1. пробуйте запретить с помощью локальных политик ограниченного запуска программ запуск исполняемых файлов из архивов rar и zip.
как правило вложение распаковывается в temp и оттуда запускается.

2. это полезно прочесть
[URL=http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-]http://chklst.ru/forum/discussion/1474/shifrovirusy-shumnoy-tolpoyu-[/URL]

и

[URL=http://chklst.ru/forum/discussion/532/bat-encoder]http://chklst.ru/forum/discussion/532/bat-encoder[/URL]

им ничего не стоит изменить тело js, поэтому сигнатурный детект опять слетит.
а вот ссылку на загрузку файла надо было бы прислать в вирлаб и сюда, с тем чтобы заблокировали адрес.
может быть это был mail-attach.com?
--------
после завершения работы шифратора в автозапуске остается только запуск заставки и текста объявления.
сам шифратор (касается vault) повторно после перезагрузки не запускается.
--------
предыдущий вариант письма

[QUOTE]Добрый день!

К нам заявились налоговики с проверкой((
Мы уже второй день пытаемся найти некоторые первичные документы, касающиеся нашего сотрудничества.
Но в связи с переездом в новый офис, акты и несколько договоров между нами так и не были найдены.
Я составила список документов (во вложении). Прошу Вас помочь с их поиском...
Скиньте хотя бы скан-копии, а то мы влетим на штрафы.
Заранее большое спасибо!

Прикреплённые файлы:
<u>1. Список документов.zip</u>

--
С Уважением
Сотрудники бухгалтерии
ООО "Город Инструмента"[/QUOTE]

+
выполните скрипт для очистки от прокси

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI

delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------

1. настройки прокси в браузерах сами прописывали? если нет, то скорее всего троянский прокси.

[QUOTE]Полное имя [URL=HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI]HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI[/URL]
Имя файла                   [URL=HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI]HTTP://ECASTATS.COM/ROWS/UNIMPORTED2.RUI[/URL]
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
AUTOCONFIGURL               (ССЫЛКА ~ AUTOCONFIGURL)(1)   AND   (AUTOCONFIGURL ~ HTTP)(1)
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               [URL=http://ecastats.com/rows/unimported2.rui]http://ecastats.com/rows/unimported2.rui[/URL]
                           
Ссылка                      HKEY_USERS\S-1-5-21-1645522239-606747145-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoConfigURL
AutoConfigURL               [URL=http://ecastats.com/rows/unimported2.rui]http://ecastats.com/rows/unimported2.rui[/URL]
                           [/QUOTE]

2. восстановить зашифрованные данные из теневой копии не получится.

3. по расшифровке документов обращайтесь в технические поддержки вирлабов. ДрВеб, ESET, ЛК.
при себе иметь запас терпения, несколько зашифрованных файлов, а так же лицензию на соответствующий антивирус.

по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\UPDATER\PR­AETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

del %SystemDrive%\USERS\ВИКТОРИЯ\APPDATA\LOCAL\YANDEX\YANDEXBROW­SER\APPLICATION\BROWSER.URL
del %SystemDrive%\PROGRAM FILES (X86)\INTERNET EXPLORER\IEXPLORE.URL
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HELP.YANDEX.RU/YABROWSER/

setdns Подключение по локальной сети 3\4\{68521E10-FB52-495D-9948-EF31F04434DD}\8.8.8.8,8.8.4.4
regt 28
regt 29
; Adobe Flash Players 10.0
exec  C:\Program Files (x86)\Adobe Flash Players 10.0\unins000.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
по восстановлению данных проверьте возможность восстановить доки из теневой копии системного диска.
или можно выслать в почту [URL=mailto:[email protected]][email protected][/URL] id и пароль от Тимвьювера.
с указанием ссылки на вашу тему.

по расшифровке документов решения нет.

попытка, не пытка. если есть лицензия - отправьте файлы, пусть криптологи шифр ломают.

далее,

сделайте проверку в АдвКлинере
[URL=http://forum.esetnod32.ru/forum9/topic7084/]http://forum.esetnod32.ru/forum9/topic7084/[/URL]
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

выполните рекомендации:
[URL=http://forum.esetnod32.ru/forum9/topic3998/]http://forum.esetnod32.ru/forum9/topic3998/[/URL]
----------------

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\HOUSE\DORM\CRYPTS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://ISTART.WEBSSEARCHES.COM/?TYPE=HP&TS=1414471951&FROM=IRS&UID=ST1000DM003-9YN162_S1D1HN93XXXXS1...

; McAfee Security Scan Plus
exec C:\Program Files\McAfee Security Scan\uninstall.exe
; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenALwEAX.exe" /U
deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

+
добавьте логи в [URL=http://www.cyberforum.ru/viruses-faq/thread1362245.html][B]Farbar Recovery Scan Tool[/B][/URL][B][/B]

это отключите в Хроме

[QUOTE]Да Extension Internet Speed Tracker 12.9.6.8603 Default C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\cifndhjjchjamcecpjhpggeaacihcjnl\12.9.6.8603_0
Да    Extension    Search by Image (by Google)    1.5.1    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\dajedkncpodkggklbegccjpmnglmnflm\1.5.1_0
Да    Extension    Speed Dial 2 (ru)    1.2.5.11    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Да    Extension    Speed Dial 2 (ru)    1.2.5.11    Profile 1    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\joejifmlepfojlkjdehljakdmhlpnlfo\1.2.5.11_0
Нет    Extension    Speed Dial 2.0 RUS    2.0.3    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\iiokoipacignlilkidmpbfcfdopijpma\2.0.3_0
Да    Extension    View Image Info (properties)    0.0.1.1    Default    C:\Users\Hamurari\AppData\Local\Google\Chrome\User Data\Default\Extensions\jldjjifbpipdmligefcogandjojpdagn\0.0.1.1_0[/QUOTE]
пишем результат