Trojan-Ransom.Win32.Xorist.cf (заявка №107304)

Пользователь обратился [URL=http://virusinfo.info/911test]в сервис 911[/URL], указав на следующие проблемы в работе его компьютера:
Вчера компьютер был заражён несколькими вирусами в том числе Trojan-Ransom.Win32.Xorist.cf.
Сегодня произвёл полное сканирование и нашёл:
Trojan.Win32.Swisyn.bezg
Trojan.Win32.Agent.hvad
Trojan-Dropper.Win32.Cidox.all
Trojan-Ransom.Win32.Xorist.cf
Trojan.Win32.Scar.enfo
Trojan-Dropper.Win32.Cidox.adn
Trojan-Ransom.Win32.Mbro.sr
Trojan-Ransom.Win32.Xorist.cf
Trojan-Downloader.Win32.Tiny.crm
Trojan.Win32.Agent.hvaq

Всё было успешно вылечено, но ночью Trojan-Ransom.Win32.Xorist.cf успел зашифровать файлы на жёстком диске.

Пробовал XoristDecryptor.exe версия 2.1.4.0

Вот его лог:

2011/08/18 10:16:39.0448 1764 Trojan-Ransom.Win32.Xorist decryptor tool 2.1.4.0 Jul 31 2011 19:52:18
2011/08/18 10:16:41.0464 1764 ================================================================================
2011/08/18 10:16:41.0464 1764 SystemInfo:
2011/08/18 10:16:41.0464 1764
2011/08/18 10:16:41.0464 1764 OS Version: 5.1.2600 ServicePack: 3.0
2011/08/18 10:16:41.0464 1764 Product type: Workstation
2011/08/18 10:16:41.0464 1764 ComputerName: INVISIBLE
2011/08/18 10:16:41.0464 1764 UserName: user
2011/08/18 10:16:41.0464 1764 Windows directory: C:\WINDOWS
2011/08/18 10:16:41.0464 1764 System windows directory: C:\WINDOWS
2011/08/18 10:16:41.0464 1764 Processor architecture: Intel x86
2011/08/18 10:16:41.0464 1764 Number of processors: 2
2011/08/18 10:16:41.0464 1764 Page size: 0x1000
2011/08/18 10:16:41.0464 1764 Boot type: Normal boot
2011/08/18 10:16:41.0464 1764 ================================================================================
2011/08/18 10:16:41.0464 1764 Initialize success
2011/08/18 10:17:16.0764 1456 Can't init decryptor
2011/08/18 10:17:28.0937 2668 Can't init decryptor
2011/08/18 10:17:35.0594 3608 Can't init decryptor
2011/08/18 10:17:37.0766 0364 Can't get encrypted file path
2011/08/18 10:18:34.0147 3476 Can't init decryptor
2011/08/18 10:19:26.0493 1308 Can't init decryptor
2011/08/18 10:20:21.0745 1676 Can't init decryptor
2011/08/18 10:21:39.0998 0192 Deinitialize success
Дата обращения: 18.08.2011 10:38:59
Номер заявки: [URL=http://virusinfo.info/911test/?action=case_show_directions&case_id=107304]107304[/URL]

[B]18.08.2011 11:30:04[/B] на зараженном компьютере были обнаружены следующие вредоносные файлы:
[LIST=1][*] [B]C:\\WINDOWS\\system32\\hpbprtmon.dll[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 180224 байт[*] дата файла: 14.07.2011 20:28:10[*] версия: "0.3.1282.589"[*] копирайты: "© Copyright 2011 HPDC"[/LIST][*] [B]C:\\Documents and Settings\\vezhenkov\\Local Settings\\Temp\\_uninst_76197603.bat[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 197 байт[*] дата файла: 18.08.2011 10:54:06[/LIST][*] [B]C:\\Documents and Settings\\vezhenkov\\Application Data\\csrss.exe[/B] - [URL=http://www.securelist.com/ru/find?words=Trojan-Dropper.Win32.Agent.fqzl]Trojan-Dropper.Win32.Agent.fqzl[/URL]
[LIST][*] размер: 52736 байт[*] дата файла: 01.05.2011 15:38:34[*] версия: "6.0.216.5"[*] копирайты: "Copyright © 2010"[*] детект других антивирусов: DrWEB 6.0: Зловред Trojan.DownLoader4.43046[/LIST][*] [B]C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запуск Microsoft Office Outlook.lnk.EnCrYpTeD[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 792 байт[*] дата файла: 18.08.2011 1:31:48[/LIST][*] [B]C:\\Documents and Settings\\vezhenkov\\Application Data\\Microsoft\\Internet Explorer\\Quick Launch\\Запустить обозреватель Internet Explorer.lnk.EnCrYpTeD[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 815 байт[*] дата файла: 18.08.2011 1:31:48[/LIST][*] [B]C:\\Documents and Settings\\vezhenkov\\Главное меню\\Программы\\Автозагрузка\\Create virtual drive for Denwer.lnk.EnCrYpTeD[/B] - подозрительный, обрабатывается вирлабом
[LIST][*] размер: 889 байт[*] дата файла: 18.08.2011 1:32:06[/LIST][/LIST]