Помогите расшифровать файлы [not-a-virus:Downloader.Win32.MediaGet.dpn, not-a-virus:RemoteAdmin.Win32.RAdmin.jh ]

Нужна помощь. Сегодня обнаружил что на терминальном сервере вирус зашифровал файлы и самоуничтожился оставив в каждой обработанной папке файл следующего содержания:
Внимание!
Если Вы читаете это сообщение, значит Ваш компьютер был атакован опаснейшим вирусом.
Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере была зашифрована с помощью самого криптостойкого алгоритма в мире RSA1024.
Все зашифрованые файлы имеют формат .EBF
Восстановить файлы можно только зная уникальный для вашего пк пароль.
Подобрать его невозможно. Смена ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная кода.
Не в коем случае не изменяйте файлы!
Напишите нам письмо на адрес [EMAIL="[email protected]"][email protected][/EMAIL] (если в течение суток вам не ответят то на [EMAIL="[email protected]"][email protected][/EMAIL]) чтобы узнать как получить дескриптор и пароль.
Папка C:\Program Files\Internet Explorer не зашифрована, там вы сможете запустить браузер.
Среднее время ответа специалиста 1-5 часов.
К письму прикрепите файл "КАК_РАСШИФРОВАТЬ_ФАЙЛЫ.txt".
Письма с угрозами будут угрожать только Вам и Вашим файлам!
НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

====================================================================
tkQqpPTs32fLoUDiATwOlnC5hVpiVMQY
====================================================================

Логи с сервера. Изучая папки пользователей обнаружил наличие файла "как_расшифровать_файлы" только в папке одного пользователя, поэтому предпологаю что заражение сервера произошло от клиенской станции в момент терминального сеанса
Нужны будут логи с рабочей станции? или того что находится во вложении достаточно
Drweb cureit обнаружил 3 угрозы на рабочей станции среди которых оказался svchost расположенный в папке с реестром - правда дата создания 14.01.2011

Уважаемый(ая) [B]ovf2008[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[quote="ovf2008;930776"]Drweb cureit обнаружил 3 угрозы на рабочей станции[/quote]
Заархивируйте в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

а логи в данном случае бесполезны.

cureit дну из угроз удалил после перезагрузки - два оставшихся файла и лог curiet в архиве

svchost.exe - not-a-virus:[COLOR="#FF0000"]RemoteAdmin.Win32.RAdmin.jh [/COLOR] как понимаю ставили не вы ?

[QUOTE=regist;930891]svchost.exe - not-a-virus:[COLOR=#ff0000]RemoteAdmin.Win32.RAdmin.jh [/COLOR]как понимаю ставили не вы ?[/QUOTE]

нет, причем расположен он на компьютере не по пути c:\windows\system32\ а папке c:\windows\system32\config (там где находятся файлы реестра) да и размер значительно больше стандартого

не уверен, что вы поняли вопрос поэтому перефразирую RAdmin вы ставили ?

- Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

зы. это на другом компьютере (не тот о котором речь в первом посте) ? если да, то создайте для него отдельную тему и укажите ссылку на эту.

Возможно с Вами списаться не через форум? Есть еще кое что для решения проблемы

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\virus\\antologiya_the_settlers_2008_rus_eng_repack.exe - [B]not-a-virus:Downloader.Win32.MediaGet.dpn[/B] ( DrWEB: Program.MediaGet.28 )[*] \\virus\\svchost.exe - [B]not-a-virus:RemoteAdmin.Win32.RAdmin.jh[/B] ( DrWEB: Program.RemoteAdmin, BitDefender: Trojan.Generic.5995439 )[/LIST][/LIST]