Вирус зашифровал файлы

[gorbik5]

Подцепили вирус, который зашифровал файлы. Иконка файла стала в виде буквы Ж на черном фоне, тип файла "П****а всем файлам", фоном рабочего стола картинка с фотографией и предложением отправить 1000 руб. на Яндекс деньги. Примерно каждые 3-4 минуты компьютер стал уходить в перезагрузку. Стоит свежий NOD32, но он тревоги не поднимал.

Cure It в безопасном режиме нашел и удалил следующее:

mssfc.dll Trojan.WinSpy.440
sdra64.exe Trojan.PWS.Panda.122
sfcfiles.dll Trojan.WinSpy.440
bp_20[1].exe Trojan.Packed.682
rdl1E.tmp.exe Trojan.Packed.682
svchost.exe Trojan.Packed.19692
npsBF8.tmp JS.DownLoader.85
Free_update.exe Trojan.Packed.19692
CSCA1.DLL Trojan.Encoder.64
activate_file (1).exe Trojan.Hosts.109
activate_file.exe Trojan.Hosts.109
activation (1).exe Trojan.Hosts.109
activation.exe Trojan.Hosts.109

Перезагрузки прекратились, но файлы остались зашифрованы. Логи приложены. Помогите, пожалуйста, расшифровать файлы.

[CyberHelper]

1. Пожалуйста, выполните скрипт AVZ:

Код:

begin
 QuarantineFile('ACDV.dll', 'CHQ=N');
 QuarantineFile('DevDetect.exe', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\Twain_32\Samsung\SCX4600\IMFilter.dll', 'CHQ=G');
 QuarantineFile('c:\windows\twain_32\samsung\scx4600\scan2pc.exe', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\Twain_32\Samsung\SCX4600\scantopc.dll', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\ssmgr.cpl', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\wbem\svchost.exe', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys', 'CHQ=N');
 QuarantineFile('C:\WINDOWS\system32\Drivers\SSPORT.sys', 'CHQ=N');
 QuarantineFile('C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\btcpl.cpl', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\bthcrp.dll', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\drivers\btserial.sys', 'CHQ=G');
 QuarantineFile('C:\WINDOWS\system32\drivers\btslbcsp.sys', 'CHQ=G');
 QuarantineFile('c:\program files\widcomm\bluetooth software\bin\btwdins.exe', 'CHQ=G');
 BC_QrFile('C:\WINDOWS\system32\wbem\svchost.exe');
 BC_QrFile('C:\WINDOWS\system32\DRIVERS\C7xUSBX3.sys');
 BC_QrFile('C:\WINDOWS\system32\Drivers\SSPORT.sys');
 BC_QrFile('C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm');
 ExecuteWizard('TSW', 3, 3, true);
 BC_Activate;
 RebootWindows(true);
end.

В ходе выполнения скрипта компьютер перезагрузится.
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

[pig]

Ага, зверь известный:

CSCA1.DLL Trojan.Encoder.6

Это обнадёживает. Попробуйте отсюда утилиты te*decrypt.exe

[gorbik5]

1. Пожалуйста, выполните скрипт AVZ:
...
2. Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
3. В протоколе обнаружено много неопознанных файлов, рекомендуется выполнить http://virusinfo.info/index.php?page=uploadclean

2. Загрузил (100222_094859_virus_4b8228db82ac5.zip)
3. Выполнил и загрузил (100222_095148_virusinfo_files_GORB_4b8229848f70b. zip)

Это обнадёживает. Попробуйте отсюда утилиты te*decrypt.exe

А которую из них? Или взять несколько файлов и на них все попробовать - глядишь какая-нибудь и расшифрует?

UPD Попробовал все - не расшифровывают

[pig]

Тогда обращайтесь за помощью сюда.

[gorbik5]

Тогда обращайтесь за помощью сюда.

Там все еще забавнее. Разгорелась какая-то дискуссия между пользователями форума. А вот про расшифровку как было непонятно, так и осталось

[pig]

Сухой остаток:

Если я правильно понял, Вирлаб выдаст Вам расшифровщик взамен на заявление в милицию.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены