Помогите пожалуйста с расшифровкой файлов da_vinci_code [not-a-virus:WebToolbar.Win32.CrossRider.apew, Trojan.NSIS.GoogUpdate.br ]

Было открыто вложение в письме, вирус зашифровал файлы (изменил расширение на *.da_vinci_code).
Прошу помочь с расшифровкой файлов.
Если есть возможность помочь, оплатим все требуемые услуги.
Спасибо!

Уважаемый(ая) [B]wize[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Выполните скрипт в AVZ
[code]begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Program Files (x86)\Crazy Shopperama\crazy_shopperama_helper_service.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\newSI_4396\s_inst.exe','');
QuarantineFile('C:\Program Files (x86)\shopping blast\shopping_blast_notification_service.exe','');
QuarantineFile('C:\Program Files (x86)\shopping blast\shopping_blast_updating_service.exe','');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe','');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe','');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe','');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe','');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-codedownloader.exe','');
TerminateProcessByName('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe');
QuarantineFile('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe','');
DelBHO('{11111111-1111-1111-1111-110611091100}');
QuarantineFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-bho.dll','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\iSmileg\iSmileg.exe','');
QuarantineFile('C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe','');
QuarantineFile('C:\ProgramData\Program status\scheck.exe','');
QuarantineFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\yeebf.dll','');
QuarantineFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\BuilderCall.dll','');
TerminateProcessByName('c:\programdata\schedule\timetasks.exe');
QuarantineFile('c:\programdata\schedule\timetasks.exe','');
TerminateProcessByName('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe');
QuarantineFile('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe','');
TerminateProcessByName('c:\programdata\windows\csrss.exe');
QuarantineFile('c:\programdata\windows\csrss.exe','');
DeleteFile('c:\programdata\windows\csrss.exe','32');
DeleteFile('c:\programdata\schedule\timetasks.exe','32');
DeleteFile('c:\users\Александр\appdata\roaming\newsi_4396\s_inst.exe','32');
DeleteFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\BuilderCall.dll','32');
DeleteFile('C:\Users\Александр\AppData\Local\Builder Call\Bin\yeebf.dll','32');
DeleteFile('C:\ProgramData\Program status\scheck.exe','32');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Client Server Runtime Subsystem');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','sCloudStatusCheck');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Schedule');
DeleteFile('C:\Users\Александр\AppData\Roaming\eTranslator\eTranslator.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\iSmileg\iSmileg.exe','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','iSmileg Update');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','eTranslator Update');
DeleteFile('C:\Users\Александр\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-bho.dll','32');
DeleteFile('c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\HD+V1.0-codedownloader.exe','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe','32');
DeleteFile('C:\Program Files (x86)\HD+V1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5.job','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-4.job','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-3.job','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-11.job','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-1.job','32');
DeleteFile('C:\Windows\Tasks\1ryjndTXRPJml5X.job','32');
DeleteFile('C:\Windows\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5_user.job','32');
DeleteFile('C:\Windows\Tasks\crazy_shopperama_helper_service.job','32');
DeleteFile('C:\Windows\Tasks\newSI_4396.job','32');
DeleteFile('C:\Windows\Tasks\shopping_blast_notification_service.job','32');
DeleteFile('C:\Windows\Tasks\shopping_blast_updating_service.job','32');
DeleteFile('C:\Program Files (x86)\shopping blast\shopping_blast_updating_service.exe','32');
DeleteFile('C:\Program Files (x86)\shopping blast\shopping_blast_notification_service.exe','32');
DeleteFile('C:\Users\Александр\AppData\Roaming\newSI_4396\s_inst.exe','32');
DeleteFile('C:\Program Files (x86)\Crazy Shopperama\crazy_shopperama_helper_service.exe','32');
DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-1','64');
DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-11','64');
DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-3','64');
DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-4','64');
DeleteFile('C:\Windows\system32\Tasks\69292938-2d26-4bd9-a091-99576ab8366a-5','64');
DeleteFile('C:\Windows\system32\Tasks\Builder Call','64');
DeleteFile('C:\Windows\system32\Tasks\CpbUHtNQyt','64');
DeleteFile('C:\Windows\system32\Tasks\crazy_shopperama_helper_service','64');
DeleteFile('C:\Windows\system32\Tasks\newSI_4396','64');
DeleteFile('C:\Windows\system32\Tasks\shopping_blast_notification_service','64');
DeleteFile('C:\Windows\system32\Tasks\shopping_blast_updating_service','64');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/code]Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ
[code]begin
CreateQurantineArchive('c:\quarantine.zip');
end.[/code][b]c:\quarantine.zip[/b] пришлите по красной ссылке [color="Red"][u][b]Прислать запрошенный карантин[/b][/u][/color] [b]над первым сообщением[/b] в Вашей теме.

[B][COLOR="Red"]Выполните правила ЕЩЕ РАЗ и предоставьте НОВЫЕ логи[/COLOR][/B]

Спасибо за ответ!
Карантин и новые логи отправил.

Сделайте лог [url="http://virusinfo.info/showthread.php?t=53070&p=1104657&viewfull=1#post1104657"]полного сканирования МВАМ[/url]

Лог MBAM

Удалите в МВАМ все, [B]кроме[/B]
[CODE]Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|TNOD UP, "C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe" /i, , [2f5e5e9a6b2e90a6f2db3f281ce8936d]

Trojan.Agent.CK, C:\Program Files\ESET\TNod User & Password Finder\TNODUP.exe, , [2f5e5e9a6b2e90a6f2db3f281ce8936d],
Trojan.Agent.CK, C:\Program Files\ESET\TNod User & Password Finder\uninst-tnod.exe, , [a4e9f3052079de5804c92344a65e39c7], [/CODE]

Удалил.
Для меня главное возможность расшифровки файлов, систему можно и переустановить.
Расшифровать возможно?

[quote="wize;1385222"]Расшифровать возможно?[/quote]С нашей помощью - нет

Спасибо за работу!
А кто может расшифровать, можете порекомендовать?

Только сами злодеи

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\program files (x86)\crazy shopperama\crazy_shopperama_helper_service.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.anss[/B] ( BitDefender: Adware.Mplug.KB )[*] c:\program files (x86)\hd+v1.0\hd+v1.0-bg.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Adware.Crossrider.AT )[*] c:\program files (x86)\hd+v1.0\hd+v1.0-bho.dll - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Ky9@myIXKuei )[*] c:\program files (x86)\hd+v1.0\hd+v1.0-codedownloader.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Iu1@mmYk1nnO, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-11.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.3v1@m4TEnwjO, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-3.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.3v1@m4TEnwjO, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-4.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Adware.Crossrider.AV, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\hd+v1.0\69292938-2d26-4bd9-a091-99576ab8366a-5.exe - [B]Trojan.NSIS.GoogUpdate.br[/B] ( DrWEB: Trojan.Crossrider1.29480, BitDefender: Gen:Application.Heur.Eu1@myw8TthO, AVAST4: Win32:Adware-gen [Adw] )[*] c:\program files (x86)\shopping blast\shopping_blast_notification_service.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.apew[/B] ( DrWEB: Trojan.Crossrider1.24381, BitDefender: Gen:Variant.Adware.Mikey.10000 )[*] c:\program files (x86)\shopping blast\shopping_blast_updating_service.exe - [B]not-a-virus:WebToolbar.Win32.CrossRider.apwk[/B] ( BitDefender: Adware.Crossrider.DT )[*] c:\programdata\program status\scheck.exe - [B]not-a-virus:Downloader.Win32.ZxrLoader.c[/B] ( DrWEB: Adware.Zaxar.6, BitDefender: Application.WPT )[*] c:\programdata\schedule\timetasks.exe - [B]not-a-virus:Downloader.Win32.ZxrLoader.d[/B] ( DrWEB: Trojan.DownLoad3.34005, BitDefender: Application.WPT )[*] c:\users\александр\appdata\local\builder call\bin\buildercall.dll - [B]not-a-virus:AdWare.Win32.CrossRider.ahdj[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\александр\appdata\roaming\ismileg\ismileg.exe - [B]not-a-virus:WebToolbar.Win32.eTranslator.a[/B] ( AVAST4: Win32:Dropper-gen [Drp] )[*] c:\users\александр\appdata\roaming\newsi_4396\s_inst.exe - [B]not-a-virus:AdWare.Win32.MediaMagnet.c[/B] ( DrWEB: Trojan.Fakealert.47162 )[/LIST][/LIST]