выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/

удалите все найденное в малваребайт (в карантин),

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.84.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v384c
OFFSGNSAVE

delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\PROGRAM FILES (X86)\SPYWARE PROCESS DETECTOR\SPD323.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref 1HTTP=127.0.0.1:8080

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]

delref HTTP=127.0.0.1:8080

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

так и есть если мы шифруем ключом из пары, созданной в batch режиме, то шифруется док естественно без ввода пароля.
а расшифровывается (при наличии секретной части ключа) автоматически без ввода парольной фразы

gpg: зашифровано 1024-битным ключом RSA, с ID 28BC91F0, созданным 11.08.2014
"genesis ([email protected]) <[email protected]>"

File: U:\PsExec.exe.gpg
Time: 14.11.2014 15:20:43 (14.11.2014 9:20:43 UTC)

нет, все таки картина выходи такой, если ключевая пара создана с парольной фразой.
шифруем файл без ввода пароля. и это правильно. а расшифровываем файл с вводом парольной фразы.
---------
сейчас гляну как будет дело с ключевой парой, которая была создана в batch режиме. (т.е. предполагаю без парольной фразы)

и сами можете проверить по этой паре
http://chklst.ru/forum/docs/key/keygpg.rar

предполагаю, что если пара ключей была создана в таком режиме
[QUOTE]--batch[/QUOTE]
то secring.gpg создается без парольной фразы, или с пустым паролем.

т.е. в данном случае для расшифровки файлов нужен только secring.gpg. это если вы захотите расшифровать личные доки, зашифрованные на компе.

если же вы заходите расшифровать KEY.PRIVATE (в котором находится ваш secring.gpg), то для этого необходим sec ключ злоумышленников,
а вот он скорее всего создан в интерактивном режиме и с наличием парольной фразы.

возможно, наличие парольной фразы, (скорее всего), не влияет на расшифровку файла. эта фраза (точно) защищает от изменения состава ключа,
т.е. добавление подключа, добавление доверия и т.п.
-------
можете установить GnuPG на свой комп и все проверить.
https://www.gnupg.org/download/index.en.html
http://www.gnupg.org/documentation/index.en.html

эта команда генерерирует пару pub/sec ключей на стороне пользователя.
[QUOTE]"%TEMP%\svchost.exe" --batch --homedir "%TEMP%" --gen-key "%TEMP%\genpair.keybtc" [/QUOTE]

эта команда импортирует созданный паб ключ, которым затем будет выполнено шифрование secring.gpg из созданной pub/sec ключевой пары.
[QUOTE]"%TEMP%\svchost.exe" --import "%TEMP%\impubkey.keybtc" [/QUOTE]
т.е. здесь не делается секрета из содержимого pub key которым выполнено шифрование secring.gpg,
потому что для расшифровки его нужна секретная часть этого ключа, которой нет на компе юзера.

а эта команда уже шифрует secring.gpg
[QUOTE]"%TEMP%\svchost.exe" -r !pubname! --yes -q --no-verbose --trust-model always -e "%TEMP%\secring.gpg"[/QUOTE]

вот например часть исходника, из нее должно быть все ясно, что откуда берется. svchost.exe здесь на самом деле это gpg.exe

[QUOTE]set namereal=cryptpay
set pubname=HckTeam
set exten=paycrypt@gmail_com
echo Key-Type: RSA> "%TEMP%\genpair.keybtc"
echo Key-Length: 1024>> "%TEMP%\genpair.keybtc"
echo Name-Real: cryptpay>> "%TEMP%\genpair.keybtc"
echo Name-Comment: cryptpay>> "%TEMP%\genpair.keybtc"
echo Name-Email: [email protected]>> "%TEMP%\genpair.keybtc"
"%TEMP%\svchost.exe" --batch --homedir "%TEMP%" --gen-key "%TEMP%\genpair.keybtc"
if exist "%TEMP%\genpair.keybtc" del /f /q "%TEMP%\genpair.keybtc"
echo -----BEGIN PGP PUBLIC KEY BLOCK-----> "%TEMP%\impubkey.keybtc"
echo Version: GnuPG v1>> "%TEMP%\impubkey.keybtc"
echo.>> "%TEMP%\impubkey.keybtc"
echo mI0EU66eugEEAMUDWYQ1l5N4ItPb23UBA6Embly6Zenqiut9m1h3Ac6L8sKn­+ZJ4>> "%TEMP%\impubkey.keybtc"
echo F67ytP5de2eNEkGAxgwO2BSmmFCZ+OKx3U0M8gim+YlYm6Ho9irtrqHqdqBF­8UmG>> "%TEMP%\impubkey.keybtc"
echo dz8SsGDe1OPUJsOZ7bZ80K3YM+TnEGtxt3nU9hynw3enyBI8SaT3SySDABEB­AAG0>> "%TEMP%\impubkey.keybtc"
echo Jkhja1RlYW0gKEhja1RlYW0pIDxwYXljcnlwdEBnbWFpbC5jb20+iLgEEwEC­ACIF>> "%TEMP%\impubkey.keybtc"
echo AlOunroCGwMGCwkIBwMCBhUIAgkKCwQWAgMBAh4BAheAAAoJEDY5qe4+146F­Fo8D>> "%TEMP%\impubkey.keybtc"
echo /Ayg3NQDHX9O5BhIzhWwcbYHxwJRqvyi2ZENCqI9hM53BHJQFKR1YUhX9kAf­KEbY>> "%TEMP%\impubkey.keybtc"
echo gPJWYOg1QYY3VpEuNCHTJENCwXwH6DYs99GwO7f/8Dc6F7aDdGo3GSWKEwPu­Hv0F>> "%TEMP%\impubkey.keybtc"
echo FM7lcfz3GkGiSJWdTwHh383FmLY+cHk6ALf+EcgKA3PmuI0EU66eugEEANu1­dTdR>> "%TEMP%\impubkey.keybtc"
echo fjZ99jViRV3FXPF3wrMTh1ODqeMLu9sYDtAKn5VgqbOQcymkRq4MMrX8St1V­jAQ4>> "%TEMP%\impubkey.keybtc"
echo Wsxbl47Wo4opsqogVUQV2ok2vm35u3OELQlR6Loihu+CksAxaloPGe5IyryJ­+Cbn>> "%TEMP%\impubkey.keybtc"
echo ymRvoHlPVhExYD3FQCiomXmrYm173ipIKlkzABEBAAGInwQYAQIACQUCU66e­ugIb>> "%TEMP%\impubkey.keybtc"
echo DAAKCRA2OanuPteOheY5BACvmE5n9gNr66SjIK6z2i1FC5Ei5R15jeu42C56­0Q3M>> "%TEMP%\impubkey.keybtc"
echo 76gS6nSwdxaVjCynMts1Y/xRFd360RIBLY5XA4INteXUSYvUjKarF9mpPqor­J1fh>> "%TEMP%\impubkey.keybtc"
echo XRK2jlwW+1ppH5rpWxP8WfTfHOHmOAjVM0EjlqjjOiqByJfXWoufBzt5uMQ/­rnmi>> "%TEMP%\impubkey.keybtc"
echo gQ==>> "%TEMP%\impubkey.keybtc"
echo =f2Fp>> "%TEMP%\impubkey.keybtc"
echo -----END PGP PUBLIC KEY BLOCK----->> "%TEMP%\impubkey.keybtc"
"%TEMP%\svchost.exe" --import "%TEMP%\impubkey.keybtc"
if exist "%TEMP%\impubkey.keybtc" del /f /q "%TEMP%\impubkey.keybtc"
"%TEMP%\svchost.exe" -r !pubname! --yes -q --no-verbose --trust-model always -e "%TEMP%\secring.gpg"[/QUOTE]

а что конкретно вас интересует: технология работы криптографической системы PGP/GnuPG или исходный код бат_енкодера?

вот еще немного ссылок
http://forum.esetnod32.ru/forum9/topic11235/
http://forum.esetnod32.ru/forum9/topic11264/