Спасибо за помощь! Антивирус теперь работает штатно.

Благодарю за ответ. Выполнил то, что вы указали. Странно, что после обновления до последней верии Антивируса возникла проблема с запуском службы.

Нужно было поставить антивирус на компьютер. Ранее там был только "Защитник Windows".
С помощью CureIT удалось избавиться от активной зловредной деятельности, однако остались хвосты в системе. В частности, при установки ESET Antivirus выдало ошибку MSI 1303. Почитав ваш форум посмотрел содержимое папок Program Files, Program Files(x86) и ProgramData. Там были созданы папки по названию антивирусов различных компаний. Удалив их, Eset установился. Теперь хотелось бы убедиться, что ничего не осталось в системе. Помогите, пожалуйста.

Образ и скриншот CureIT приложил.

santy,
1) привычка из других форумов.
2) со стороны да. Выглядит всё запутанно.
3) Да, но как вижу, скрипт вычищает из автозагрузки системы подгрузку вирусов из сети. Вручную это лучше не делать, как я понял.
4) ОГромное спасибо!
5) Вот по последнему - есть ли какие хвосты?
6) понял..

[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
[/QUOTE]
Я так понял, что скрипт по первому образу автозапуска из сообзщения 312 вы до сих пор не выполнили?
правильно?[/QUOTE]
Ещё пока не сделал.
[QUOTE]santy написал:
судя по второму образу этот файлик на месте.
[QUOTE]Полное имя C:\PROGRAMDATA\WINDOWS\CSRSS.EXE
Имя файла                   CSRSS.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
RUN.LIST                    (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (1)]
RUN                         (ССЫЛКА ~ \CURRENTVERSION\RUN\)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
SHIFR.LIST                  (ССЫЛКА ~ \RUN\CLIENT SERVER RUNTIME SUBSYSTEM)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     5795639761000
Linker                      6.0
Размер                      956483 байт
Создан                      22.03.2016 в 11:24:19
Изменен                     26.10.2016 в 11:46:55
                           
TimeStamp                   25.07.2016 в 00:55:51
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               проверка не производилась
                           
Версия файла                1.50.2
Описание                    PS3 Media Server
Продукт                     PS3 Media Server
Copyright                  
Производитель               A. Brochard
Комментарий                
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Не_типичен для этого файла [имя этого файла есть в известных]
                           
Доп. информация             на момент обновления списка
SHA1                        61DFEC318DAC5309AD5627DA716A3F1EA2194B60
MD5                         2B6BC30E37B7B919D5D1187CE633C339
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1352719698-2803580862-2519816203-1429\Software\Microsoft\Windows\CurrentVersion\Run\Client Server Runtime Subsystem
Client Server Runtime Subsystem"C:\ProgramData\Windows\csrss.exe"
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
я вижу у вас свое мнение по этому поводу. Ну-ну.[/QUOTE]
Уже нет этого файла. И UAC окон больше не появляется. Я обязательно выполню скрипт, только сделаю копию всего ЖД на всякий случай.
Второй образ автозапуска я делал до того, как убрал csrss.

И те два файла я в архивах RAR на флешке на рабочем компе антивирусом ESET со свежими базами проверил - детект есть.
-----
Не стал умничать...
По времени первый образ до скрипта. Второй - после. Скрипт выполнил самый последний только последние две команды местами поменял. ZOO*.7z файл есть  Отправил на оба, указанных вами, почтовых ящика.

[QUOTE]santy написал:
1. по теневым копиям.
как проверить.
используйте shadowExplorer
[URL=http://www.shadowexplorer.com/downloads.html]http://www.shadowexplorer.com/downloads.html[/URL]
но прежде чем восстанвить что-то из теневых копий (если они сохранились), надо точно знать, что в системе нет уже активного шифратора.
поэтому.
2. добавьте лог выполнения скрипта uVS.
файл дата_времяlog.txt
+
добавьте новый образ автозапуска.[/QUOTE]
1. Поэтому теневые копии пока не трогаю. Последняя надежда на них.

2. У меня сомнение в чистоте двух файлов.
1) C:\users\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\roamingrbq51.exe
2) C:\PROGRAMDATA\WINDOWS\CSRSS.EXE

Размер у файлов одинаковый и иконка одна - как у установщиков INNO. Пока что не применял скрипт, который вы выслали ранее, но эти файлы выцепил из системы. Они у меня в архивах. На моём рабочем компьютере антивирус ESET определяет эти оба файла как NSIS/Injector.HV
В безопасном режиме сделал ещё один образ автозагрузки. Теперь от имени заражённого пользователя.

Кстати, у пользователя сменились обои. Теперь и там требование денег. Файл с рандомным значением в имени. 475395B1475395B1.bmp

[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
возможно шифратор, если он активен,  с каждым новым запуском в системе пытается проверить наличие теневых копий, и удалить их.
если UAC у вас был включен на момент шифрования, возможно шифратор в процессе шифрования не смог удалить теневые копии, так что проверьте: живые они или нет.[/QUOTE]
Есть надежда, что живы (см. скриншот). Или они в другом месте хранятся?[QUOTE]santy написал:
[QUOTE] Андрей Пинчук написал:
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.[/QUOTE]
здесь поясните.
шифрование флэшки было до рекомендации по очистке в uVS из безопасного режима?
если есть сомнения в очистке системы, сделайте новый образ автозапуска, и добавьте лог выполнения скрипта.
это файл дата_времяlog.txt из папки, откуда вы запускали uVS
[QUOTE]Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?[/QUOTE]
отправьте в почту [URL=mailto:[email protected]][email protected][/URL] в архиве, с паролем infected[/QUOTE]
1) После. Вначале я систему запустил в безопасном режиме, НО от имени пользователя, который локальный админ. uVC при запуске написал, что загружен реестр 6 пользователей.
2) сделал.

[QUOTE]Андрей Пинчук написал:
[QUOTE]
[/QUOTE]
Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.[/QUOTE]
Кроме того. Пока выполнял указания техподдержки вирус зашифровал данные на загрузочной флешке. Так что вирус всё ещё активен.

Кроме того. Сегодня утром в почтовый ящик организации прилетело ещё одно письмо с шифратором. Во вложение два файла: пустой rtf и js файл с кодом, похожим на шифратор. Куда можно отправить указанные файлы?

[QUOTE]santy написал:
да, файл шифратора в автозапуске еще.

по очистке системы выполните. (можно так же из безопасного режима системы)

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[CODE]
;uVS v3.87.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE
addsgn 7300A398556A1F245CBE8EEE57137A04A58AFC7FD5DE0BBFC1E7D58CF296­71C57F33DFA82BE11D092B7F912FC656499C40D9E8064489584B1C77A414­0472251B 8 da_vinci_code

zoo %SystemDrive%\PROGRAMDATA\WINDOWS\CSRSS.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL

delref HTTPS://LAREVANTE.COM/F6D3BVD/BOL57.EUP

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBEJNPNKHFGFKCPGIKIINOJLMDCJIMOBI%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DBHJCGOMKANPKPBLOKEBECKNHAHGKCMOO%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDKEKDLKMDPIPIHONAPOLEOPFEKMAPADH%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFDJDJKKJOIOMAFNIHNOBKINNFJNNLHDG%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (файл по формату: ZOO_yyyy-mm-dd_hh-mm-ss.rar/или 7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

поскольку в системе был добавлен левый прокси.
LAREVANTE.COM/F6D3BVD/BOL57.EUP

задачи на компе здесь серьезные.
имеет смысл подумать о смене паролей в инете, поскольку трафик шел через левый прокси.[/QUOTE]
Заявка в техподдержке - № 1125441
delref %SystemDrive%\USERS\ДАНИЛИНА.INCRGP\APPDATA\ROAMING\JGUPMKO.DLL
Файл был удалён проверкой DrWeb. Загрузка была сделана с флешки. Этот файл классифицировался как вирус - Trojan.PWS.Spy.ХХХХХ цифры уже не помню.

Когда выполнял указания техподдержки ESET по сбору данных для отправки, запустил компьютер в обычном режиме с входом в пользователь, который запустил инфекцию (от сети отключен физически). В карантине никаких данных по вирусу нет. При этом через некоторое время появилось окно UAC с просьбой разрешить запуск программы для управления теневыми копиями файлов. В подробностях видно было, что это запрос на удаление теневых копий.