NickM, проверить думаю, лучше на виртуальной машине.

NickM, речь о шестерке. 6.2.
в предыдущей версии 6.1 была недоработка в редакторе HIPS, когда нельзя было задать в правилах защиту от удаления, и модификации для каталога. Надо было указать имя файла, причем, обязательно существующего файла, через выбор его пути из диалога. (крайне неудобная процедура.)

сейчас можно выбрать имя каталога, и добавить в поле редактирования имя файла.

так же сейчас можно в поле редактирования ввести и полный путь файла, и путь на папку (и тем защитить их в том числе и от шифраторов).

чего не хватает сейчас, так это возможности задать относительный путь %TEMP%, чтобы хипс это понимал. При наличии сотни и более машин в домене, каждому юзеру не пропишешь его учетку, тем более часто бывает, что садится новый человек уже под новой учеткой работает.

а так же не хватает для гибкости правил возможность задавать имя по маске: pub*.* или \*.exe, \*.js
-----------
раз система это понимает (в правилах ограниченного запуска программ можно так прописывать файлы и каталоги), то и антивирус научить этому думаю не сложно.

по VAULT:
1. блокирование в HIPS записи и удаления pubring.gpg в %TEMP% юзера вырубает процесс шифрования.
2. можно разрешить эти действия для определенных приложений.
3. блокирование записи и удаления для определенной папки (..dir\*.*) защищает все файлы в данной папке от изменения и удаления.
4. ъх, хорошо бы можно было задавать маску для файлов (dir\pub*.*) и относительный путь %TEMP% для файлов, тогда бы не было цены HIPS
поскольку правила без относительных путей %dir% невозможно раскатить на много машин через сервер ERA

но в принципе, это стоит проверить в HIPS: будет работать защита каталога, если указан относительный путь или нет.

хорошо, что вам удалось расшифровать документы

вулкан по имени VAULT опять проснулся,
из особенностей нового варианта: массовое добавление мусорных инструкций в тело энкодера:
+

+

что с проблемой сейчас? если решена, то выполните наши рекомендации
по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

какую версию продукта устанавливаете?

обновите uVS до актуальной версии 3.86.4
https://content.wuala.com/contents/al_1963/avirus/Universal%20Virus%20Sniffer/file­s/uvs_latest.zip/?dl=1
и повторно выполните скрипт,

у вас устаревшая версия.
uVS v3.82 [http://dsrt.dyndns.org]: Windows 7 Home Basic x64 (NT v6.1) build 7601 Service Pack 1 [C:\WINDOWS]