Закодированы все файлы, SOS на backspace@riseup.net

[resident_63]

9 января около 19:00 супруга словила трояна на служебный ноут. Результат-переименованы и закодированы все файлы, самое страшное-база 1С. Все файлы имеют расширение *.backspace@riseup.net_244. Сначала был скачан, обновлен и запущен на зараженной машине avz4 со следующим скриптом:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\WINDOWS\system32\machineupper32 .exe','');
DeleteFile('C:\WINDOWS\system32\machineupper32.exe ','32');
DeleteFile('C:\Documents and Settings\All Users\Application Data\NTFS\ntdsk.dll','32');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Micro soft\Windows\CurrentVersion\Policies\Explorer\Run' ,'Windows Debugger 32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Результата никакого, ноут продолжал заражать файлы на внешнем usb-драйве (приходилось запускать с него avz4).
Затем Kaspersky Resque Disk 10 обнаружил и уничтожил трояна Trojan.Win32.Bublik.kzl (10.01.14 1:49 Обнаружено троянская программа Trojan.Win32.Bublik.kzl C:/Documents and Settings/user/Application Data/Fujwjb.exe Высокая) (наверное, зря). Файл ps.ce сейчас не находится. После загрузки системы происходит попытка установки некоего Document Viewer, программа установки ищет пакет 'Document viewer.msi

Когда 10 января пытался просмотреть Event Viewer, листал раздел System до нужной даты - он вдруг стал неактивным, появился красный крест на слове Sytem, и все записи до 10 января исчезли...
Есть возможность дешифровать файлы? Нужно вернуть хотя бы только базу 1с8.

[Mark D. Pearlstone]

Порядок оформления запроса о помощи http://forum.kasperskyclub.ru/index.php?showtopic=31551

[resident_63]

Забыл, прикладываю  необходимые логи

hijackthis.log

virusinfo_syscure.zip

virusinfo_syscheck.zip

[mike 1]

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT.

 

UPD: Ваша http://virusinfo.info/showthread.php?t=152975 тема? 

Изменено 12 января, 2014 пользователем mike 1

[resident_63]

Скрипт из первого сообщения был написан для вас или для другого пользователя? Данный скрипт вы выполняли?

 

По правилам раздела требуются еще логи RSIT. 

Скрипт из первого сообщения был взят из форума, не помню уже какого именно, но он собственно ничего не изменил - ноут продолжал заражать файлы на внешнем драйве. RSIT сделаю чуть позже, туда вроде как входят логи Hijackthis, которые я уже приложил

[mike 1]

 

 

UPD: Ваша http://virusinfo.inf...ad.php?t=152975 тема? 

 

На этот вопрос тоже ответьте.

[resident_63]

Да, на virusinfo.info заявка 152975 моя

[Mark D. Pearlstone]

Да, на virusinfo.info заявка 152975 моя

Так как лечение там вы уже начали проходить, то тут тема закрыта.