если скушал, значит не нужен. значит детектируется нашим антивирусом

да, постарайтесь на будущее хотя бы защититься от VAULT, например, запретив запуск исполняемых файлов з архива, через политики
это поможет пока злоумышленники не поменяют механизм распространения и запуска энкодера.

спец. для вас откопирую сюда рекомендации

[QUOTE]как можно избежать встречи с VAULT?
1. будьте предельно внимательны при работе с почтой.
если вложенный в сообщение или добавленный по ссылке архив содержит исполняемые файлы *.exe, *.com, *.pif, *.js, *.cmd, *.scr, *.bat, то такой документ никак не может быть офисным документом. Значит вас вводят в заблуждение, выдавая черное за белое.
2. настройте самостоятельно или попросите админа настроить политики ограниченного запуска исполняемых программ из вложенных архивов.
например:

XP:%userprofile%\Local Settings\Temp\_tc\*.js
Win7:%userprofile%\Appdata\Local\Temp\_tc\*.js


3. Пробуйте с помощью HIPS запретить запись в файл %TEMP%\pubring.gpg. в любом случае, в данной модификации энкодера (если он использует GnuPG) после скачивания и запуска утилита gpg.exe (которая может быть переименована и упакована как угодно) вначале будет создавать ключевую пару pubring.gpg/secring.gpg, а затем уже - шифровать ваши данные с помощью созданных ключей.

4. Если предварительно положить (и защитить от изменения) известный вам ключ pubring.gpg, то в этом случае шифрование состоится, но известным ключом. Или не состоится.[/QUOTE]

по работе шифратора нам все известно.
(в том числе и про GnuPG)
что запускается, какие файлы используются для шифрования, чем можно расшифровать.
что необходимо для расшифровки и т.д.
все это не раз проверялось на виртуальной машине,
проблема в том, что в реальном случае заражения в отличие от эксперимента на вирт. машине как правило не получается ни у кого перехватить или восстановить после удаления нужный ключ secring.gpg
а без secring.gpg расшифровка документов невозможно.
--------
единственно бывают чудеса, когда файлы не зашифрованы, а лишь переименованы. но крайне редко.

в XP такого нет.
в точки восстановления копируются только системные файлы. документы в т.в. не копируются

не понятен смысл отсылки на форум касперклуба.
по VAULT посмотрите статью
http://forum.esetnod32.ru/forum35/topic11845/
если будут вопросы после прочтения задайте здесь
---
если есть свежий шифратор VAULT, вышлите в почту [email protected]
это файл js в архиве zip
лучше выслать в архиве с паролем infected

[B]Элина,[/B]
прочтите VAULT. что делать?
http://forum.esetnod32.ru/forum35/topic11845/

если останутся вопросы после чтения этой статьи - спросите.
смысла нет повторять одно и тоже в 10 раз. если нет живого secring.gpg на диске, то помочь с расшифровкой не сможем. как бы этого не хотелось.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
CHR Extension: (Tampermonkey) - C:\Users\Александр\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdgffkkebhmkfjojejmpbldmpobfkfo [2014-12-01]
CHR HKU\S-1-5-21-1316311504-1695488031-2430282664-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [dhdgffkkebhmkfjojejmpbldmpobfkfo] - http://clients2.google.com/service/update2/crx
OPR Extension: (APIHelper) - C:\Users\Александр\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhmcldpohlnkhmdbhfggpafgkafbcfnh [2015-01-20]
NETSVCx32: KBDMAI -> No ServiceDLL Path.
NETSVCx32: ir16_32 -> No ServiceDLL Path.
NETSVCx32: d3dadapter -> No ServiceDLL Path.
NETSVCx32: wlanmgr -> No ServiceDLL Path.
EmptyTemp:
Reboot:[/CODE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

addsgn 3D888BA4D9BF0FBF231CC11DAEAA1943F0DCABAE89FA1F7885C3C5BC50D6­714C2317C3573E559D492B80849F461649FA7DDFE87255DAB02C2D77A42F­C7062273 64 kork

zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT CORPORATION\MP4SBPN.INK
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://WWW.SEARCH.ASK.COM/?TPID=ORJ-SPE&O=APN11406&PF=V7&TRGB=IE&P2=%5EBBE%5EOSJ000%5EYY%5ERU&GC­T=HP&APN_PTNRS=BBE&APN_DTID=%5EOSJ000%5EYY%5ERU&APN_DBR=IE_1­1.0.9600.17280&APN_UID=8A3A132C-7897-47B6-9B42-73A434129212&ITBV=12.15.5.30&DOI=2014-09-11&PSV=&PT=TB

deltmp
delnfr
;-------------------------------------------------------------
czoo
restart
[/CODE]

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

1. по очистке системы
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE
del %SystemDrive%\DOCUME~1\86C2~1\LOCALS~1\TEMP\3FE91.EXE

delref %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL
del %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\APPLICATION DATA\MICROSOFT\INTERNET EXPLORER\QIPSEARCHBAR.DLL

delref %Sys32%\DRIVERS\BDSAFEBROWSER.SYS
del %Sys32%\DRIVERS\BDSAFEBROWSER.SYS

deldirex %SystemDrive%\PROGRAM FILES\BAIDU\BAIDUAN\2.3.0.2225
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDCOMPROXY.DLL
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BDDOWNLOAD\108\BDDOWNLOADER.EXE

delref HTTP://SEARCH.QIP.RU
; Java™ 6 Update 19
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216011FF} /quiet
; Java™ 6 Update 3
exec MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030} /quiet
delnfr
areg

;-------------------------------------------------------------

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
добавьте новый образ автозапуска для контроля.
------------
2. по восстановлению системы:
теневых копий нет для вашей системы, восстановление из теневых копий невозможно.

3. по расшифровке:
обратитесь по расшифровке с лицензией в вашу антивирусную компанию.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"


[CODE];uVS v3.85.17 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr

;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------