после прекращения поддержки 2.7, базы еще как минимум в течение года поддерживались.

по enigma работа над дешифратором ведется, так что у нас как только, так сразу.

Сергей Гордеев,

по очистке системы выполните скрипт

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref /C ATTRIB -H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && COPY C:\WINDOWS\TEMP\2945843 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS /Y && ATTRIB +H C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS && ERASE C:\WINDOWS\TEMP\7441833.EXE

deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\КОВАЛЕВСКАЯ\LOCAL SETTINGS\APPLICATION DATA\UNITY\WEBPLAYER\LOADER

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DKFECNPMGNLNBMIPAOGFHOACOIOIFJGKO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delhst 37.10.117.105 wap.odnoklassniki.ru my.mail.ru m.vk.com
delhst 37.10.117.105 odnoklassniki.ru m.odnoklassniki.ru vk.com www.odnoklassniki.ru
delhst 127.0.0.1 antiblock.ru anonim.do.am timp.ru o.vhodilka.ru nezayti.ru jelya.ru

REGT 14

; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
по расшифровке файлов не поможем.
активных тел шифратора в системе сейчас нет, судя по образу автозапуска.

МАксим,
по очистке системы выполните скрипт:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\DRIVERS\CSRSS.EXE
addsgn 9252777A066AC1CC0BE4424EA34FFAB8058A1C24446148F1604E5998D027­8DB312D7936EE220660F6DD3ECBA7B3749ADFE1CEC213DE2C2212D2127EC­C35572B4 13 Win32/Filecoder.ED [ESET-NOD32]

addsgn 1AA70A9A5583348CF42B254E3143FE86C9AA77B381AC48128D9A7B1C5494­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Spy.Delf.PWC [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\NETWORKSERVICE\APPLICATION DATA\BFDECDDAC.EXE
zoo %SystemRoot%\BCIJEKE.EXE
zoo %SystemRoot%\ETLCQUFZ.EXE
zoo %SystemRoot%\FVPLTXFLJNH.EXE
zoo %SystemRoot%\UFQBCCGML.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\LOCALSERVICE\APPLICATION DATA\BFDECDDAC.EXE
addsgn 925277EA0C6AC1CC0B74484EA34FFEFF008AE174F74048F1604E5998D027­8DB312D7936EE220660F6DD3ECBCB13E49ADFE1CEC213DC81B232D2127EC­C35572B4 8 Win32/Filecoder.ED

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\CSRSS\CSRSS.EXE
addsgn 9A8865DA5582BC8DF42BAEB164C81205158AFCF6E1FA1F78C5C3C5BCB261­F4B4E12830129FB58F289D5BAA80461649FA7DDFE97255DAB02C2D77A42F­8963521C 8 Win32/Filecoder.ED [ESET-NOD32]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

regt 28
regt 29
; Java™ 6 Update 17
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216017FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
помимо шифратора в систему были установлены различные шпионские программы,
поэтому обязательно поменяйте все возможные пароли от почты, сайтов.

по расшифровки не поможем.
+
добавьте для контроля новый образ автозапуска.

имеет смысл включать защиту документов для проверки офисных документов (если отключена) на наличие вредоносных макросов.

[QUOTE]U:\DATA\test\акт возврата.doc множественные угрозы очистка невозможна
U:\DATA\test\акт возврата.doc = ZIP = word\vbaData.xml VBA/TrojanDropper.Agent.JB троянская программа очистка невозможна
U:\DATA\test\акт возврата.doc = ZIP = word\vbaProject.bin VBA/Obfuscated.C троянская программа очистка невозможна [/QUOTE]


[QUOTE]Column Name Value
Threat Id Threat ***
Client Name ***
Computer Name ****
MAC Address ****
Primary Server ****
Date Received 2016-06-22 17:17:42
Date Occurred 2016-06-22 17:14:28
Level Critical Warning
[B]Scanner Document protection[/B]
Object file
Name U:\DATA\test\акт возврата.doc » ZIP » word\vbaData.xml
Threat VBA/TrojanDropper.Agent.JB trojan
Action unable to clean
User *****
Information [/QUOTE]

Михаил Борисович,

по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1AA78B9A5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\ANYPROTECTEX

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJEDELKHANEFMCNPAPPFHACHBPNLHOMAI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D­1776E41AA8&TEXT={SEARCHTERMS}

delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=81321C3092FD4DF2E3020D­1776E41AA8&TEXT=

delref HTTP://WEBALTA.RU/SEARCH?Q={SEARCHTERMS}&FROM=IE

delref HTTP://WEBALTA.RU/SEARCH

delref %SystemDrive%\PROGRAM FILES\TOOLDEV342\WEATHERBAR\\TRACERSTOOLBARBHO_X64.DLL

deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\VOPACKAGE

delref %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JEDELKHANEFMCNPAPPFHACHBPNLHOMAI\1.0.7_0\ПОИСК MAIL.RU

deldirex %SystemDrive%\USERS\GARANIN ALEXANDER\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\VOPACKAGE

delref HTTP:\\SEARCHYACOM.RU

delref HTTP:\\HOME.WEBALTA.RU\?START&S=676EE3EE

; Weatherbar
exec MsiExec.exe /I{29EA77C2-07D6-44B0-B41D-053380B0C6F4} /quiet
; OpenAL
exec  C:\Program Files (x86)\OpenAL\openalweax.exe" /U
REGT 28
REGT 29

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

вообще говоря, с ваших слов, ESET вправе отказать вам в помощи по расшифровке данных.

[QUOTE]Александр Сычев написал:
santy, добрый день,  

подскажите как удалить оставшиеся после работы шифровальшика файлы со "слишком длинным именем"[/QUOTE]
выделите все файлы с расширением *.da_vinci_code

и сделайте копию данных на отдельный носитель. возможно через год-два будет дешифратор или опубликуют ключи для расшифровки.
потом уже можно удалить из системы зашифрованные файлы.

Александр Сычев,
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
OFFSGNSAVE
zoo %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETOR­IAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetotian

;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAM FILES (X86)\BONANZADEALSLIVE\UPDATE\1.3.23.0

delref %SystemDrive%\USERS\ДНС\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.19.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

deldirex %SystemDrive%\USERS\ДНС\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOA­DER

delref %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

скорее всего, xorist, но для получения ключа расшифровки нужна пара: чистый, зашифрованный файл. У вас здесь оба файла зашифрованы.