Boris Popov,
по Filecoder.FH/VAULT расшифровка возможна в том случае, если шифрование было со 2 до 10ноября (2015г).
для более поздних версий данного шифратора расшифровки нет.

это свежий вариант vault, по крайней мере с таким расширением шифруются документы.

Будет добавлено как
JS/TrojanDownloader.Agent.OEQ trojan

Роман,
1. файл удалите с форума, и оправьте в вирлаб: [email protected] в архиве с паролем infected
(пока никем не детектируется)
https://www.virustotal.com/ru/file/bb0a974a7a85c1fc0cc9f73cc942736efa82296ca19fce8d­ce686919ac4105c0/analysis/1452502469/

2. добавьте по ссылке несколько зашифрованных файлов.
3. добавьте образ автозапуска системы, где произошло шифрование
http://forum.esetnod32.ru/forum9/topic2687/

или не было запуска шифратора?

Максим, а в новых логах есь угрозы?
судя по этому последняя обнаруженная угроза была в прошлом году.
[QUOTE]26.12.2015 16:00:02 Защита в режиме реального времени файл C:\Users\СUSTOMER-2\Desktop\Не подтвержден 777158.crdownload модифицированный Win32/Magicbit.C потенциально нежелательная программа очищен удалением - изолирован СUSTOMER-2-ПК\СUSTOMER-2 Событие произошло в файле модифицированном приложением: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe.[/QUOTE]

теперь уже с точностью можно сказать, что расшифровка есть и работает.
если расшифровка еще актуальна,
можно обратиться на форум
http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/
там точно расшифруют.

ваша исходная информация:

[CODE]================
= PrivateKeyBC =
================

SharedSecret1*PrivateKeyBC
hex 0F343E75E86F2692E0FBAD65973ADCAE474CFD9D93E87425633BB0D54228­3BDE8C5B5D7CC9D47BF1AFABFCE29C01DF990D8F35230FCADFFF06653BB9­A5ED8DB0
dec 796302181842686698841236259962858748565461859631763215864766­129443414509663257477705174181006382207853009564359297382966­450679768926601392417811154701744



PrivateKeyBC =
PublicKeyBC = 04025E018381802D20181A16F89AE8D94E10B5E2702FF687B84A75ECFAE4­ADC4FFA09923A57589BB31B168DD28CFD76D53AF5A32C43AB36DE727579B­1FF28DDC95




==================
= PrivateKeyFile =
==================

SharedSecret2*PrivateKeyFile
hex 3FA0D2454DE08C1264A4016792A92169F9DF2EB5374D1A73D5AF06A8CEA2­7B007E3B8600DAE87B94D494FB64203A885AA95A5E8A83D759B05FD6BFD2­1AF8E94A
dec 333247968039064691662803615450496426197327346840774858616999­679240381285665485006257194411522116124331902216669660346672­2653407223161955207437172151478602



PrivateKeyFile =
PublicKeyFile = 049FE20A7A2942CDD0E68585D764B393C6D89FA96DBE43BA8B7D615BB940­6F5C48CDD77E313E552AA002EB9B2DA6E32A4C219B8E0FB26A244BEA9BE2­87A4153387[/CODE]

Владимир,
по правилам нашего форума тема будет закрыта без оказания помощи в очистке системы.
поскольку владелец компа использует tnod
[QUOTE]C:\PROGRAM FILES\TNOD USER & PASSWORD FINDER\TNODUP.EXE[/QUOTE]

проверьте как будет работать комп с другой клавиатурой,
или с этой же, из безопасного режима

Виктор,
tnod используем, поэтому (по правилам нашего форума) помощь в очистке системы не будет оказана.
обратитесь за помощью на другой форум.
C:\USERS\ARTIST\DESKTOP\TNOD-1.4.2.3-FINAL-SETUP.EXE

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v3.86.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LADDJIJKCFPAKBBNNEDBHNNCIECIDNCP\8.14.0_0\ПОИСК ЯНДЕКСA
;------------------------autoscript---------------------------

chklst
delvir

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JDKIHDHLEGCDGGKNOKFEKOEMKJJNJHGI\1.0.3_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\LALFIODOHDGAEJJCCFGFMMNGGGPPLMHP\8.14.0_0\СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NEHAPOFAKGHLJOPFEGJOGPGPELJKHJJN\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref %SystemDrive%\USERS\АДМИН\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\NFMGMAABALEAEKLHIDJDACACEBDKOPEC\8.15.0_0\ПОИСК И СТАРТОВАЯ — ЯНДЕКС

delref HTTP://WWW.QIP.RU/

deltmp
delnfr
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

скорее всего, этот шифратор уже в ходу, поменяли только почту
вот типичный случай
[email protected]
http://forum.esetnod32.ru/forum35/topic12799/

по моему здесь характерно, то что взламывают доступ к серверам и шифруют файлы

и файлики в этой теме аналогичные
[QUOTE]zoo %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE
delall %SystemDrive%\USERS\VIKTOR\APPDATA\ROAMING\MICROSOFT\WINDOWS­\START MENU\PROGRAMS\STARTUP\{39B8FD42-81KE-838D-9865-3YTA194436F}.EXE[/QUOTE]
хотя не факт, что этот файл имеет прямое отношение к шифратору

если погуглить по [email protected], то можно найти подобные темы на других форумам: на ЛК например, и там тоже шифрование было выполнено после взлома доступа по RDP