Вирус MulDrop7. (Dropper.HTA.Spora.a) зашифровал файлы

Здравствуйте. У нас в школе произошло печальное событие.
В эл. письме («Здравствуйте, я заменяю нашего менеджера, извините за задержку, трансп. накл. и документацию на водителя высылаю…» и т.д.) было открыто вложение-архив. Через некоторое время было замечено, что на рабочем столе и на всех доступных сетевых папках на других компьютерах оказались зашифрованы документы с расширениями .doc, .docx, .xls, .xlsx, .pdf, .jpeg Внешне файлы не изменились (не сменили расширение) пострадало только содержимое. Повреждение выглядит как сбой кодировки. Письма с требованием от вымогателей на ПК нет. Компьютер был проверен и найденные вирусы (были и другие) обезврежены с помощью утилиты CureIt (правда в этот же день ни она, ни KVRT не могли определить этот архив как вирус. да и майкросовтовский антивирус перед открытием тоже не определил, что там вирус).
Вирус по версии DrWeb – Trojan.Muldrop7.13889, по версии Касперского – Trojan-Dropper.HTA.Spora.a. Сам архив с вирусом могу приложить.
Лог исследования системы прилагаю. Так же зашифрованные и незашифрованные копии поврежденных файлов. Возможно ли расшифровать или восстановить файлы? Осталось ли в компьютере что-то вредное после работы CureIt?
Заранее спасибо.

Уважаемый(ая) [B]Евгений 2016[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="http://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Помогите кто-нибудь пожалуйста

Расшифровка нашими силами невозможна.


Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.
[list][*][b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.[/list]

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.
2. Убедитесь, что в окне [b]Optional Scan[/b] отмечены [i]List BCD[/i], [i]Driver MD5[/i] и [i]90 Days Files[/i].
[img]http://i.imgur.com/3munStB.png[/img]
3. Нажмите кнопку [b]Scan[/b].
4. После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет ([b]Addition.txt[/b]).
6. Отчеты, полученные в пп. 4 и 5, заархивируйте (в [b]один архив[/b]) и прикрепите к сообщению.

Прикладываю отчёт FRST
А зашифрованные файлы нельзя расшифровать даже с помощью Помогите+ или там например на сайтах ведущих антивирусников?

Вирлабы тоже бессильны.

1. Откройте [b]Блокнот[/b] и скопируйте в него приведенный ниже текст
[code]
CreateRestorePoint:
Toolbar: HKU\S-1-5-21-1547161642-1482476501-839522115-1004 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-17d82a19.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-1815278.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-1fcbfe26.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-2a860697.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-2e6363a1.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-329f8da5.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-34c2a6c2.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-3b54fdfd.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-3ecbf83c.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-458bcc7a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-4667056b.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-4ca715f0.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-4f433473.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-4fa65393.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-50cb70da.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-517bf2d9.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-57bb1088.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-58d9e8.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-5b358d0.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-5be6c1b1.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-5eb09077.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-5fb537fc.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-63f48e92.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-673162ab.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-6817b61c.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-68e2b5b4.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-6c47ad2a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-70689f5d.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-78ffbfba.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-7c880dd4.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-7cae3404.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-877b90d8.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-8e100cf4.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-8fb83ab5.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-90d97ad0.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-965ee82f.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-a08ca822.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-a5cf83a3.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-a8475b74.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-ae60a11b.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b2aac313.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b3392659.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b37567e9.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b40b4737.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b6687b4a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b82644f5.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-b837f489.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-ba0ccd8.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-c03d8d7.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-d29104b5.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-d770b456.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-d7ca86d5.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-d87c5ec4.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-dba28ea6.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-dc84e494.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e2224db1.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e558aa3f.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e59f2d99.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e5fb587f.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e621fa0a.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e69d3cde.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e6e1e5c.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e7f25c31.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-e9881fa9.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-ef21f00c.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-ef3f235d.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-f0c38311.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-f741aa2e.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-f8f4a56b.exe
C:\Documents and Settings\NetworkService\Local Settings\Temp\mpam-fe35fcdd.exe
Reboot:
[/code]
2. Нажмите [b]Файл[/b] – [b]Сохранить как[/b]
3. Выберите папку, откуда была запущена утилита [b]Farbar Recovery Scan Tool[/b]
4. Укажите [b]Тип файла[/b] – [b]Все файлы (*.*)[/b]
5. Введите имя файла [b]fixlist.txt[/b] и нажмите кнопку [b]Сохранить[/b]
6. Запустите FRST, нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.
[list][*]Обратите внимание, что будет выполнена [b]перезагрузка компьютера[/b].[/list]

Прикладываю

На этом чистка мусора завершена

Большое спасибо

Здравствуйте, извините за беспокойство. Только сегодня на рабочем столе обнаружил скрытый файл, похожий на что-то связанное с реестром с именем RU376-77FHH-GOTAF-GKTRF-HTAXF-TGKHO-RTFFO-RYYYY. При запуске выдаёт окно "Вы действительно хотите добавить информацию из C:.....\RU376-77FHH-GOTAF-GKTRF-HTAXF-TGKHO-RTFFO-RYYYY.key в реестр?". Дата и время его создания - когда начал работать вирус. Что это за файл, может он поможет в расшифровке? Что будет, если я нажму Да? Ниже скрин
[ATTACH=CONFIG]656375[/ATTACH]

Не поможет