Зашифрованы файлы, точная версия вируса неизвестна

[Antinomy]

Девочка словила вирус, зашифровавший все файлы xls, jpg, pdf, doc. Удалось найти несколько файлов до и после и сравнить. Вот архив с ними:
http://rusfolder.com/33366121

Ситуация схожая с http://virusinfo.info/showthread.php...l=1#post894084
Отчёт по вирусу вот: https://www.virustotal.com/file/b7a6...a975/analysis/

Видно, что каждые 400h заменялись 15 байт на значение 55h. В конце запись в 646 байт. Из них 600 - 5 блоков по 120 байт, представляющие в зашифрованном виде пять испорченных кусков. Затем 46 байт служебной информации. Последний байт говорит, сколько блоков испорчено (5), 45 - это 5 записей по 9 байт, описывающие, где находится блок и 3 или 4 байта (нулевой байт блока всегда равен 00, как и другие байты, скорее всего разделители, так что нельзя выяснить) служебной информации (на зашифрованный кусок не влияющие).

Могу выложить и самого зловреда, если кто в разборке силён. Ну и буду постить, что нашлось, чтобы другие могли мысли озвучить.

Самые важные xls можно поднять, восстановив заголовок zip-архива, так что катастрофы с данными нет. Но надеюсь кому-то помочь, да и люблю красивые решения проблемы.

[Info_bot]

Уважаемый(ая) Antinomy, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[thyrex]

Какой ID просят указать?

[Antinomy]

Никакого ID (если только A03 не является ID). Все повреждённые файлы получили расширение A03.
Случай как тут получается: http://virusinfo.info/showthread.php?t=126383 только там A04.
Оставлена такая "визитка":


Ещё сам зловред имеется, если надо выложить.