+
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE

hide %Sys32%\CPLDAPU\BLUESCREENVIEW.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\CRYPT.EXE
zoo %SystemDrive%\PROGRAM FILES\GORN\GORN\DNS_BABLO.VBS
;------------------------autoscript---------------------------

chklst
delvir

setdns Подключение по локальной сети 2\4\{7C88CC64-CE53-4F69-87DE-2E6726CB5AB0}\8.8.8.8,8.8.4.4
delref {DBC80044-A445-435B-BC74-9C25C1C588A9}\[CLSID]

delref HTTP:\\WWW.JAHSHAKA.ORG

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

dnsreset
CZOO
restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

эта программа вам известна?
[QUOTE]C:\Program Files\Gorn\Gorn\[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delall %SystemDrive%\USERS\ALIENWARE\APPDATA\ROAMING\LPPKXS.EXE
delall %SystemDrive%\USERS\ALIENWARE\APPDATA\LOCAL\YANDEX\UPDATER2\­BROWSERMANAGERSHOW.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

[B]де[/B]шифратор, если есть (или будет) на то добрая воля человека, заплатившего 3 бтк (целое состояние!) можно выложить на обменник, например [URL=http://rghost.ru]http://rghost.ru[/URL] и дать ссылку на него для всех желающих погрызть гранит криптологии.
можно так же добавить пару файлов, из тех что были зашифрованы, чтобы проверить работу данного дешифратора.

[B]Encoder.102 /DrWeb/Filecoder.NAM[/B]
зашифрованный файл имеет расширение *[URL=mailto:[email protected]_116][email protected]_116[/URL]
пример зашифрованного файла:
[URL=mailto:[email protected]_116][email protected]_116[/URL]

исполняемый файл, скорее всего доставляется в почту во вложении по всем правилам соц_инженерии:
ПОСТАНОВЛЕНИЕ СУДА.EXE.
[QUOTE]Полное имя C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\ПОСТАНОВЛЕНИЕ СУДА.EXE
Имя файла                   ПОСТАНОВЛЕНИЕ СУДА.EXE
Тек. статус                 ВИРУС в автозапуске [Запускался неявно или вручную]
                           
Статус                      ВИРУС
Сигнатура                   Encoder.102 [глубина совпадения 64(64), необх. минимум 8, максимум 64]                                                    
Доп. информация             на момент обновления списка
SHA1                        240229E216F70C4E3CC29B3BF6C79F36884DCA55
MD5                         8049FEA2BE222D4A44629B25F78751F5                            
Ссылки на объект            
Ссылка                      C:\DOCUMENTS AND SETTINGS\user\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА
                           [/QUOTE]
процесс шифрование завершается заставкой:

[IMG WIDTH=513 HEIGHT=386]http://s020.radikal.ru/i707/1501/6d/294b03f6f455.png[/IMG]

пробуйте из безопасного режима создать образ автозапуска.
(без проверки цифровых подписей)

если так же будет вылетать с ошибкой,
выполните проверку в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

1. на вашем компе шифратор прекратил свою работу, поэтому риска нового шифрования нет.
2. если есть общие папки, которые доступны для записи другим пользователям в вашей сети, тогда возможно шифрование повторится, в случае если другой комп будет заражен подобным шифровальщиком.
рекомендации будут такие:
(можете переслать этот текст вашим коллегам)

[B]Уважаемые руководители и сотрудники![/B]

По прежнему (и далее, скорее всего будет еще более) актуальна проблема заражения локальных и сетевых ресурсов шифраторами.

принцип работы шифраторов:
приходит письмо(составленное по всем правилам соц_инженерии), на первый взгляд будто действительно адресовано Вам и от доверенного (или известного) адресата.
например с таким содержанием:
ознакомьтесь с архивом документации по судебному иску в качестве свидетеля по делу.... и т.п.

[IMG WIDTH=800 HEIGHT=177]http://s017.radikal.ru/i419/1501/5d/e2855b0900e5.jpg[/IMG]
сообщение содержит архивное вложение, как правило(rar или zip)
например: Архивная документация  о привлечении  в качестве свидетеля по гражданскому делу №233669.zip

в архиве может быть документ с длинным наименованием и видимой иконкой (соответственно doc, pdf, xls и др),

на самом деле, в архиве может быть вложен исполняемый файл с расширением: .bat, .cmd,.exe, .com, .js, .hta, .pif, .scr

иногда в письме может быть добавлена ссылка на файл, который необходимо выкачать из сети.
---------------
[COLOR=#f16522]если уж вы решили все таки запустить ([/COLOR][B][COLOR=#f16522]неизвестный вам)[/COLOR][/B][COLOR=#f16522] исполняемый файл из архива, [/COLOR][B][COLOR=#f16522]прежде всего[/COLOR][/B]
[COLOR=#f16522]проверьте его антивирусом, но лучше всего выполнить комплексную проверку на [/COLOR][URL=http://virustotal.com][COLOR=#f16522]http://virustotal.com[/COLOR][/URL]
---------------

при открытии этого документа из вложенного архива, (или из архива, скаченного по ссылке из сети)
на самом деле запускается исполняемая программа (с указанным расширением), которая выкачивает из сети необходимые файлы
и запускает процесс шифрования ваших документов.
при этом шифруются документы (doc, docx, xls, xlsx, pdf, jpg, и др.) на вашем персональном компьютере, а [B]так же на всех сетевых и съемных дисках[/B],
которые будут подключены в данный момент.
------------

чтобы этот процесс не случился на вашем компьютере, обратите внимание на следующие моменты:

1. на вашем компьютере обязательно должен быть установлен антивирус.
(если не установлен антивирус - сообщите в вашу техническую поддержку или администратору.)

2. антивирус должен быть в актуальном состоянии, с регулярным обновлением антивирусных баз;

3. вложенные документы, которые приходят в почту (pdf, doc, xls, jpg) не могут быть малого размера, даже в архиве.
4. документы не могут иметь расширение [B].bat, .cmd,.exe, .com, .js, .hta, .pif, .scr[/B]
5. не пересылайте это сообщение вашим коллегам с просьбой посмотреть что там за вложение, которое не открывается на вашем компьютере.
перешлите данное сообщение для проверки в администратору

6. не забываем классику. (песенку персонажей Алисы и Базилио из "Приключения Буратино";)

[IMG WIDTH=640 HEIGHT=355]http://s018.radikal.ru/i517/1501/06/28b257c4f5e6.png[/IMG]

7. документы зашифрованные (подобными методами) скорее всего не получится расшифровать. (или придется ждать недели и месяцы, пока будет найдено решение по расшифровке).
Если не будет копий ваших документов, вы можете потерять результаты вашей работы в течение нескольких лет.
А значит [B]регулярно выполняйте создание копий ваших документов [/B]и храните их во возможности отдельно от вашего компьютера.

8. если вы обнаружили, что ваши файлы не открываются и имеют странное и длинное расширение, то самое опасное [B]уже произошло[/B], и процесс шифрования запущен.
  в этом случае, необходимо сразу выключить компьютер, сообщить об этом (инциденте) администраторам. и ждать проверки вашей системы.

добавьте образ автозапуска
[URL=http://forum.esetnod32.ru/forum9/topic2687/]http://forum.esetnod32.ru/forum9/topic2687/[/URL]

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
[URL=http://forum.esetnod32.ru/forum9/topic10570/]http://forum.esetnod32.ru/forum9/topic10570/[/URL]

да, заставку надо еще удалить, чтобы не пугала, и не садилась на рабочий стол.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
delall %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\FOXMAIL.BMP
CZOO
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
все архивы ZOO которые созданы в программе uVS отправьте в почту, сюда
[URL=mailto:[email protected]][email protected][/URL]