1. прочтите статью ВАУЛТ. что делать?
http://www.chklst.ru/forum/discussion/1481/vault-chto-delat

2. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic683/

3. вышлите в почту [email protected] вредоносный архив с паролем infected
+ можно сюда же (в отдельный архив) добавить все что найдено  в %temp% юзера на момент шифрования.

пробуйте деинсталлировать и заново переустановить антивирусную программу

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\ZONA\ZONA.EXE
addsgn 9252776A056AC1CC0BF4414E3341F788B9AE7C3776052EB8D5FA19C9AB90­371F4BED0B4F3E021E8A2FD3EC0FB41149ACFE1CEC21051DB32F2D75A4BF­5796B2E3 8 Program.Zona.41 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\AUSLOGICS\AUSLOGICS BOOSTSPEED\BOOSTSPEED.EXE
addsgn A7679B1991867FB28291420914246405CDDDE53F76C9DF2DED1812CB50B2­8E7C479EE3BF2EC055B6AE40F1AFAE5DC215825B28077557E5C01EB74C76­52CEDDF8 8 Win32/eTranslatorPro

delall %SystemDrive%\$RECYCLE.BIN\S-1-5-21-4113028169-618179623-2010265785-1000\$R1W03D8.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

вы ставите антивирус 5.0.2248 поверх другого продукта, или на систему без антивируса?

kas,
возможно, но и маловероятно.
вчерашние варианты я тестировал, все прибивались антивирусом. некоторые детектировались еще на подлете, другие по факту запуска js

kas,
и да, поясните, пожалуйста, по логам из спойлера.
стоял ESET и пропустил ВАУЛТ? или антивирус уже после заражения был установлен? и если был установлен до зашифровки, то в каком состоянии были антивирусные базы на момент зашифровки?

если вот эта штука вышла, значит процесс шифрования уже завершен

[QUOTE]12.08.2015 9:15:28 - Модуль Защита в режиме реального времени - Предупреждение об угрозе на ID-4: C:\DOCUME~1\user\LOCALS~1\Temp\[B]VAULT.txt[/B] заражен BAT/Filecoder.AI троянская программа.[/QUOTE]

kas,
судя по образу система сейчас чистая, единственно, можно удалить ярлыки браузера Оперы, и заново создать их.
там есть ссылка в ярлыке на webalta, она не нужна в ярлыке,
сайт с ней стартует при запуске оперы.

из ключей secring.gpg нулевой, поэтому расшифровка им невозможна.
доки зашифрованы этим ключом

[QUOTE]gpg: ключ с ID 8F934976: "Cellar"

File: X:\viruses\shifratory\VAULT\94\vault\vault\pubring.gpg
Time: 12.08.2015 20:26:17 (12.08.2015 14:26:17 UTC)[/QUOTE]

VAULT.key зашифрован этим ключом:

[QUOTE]gpg: RSA c ID 28B9CBE7

File: X:\viruses\shifratory\VAULT\94\vault\vault\VAULT.KEY
Time: 12.08.2015 20:27:29 (12.08.2015 14:27:29 UTC)
[/QUOTE]
рекомендации здесь, для попытки самостоятельного восстановления документов.
http://chklst.ru/forum/discussion/1481/vault-chto-delat

еще одна рассылка

[QUOTE]Акт сверки(в приложении к пиcьмy).
Убедительная просьба до завтрашнего обеда выслать отсканированную копию подписанного с Вашей стороны экземпляра или же ваши замечания.
Хотели бы подчеркнуть, что за Вашей фирмой висит непогашенный платеж за июнь.

-
С ув. к вам,
Воронова Елена
зам. главного бухгалтера Компании "Торговая площадь"[/QUOTE]
+
[QUOTE]Акт сверки взаиморасчетов(в приложении).
Убедительная просьба до конца завтрашнего дня скинуть скан-копию завизированного документа или ваши комментарии.
Хотели бы подчеркнуть, что за вами висит непогашенный платеж за прошлый месяц.

---
С ув. к вам,
Елена Александровна Воронова
зам. главного бухгалтера Компании ТОРГОВАЯ ПЛОЩАДЬ
[/QUOTE]

новая рассылка с ВАУЛТом

схема рассылки изменилась. опять в почте добавлен небольшой архив *.zip в котором содержится js (в теле исходного js содержится в base64 кодировке еще один js, скорее всего updater, которому передается управление). после запуска update.js (может быть и другое имя) выкачивает из сети все необходимые для шифрования модули и файлы, и запускает через *.bat инициализацию процесса шифрования.

[CODE]Мы составили акт сверки взаиморасчетов по итогам прошлого месяца (во вложении).
Мы установили, что по нашему последнему счету (от 12.07) Вы не полностью перевели средства.
Если будут расхождения - пишите. Если все верно - просто перешлите нам скан завизированного Вашей стороной экземпляра.

Буду благодарна, если вышлите в ближайшие сроки.
Благодарю.

__
С ув. к вам,
Катя Васильева,
зам главбуха Компании Торг-Строй[/CODE]

ну раз для одних файлов подобрали ключи, то и для других файлов смочь должны. :)