js скорее всего запускает cmd, в котором прописаны команды шифрования файлов.
а вот cmd - тот самый, содержит всю инфо по документам с локальных и сетевых дисков.
это в данном случае основной шифратор.
лог АВЗ сейчас гляну

NickM,
добавь лог АВЗ, посмотрю, но скорее всего он там указывает просто как на подозрительный файл. не в автозапуске.
в принципе, пока,
можно просто перегрузить систему в момент запуска шифратора VAULT
процесс шифрования прекратится, и есть возможность таким образом сохранить от удаления secring.gpg

повторно процесс шифрования не запустится (для ВАУЛТ-а)
по крайней мере, сейчас это так. как дальше будет - зависит от кодеров ВАУЛТа.

последние варианты ВАУЛТа в таком контексте распространяются

[QUOTE]Здравствуйте!
Год тому мы осуществляли для вас несколько поставок по договору № 12-02/3 (акты и накладные в приложении).
Согласно документов мы со своей стороны передали товар, однако, средства в полном обьеме вашим предприятием перечислены не были.
Сроки исковой давности уже заканчиваются. Юристы предлагают готовить заявление в суд.
Просьба изучить высланные документы.
Мы еще можем рассчитывать на получение денег?

с ув.
Менеджер по поставкам ООО "ПРОМСНАБ", Евгения Скворцова
[/QUOTE]
и
[QUOTE]День добрый,
Высылаю Вам некоторые акты, ТТН и счета-фактуры за 2013-2014 год (в приложении к письму).
Бухгалтер обнаружила, что за Вашим юр.лицом числится небольшой долг по паре старых поставок.
Настоятельно прошу Вас свериться с нами.
Я бы не поднимал данный вопрос. Однако, сейчас кризис, считаем каждый рубль((.
Ожидаю скорейшего ответа о корректности наших данных.

С уважением,
Начальник отдела поставок ООО СНАБСЫРЬЕ, Куриков Максим Владимирович[/QUOTE]

в первом варианте архив шифратора добавлен как вложение в почтовое сообщение,
во  втором варианте - сообщение содержит ссылку на архив шифратора

NickM,
о каком из js (из коллекции собрания сочинений VAULT) идет речь?
о самом исходнике (в котором закодированы модули шифратора), с запуска которого и начинается процесс шифрования, или о других js, которые по ходу работы шифратора создаются дополнительно?
не замечал пока за VAULT такой эффект, пока что в автозапуск прописывался только hta-заставка.
-----
по крайней мере так было в апрельских вариантах.(где-то на 27 апреля)

1. добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

1. по логу АдвКлинер
в АдвКлинере после проверки, в секции [b]Папки[/b] снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке [b]Очистить[/b]

2. по логу FRST
эти файлы удалите (если они есть) вручную
[CODE]2015-05-10 21:42 - 2015-05-10 21:43 - 6103040 _____ () C:\Program Files (x86)\GUT161F.tmp
2015-05-10 21:32 - 2015-05-10 21:33 - 6103040 _____ () C:\Program Files (x86)\GUT26E5.tmp
2015-05-10 21:42 - 2015-05-10 21:43 - 6103040 _____ () C:\Program Files (x86)\GUT6CC7.tmp
2015-05-10 21:32 - 2015-05-10 21:32 - 6103040 _____ () C:\Program Files (x86)\GUTE6AA.tmp
[/CODE]

3. по host.ics
эти настройки необходимы вам для работы в сети? если нет необходимости в расшаривании доступа в интернет, то удалите эти записи из hosts.ics
[CODE]192.168.42.1 Dinn_FBI.mshome.net # 2018 1 2 9 17 53 24 651
192.168.42.126 Ownlooks.mshome.net # 2013 1 4 17 17 53 24 651
[/CODE]
http://netler.ru/ikt/hosts-ics.htm

4. если все это не поможет,
попробуйте перенастроить роутер для выхода в сеть,
(сбросить настройки, и еще раз все настроить)

вот эти проверки сделайте и добавьте логи
малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
АдвКлинер
http://forum.esetnod32.ru/forum9/topic7084/
frst
http://www.cyberforum.ru/viruses-faq/thread1362245.html

тут все зависит от цели ваших сообщений.

если вы хотите подчеркнуть что есет не находит, а другие находят, то прямо об этом и пишите,
в этом случае отправим вас с претензиями в техподдержку.
(им морочить голову)

если вы хотите, чтобы мы помогли вам разобраться с проблемой, тогда постарайтесь детально отвечать на вопросы,
тогда нам будет проще вас понять, и помочь решить проблему.

судя по последнему образу ESET у вас все таки установлен

т.е. хочу подчеркнуть что в данном случае
ваша краткость является не мерой таланта, а лишь приводит к большему количеству вопросов.

временно деинсталлируйте НОД, проверьте что будет с проблемой