Вирус-шифровальщик *[email protected]* [not-a-virus:Monitor.Win32.QuickEye.a, not-a-virus:Monitor.Win32.QuickEye.b ]

Добрый день! Прошу помочь в очистке от вируса-шифровальщика и расшифровке зашифрованных им файлов.
Вирус шифрует файл, рядом создает файл с именем из идентификатора и адреса [EMAIL="[email protected]"][email protected][/EMAIL]
Вирус работал примерно с вечера 05.10.2017 с 22:00. Предполжительно шифрует локальные файлы и доступные по сети.
На одном компьютере (1) испорчены локальные файлы на всех дисках, на флешках, у одного доменного пользователя.
На остальных компах испорчены только общие папки. На компьютере-сетевом хранилище (2) в логах указано подключение того же доменного пользователя. Из системного лога windows следует, что был удаленный вход через rdp на первый компьютер (1) того же доменного пользователя.
На всех компьютерах не обнаружены признаки активности вредоносных файлов. На компьютере (1) выполнили поиск * на c: всех файлов и сортировку по дате создания. Обнаружен вредоносный файл.
Upd. Детектируется Microsoft Essentials как Ransom:Win32/Pottieq.A. Перемещён. Лог-файл Автологгера - в приложении.
С уважением, Вячеслав.

Уважаемый(ая) [B]v.govorov[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Windows\system32\qeshrv.exe','');
QuarantineFile('C:\Windows\system32\qedrv.sys','');
QuarantineFile('C:\Users\anga\AppData\Roaming\MicrosoftHostHelper\Winlogin.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] темы.

Спасибо! Файлы нашли и заархивировали вручную, отправили по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \qedrv.sys - [B]not-a-virus:Monitor.Win32.QuickEye.b[/B][*] \qeshrv.exe - [B]not-a-virus:Monitor.Win32.QuickEye.a[/B][/LIST][/LIST]