убился файлик Корка при создании образа.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

если вы не используете pgp или gnupg пробуйте с помощью HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp%
в любом случае, в данной модификации bat-encoder после скачивая утилиты gpg.exe (которая может быть переименована как угодно)
вначале будет пытаться создать ключевую пару в эти файлы. (если он использует GnuPG)
а затем будет шифровать ваши данные с помощью созданных ключей.
Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg, и защитить их от перезаписи, и удаления правилами HIPS.
------
троян, если не сможет их перезаписать, возможно будет пытаться из использовать для шифрования.    

-----------
15.09.2014 15:30:06 C:\Program Files\GNU\GnuPG\gpg.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.gpg определенный доступ заблокирован [email protected] Удалить файл



проверю попозже на нормальном батнике, здесь только часть энкодера была использована для наблюдения за поведением процесса создания ключей.

----------
вобщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей
в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, в итоге шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.

результат:

файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. .

думаю. достаточно будет защитить от перезаписи только pubring.gpg

возможно ложное срабатывание малваребайт.
если малваребайт у вас установлен с пробным периодом, то деинсталлируйте его.
(для проверок мы рекомендуем ставить только сканер.)

образ еще не нужен. выполните наши рекомендации

используем tnod

по правилам нашего форума тема будет закрыта.
обратитесь за помощью на другой форум.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

релиз 3.83
--------------------------------------------------------
3.83
---------------------------------------------------------
o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена функция разбора LNK файла, приоритет разборки целей
  выставлен в соотв. с фактически действующим в Windows Vista-8.1, а не с тем,
  что указан в официальной документации на формат LNK файлов.

o Добавлена функция исправления пути, неверно возвращаемых активной системой
  до целевых файлов ярлыков (для _неактивных_ систем).

o Из окна информации о файле удалено лишние поле "Процесс".

o В скрипт автоматически добавляется команда v383c препятствующая исполнению
  скрипта на младших версиях uVS.

o Скриптовые команды delall, delref, точно так же как и команды delvir и delnfr,
  теперь не удаляют ссылки на известные файлы. Т.е. в случае известного файла
  delall удаляет лишь сам файл, а delref просто игнорируется.

o Новый параметр в settings.ini
  [Settings]
  ; Защищать известные файлы от действия команд delall и delref.
    bProtectKnown (по умолчанию 1)

o Для удаленных систем добавлена возможность вычислять и помещать в базу
  проверенных хэши объектов. (ссылки, guid-ы и т.п.)

o Добавлен STORE для Win8.1

o Обновлены базы проверенных для Win8.1

o Горячая клавиша Ctrl+T, функция обновлена.
  Автоматически применить твики #1,2,3,9,28,29 при необходимости.
  Функция работает по логу.
  Автоматическим использованием данной функции управляет флаг ImgAutoTweak
  в секции "Settings" файла settings.ini (только при работе с образами)


o Добавлена возможность вычислять и помещать в базу проверенных хэши
  объектов. (ссылки, guid-ы и т.п.)

o Оптимизирована работа с разделом "Скрипты...".

o Добавлен фильтр в функции анализа LNK файлов.
  В win8.1 в главном меню замечены кривые LNK файлы, в которых указан целевой
  файл, являющийся на самом деле каталогом.

o Добавлена функция определения версии Windows для Win8.1 и старше.

o Разделены базы известных файлов для Win8 и Win8.1

o Виртуализация реестра теперь охватывает загруженные пользовательские реестры.
  (!) Производится виртуализация всего реестра, кроме реестра пользователя s-1-5-18 (LS).

o Добавлена функция проверки ярлыков в Start Menu пользователей.

o Для ярлыков теперь есть отдельная категория "Ярлыки" вместо "Линки без...".

o Добавлена функция анализа ярлыков, цели и сами файлы из модифицированных
  ярлыков попадают в категорию подозрительных.
  (!) Функция не дает 100% гарантии, что ярлык был модифицирован зловредом, а не
  пользователем.

o Оптимизирована функция определения даты установки программы.

o Для CMD/BAT/VBE/VBS файлов в окно информации о файле добавлено содержимое
  файла в поле #FILE#. (до 2k размером).

o В окно установленных программ добавлен фильтр.

o Добавлена поддержка плагинов FireFox, установленных в отдельных от общего каталогах.

o Исправлены ошибки при работе с неактивной системой:
  1. в список не попадали:
   o значительная часть ключей из *\CLSID
   o файлы префетчера (при отличии в букве диска)
   o ярлыки с некоторых рабочих столов, в т.ч. иногда и с общего.
   o часть файлов возможно запускавшихся неявно или вручную (при отличии в букве диска)
   o файлы из App Paths. (при отличии в букве диска)
  2. Для некоторых программ неверно определялось дата/время установки.

o Утилита cmpimg обновлена до версии 1.01
  При сравнении образов буква системного диска второго образа заменяется на
  букву первого и только после этого производится сравнение образов.

o Исправлена ошибка при запуске 32-х битного деинсталлятора в 64-х битной среде.

o Новая скриптовая команда "exec32" аналог "exec", но без отключения
  системного редиректора.

o Добавлена возможность импорта белого списка ЭЦП.

o В окно информации о файле добавлена информация об устаревших сертификатах.

o Белый список поддерживается при работе с удаленной системой.

o Добавлен белый список ЭЦП.
  При включении его поддержки, статус проверенного файла получает лишь
  тот файл, который подписан подписчиком из этого списка.
  В случае работы с образом автозапуска статусы файлов приводятся
  в соответствие с белым списком при открытии образа.
  Добавлена категория "Белый список ЭЦП", где можно удалять записи из списка.
  При работе с удаленной системой белый список ПОКА не поддерживается.
  Список хранится в файле wdsl, который представляет собой обычный текстовый
  файл в unicode кодировке. Одна строка - одно имя, регистр важен.
  Файл оптимизируется при сохранении, дубликаты автоматически удаляются.
  Добавить имя подписчика в список можно в окне информации о файле, щелкнув по соотв.
  строчке с подписью. При удалении и добавлении автоматически меняются статусы
  всех файлов которых это касается.

o Новый параметр в settings.ini
  [Settings]
  ; Включить поддержку белого списка ЭЦП.
    bUseWDSList (по умолчанию 0)

o Новый параметр в settings.ini
  [Settings]
  ; Значение определяет расширения файлов которые добавляются в список
  ; наряду с исполняемыми файлами функцией Файл->Добавить в список->...
  ; Пример параметра: .BAT.CMD.LNK.VBS
    Add2ListExt (по умолчанию пустая строка)

o Добавлена дополнительная функция резолва ярлыка при отсутствии целевого
  файла по данным структуры LinkInfo.

o Добавлена новая функция в контекстное меню файла:
  Статус->Все файлы в каталоге и подкаталогах подозрительные

o Добавлена возможность извлекать сигнатуры из некоторых типов DLL,
  для которых ранее такой возможности не было.

o Функция чтения LNK файлов теперь игнорирует права доступа.

o При создании загрузочного диска добавляется пакет WinPE-EnhancedStorage и
  производится оптимизация wim файла. Полная оптимизация работает только под
  Win8.

o С помощью Windows ADK 8.1 создается образ на базе WinPE 5.0
  Для обновления WinPE до версии 5.1 необходимо выполнить следующие
  действия: http://technet.microsoft.com/en-us/library/dn613859.aspx

o Добавлена поддержка LNK файлов с целью зашитой в EnvironmentVariableDataBlock.

o Скриптовые команды deldir и deldirex теперь удаляют все ссылки
  на удаляемые файлы.

o Добавлен 30-й твик: Устранить проблему с подвисанием GameUX.
  Твик можно если использовать если наблюдаются проблемы с запуском игр
  или подвисает процеcc гейм эксплорера C:\Windows\system32\rundll32.exe C:\Windows\system32\gameux.dll...

o Добавлена поддержка создания образов дисков и загрузочных флешек на базе
  WinPE 5.1, ссылка на скачивание ADK обновлена:
  http://www.microsoft.com/en-us/download/details.aspx?id=39982

o Добавлен вывод в лог ошибок соединения с сервером
  при проверке хэша фала на VT.

o Твики 28 и 29 теперь игнорируют права доступа к LNK файлам.

o В лог добавлена информации о lnk файлах которые не удалось прочитать.

o Команда czoo теперь всегда выполняется в конце скрипта вне зависимости от ее
  положения в тексте.

o В окно информации о файле добавлено поле Subsystem.
  Только для исполняемых файлов.

o Добавлены новые твики:
  28. Заменить в ярлыках на рабочем столе .URL на .EXE
  29. Удалить из ярлыков браузеров параметры запуска

o Добавлен анализ файлов на общем рабочем столе,
  на панелях быстрого запуска и закрепленных элементов в меню "Start".
  Добавлен фильтр отсеивающий ярлыки на неисполняемые файлы.

o Новая горячая клавиша Ctrl+*
  Инвертировать фильтр (в режиме фильтрующего поиска)
  ESC и смена категории отменяют инверсию.

o Добавлена поддержка раздела реестра App Paths.

o Исполняемые файлы с рабочих столов пользователей добавляются в список.
  Если на раб. столе был ярлык на исполняемый файл то в информации о файле
  отображается полный путь до lnk файла.

o Обновлена функция проверки файлов на VT.
  Реализован автоповтор запроса при возврате 403-й ошибки.
  Добавлена поддержка парсинга локализованных версий VT.

o Добавлен индикатор сортировки.

o Колонка по которой происходит фильтрация теперь не сменяется автоматически
  при смене сортировки (ЕСЛИ строка фильтрации не пуста).
  Смена колонки происходит только после нажатия ESC или смене категории.

o Удалена горячая клавиша Alt+M теперь _фильтрующий_ поиск осуществляется по
  выбранному для сортировки столбцу.

o Новые функции в меню Подпись/Хэш:
  Установить статус проверенного файла для всех файлов в текущей категории с VTOK/JTOK/VSOK
  Установить статус проверенного файла для всех ИЗВЕСТНЫХ файлов в текущей категории с VTOK/JTOK/VSOK

o Добавлено автоматическое кэширование запросов к VT.
  Кэш работает в функциях массовой проверки.
  Кэш всегда игнорируется (и обновляется) при проверке отдельного файла.
  Кэш хранится в подкаталоге vtcache в виде текстовых файлов, имя файла и есть хэш.

o Новый параметр в settings.ini
  [Settings]
  ; Время действия VT кэша в днях для хэша файла/объекта.
    vtCacheDays (15 по умолчанию)
     0 - не использовать кэш
    -1 - не ограничивать время действия.

o Функция проверки по хэшу на VT теперь использует данные о проверке ЭЦП,
  если VT вернул данные о том что ЭЦП для файла верна И нет детектов,
  то файл помечается как проверенный с указанием первого подписавшего.

o Модифицирована команда delnfr, перед ее исполнением теперь всегда
  вызывается функция обновления списка, что повысит безопасность исполнения
  данной команды.

нет, конечно. не подойдут ключи созданные на виртуалке. при каждом запуске бат-энкодера будет создана новая ключевая пара. И дело здесь не в энкодере, а в легальной программе gnuPG. так она была задумана создателями.

смотреть в журнале событий.
но хакеры могут аккуратно стереть из журнала событий информацию о подключении.