убился файлик Корка при создании образа.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KSMIRNOV\APPLICATION DATA\DAOLX\MMDPSETU.SEV
deltmp
delnfr
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

если вы не используете pgp или gnupg пробуйте с помощью HIPS запретить запись в файлы pubring.gpg, secring.gpg в папке %temp%
в любом случае, в данной модификации bat-encoder после скачивая утилиты gpg.exe (которая может быть переименована как угодно)
вначале будет пытаться создать ключевую пару в эти файлы. (если он использует GnuPG)
а затем будет шифровать ваши данные с помощью созданных ключей.
Если перехватить процесс на стадии создания ключей, то шифрование не состоится. или можете положить известные вам ключи pubring.gpg, secring.gpg, и защитить их от перезаписи, и удаления правилами HIPS.
------
троян, если не сможет их перезаписать, возможно будет пытаться из использовать для шифрования.  :)  

-----------
15.09.2014 15:30:06 C:\Program Files\GNU\GnuPG\gpg.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.gpg определенный доступ заблокирован [email protected] Удалить файл

[IMG]http://chklst.ru/forum/docs/bat.encoder.jpg[/IMG]

проверю попозже на нормальном батнике, здесь только часть энкодера была использована для наблюдения за поведением процесса создания ключей.

----------
вобщем, так и выходит: защищаем в HIPS добавленные в %temp% известную пару pub/sec ключей
в итоге, бат_энкодер, если пробился через черные списки и мониторинг, не сможет перезаписать, и удалить эту пару ключей, в итоге шифровать документы будет вашим pub key. соответственно, и secring.gpg из этой пары не будет удален и перезаписан.

результат:

файлы зашифрованы, но ключик то секретный у нас хранится на связке ключей. .

думаю. достаточно будет защитить от перезаписи только pubring.gpg

возможно ложное срабатывание малваребайт.
если малваребайт у вас установлен с пробным периодом, то деинсталлируйте его.
(для проверок мы рекомендуем ставить только сканер.)

образ еще не нужен. выполните наши рекомендации

[QUOTE]далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[/QUOTE]

используем tnod

[QUOTE]C:\PROGRAM FILES\ESET\TNOD USER & PASSWORD FINDER\TNODUP.EXE[/QUOTE]
по правилам нашего форума тема будет закрыта.
обратитесь за помощью на другой форум.

добавьте образ автозапуска
http://forum.esetnod32.ru/forum9/topic2687/

[B]релиз 3.83[/B]
--------------------------------------------------------
3.83
---------------------------------------------------------
o Из окна информации о файле удалено лишние поле "Процесс".

o Исправлена функция разбора LNK файла, приоритет разборки целей
  выставлен в соотв. с фактически действующим в Windows Vista-8.1, а не с тем,
  что указан в официальной документации на формат LNK файлов.

o Добавлена функция исправления пути, неверно возвращаемых активной системой
  до целевых файлов ярлыков (для _неактивных_ систем).

o Из окна информации о файле удалено лишние поле "Процесс".

o В скрипт автоматически добавляется команда v383c препятствующая исполнению
  скрипта на младших версиях uVS.

o Скриптовые команды delall, delref, точно так же как и команды delvir и delnfr,
  теперь не удаляют ссылки на известные файлы. Т.е. в случае известного файла
  delall удаляет лишь сам файл, а delref просто игнорируется.

o Новый параметр в settings.ini
  [Settings]
  ; Защищать известные файлы от действия команд delall и delref.
    bProtectKnown (по умолчанию 1)

o Для удаленных систем добавлена возможность вычислять и помещать в базу
  проверенных хэши объектов. (ссылки, guid-ы и т.п.)

o Добавлен STORE для Win8.1

o Обновлены базы проверенных для Win8.1

o Горячая клавиша Ctrl+T, функция обновлена.
  Автоматически применить твики #1,2,3,9,28,29 при необходимости.
  Функция работает по логу.
  Автоматическим использованием данной функции управляет флаг ImgAutoTweak
  в секции "Settings" файла settings.ini (только при работе с образами)


o Добавлена возможность вычислять и помещать в базу проверенных хэши
  объектов. (ссылки, guid-ы и т.п.)

o Оптимизирована работа с разделом "Скрипты...".

o Добавлен фильтр в функции анализа LNK файлов.
  В win8.1 в главном меню замечены кривые LNK файлы, в которых указан целевой
  файл, являющийся на самом деле каталогом.

o Добавлена функция определения версии Windows для Win8.1 и старше.

o Разделены базы известных файлов для Win8 и Win8.1

o Виртуализация реестра теперь охватывает загруженные пользовательские реестры.
  (!) Производится виртуализация всего реестра, кроме реестра пользователя s-1-5-18 (LS).

o Добавлена функция проверки ярлыков в Start Menu пользователей.

o Для ярлыков теперь есть отдельная категория "Ярлыки" вместо "Линки без...".

o Добавлена функция анализа ярлыков, цели и сами файлы из модифицированных
  ярлыков попадают в категорию подозрительных.
  (!) Функция не дает 100% гарантии, что ярлык был модифицирован зловредом, а не
  пользователем.

o Оптимизирована функция определения даты установки программы.

o Для CMD/BAT/VBE/VBS файлов в окно информации о файле добавлено содержимое
  файла в поле #FILE#. (до 2k размером).

o В окно установленных программ добавлен фильтр.

o Добавлена поддержка плагинов FireFox, установленных в отдельных от общего каталогах.

o Исправлены ошибки при работе с неактивной системой:
  1. в список не попадали:
   o значительная часть ключей из *\CLSID
   o файлы префетчера (при отличии в букве диска)
   o ярлыки с некоторых рабочих столов, в т.ч. иногда и с общего.
   o часть файлов возможно запускавшихся неявно или вручную (при отличии в букве диска)
   o файлы из App Paths. (при отличии в букве диска)
  2. Для некоторых программ неверно определялось дата/время установки.

o Утилита cmpimg обновлена до версии 1.01
  При сравнении образов буква системного диска второго образа заменяется на
  букву первого и только после этого производится сравнение образов.

o Исправлена ошибка при запуске 32-х битного деинсталлятора в 64-х битной среде.

o Новая скриптовая команда "exec32" аналог "exec", но без отключения
  системного редиректора.

o Добавлена возможность импорта белого списка ЭЦП.

o В окно информации о файле добавлена информация об устаревших сертификатах.

o Белый список поддерживается при работе с удаленной системой.

o Добавлен белый список ЭЦП.
  При включении его поддержки, статус проверенного файла получает лишь
  тот файл, который подписан подписчиком из этого списка.
  В случае работы с образом автозапуска статусы файлов приводятся
  в соответствие с белым списком при открытии образа.
  Добавлена категория "Белый список ЭЦП", где можно удалять записи из списка.
  При работе с удаленной системой белый список ПОКА не поддерживается.
  Список хранится в файле wdsl, который представляет собой обычный текстовый
  файл в unicode кодировке. Одна строка - одно имя, регистр важен.
  Файл оптимизируется при сохранении, дубликаты автоматически удаляются.
  Добавить имя подписчика в список можно в окне информации о файле, щелкнув по соотв.
  строчке с подписью. При удалении и добавлении автоматически меняются статусы
  всех файлов которых это касается.

o Новый параметр в settings.ini
  [Settings]
  ; Включить поддержку белого списка ЭЦП.
    bUseWDSList (по умолчанию 0)

o Новый параметр в settings.ini
  [Settings]
  ; Значение определяет расширения файлов которые добавляются в список
  ; наряду с исполняемыми файлами функцией Файл->Добавить в список->...
  ; Пример параметра: .BAT.CMD.LNK.VBS
    Add2ListExt (по умолчанию пустая строка)

o Добавлена дополнительная функция резолва ярлыка при отсутствии целевого
  файла по данным структуры LinkInfo.

o Добавлена новая функция в контекстное меню файла:
  Статус->Все файлы в каталоге и подкаталогах подозрительные

o Добавлена возможность извлекать сигнатуры из некоторых типов DLL,
  для которых ранее такой возможности не было.

o Функция чтения LNK файлов теперь игнорирует права доступа.

o При создании загрузочного диска добавляется пакет WinPE-EnhancedStorage и
  производится оптимизация wim файла. Полная оптимизация работает только под
  Win8.

o С помощью Windows ADK 8.1 создается образ на базе WinPE 5.0
  Для обновления WinPE до версии 5.1 необходимо выполнить следующие
  действия: http://technet.microsoft.com/en-us/library/dn613859.aspx

o Добавлена поддержка LNK файлов с целью зашитой в EnvironmentVariableDataBlock.

o Скриптовые команды deldir и deldirex теперь удаляют все ссылки
  на удаляемые файлы.

o Добавлен 30-й твик: Устранить проблему с подвисанием GameUX.
  Твик можно если использовать если наблюдаются проблемы с запуском игр
  или подвисает процеcc гейм эксплорера C:\Windows\system32\rundll32.exe C:\Windows\system32\gameux.dll...

o Добавлена поддержка создания образов дисков и загрузочных флешек на базе
  WinPE 5.1, ссылка на скачивание ADK обновлена:
  http://www.microsoft.com/en-us/download/details.aspx?id=39982

o Добавлен вывод в лог ошибок соединения с сервером
  при проверке хэша фала на VT.

o Твики 28 и 29 теперь игнорируют права доступа к LNK файлам.

o В лог добавлена информации о lnk файлах которые не удалось прочитать.

o Команда czoo теперь всегда выполняется в конце скрипта вне зависимости от ее
  положения в тексте.

o В окно информации о файле добавлено поле Subsystem.
  Только для исполняемых файлов.

o Добавлены новые твики:
  28. Заменить в ярлыках на рабочем столе .URL на .EXE
  29. Удалить из ярлыков браузеров параметры запуска

o Добавлен анализ файлов на общем рабочем столе,
  на панелях быстрого запуска и закрепленных элементов в меню "Start".
  Добавлен фильтр отсеивающий ярлыки на неисполняемые файлы.

o Новая горячая клавиша Ctrl+*
  Инвертировать фильтр (в режиме фильтрующего поиска)
  ESC и смена категории отменяют инверсию.

o Добавлена поддержка раздела реестра App Paths.

o Исполняемые файлы с рабочих столов пользователей добавляются в список.
  Если на раб. столе был ярлык на исполняемый файл то в информации о файле
  отображается полный путь до lnk файла.

o Обновлена функция проверки файлов на VT.
  Реализован автоповтор запроса при возврате 403-й ошибки.
  Добавлена поддержка парсинга локализованных версий VT.

o Добавлен индикатор сортировки.

o Колонка по которой происходит фильтрация теперь не сменяется автоматически
  при смене сортировки (ЕСЛИ строка фильтрации не пуста).
  Смена колонки происходит только после нажатия ESC или смене категории.

o Удалена горячая клавиша Alt+M теперь _фильтрующий_ поиск осуществляется по
  выбранному для сортировки столбцу.

o Новые функции в меню Подпись/Хэш:
  Установить статус проверенного файла для всех файлов в текущей категории с VTOK/JTOK/VSOK
  Установить статус проверенного файла для всех ИЗВЕСТНЫХ файлов в текущей категории с VTOK/JTOK/VSOK

o Добавлено автоматическое кэширование запросов к VT.
  Кэш работает в функциях массовой проверки.
  Кэш всегда игнорируется (и обновляется) при проверке отдельного файла.
  Кэш хранится в подкаталоге vtcache в виде текстовых файлов, имя файла и есть хэш.

o Новый параметр в settings.ini
  [Settings]
  ; Время действия VT кэша в днях для хэша файла/объекта.
    vtCacheDays (15 по умолчанию)
     0 - не использовать кэш
    -1 - не ограничивать время действия.

o Функция проверки по хэшу на VT теперь использует данные о проверке ЭЦП,
  если VT вернул данные о том что ЭЦП для файла верна И нет детектов,
  то файл помечается как проверенный с указанием первого подписавшего.

o Модифицирована команда delnfr, перед ее исполнением теперь всегда
  вызывается функция обновления списка, что повысит безопасность исполнения
  данной команды.

нет, конечно. не подойдут ключи созданные на виртуалке. при каждом запуске бат-энкодера будет создана новая ключевая пара. И дело здесь не в энкодере, а в легальной программе gnuPG. так она была задумана создателями.

http://download.esetnod32.ru/manuals/business/windows/eset_endpoint_security_5_usergui­de_rus.pdf

смотреть в журнале событий.
но хакеры могут аккуратно стереть из журнала событий информацию о подключении.