрованного файла + вопрос: когда случилось шифрование?

точка восстановления могла быть создана автоматически.

в безопасный режим можете загрузиться?

выполните наши рекоменации
http://forum.esetnod32.ru/forum9/topic12354/