Зашифрованы файлы с расширением cbf [not-a-virus:Downloader.Win32.ZxrLoader.d, not-a-virus:Downloader.Win32.ZxrLoader.c ]

Пришло на почту письмо от клиента с .rar архивом во вложении, я его распаковал и внутри архива был файл (значёк напоминал почтовый конверт),
при запуске которого я понял что стала устанавливаться какая то програма.
через програму установки и удаления программ Uninstall Tool я увидел что только что установилась и повдимому продолжала устанавливаться
какаято програма я указал, чтоб эта прога удалилась, и какие то файлы удалились и из реестра. Потом в процессе работы Антивирус Security
Essentials выдал что обнаружин троян, который Security Essentials как мне показалось заблокировал. А через некоторое время рабочие файлы стали
закодироваться с переименованием типа "[EMAIL="[email protected]"][email protected][/EMAIL] 1.2.0.0.id-RSTUVVWXXYYZZABBCDDDEFFGHHHIIJKKLMMM-18.11.2015 9......"
Зашифрованные файлы:
[URL]https://cloud.mail.ru/public/866A/ubrLdkFx2[/URL]
[URL]https://cloud.mail.ru/public/4R95/i78tNKAyY[/URL]
[URL]https://cloud.mail.ru/public/HzaS/FLYVbNR8N[/URL]
[URL]https://cloud.mail.ru/public/F5jc/P8nF7ViKm[/URL]
[URL]https://cloud.mail.ru/public/DNBL/hdzr4opRG[/URL]

Уважаемый(ая) [B]Vladimir-artdv[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\ProgramData\Schedule\timetasks.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\Program Files (x86)\explore.exe','');
DeleteFile('C:\Program Files (x86)\explore.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','pr');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ Maintance','command');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
DeleteFile('C:\ProgramData\Schedule\timetasks.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Schedule','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sCloudStatusCheck','command');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Secret Disk Maintance','command');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] отправьте по адресу [b][email protected][/b]
Полученный ответ сообщите здесь (с указанием номера KLAN)

Высылаю новые логи. Карантин прикрепил.

Получен ответ с почты Касперского

[KLAN-3370910923]

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит Антивирус с последними обновлениями.

loader.exe

Вредоносный код в файле не обнаружен.

С уважением, Лаборатория Касперского

"125212, Россия, Москва, Ленинградское шоссе, д.39А, стр.3 Тел./факс: + 7 (495) 797 8700 [url]http://www.kaspersky.ru[/url] http://www.viruslist.ru"

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Файл после сканирования MBAM

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Trojan.Agent.CK, C:\Windows\Setup\scripts\Активация NOD32.exe, , [5faeacd5038838febfd40c63b054c53b],
HackTool.Agent, C:\Windows\Setup\scripts\Активация Windows.exe, , [ff0e92ef8cff95a1cd375ebd14ed768a],
Trojan.Agent.Trace, C:\Windows\inf\UltraISO.inf, , [fa13ef92d6b5e056f86a00be6c97768a], [/CODE]

Подскажите как можно (какие есть варианты) восстановить испорченные рабочие файлы, те что закодировались с расширением[COLOR=#333333] .cbf [/COLOR]

С расшифровкой помогут только злодеи

Удаление в МВАМ выполнили?

Да удалил. Остались только три.

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, и его тоже прикрепите в следующем сообщении.

Сканирование от Farbar Recovery Scan Tool

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-1586665678-3693488221-3523105390-1000\...\Run: [AdobeBridge] => [X]
2015-11-19 01:09 - 2015-11-19 01:09 - 00000000 ____D C:\Device
2015-11-18 09:47 - 2015-11-18 09:47 - 0000081 _____ () C:\Program Files (x86)\BWRQCPAOUH.WNI
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении!
[list][*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[/list]

Fixlog готов

C расшифровкой не поможем

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\programdata\program status\scheck.exe - [B]not-a-virus:Downloader.Win32.ZxrLoader.c[/B] ( DrWEB: Adware.Zaxar.6, BitDefender: Trojan.Generic.11651466 )[*] c:\programdata\schedule\timetasks.exe - [B]not-a-virus:Downloader.Win32.ZxrLoader.d[/B] ( DrWEB: Trojan.DownLoad3.34005, BitDefender: Gen:Variant.Zusy.107268 )[/LIST][/LIST]