Троян-Шифровальщик

Здравствуйте!
Мой компьютер был заражен одной из версий трояна encoder. В названии большинства файлов появилось дополнительное .JYCvs , при попытке открытия возникает экран с предложением заплатить в течении 7 дней иначе файлы будут удалены.(см. скриншот) При нажатии "оплатить" появляется предложении проверить настройки соединения и отключить файрволл(также на скриншоте).

-Приложение отвечающее за появление этого окна называется 7day, соответствующий процесс (он исчезает при закрытии окна и появляется при попытке открыть файл) называется 8Cqbd.exe, он хранится вместе с конфигурационным файлом в папке Program Files в директории (по-видимому, созданной самим трояном)auF2. Содержимое папки- в приложенном архиве auF2.rar .

-Также в system32 прописался процесс system.exe, постоянно активный. Присоединить папку с ним к сообщению здесь почему-то не получается.

-файлы архивов .zip .rar и рисунки .png не были зашифрованы

Я запустил сканирование Nod32, обнаружилось два трояна, затем после перезагрузки Нод обнаружил еще один (логи в приложенном файле Nod32logs.txt).
Затем я запустил быструю проверку Cureit! в безопасном режиме. Вирусов обнаружено не было, однако было обнаружено и исправлено изменение файла HOSTS.
Следует ли удалить программу 8Cqbd.exe и можно ли восстановить зашифрованные данные?
Буду крайне благодарен за рекомендации и помощь, спасибо.

Уважаемый(ая) [B]polniy_p[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uKOA\I4PGc\LQSbOe.exe','');
QuarantineFile('C:\WINDOWS\system32\machineupdate32.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\netprotocol.exe','');
QuarantineFile('C:\Documents and Settings\1\Application Data\mrpky.exe','');
TerminateProcessByName('c:\windows\system32\ukoa\i4pgc\system.exe');
QuarantineFile('c:\windows\system32\ukoa\i4pgc\system.exe','');
DeleteFile('c:\windows\system32\ukoa\i4pgc\system.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\mrpky.exe');
DeleteFile('C:\Documents and Settings\1\Application Data\netprotocol.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Netprotocol');
DeleteFile('C:\WINDOWS\system32\machineupdate32.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Windows Debugger 32');
DeleteFile('C:\WINDOWS\system32\uKOA\I4PGc\LQSbOe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

Файлов mrpky.exe и netprotocol.exe в Application Data нет, зато есть файл 79.exe , созданный одновременно с остальными вирусными файлами. Добавить его в скрипт карантина?
P.S. на форуме есть еще одна тема с абсолютно аналогичными симптомами [url]http://virusinfo.info/showthread.php?t=117783[/url] .

Выполняйте то, что Вам написали, а не занимайтесь самодеятельностью!!!