если все проблемы решены,
выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

расшифровки по maxcrypt нет.
если нужна помощь в очистке системы, добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/


по восстановлению документов проверьте наличие теневых копий диска, если система у вас выше Vista

если сохранилось письмо, или документ из вложения,
вышлите в почту [email protected] в архиве с паролем Infected
----------

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- закрываем все браузеры перед выполнением скрипта;
- стартуем uVS с помощью файла script.cmd


[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
delall %Sys32%\DPRSRV32.EXE
delall D:\222\KEYCHANGER.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\APPLICATION DATA\QIPGUARD\QIPGUARD.EXE
delall %Sys32%\UKOCAQYXUWLSQM.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://CONFPACS.COM/N7EKMCL/XX8M.URY

delref HTTP://QIP.RU

delref HTTP://SEARCH.QIP.RU
deldirex %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\LOCAL SETTINGS\APPLICATION DATA\MEDIAGET2

deltmp
delnfr
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMMANDHOTSTARTSCHED\­COMMANDHOTSTARTSCHED.EXE
addsgn 1A4C739A5583FF8FF42BC4A50C109945256220F789FA9C1D79C33AF140AE­4BC76E1FE81A32DCD041D4D59074AB9D0C16F49A0CF9103E3B2CA43244A4­82E6A34B 8 Adw.ZugaraInvestmentsLimited

zoo %SystemDrive%\PROGRAM FILES (X86)\GAMESRS\GUPDATER.EXE
addsgn 1A4C739A55832F8FF42BC4A50C90D445256220F789FA9C1D79C33AF140AE­4BC76E1FE81A32DCD041D4D59074AB9D0C16F49A0CF9103E3B2CA43244A4­82E6A34B 14 AdWare.Pirrit.A [ESET-NOD32]

zoo %SystemRoot%\SYSWOW64\NETHTSRV.EXE
addsgn 1A970F9A5583C58CF42B254E3143FE865882FC82A4056A70EFC33A892CD9­4C4CDC0207D7025518895E98D277CB3949FAF62F1767715A8C2C7D9F9900­C7067BFA 8 Win32/Amonetize.CH [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\OZENA52KRU.EXE
addsgn 1A592F9A5583C58CF42B627DA804DE8E71AEF07DC5DE1BFD57B7AC8F905C­35682B93032228D467C92B8084ED489574EEE39EE87221DF59367477A478­4CFFA189 8 Adware.Downware.10694 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\SPEED ANALYSIS 2\SCRIPTHOST.DLL
addsgn 79132211B9E9317E0AA1AB59E2A31205DAFFF47DC4EA942D892B2942AF29­2811E11BC33D323DC5B72E906C385A16499073379D1F55DAE9AF488BA4A4­B20EA93D 64 Besttoolbars.J [ESET-NOD32]

zoo %SystemDrive%\USERS\USER\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252772A106AC1CC0BB4544E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 8 Adware.Downware.1528 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\FASYEUDMN8.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\GY5KAK6L0N.EXE
zoo %SystemDrive%\PROGRAM FILES (X86)\ADVPLUGIN\NRGOWE8ENJ.EXE
zoo %SystemRoot%\SYSWOW64\NETUPDSRV.EXE
addsgn 1A869C9A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B901592­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 Win32/Amonetize.AZ [ESET-NOD32]

delall %Sys32%\PIRRITDESKTOP.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\SCHEDULE\SCHEDULE.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_23\S_INST.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\NEWSI_2\S_INST.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\ASKPARTNERNETWORK\TOOLBAR\UPDATER\TBNOTIFIER.EXE
delall %SystemDrive%\USERS\USER\APPDATA\LOCAL\MICROSOFT\START MENU\ВOЙТИ В ИНТEРНEТ.EXE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\NETHFDRV.SYS
del %Sys32%\DRIVERS\NETHFDRV.SYS

delref HTTP://HOME.WEBALTA.RU/?LINK
delref HTTP://WINDOWSMAC.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=E06EE3DCAD9FD1781A76C92FE0BD31­1D
delref HTTP://YAMDEX.NET/?ZID=134865416&UID=2B9A3D53BA470849F3B257B24C803526&TYPE=5&IV­=3
delref HTTP://YAMDEX.NET/?SEARCHID=1&L10N=RU&FROMSEARCH=1&IMSID=7AA1E873FC5A11FA1EBA88­F22E07EC20&TEXT={SEARCHTERMS}
regt 27
; OffersWizard Network System Driver
exec  C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
; Java™ 6 Update 30
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216030FF} /quiet

deldirex %SystemDrive%\PROGRAM FILES (X86)\EDEALPOP

deltmp
delnfr
areg

;-------------------------------------------------------------
[/CODE]

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

непонятно о чем вы.
база подбора здесь бесполезна, поскольку каждый ключ, созданный с помощью VAULT (а точнее с помощью GnuPG) уникален. дважды не повторится. в ближайшем и отдаленном будущем.

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\VAULT.KEY
Time: 14.04.2015 13:39:02 (14.04.2015 7:39:02 UTC)


и

gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: X:\active\shifr\bat.encoder.vault\34\04fba9ba_VAULT.KEY
Time: 14.04.2015 13:39:40 (14.04.2015 7:39:40 UTC)
--------------
разницы нет между этими файлами, в обоих зашифрован secring.gpg ключом злоумышленников VaultCrypt (VaultCrypt)
различие лишь в том что по ходу выполнения алгоритма добавлена еще часть инфо.

можете сами по F4 открыть эти файлы, и сравнить что там дописано в конец файла.

[QUOTE]santy написал:
последний, скорее всего копия VAULT.key можете сравнить их по размеру и по хэшу[/QUOTE]
этот файл выложите здесь, и будет ясно, что это за файл и каким ключом зашифрован.

[QUOTE]Сергей Жигарев написал:
обнаружились файлы "VAULT.KEY, CONFIRMATION.KEY и 04fba9ba_VAULT.KEY" вот что за последний меня и интересует.[/QUOTE]
последний, скорее всего копия VAULT.key можете сравнить их по размеру и по хэшу