На беглый взгляд, версии продукта ESET на проблемном ПК и на ПК с работающим антивирусом (работающей службой ekrn.exe) одинаковы: но сами продукты разные ESET Endpoint Antivirus и ESET Endpoint Security, причем на двух проблемных именно ESET Endpoint Antivirus ставился.

Что можно сделать в качестве эксперимента. Зачистить хвосты, на которые указал RP55, удалить продукт ESET из безопасного режима на любом из проблемных ПК, и попытаться установить на него ESET Endpoint Security.

update:
и проверить закономерность: везде ли на проблемных ПК ставился ESET Endpoint Antivirus или есть и проблемые с установленным ESET Endpoint Security

Просмотрел половину проблемных ПК, на всех присутствует файл C:\PROGRAM FILES\ESET\ESET SECURITY\CERTIMPORTER-1631.EXE, как и на двух проблемных, логи которых я прилагал.При этом установленная версия 9.1.2060.0 совместима с Win8.1, и поэтому появление этой записи кажется несколько нелогичным. При проверке версий в свойствах исполняемых файлов ESET также везде 9.1.2060.0.

Есть нерабочие экземпляры обоих продуктовЭто  поможет на 99.99% по прошлому опыту, но именно этого я и пытаюсь   избежать начав этот топик. Снимать 32 машины в разных филиалах, задача   не из самых приятных, и нет гарантий что таких машин не прибавится (есть   куча машин, на которых антивирус работает, но не обновляется до   последней версии, также с ошибкой 0x643 "Не удается остановить службу   ekrn ... убедитесь что у вас достаточно прав")

Здесь: https://forum.eset.com/topic/21660-0x643-error-when-installing-endpoint-product-antivirus/#comment-104972
Аналогичная ошибка с кодом: 0x643 Но для Windows 7
Система _устаревшая и больше не поддерживается.
и Рекомендация по установке обновлений...
----------
Попробовать установить другой ( любой ) современный антивирусный продукт на проблемной машине - посмотреть на результат ( и журналы )
Если проблема воспроизводиться... Посмотреть версии _системных обновлений. и т.д.
Я думаю нет нужных системных обновлений.

Не поддерживается кем или чем конкретно? Каким образом тогда на 120 машинах с Windows 8.1 версия 9.1.2060.0 установлена и прекрасно работает.
Все машины (рабочие и проблемные) в одной корпоративной сети, получают обновления с одного сервера, при этом проблемные машины полностью обновлены (те которые я проверял лично), а часть рабочих машин в данный момент требует установки обновлений.

Системное обновление могло не установиться. ( сбой\откат ) - ( причины: разное железо  и т.д )
Обновление могло установиться - но кто-то его позже удалил.
и т.д.
----------
Версия антивируса в момент установки проверяет: версию системы; версии ( наличие ) установленных обновлений ( нужных для корректной работы продукта ); наличие конфликтующего П.О.

Если уставлены идентичные обновления - нужно посмотреть так ли это на самом деле.

* Если должно - то не обязано - а если обязано, то не должно :)

... и не устанавливается, если что-то не устроило. А вот установиться, после этого не работать и не давать себя удалить, кроме как в безопасном режиме - это уже несколько странно.


Проверил, что происходит при запуске службы ekrn на одной из проблемных  машин. В процессах появляется ESET Service и начинает что-то делать. Как  показал Process Monitor, процесс ekrn.exe сканирует папку  C:\Windows\System32\catroot. Делает это порядка пяти минут (на не особо  быстрой машине), после чего закрывается. Windows рапортует, что "служба  не ответила вовремя". Лог Process Monitora загрузил на всякий случай,  может кто что там увидит.

Лог Process Monitora
Есть записи типа:
Запись не найдена - файл не найден.
Но я об этом и говорил - не все компоненты антивируса установились или были удалены.
---------
Как могла появиться ошибка?
Журналы изменений для продуктов ESET: https://help.eset.com/changelogs/?lang=ru-RU
Возможно установилась версия 9* а потом обновилась до 9.1* и всё...
Но это всё гадания на кофейной гуще.
Взять одну проблемную систему > Удалить антивирус > Скачать актуальную версию
и посмотреть установиться или нет. Будет ли предупреждение - что система устарела.

А вот тут действительно очень интересно, можно поподробнее? Я вполне могу допустить, что так и было (есть подозрение что проблемные ПК обновились через автообновление, которое запустилось из за того, что забыли отключить этот пункт при перенастройке политик). Но из чего сделан вывод, что апгрейд с версии 9* до 9.1* может привести к проблемам? И какой тогда правильный алгоритм обновления версий?

Я бы установил 9* версию на проблемной машине ( предварительно удалив то, что там есть\осталось от антивируса ) > настроил обновление > обновил до актуальной 9.1* версии.
И посмотрел что будет в процессе: Будет ли предупреждение и запись в журналы; будет ли полноценно работать антивирус.
Если будет - значит проблема не в системных обновлениях.


Version 9.0.2046.0

   Fixed: EDTD operation after upgrade
   Fixed: Web control log not created until OS is rebooted after deployment
   Fixed: ESET control elements missing in the Windows context menu opened from 32-bit app
   Improved: Upgrade and uninstallation problems caused by external registry entries corruption
   Improved: Added ability to configure for application status "Eset Push Notification Service server cannot be reached"
   Fixed: HIPS rule application
   Fixed: Incorrect application status of "AMSI integration failed" shown upon changing setting "Enable advanced scanning of browser scripts"
   Fixed: Scheduled scan is incorrectly reported as not running if previous occurrence is still running
   Fixed: Restart required application status when same version of Endpoint deployed twice remotely
   Fixed: CVE-2022-27167
   Fixed: UEFI detection while On-Demand scan executed remotely from Detections list in Protect console
   Fixed: Coexistence with Sentinel ONE solution

Здесь есть ряд интересных исправлений:

Исправлено: элементы управления активами отсутствовали в контекстном меню Windows, открытом из 32-разрядного приложения
Улучшено: проблемы с обновлением и деинсталляцией, вызванные повреждением записей внешнего реестра
Исправлено: требуется перезапуск статуса приложения при повторном удаленном развертывании одной и той же версии конечной точки.
-----------------

   Fixed: Eamsi.dll reported as untrusted to Windows Notification center in Win11 with Smart Application Control (SAC) enabled
   Fixed: Eamsi.dll is not loaded to process while AMSI Featurebits=2
   Fixed: Updates from mirror and folder nonfunctional
   Fixed: OpenVPN version 2.5 compatibility
   Fixed: Restart required interactive alert is not displayed after upgrade
   Fixed: Incorrect username in the on demand scan log
   Fixed: Deadlock in product causes reading of proxy password leads to OS freeze
   Fixed: Toolbar/menu buttons not working in Outlook 2007
   Fixed: Application stops reporting antispam user address list scans
   Fixed: Sent emails are stuck in Outbox
   Fixed: Problems with Junk folder scanning on shared mailboxes
   Fixed: SysInspector2 - RTL languages displayed in ENU
   Fixed: SysInspector2 added translated strings, mainly Arabic and Hebrew
   Improved: SysInspector2 tooltip showing incomplete strings

Fixed: Eamsi.dll is not loaded to process while ALSO Feature bits=2
Исправлено: обновления из зеркала и папки не функционировали