без KEY.PRIVATE в котором "спрятан" secring.gpg врдли получится расшифровать файлы.

поищите на диске эти ключи:

[QUOTE]"%temp%\sdelete.exe" -accepteula -p 4 -q "%temp%\[B]pubring.gpg[/B]"
"%temp%\sdelete.exe" -accepteula -p 4 -q "%appdata%\gnupg\pubring.gpg"
"%temp%\sdelete.exe" -accepteula -p 10 -q "%temp%\secring.gpg"
echo paycrypt>"%temp%\secring.gpg"
echo %line1%>"%temp%\[B]secring.gpg[/B]"
echo %line2%>"%temp%\secring.gpg"
del /f /q "%temp%\secring.gpg"
RENAME "%temp%\secring.gpg.gpg" [B]KEY.PRIVATE[/B]
set line4=xpUP46l432Qu7Lr
md "%temp%\PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%appdata%\KEY.PRIVATE"
copy /y "%temp%\KEY.PRIVATE" "%temp%\PRIVATE\KEY%RANDOM%.PRIVATE" [/QUOTE]

да, файл трояна может быть помещен в различные каталоги, запускаться через различные параметры в реестре.
по каждой машине с заражением создайте отдельную тему, чтобы не было путаницы с логами.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv5.1

OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\KONDRASHOVSV\APPLICATION DATA\DAOXY\CIOCORE.PLD
delall %SystemDrive%\DOCUMENTS AND SETTINGS\KONDRASHOVSV\APPLICATION DATA\DAOXY\CIOCORE.PLD
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

может и не в том, но человек еще не выполнил очистку в малваребайт, в адвклинере, и не показал список расширений. вот после этих очисток и проверок будет виден результат

спроси у whois
https://www.nic.ru/whois/?query=10.100.0.89

[QUOTE]RP55 RP55 пишет:

10.100.0.89:3128
[/QUOTE]
это локальный адрес, возможно прокси есть в локальной сети, хотя может и ошибка какая то вкралась в разбор при формировании образа, очень уж близки айпишники.

[QUOTE]Владимир Швецов пишет:

А нет показалось, окна рекламы все равно появляются. на 5-7 раз открывания по ссылке.[/QUOTE]

удалите все найденное в малваребайт,

далее,

сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/
----

в АдвКлинере, после завершения сканирования, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex

остальное удалите по кнопке [b]Очистить[/b]

далее,

если проблема не решится, добавьте логи расширений браузеров
http://forum.esetnod32.ru/forum9/topic10570/

+
удалите все ярлыки браузеров на рабочем столе и в быстром запуске, и заново создайте их
+
ждем лог сканирования в мбам

ок, ждем результат выполнения скрипта, и лог сканирования в мбам

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.83 BETA 18 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

OFFSGNSAVE
zoo %SystemRoot%\SYSWOW64\NETUPDSRV.EXE
addsgn 1AAAE79A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B84B497­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetworkUpdate.mbam

zoo %SystemDrive%\USERS\V.SHVETSOV\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
addsgn 1A4B469B5583358CF42B254E3143FE547601B9FA0A3A13F1C03FA1374DD6­714C239CC0339D559D492B0BC197CD4B457110236311A9255077E4B5AC2F­9F5FA577 8 praetorian

zoo %SystemDrive%\USERS\V.SHVETSOV\APPDATA\LOCAL\SWVUPDATER\UPDATER.EXE
addsgn 9252775A106AC1CC0B84544E334BDFFACE9A6C66196A8FE80FC583345791­709756104849BDBB6158F0F26927471649FA7C049D75DEC433C2D1667F3E­0707F900 13 sohanad_vir

zoo %SystemRoot%\SYSWOW64\NETHTSRV.EXE
addsgn 1ABC099A5583D98CF42B254E3143FE86C9AA77B381AC48128D9A7B045494­71C15EF730F2B71065C26E8CDB1603EA177FBDABE48455D2C42BEA32502F­879F23FE 8 NetUpdate.mbam

zoo %SystemRoot%\SYSWOW64\HFPAPI.DLL
addsgn 79132211B9E9317E0AA1AB5922801205DAFFF47DC4EA942D892B2942AF29­2811E11BC3DCC10016A5A86CA414031E1FAD17D7B1CCC538B23CA00A44DC­628F678B 64 Win32/RiskWare.NetFilter.B [ESET-NOD32]

delall %SystemDrive%\PROGRAM FILES (X86)\MOBOGENIE\DAEMONPROCESS.EXE
delall %SystemDrive%\USERS\V.SHVETSOV\APPDATA\ROAMING\NEWNEXT.ME\NENGINE.DLL
delref 110.100.0.89:3128
zoo %Sys32%\DRIVERS\NETHFDRV.SYS
;------------------------autoscript---------------------------

sreg

chklst
delvir

delref %Sys32%\DRIVERS\NETHFDRV.SYS
del %Sys32%\DRIVERS\NETHFDRV.SYS

; OffersWizard Network System Driver
exec C:\Program Files (x86)\Common Files\Config\uninstinethnfd.exe
; McAfee Security Scan Plus
exec C:\Program Files (x86)\McAfee Security Scan\uninstall.exe
; Java™ 6 Update 32
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216032FF} /quiet
deltmp
delnfr
CZOO
areg

;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z)  отправить в почту [email protected], [email protected]  
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/