Елена,
выполните скрипт очистки,

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
OFFSGNSAVE
sreg

delref %SystemDrive%\PROGRAM FILES\COMMON FILES\BAIDU\BAIDUPROTECT1.3\1.3.0.622\BAIDUPROTECT.EXE
delref %Sys32%\DRIVERS\BD0001.SYS
delref %Sys32%\DRIVERS\BD0004.SYS
delref %Sys32%\DRIVERS\BDARKIT.SYS
delref %Sys32%\DRIVERS\BDMWRENCH.SYS
delref %Sys32%\DRIVERS\BD0002.SYS
delref WSCTF.EXE
delref HTTP://WWW.HAO123.COM/?TN=91800134_HAO_PG
delref %SystemDrive%\DOCUMENTS AND SETTINGS\ADMIN\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\X.VBS
areg[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
+
добавьте новый образ автозапуска для окончательной очистки системы.

Елена,
систему надо основательно чистить. здесь помимо основного антивируса ESET еще и китайский байду
комп как я вижу рабочий, но основательно замусорен, отсюда и шифраторы и прочее.
---------
скрипт очистки сейчас добавлю.

Сергей,
по очистке системы выполните

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

[CODE];uVS v3.87.3 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v388c
OFFSGNSAVE

;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PREST­RM.DLL
del %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\PRESTRM\PREST­RM.DLL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCALLOW\UNITY\WEBPLAY­ER\LOADER

delref %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\GOOGLE\CHROME\US­ER DATA\DEFAULT\EXTENSIONS\BJGFNBGJNMEOHEHMINFENOAHKCDDIDPI\4.5.141_0\ПОДЕЛИТЬСЯ ВКОНТАКТЕ
deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL

deldirex %SystemDrive%\USERS\БУХГАЛТЕР\APPDATA\LOCAL\KOMETA\PANEL\1.0.0.775

; Java™ 6 Update 22
exec  MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216022FF} /quiet
deltmp
delnfr
;-------------------------------------------------------------

restart[/CODE]
перезагрузка, пишем о старых и новых проблемах.
------------
расшифровки нет по vault

в моей подписи есть ссылка на инструкцию "как создать образ автозапуска"

[QUOTE]Сергей Глазовский написал:
Здравствуйте. Вчера, 25.05.2016, на одном из ПК отработал шифровальщик. Вчера почему-то антивирус ESET NOD32 не отловил скрипт. Заражение произошло через открытие письма в MS Outlook без открытия вложений. В письме была HTTP ссылка, переход по ссылке не выполнялся. В итоге все файлы .doc, .docx, .xls, .xlsx, .pdf зашифрованы, после расширения файла добавлено .vault. Есть образец файла VAULT.hta. Также скопирован файл VAULT.KEY. При проверке ПК вручную антивирус ругнулся на файл VAULT.hta, выдал сообщение, что обнаружен Win32/Filecoder.FH. Просьба помочь с расшифровкой файлов и выявлением хвостов зловреда. Возможно, подойдёт описываемая ранее в данной теме утилита ESETFilecoderNacCleaner.exe.[/QUOTE]
Сергей, добавьте образ автозапуска системы, где произошло шифрование

Руслан, ответил в почту

Нет, дешифратора нет.
Елена Севостьянова, добавьте образ автозапуска системы, возможно, остатки шифратора еще остались в системе.

[QUOTE]Алексей Кузнецов написал:
Понял каким должен быть ключ. Все что высылал до этого, не то. Прикладываю единственно возможный вариант. Выдрал хексом с диска.[/QUOTE]
да, это похоже на ключ ВАУЛТ. по крайней мере, именно такой формат ключа был в начальном варианте ВАУЛТ от 2ноября 2015г
если это действительно ключ из вашего сеанса шифрования, то значит возможна расшифровка файлов.

вот такой формат ключа был [CODE]-----BEGIN CERTIFICATE-----
BwIAAACkAABSU0EyAAQAAAEAAQCf978T3/3m3dDB+6scXst7SlfwYg8i2KxR­AFd1
5mP5eiO4m5GaJJUm9qrzsnwz59IiNzGzT3fIkpIvc/xdOxtVwKJBbe7A8+ey­b+Px
gsBJTewhuXwlhGaJ5BlnJV7YDx1khhgcgI7qUxc5cA5DDlgwu+T4DuOFrvwk­cQeH
EIn9tKuc+3rHxoE+mHuM6WEVRFg2zvkFz9wZ4OR08Cao/1ewvA0bs3m83Cp4­FGYd
xDs+6mINXZe8tzUgIg93+sd8OundKC0qjO8c/vm2oO4oRqq2fzMw6gcex2XI­AswE
XLWe/unogr5yj+81fUg7n6wSunxo0E+QER8Dlmq5iKA8XanGxxqxGFAbcqNd­NYW2
7BZK6Wl8YC2x1EiQgYmhPPi0sUTE8JyAh1tg2K7WcKDvdVoGbMQjyKwhobCt­A/QM
G1vApPHj0OVgDRxaXNsiHnbzCSjfhz4rLIbvkScoSJ+raQeNgiKnW5wdZ6XS­K0iy
+tJpjplcvQwZmRn1lcsRokJM2nwEozchoMDv+yQXBT+3hTfTsbx1T1fpFExB­qIl8
6tYRQjc45FQYH0c/NW0DVlcDnkCjTgdkk3wnc5yzFPgoz6heCZrAJ4jzKrSc­2DNY
8jkyyZW/ZRT78tZGlPVxnCOIrcHgt0GjPR4wrHxv8pT8++0Cma1UyoQu3PzY­XFfo
biShCq/InBRKMCmts3tf7IJvYR/qa3L50oNtXQjFfFGewrs+TxzczOAiosrw­+lpS
BZnhNfCrp8mZecJUbfa0xh9giAE=
-----END CERTIFICATE-----[/CODE]

---------------------------------------------------------
3.87.3
---------------------------------------------------------
o Улучшен разбор командной строки cmd.exe

o Новая скриптовая команда: BP
Заблокировать запуск указанного в параметре файла по пути или маске.
Допустимо использовать переменные окружения Windows и символы ? и *.
Примеры:
%APPDATA%\*.exe
trojan*.*
c:\auto*.???

o Новый параметр fHeight
[Settings]
; Размер шрифта в редакторе скриптов
fHeight (по умолчанию 9)

o Новый параметр fWeight
[Settings]
; Вес (жирность) шрифта
fWeight (по умолчанию 300)

o Новый параметр fFaceName
[Settings]
; Имя шрифта
fFaceName (по умолчанию Tahoma)

да, как правило такие случаи шифрования практически безнадежны, если шифратор не оставляет следов в системе о своем секретном ключе.
обратите внимание на превентивные меры, т.е. на локальные политики, которые запрещают запуск исполняемых из архивов.
на сегодня, из тех что мне известны, мертвые шифраторы: ВАУЛТ, ctblocker, Ransom.Shade (во всех своих проявлениях)