Владимир Романов,
система очищена уже от дел шифратора,

по расшифровке документов напишите в [email protected] при наличие лицензии на антивирус ESET

данная угроза детектируется антивирусом ESET
Время;Модуль сканирования;Тип объекта;Oбъeкт;Bиpуc;Дeйcтвиe;Пoльзoвaтeль;Информация
11.12.2015 21:29:28;Защита в режиме реального времени;файл;X:\viruses\shifratory\исследовать\23\Filecoder\Сч-фактура №975.js;JS/TrojanDropper.Agent.NBG троянская программа;очищен удалением - изолирован;*-pc\*;Событие произошло при попытке доступа к файлу следующим приложением: C:\Program Files (x86)\Total Commander\TOTALCMD64.EXE.

судя по всему, перешли к новой тактике, присылают js без вложения в архив.

с расшифровкой будут проблемы.
добавьте образ автозапуска посмотрим что есть в автозапуске
http://forum.esetnod32.ru/forum9/topic2687/

Евгений,
перешлите вредоносное письмо в почту [email protected]
можно в архиве, с паролем infected

ясно, значит breaking_bad

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

вчера действительно была рассылка ВАУЛТ-а, возможно что так и есть, что зашифрованы были только офисные документы.

угу, приятная картинка, но лучше не увидеть такую на своем рабочем столе.

положительный результат - это очистка системы от вредоносных и нежелательных программ, которых на вашем компе было достаточно и больше.
теперь просто системе будет легче дышать, а сотруднику удобнее работать.

по расшифровке документов, напишите все таки какой был шифратор, или добавьте в сообщение один зашифрованных файл.(небольшого размера)

по второму образу:
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------

по расшифровке напишите в [email protected] при наличие лицензии на антивирус ESET

да, скорее всего это было тело шифратора, потмоу что вот этот файл является скорее всего файлом заставки

Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.BMP
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
Размер                      614654 байт
Создан                      10.12.2015 в 07:21:11
Изменен                     10.12.2015 в 07:21:11
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        8C59DF408CA3A1E7F51209F7EF3C73F9FE403B07
MD5                         AA48366134FBF6F44C28C588A65B739F
                           
Ссылки на объект            
Ссылка                      C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP

это подозрительная запись, возможно от шифратора, хотя самого файла сейчас уже нет


Полное имя                  C:\USERS\AUDITOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Имя файла                   {39B6FD42-8SKE-838D-9875-3YTA2897936Q}.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      HKLM\egaxecyom\Software\Microsoft\Windows\CurrentVersion\Run­\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}
{39B6FD42-8SKE-838D-9875-3YTA2897936Q}C:\Users\auditor\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\{39B6FD42-8SKE-838D-9875-3YTA2897936Q}.exe