да, судя по образу система очищена уже от файлов шифратора.
по расшифровке, если документы важны для вас, и нет архивных копий  - сохраните на отдельный носитель,
и ждите, когда будет возможность расшифровки.
файлы *.key обязательно сохраните. нужен будет при расшифровании.

VirLocker шифрует и упаковывает все файлы внутри исполняемых файлов

   [QUOTE]Процесс инфекции VirLocker во многом тот же, как это было в 2014 году, и работает, принимая файлы жертвы и заворачивая их внутри EXE оболочки. Это означает, что все файлы зашифрованы, а затем упаковать как исполняемый файл.

   Например, файл изображения с именем photo.png станет photo.png.exe. Поскольку большинство установок для Windows скрывает последнее расширение файла, пользователи будут видеть только photo.png, и не зная, что файл является двоичным.

   Но это становится еще хуже, так как каждый из этих EXE-файлов также содержит копию VirLocker вымогателей, а это означает, что некоторые пользователи, даже не зная, могут распространять вредоносные файлы своим друзьям, или через резервное копирование копии VirLocker. Тот факт, что VirLocker создает реальные EXE-файлы, а не только добавляет поддельное расширение .exe, делает VirLocker крайне опасным, что позволяет ему распространяться с легкостью.[/QUOTE]

https://www.bleepingcomputer.com/news/security/virlocker-ransomware-returns-just-as-virulent-as-ever/

судя по логу ESI, есть левая задача:

"Задача" = "c:\windows\system32\tasks\httphumanvevo12comsmartsm" ( 5: Неизвестно ) ;
"Командная строка" = ""c:\program files (x86)\mozilla firefox\firefox.exe" http://humanvevo12.com/smartsm" ( 5: Неизвестно ) ;

в uVS эта задача так же отображается:

[QUOTE]Полное имя HTTP://HUMANVEVO12.COM/SMARTSM
Имя файла                   HTTP://HUMANVEVO12.COM/SMARTSM
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Удовлетворяет критериям    
TASKS.HTTP                  (CMDLINE ~ HTTP://)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
CmdLine                     HTTP://HUMANVEVO12.COM/SMARTSM
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\HTTPHUMANVEVO12COMSMARTSM
                           [/QUOTE]
---------------

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://HUMANVEVO12.COM/SMARTSM

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

не останавливайтесь на этом.

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
hide %SystemDrive%\PROGRAM FILES (X86)\TOTAL COMMANDER\UTILS\ANVIR\USBHDD.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE
del %SystemDrive%\USERS\USER\APPDATA\LOCAL\COMDEV\COMDEV.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\OJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD\12.0.11_0\ПОИСК MAIL.RU
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\PHKDCINMMLJBLPNKOHLIPAIODLONPINF\11.0.3_0\ПОИСК MAIL.RU
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC

delref HTTP://SRUBFO.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=C3390E4AD5FC3436F492DBCD5FF0F4­01&UTM_TERM=06DAE5DE89D7CFA2861D3B84D81AA6F4&UTM_D=20170124
deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Дима Желдак,
добавьте образ автозапуска системы, в которой был запушен шифратор.
возможно, необходима еще очистка этой системы от файлов шифратора.

Василий Перцев,
вы можете добавить правило фаерволла для данного приложения,
исходящие соединения заблокировать.

сделайте таки эту проверку:

далее,
[URL=http://forum.esetnod32.ru/forum9/topic10688/]выполните быстрое сканирование (угроз) в Malwarebytes[/URL]

RP55,
далеко не всегда нужен полный образ автозапуска, а по времени без проверки цифровых подписей процесс протекает быстрее.
Чтобы удалить пару записей из секции браузеров.

не думаю, что юзер придерживается логики чем меньше тем, быстрее мне помогут.
Он в первую очередь заинтересован в предоставлении полной информации о зараженной системе.

[QUOTE]Андрей Кизилевич написал:
Добрый ночи. Тоже поймал эту заразу. Прикрепляю автозагрузчик, исходное письмо,KEY[/QUOTE]
Андрей,
судя по образу система уже очищена от файлов шифратора. Хотя не мешает сделать полную проверку диска, поскольку Spora раскладывает на диске несколько своих копий, и добавляет их запуск в созданные lnk файлы.

детектирование hta-файла
https://www.virustotal.com/ru/file/4a5db945bc2238d738834e73e48da758d6208a58dc1ad825­a905d7dd6ab11e6b/analysis/1485221083/
детектирование шифратора exe
https://www.virustotal.com/ru/file/65ce33956ed7ba748c7542024eb5c437fd532902c549711c­9b7646e3ad7a4eb1/analysis/