Юрий,
выполните скрипт очистки системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.4 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\MOVCHANIV\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\DOCUME~1\MOVCHA~1\LOCALS~1\TEMP\2BB571E62A0EFC­8F5C053C7CC432B65C.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

[QUOTE]Михаил Борисович написал:
santy  ,Спасибо за помощь!
Подскажите, а есть ли возможность расшифровать файлы? читал в этой теме что Eset ведет работы над дешифратором.[/QUOTE]
надежнее всего сейчас не доводить дело до шифрования: локальные политики (запрет на запуск исполняемых из архивов), + регулярное создание архивных копий.

+
добавьте в список URl для блокирования:
(и периодически обновляйте его у ваших клиентов)

update:

[QUOTE][B]
*eurotecnicaservice.it*
*evacuator-vao.ru*
*euniversesystems.com*
*clover-d.com*[/B]
*centraljokmobil.com*
*rfsud.tk*
*faithbrowns.com*
*dolzhnik.tk*
*eisakubun.net*
*dwn.fdbgroup.su*
*teddyandalex.com*
*bit.ly/*
*is.gd/*
*skuawill.com*
*koopkernkieldrecht.be*
*boxdecoblog.com*
*ab-cdn-1.waw.pl*
*rulondon.ru*
*waveiscomingsoon.com*
*revault.me*
*vpscoke.com*
*icedullroar.ru*
*mercer-designs.com*
*celiklerkuruyemis.com*
*vanderputten.fr*
*chanasociety.com*
*hellobit.co*
*anglersparadise.info*
*meetfeli.net*
*oruzhkov.net*
*xn--e1aji5e.xn--p1ai/*
*янке.рф/*
*mbellrealty.com*
*askbasim.com*
*creative-metal.lv*
*polybutylenecarolina.com*
attach*.com*
attached-email.com*
download-attach.com*
letter-attachment.com*
jordinas.com*
deesidescouts*.org.uk*
*subqmail.com*
*unibk.com*
*integres.com*
*jimail.ru*
*kimail.ru*
*llmaill.ru*
*integraled.com*
*qyzc8.com*
*biz-sales.net*
*2theloo.co*
*hellobit.co*
*procyanide.com*
*twitterkeybtc.com*
*hukport.com*
[/QUOTE]

[B]как только будет решение по расшифровки enigma, мы сообщим об этом на форуме.[/B]

[QUOTE]Сергей Жидков написал:
Вот  [URL=http://rgho.st/7jbYqSWwT]образ[/URL] .[/QUOTE]

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
addsgn 1A92C69A5583D98CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 enigma

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\7BCE52B52919002BBF0C3083284C3357.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\TEMP\ENIGMA.HTA
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------

[QUOTE]Михаил Борисович написал:
Доброго времени суток!
Уважаемый  santy  , поймали шифровальщик .enigma , помогите с лечением
[URL=http://rgho.st/89hrxXmfx]образ[/URL] [/QUOTE]
по очистке системы выполните:


выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBGBGNHMFBCIFPKJOFOOJFPLMFKMAIADN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJGGBJBMNFMIPGCANIDAMJFPECHDEEKOI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DNBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOFDGAFMDEGFKHFDFKMLLFEFMCMCJLLEC%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPNOOFFJHCLKOCPLOPFFDBCDGHMIFFHJI%26INSTALLSOURCE%3D­ONDEMAND%26UC

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218\PLUGINS\FILESMASH

deldirex %SystemDrive%\PROGRAM FILES (X86)\TENCENT\QQPCMGR\10.10.16434.218

delref %Sys32%\DRIVERS\TSSKX64.SYS
del %Sys32%\DRIVERS\TSSKX64.SYS

delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\ILAMGBDAEBKBPKKMFMMFBNAAMKHIJDEK\4.0.25_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NBIFDKMDOJGMPMOPDEBNJCOBEKGDONCN\4.0.25_0\ПОИСК MAIL.RU
deldirex %SystemDrive%\USERS\NATALIA PETROVNA\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

[QUOTE]Сергей Жидков написал:
Вчера пришло письмо, сотрудник открыл (как у многих тут), итог, энигма. Endpoint Antivirus 5 со свежими базами не спас. Вчера же отправил запрос в ТП. Жду.[/QUOTE]
добавьте образ автозапуска зашифрованной системы

[QUOTE]сергей Кандрин написал:
вот файл для примера
если получится хотя бы его расшифровать , буду крайне благодарен
[URL=https://yadi.sk/d/LjXB9xNisq3w3]https://yadi.sk/d/LjXB9xNisq3w3[/URL] [/QUOTE]
это enigma
добавьте образ автозапуска с зашифрованной системы

Макс Коцур,
если сохранились копии зашифрованных файлов, выложите несколько файлов на форум. для проверки работы дешифратора.

Serdyuk Sergey,
пришлите в почту [email protected] в архиве с паролем infected, я проверю, может быть другой вариант.

сегодня видимо очередная активность enigma
https://www.virustotal.com/en/file/b75582b68116d873939a1c01f701db794c1a8d99c2a919be­c7bb5e5790ae15a2/analysis/

в рассылке документ js с добавленным в тело js закодированным, исполняемым шифратором.
сам исполняемый файл детектируется антивирусом, так что скорее всего со свежими базами пользователи ESET будут защищены от данного шифратора.

[QUOTE]Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация;Хэш
27.06.2016 18:47:51;Защита в режиме реального времени;файл;X:\viruses\shifr\encoder\исследовать\2100\ифнс_плановая_провер­ка\9fe6c7d4ab4b537066d36a2f62fd2fc5.exe;Win32/Filecoder.Enigma.E троянская программа;очищен удалением;***;Событие произошло в новом файле, созданном следующим приложением: C:\Program Files (x86)\Total Commander\TOTALCMD64.EXE (3B98508B0225B7636E31F42F8D01A0ACD95D76E3).;3034C102A2B6A4AABEB9ECC9C54BB4E4A515ACE9
[/QUOTE]