DNS проверьте, которые получаете от роутера:
10.254.254.254,91.247.108.1,192.168.68.1

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.13 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\VALERY\APPDATA\LOCAL\YANDEX\YANDEXBROWSE­R\USER DATA\DEFAULT\EXTENSIONS\NPDPPLBICNMPOIGIDFDJADAMGFKILAAK\9.91_0\SAVEFROM.NET ПОМОЩНИК
zoo %SystemDrive%\USERS\VALERY\APPDATA\LOCAL\PROTECTBROWSER\PROT­ECTBROWSER.EXE
addsgn 1A9C719A5583368CF42B6CB164435FF14103F1F689FA1F21DA9C9BE7DB33­2C1DE047A7A80B559D492B0DC0BB4A3D2DDE718CBE25DCF23BC48C3BB467­C735E723 8 JS.Siggen5.45720 [DrWeb] 7

chklst
delvir

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

Сергей,
пробуйте отправить информацию о ложной блокировке сайта через функции Сервиса в консоли продукта ESET

[QUOTE]Владимир Горячев написал:
Как закрыть доступ к дамп с хэшами ? Или  удалять при выходе ?  [/QUOTE]
Microsoft внедрила функции безопасности, предотвращающие создание дампа памяти процесса LSASS.

Подробнее: https://www.securitylab.ru/news/529845.php
Основная защита - не допустить запуск инструментов злоумышленника в вашей системе.

[QUOTE]Владимир Горячев написал:
И еще -
где можно скачать дистрибутв Eset File security 7.3 или 8,0 ?  [/QUOTE]
8 версию можно скачать здесь
https://download.eset.com/com/eset/apps/business/efs/windows/v8/latest/efsw_nt64.msi
7 актуальную пробуйте скачать по этой ссылке
https://download.eset.com/com/eset/apps/business/efs/windows/v7/latest/efsw_nt64.msi

Ошибки при активации продуктов ESET:

https://support.eset.com/ru/kb7297-act-ecp

https://support.eset.com/en/kb7297-resolve-act-or-ecp-errors-during-activation-home-users#act

[QUOTE]Георгий Терентьев написал:
Как я смогу узнать о том что расшифровщик найден?[/QUOTE]
Можно за этой темой следить, автор этого блога обновляет информацию если расшифровка становится доступной,
https://id-ransomware.blogspot.com/2022/11/blackhunt-ransomware.html
Так же,
по возможности, мы через форум здесь информируем о возможности расшифровки, в самой теме, через личные сообщения, или через сообщения по email на почту регистрации.

[B]Через взломанные сайты распространяются вредоносное ПО под видом обновлений для Chrome[/B]

Поддельные ошибки обновления Chrome

Атака начинается с компрометации веб-сайтов для внедрения вредоносного кода JavaScript, который выполняет сценарии, когда пользователь посещает их. Эти сценарии будут загружать дополнительные сценарии в зависимости от того, является ли посетитель целевой аудиторией.

Эти вредоносные скрипты доставляются через службу Pinata IPFS (InterPlanetary File System), которая скрывает исходный сервер, на котором размещены файлы, что делает занесение в черный список неэффективным и сопротивляется удалению.

Если целевой посетитель просматривает сайт, сценарии отобразят поддельный экран ошибки Google Chrome, в котором будет указано, что не удалось установить автоматическое обновление, необходимое для продолжения просмотра сайта.

«Произошла ошибка при автоматическом обновлении Chrome. Пожалуйста, установите пакет обновления позже вручную или дождитесь следующего автоматического обновления», — говорится в поддельном сообщении об ошибке Chrome.

Затем сценарии автоматически загружают ZIP-файл с именем «release.zip», который замаскирован под обновление Chrome, которое должен установить пользователь.

Однако этот ZIP-файл содержит майнер Monero, который будет использовать ресурсы процессора устройства для добычи криптовалюты для злоумышленников.

При запуске вредоносное ПО копирует себя в папку C:\Program Files\Google\Chrome как «updater.exe», а затем запускает законный исполняемый файл для выполнения внедрения процесса и запуска прямо из памяти.

По данным VirusTotal, вредоносное ПО использует метод «BYOVD» (принеси свой собственный уязвимый драйвер) для использования уязвимости в законном WinRing0x64.sys для получения привилегий SYSTEM на устройстве.

Майнер сохраняется, добавляя запланированные задачи и выполняя изменения реестра, исключая себя из Защитника Windows.

[B]Кроме того, он останавливает Центр обновления Windows и нарушает связь продуктов безопасности с их серверами, изменяя IP-адреса последних в файле HOSTS. Это препятствует обновлениям и обнаружению угроз и может даже полностью отключить антивирус.[/B]

После всех этих шагов майнер подключается к xmr.2miners[.]com и начинает майнить трудно отслеживаемую криптовалюту Monero (XMR).

[B]Хотя некоторые из удаленных веб-сайтов являются японскими, NTT предупреждает, что недавнее включение дополнительных языков может указывать на то, что субъекты угрозы планируют расширить сферу своей деятельности, поэтому влияние кампании может вскоре возрасти.[/B]

Как всегда, никогда не устанавливайте обновления безопасности для установленного программного обеспечения на сторонних сайтах, а устанавливайте их только у разработчиков программного обеспечения или с помощью автоматических обновлений, встроенных в программу.

https://www.bleepingcomputer.com/news/security/hacked-sites-caught-spreading-malware-via-fake-chrome-updates/
-----------------
https://www.virustotal.com/gui/file/2afdcf74d9dbc5575de919e8d041fc06c15044da0844fe9­326b8f1b4bedad291/behavior
https://www.virustotal.com/gui/file/cb1a228b5f9001dd9acf4fc1296c3f60b9014ae487df12b­c8bb2fbc639a72290/behavior

-------------
[QUOTE]Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ?ВИРУС? ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/Kryptik.DQA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-04-05
                           
www.virustotal.com          2023-03-10 23:29 [2023-02-09]
K7AntiVirus                 Trojan ( 0059bdd61 )
Symantec                    ML.Attribute.HighConfidence
ESET-NOD32                  a variant of Win64/Kryptik.DQA
Kaspersky                   Trojan.Win32.Agent.xatoxm
BitDefender                 Trojan.GenericKD.65483364
Avast                       Win64:Evo-gen [Trj]
DrWeb                       Trojan.Siggen19.45027
Emsisoft                    Trojan.GenericKD.65483364 (B)
Microsoft                   Trojan:Win64/CoinMiner.DC!MTB
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     63DD6E43398000
Linker                      2.38
Размер                      3738624 байт
Создан                      03.03.2023 в 05:43:17
Изменен                     03.03.2023 в 05:43:18
                           
TimeStamp                   03.02.2023 в 20:27:47
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        0BBD1560602ACA4210660580C00B36B3726B0F63
MD5                         FB6F76B4F93ACC6FCD026EB66652E939
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              26.02.2023 в 22:34:55
Последний запуск            24.03.2023 в 12:04:26
Код ошибки                  0x0
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{1BA1EBB6-9C3B-4FF1-9B4A-9889539EB664}\
                           
[/QUOTE]
--------------


+
false proxy
хттп://34.80.59.191/WIN.PAC

@Георгий Терентьев,

Если очистка системы не нужна (была заражена [URL=https://www.bleepingcomputer.com/news/security/hacked-sites-caught-spreading-malware-via-fake-chrome-updates/]майнером[/URL]), то остается ждать новой информации по данному шифровальщику. На текущий момент расшифровки по BlackHunt нет.

Restore-My-Files.txt  одинаков для всех каталогов. В этом файле хранится ID, возможно он будет нужен для поиска приватного ключа, если когда нибудь будет слив ключей.

>>>Левые учетки не создавались, но все из группы Администраторы был поражены.
Возможно, смогли получить дамп с хэшами, и по хэшам смогли взломать пароли к учеткам администраторов.
--------
конечно, с 2003 вы опоздали с миграцией на более безопасную систему.

Version Original Release Date Latest Build Latest Build Release Date Current Status Full Support Limited Support

[QUOTE]6.5 February 28, 2017 6.5.12018.0 February 19, 2020 End of Life Ended Ended (December 31, 2022)[/QUOTE]


https://support-eol.eset.com/en/policy_business/product_tables.html

[QUOTE]Владимир Горячев написал:
по файлу rules - это правила  с маршрутизатора keenetic , фаервол ESET FILE SECURITY не настраивался.RDP ( порт 3389) используется админом со сложным паролем для доступа к сервер 2003, это один из контролеров (тип DC).[/QUOTE]
получается на RDP доступ открыт из внешней сети, т.е. возможны подключения из любого сегмента Интернет. возможно смогли получить доступ используя уязвимость системы.
Проверьте, не были ли созданы левые учетные записи с правами Администратора

Если смотреть по журналу угроз:
[QUOTE]06.04.2023 6:39:59 Real-time file system protection file C:\Documents and Settings\Администратор\Главное меню\Программы\Restore-My-Files.txt Win32/Filecoder.Phobos trojan deleted TCOM\Администратор Event occurred during an attempt to access the file by the application: C:\WINDOWS\explorer.exe (AA4213344DD3C4B0EBF1E699423CFE6D384B87D3). B470A8935FD24B99972D6490E836BA6C12557300 05.04.2023 23:06:35
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
06.04.2023 4:13:28 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:06:37 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
05.04.2023 16:04:41 Advanced memory scanner file Operating memory » svchost.exe(2260) MSIL/TrojanDownloader.Agent.NZD trojan unable to clean 9A7040A5C25B3BBFB552A348869D173B9095491B
05.04.2023 16:04:38 Advanced memory scanner file Operating memory » svchost.exe(2260) a variant of MSIL/Filecoder.LokiLocker.D trojan unable to clean 45CCB668DAB4D79E373D2E65F0EE4E5D210F126B
[/QUOTE]
Судя по журналу обновлений, были проблемы с обновлением продукта на этом сервере.

06.04.2023 11:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 9:13:30 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 7:13:31 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
06.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 5:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 3:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
05.04.2023 1:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 23:13:08 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 21:13:11 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 19:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
04.04.2023 17:13:09 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM

и достаточно давно
07.03.2023 17:14:18 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 15:14:14 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
07.03.2023 13:14:17 Update Update authorization failed. Please check if your license is valid. NT AUTHORITY\SYSTEM
------------
файл детектировался уже в памяти после запуска (в AMS), не сигнатурно, скорее всего продукт давно не обновляется, так что сигнатуры не было для блокирования запуска шифровальщика MSIL/Filecoder.LokiLocker.D trojan