еще один вариант encoder.741 с "слегка припудренным носиком".
*[URL=mailto:[email protected]][email protected][/URL]

[IMG WIDTH=513 HEIGHT=386]http://s58.radikal.ru/i162/1502/5a/986f9bb29521.png[/IMG]

судя по банеру - [B]вариант Encoder.741,[/B] "слегка припудрили носик"

[IMG WIDTH=513 HEIGHT=386]http://s58.radikal.ru/i162/1502/5a/986f9bb29521.png[/IMG]
поменяли текст, почту.
архивное тело уже недоступно, чтобы проверить на Virustotal, кем оно детектируется на сейчас. если есть возможность - проверьте наличие тела в карантине сканера.
(черви-шифраторы в локальной сети, это уж слишком, хотя механизм размножения шифраторов через почту юзера (отправлялось тело вируса по контактам зараженного пользователя) был использован в бат-энкодере (*[URL=mailto:[email protected]][email protected][/URL]))

Вячеслав Ефимов,
вышлите в почту [URL=mailto:[email protected]][email protected][/URL] файл из вложения в архиве с паролем infected

можно ссылку дать на тему этого форума, в support да, обычным письмом. в [URL=mailto:[email protected]][email protected][/URL]
когда получите номер обращения, можно так же и позвонить, уточнить по возможности расшифровки данного вида шифратора.
-------
к сожалению, мы сейчас уже  перешли в другую реальность.
когда защитить и сохранить данные только средствами антивируса не представляется возможным.
нужны так же и другие механизмы защиты:
а именно:
1.резервное копирование данных.
2. настройка локальных политик ограничения запуска программ.
-----------
без этих инструментов вы будете постоянно подвергать опасности данные вашей компании.

кстати, в некоторых компаниях уже это практикуется,
когда один админ работает по антивирусной безопасности, другой - по резервному копированию и локальных политикам безопасности.

образ чистый. по расшифровке обращайтесь в [URL=mailto:[email protected]][email protected][/URL]
есть у них расшифровка для данного типа шифраторов или нет.

и не забываем о копиях данных.
файловый сервер без резервного копирования данных, это все равно что башни Близнецы (Всемирного торгового центра) в Нью-Йорке.

Alexey Veselov, спасибо,
теперь ESET детектирует  этот троян, как
ESET-NOD32     Win32/Filecoder.NAM
[URL=https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e064aa481e8e01dc7e/analysis/1422986153/]https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e064aa481e8e01dc7e/...[/URL]

судя по банеру, по наименованию зашифрованного файла, по имени шифратора в автозапуске, это вариант шифратора Encoder.741 (из серии *[URL=mailto:[email protected]][email protected][/URL], *[URL=mailto:[email protected]][email protected][/URL] и др.)

[IMG WIDTH=513 HEIGHT=386]http://s020.radikal.ru/i703/1502/37/c59f89aa816b.png[/IMG]

1. добавьте лог журнала обнаружения угроз
[URL=http://forum.esetnod32.ru/forum9/topic1408/]http://forum.esetnod32.ru/forum9/topic1408/[/URL]

2. выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %Sys32%\D3DADAPTER.DLL
delall %Sys32%\KBDMAI.DLL
;------------------------autoscript---------------------------

chklst
delvir

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

*[URL=mailto:[email protected]][email protected][/URL]
[IMG WIDTH=513 HEIGHT=386]http://s020.radikal.ru/i703/1502/37/c59f89aa816b.png[/IMG]
тело шифратора копируется после запуска в папку автозапуска
C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\СУДЕБНАЯ ПОВЕСТКА ПО ГРАЖДАНСКОМУ ДЕЛУ №18244.EXE
ссылка: C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
пример зашифрованного файла:
[URL=mailto:[email protected]][email protected][/URL]

скорее всего из серии: [URL=mailto:[email protected]]*[email protected][/URL], *[URL=mailto:[email protected]][email protected][/URL] , т.е. encoder.741

по результатам ВирусТотал:
Дата анализа:     2015-02-03 11:00:59 UTC ([B]4 часов, 3 минут назад)[/B]
DrWeb          ok 20150203
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32  ok       20150203
новый рескан:
[URL=https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e064aa481e8e01dc7e/analysis/1422976007/]https://www.virustotal.com/ru/file/497e19d71b843b686c67e858a5c0107b7d78b799e8f8d7e064aa481e8e01dc7e/...[/URL]

DrWeb     Trojan.DownLoader12.17448
Kaspersky     UDS:DangerousObject.Multi.Generic
ESET-NOD32         ок 20150203

[B]Alexey Veselov[/B], тело шифратора отправьте в [URL=mailto:[email protected]][email protected][/URL] + несколько зашифрованных файлов. на форум не надо выкладывать вирусы, только по ссылке на файлообменник в архиве, и с паролем.

заставки не было видимо потому что процесс шифрования не завершился.
1. если количество компьютеров в организации небольшое, так сделайте образы автозапуска на машинах, возможно найдем тело шифратора.
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

2. можно поискать по сети текстовый файл с подтекстом [URL=mailto:[email protected]][email protected][/URL]