tor сами ставили?

[B]выполните скрипт в uVS и еще раз пробуйте обновиться в малваребайт[/B]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
hide %SystemRoot%\SYSWOW64\FSUSBEXDISK.SYS
;------------------------autoscript---------------------------

chklst
delvir

setdns Беспроводное сетевое соединение\4\{816D2B85-A0A3-4177-9D49-11CB01137576}\8.8.8.8,8.8.4.4
deltmp
delnfr
dnsreset
;-------------------------------------------------------------

restart
[/CODE][/code]
перезагрузка, пишем о старых и новых проблемах.
------------

[B]Далее(даже если проблема решена)[/B] выполнить лог программой [B]MBAM[/B]

[URL=http://forum.esetnod32.ru/forum9/topic10688/]http://forum.esetnod32.ru/forum9/topic10688/[/URL]

Выбрать [B]быстрое сканирование[/B]. Отчет предоставить для анализа

сделайте образ автозапуска с помощью uVS на вашем сервере.
со скриптом торопиться не будем, поскольку это работающий контроллер домена,
просто для начала проанализируем образ. что он покажет.

да, здесь в 59 строке экспортируется со связки секретных ключей именно ключ юзера (Cellar) и помещается в файл vaultkey.vlt
(на этой стадии если выловить vaultkey.vlt, то можно добраться до ключа расшифровки.

в 198 уже файл vaultkey.vlt шифруется публик ключом вымогателя
в 199 соотвественно этим же ключом (публик вымогателя) шифруется список документов.

----------------
59 команду я поначалу неправильно интерпретировал.
(предполагал, что следом за экспортом секретного ключа идет шифрование паблик ключом юзера (-r Cellar
оказывается эта опция -r Cellar указывает, что экспортируется не весь список, а только отдельный указанный ключ.)

1. по очистке системы

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\USER1\APPDATA\LOCAL\YANDEX\UPDATER\PRAET­ORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

addsgn 1A07F79A5583C58CF42B254E3143FE86C9AA77B381AC48128D9A7BD86692­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 wincheck

zoo %SystemDrive%\USERS\USER1\APPDATA\LOCAL\41313030-1167611279-3139-4434-38314D91D481\BNSE4829.EXE
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\DLCORE.DLL
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.EMORHC.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.EROLPXEI.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.REHCNUAL.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.RESWORB.BAT
del %SystemDrive%\USERS\USER1\APPDATA\ROAMING\BROWSERS\EXE.XOFERIF.BAT
delall %SystemDrive%\PROGRAM FILES\COMMON FILES\TENCENT\QQDOWNLOAD\130\TENCENTDL.EXE
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP:\\VARAGARADU.RU

REGT 27
REGT 28
REGT 29

; ConvertAd
exec C:\Users\User1\AppData\Local\41313030-1167611431-3139-4434-38314D91D481\uninstall.exe
; Remote Desktop Access (VuuPC)
exec C:\Users\User1\AppData\Roaming\VOPackage\Uninstall.exe
;deltmp
delnfr
CZOO
;-------------------------------------------------------------

restart
[/CODE]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [URL=mailto:[email protected]][email protected][/URL], [URL=mailto:[email protected]][email protected][/URL]
------------
далее,

2. по восстановлению документов проверьте возможность восстановления из теневой копии

3. по расшифровке документов решения нет.

смысла нем им хоронить secring.gpg юзера в двух файлах.
а для автоматической расшифровки документов нужен еще и полный список всех зашифрованных файлов на стороне юзера.
по нему, скорее всего, они генерируют в личном кабинете свой декодер.

а вот судя по мартовским случаям заражений, изменили алгоритм, и стали шифровать список документов своим ключом.

[QUOTE]gpg: зашифровано 1024-битным ключом RSA с [B]ID 996E88A8[/B], созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\CONFIRMATION.KEY
Time: 11.03.2015 13:41:50 (11.03.2015 7:41:50 UTC)[/QUOTE]

[QUOTE]CONFIRMATION.KEY - это secring.gpg, зашифрованный ключом вымогателя.

VAULT.KEY - это экспортированный из secring.gpg секретный ключ
Cellar (уникальный для каждого компьютера-жертвы), также зашифрованный
ключом вымогателя.[/QUOTE]
поправка неверная,
[QUOTE]в CONFIRMATION.KEY зашифрован список зашифрованных на компьютере пользователя документов.
confclean.list
------------------

gpg: зашифровано 1024-битным ключом RSA с ID 0841CBC9, созданным 27.01.2015
     "Cellar (Cellar) <[URL=mailto:[email protected]][email protected][/URL]>"

File: Z:\virus!\shifratory\bat.encoder.vault\2\DATA\DATA\3\CONFIRMATION.KEY
Time: 11.03.2015 13:32:52 (11.03.2015 7:32:52 UTC)[/QUOTE]
причем зашифрован ключом пользователя.
хотя может что-то и поменялось в последнее время.

вот другой пример:
[QUOTE]gpg: зашифровано 1024-битным ключом RSA с ID 439B1F4F, созданным 12.02.2015
     "Cellar (Cellar) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\3\Temp\Temp\CONFIRMATION.KEY
Time: 11.03.2015 13:38:26 (11.03.2015 7:38:26 UTC)[/QUOTE]
здесь так же ID не соответствует публик ключу злоумышленников, которым они обычно шифруют экспортируемый со связки секретный ключ пользователя.

для расшифровки ваших документов одного pubring.gpg недостаточно. нужен secring.gpg или vaultkey.vlt

так же проверьте возможность восстановления документов из теневой копии.
----------
secring.gpg зашифрован и добавлен в VAULT.KEY
но расшифровать его невозможно. нет ключа для расшифровки

[QUOTE]gpg: зашифровано 1024-битным ключом RSA с ID 996E88A8, созданным 25.01.2015
     "VaultCrypt (VaultCrypt) <BM-NBJaxrt4riuVrCq5NVcLrFC5CYCYkxpm@Bitmessage>"
gpg: сбой расшифровки: закрытый ключ не найден

File: Z:\virus!\shifratory\bat.encoder.vault\7\crypto\VAULT.KEY
Time: 11.03.2015 13:24:36 (11.03.2015 7:24:36 UTC)[/QUOTE]

если  ESET у вас основной антивирус, то выполните скрипт очистки от остаткой Касперского.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.85.7 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE

sreg

delref %Sys32%\DRIVERS\KLBG.SYS
delref %Sys32%\DRIVERS\KLIM6.SYS
delref %Sys32%\DRIVERS\KLKBDFLT.SYS
delref %Sys32%\DRIVERS\KLMOUFLT.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLOEHK.DLL
delref %Sys32%\KLOGON.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\KLSCAV.DLL
delref %Sys32%\DRIVERS\KLTDI.SYS
delref %Sys32%\DRIVERS\KNEPS.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SBHOOK64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SCRCHPG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\KASPERSKY LAB\KASPERSKY CRYSTAL\X64\SHELLEX.DLL
areg

[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска