Зашифровались документы, стали по типу файл.vault

[Timur Muratshin]

Добрый день!
Снова я, и снова новый шифровальщик, похоже от одного и того же адресата. Ситуация, один-в-один,
только с разницей, что какие-то файлы еще сохранились.
На диске присутствует файл vault.hta и vault.key, на рабочем столе картинка, призванная зайти через тор
на тот сайт и активировать ключ.
Логи прилагаю. Сразу прошелся и FSRT.

[Info_bot]

Уважаемый(ая) Timur Muratshin, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[mike 1]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Timur Muratshin]

Прилагаю отчеты

[mike 1]

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  CreateRestorePoint:
  CloseProcesses:
  BHO: No Name -> {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} -> No File
  Toolbar: HKLM - Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll No File
  Toolbar: HKU\.DEFAULT -> Элементы Яндекса - {91397D20-1446-11D4-8AF4-0040CA1127B6} - C:\Program Files\Yandex\Elements\bartab.dll No File
  2015-11-02 15:48 - 2015-11-02 15:48 - 00004292 ____N C:\Users\sbyt1user\Desktop\VAULT.hta
  2015-11-02 15:48 - 2015-11-02 15:48 - 00004292 _____ C:\Users\sbyt1user\AppData\Roaming\VAULT.hta
  2015-10-16 09:03 - 2015-02-27 17:22 - 00000814 __RSH C:\Users\sbyt1user\ntuser.pol

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

[Timur Muratshin]

Отчет работы fixlist

- - - - -Добавлено - - - - -

В ожидании ответа прогнал drweb-cureit, но в параметре "лечение" поставил "перемещать в карантин".
Результат:

C:\users\admin\appdata\roaming\newnext.me\nengine. dll - is adware program Adware.NextLive.1
C:\Program Files\Mobogenie\nengine.dll - is adware program Adware.NextLive.1
C:\Users\admin\AppData\Local\genienext\nengine.dll - is adware program Adware.NextLive.1
C:\Users\admin\AppData\Roaming\OpenCandy\349706A24 97A4B33A6B4EADE1887ACD0\Mobogenie_Setup_2.1.35_507 .exe - is adware program Adware.NextLive.2

[mike 1]

Это рекламные программы, которые по сути вирусами не являются. С расшифровкой не поможем.