Тип шифратора пока не определен,
при наличие лицензии на продукт ESET напишите в техническую поддержку [email protected]

судя по дате, логи FRST вы сделали ранее, 10.05.2020, там картина была немного другая чем в позднем образе автозапуска от 11.05.2020
(с активным процессом шифратора)

[QUOTE]() [File not signed] C:\Users\test\Music\1DVBG7_payload.exe
() [File not signed] C:\Users\test\Music\NetworkShare v.2.exe <2>
HKLM\...\Run: [1DVBG7_payload.exe] => C:\Windows\System32\1DVBG7_payload.exe [94720 2020-05-10] () [File not signed]
HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13918 2020-05-11] () [File not signed]
HKLM\...\Run: [C:\Users\test\AppData\Roaming\Info.hta] => C:\Users\test\AppData\Roaming\Info.hta [13918 2020-05-11] () [File not signed]
HKLM-x32\...\Run: [1650670] => 1650670
HKLM-x32\...\Run: [525965] => 525965
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\1DVBG7_payload.exe [2020-05-10] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2020-05-11] () [File not signed]
2020-05-10 23:30 - 2020-05-10 23:30 - 000094720 _____ C:\Windows\system32\1DVBG7_payload.exe
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Windows\system32\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000013918 _____ C:\Users\test\AppData\Roaming\Info.hta
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\test\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt
2020-05-11 01:48 - 2020-05-11 01:48 - 000000218 _____ C:\FILES ENCRYPTED.txt[/QUOTE]

этот файлик C:\Users\test\Music\NetworkShare v.2.exe, если сохранился, вышлите в архиве с паролем infected в почту [email protected]
скорее всего, была взломана учетная запись (или создана новая) test.
все пароли по учетным записям необходимо сменить, и установить сложные пароли.
возможна повторная атака.
+
обратите внимание, то ваш сервер не только подвергся шифрованию, но и с вашего сервера была выполнена атака на другие сетевые ресурсы,
и скорее всего во внешней сети.
https://www.virustotal.com/gui/file/f47e3555461472f23ab4766e4d5b6f6fd260e335a6abc31­b860e569a720a5446/detection

[B]Примите все меры безопасности к системе, которые указаны в данной теме.
[/B]
Восстановление документов возможно только из архивов, без расшифровки, выкупать ключ расшифровки у зоумышленников не рекомендуем. Только потеряете еще и деньги, кроме документов.
[B]
так же обратите внимание, что у вас все учетные записи на сервере с правами администраторов и все активны.[/B]

Скрытый текст

Администратор (S-1-5-21-165322250-2735553744-3456952923-500 - Administrator - Enabled) Гость (S-1-5-21-165322250-2735553744-3456952923-501 - Limited - Disabled) protsenko.s (S-1-5-21-827046529-3008914153-708560777-1104 - Administrator - Enabled) => C:\Users\protsenko.s console (S-1-5-21-827046529-3008914153-708560777-1111 - Administrator - Enabled) => C:\Users\Console Admin (S-1-5-21-827046529-3008914153-708560777-1112 - Administrator - Enabled) => C:\Users\Admin test (S-1-5-21-827046529-3008914153-708560777-1193 - Administrator - Enabled) => C:\Users\test adm (S-1-5-21-827046529-3008914153-708560777-1268 - Administrator - Enabled) => C:\Users\adm petrov.d (S-1-5-21-827046529-3008914153-708560777-1280 - Administrator - Enabled) => C:\Users\petrov.d

удалите левые учетные записи, если они здесь есть,
права администратора оставьте только для действующей учетной записи администратора.

Update:
все таки логи FRST от 11.05.2020
Ran by protsenko.s (administrator) on SRV-DC (HPE ProLiant DL360 Gen10) [B](11-05-2020 08:37:25)[/B]

@Сергей,
по очистке системы в uVS

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %Sys32%\1DVBG7_PAYLOAD.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\PETROV.D\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\ADM\APPDATA\ROAMING\MICROSOFT\WINDOWS\ST­ART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\CONSOLE\APPDATA\ROAMING\MICROSOFT\WINDOW­S\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\PROTSENKO.S\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-CCF08FB8.[[email protected]].HARMA
delall %SystemDrive%\USERS\TEST\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCBEC.EXE
delall %SystemDrive%\USERS\TEST\APPDATA\LOCAL\TEMP\SVCRQK.EXE
delall %SystemDrive%\USERS\PROTSENKO.S\DESKTOP\1DVBG7_PAYLOAD.EXE
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------

[QUOTE]Антон Ждахин написал:
Поймали шифровальщик. Атрибут файлов теперь такого вида !Ecryptedd[/QUOTE]
Антон,
сделайте образ автозапуска + логи FRST
+
добавьте несколько зашифрованных файлов в архиве+ записку о выкупе, если есть такая

[QUOTE]Rahimjon Sobirjonov написал:
Новый проблемы не была но файлы не расшифрован  что делать[/QUOTE]
по расшифровке файлов, при наличие лицензии на продукт ESET напишите  в [email protected]

Дмитрий Субботин написал:
[QUOTE]спасибо,всё сделал, файл вируса (тело) находится на карантине, но его невозможно
скопировать, упаковать, что бы отправить в eset 32 .[/QUOTE]
вы можете восстановить его из карантина в другое место с изменением расширения файла, например vexe, v1e и т.д,
заархивировать файл с паролем infected, и далее уже отправить в [email protected] вместе с архивом зашифрованных файлов

Евгений,
по образу все чисто.
по расшифровке файлов при наличие лицензии на продукты ESET напишите в [email protected]

---------------------------------------------------------
4.1.9
---------------------------------------------------------
o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.

o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
+
---------------------------------------------------------
4.1.11
---------------------------------------------------------
4.11 o Исправлена ошибка из-за которой не обновлялся список сетевой активности.

[QUOTE]Ильнур Билалов написал:
Здравствуйте!а по моей проблеме что нибудь удалось выяснить?Спасибо![/QUOTE]
ильнур,
используем ломанный антивирус,
C:\PROGRAM FILES\TNOD\TNODUP.EXE
помощь в очистке системы на официальном форуме ESET не будет вам оказана.
обращайтесь за помощью на другой форум.

[QUOTE]Дмитрий Субботин написал:
Здравствуйте, аналогичная ситуация, все файлы зашифрованы. Если есть возможность,помогите, пожалуйста,спасибо.[/QUOTE]
по компутеру ВАСИЛИЧ-ПК

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.9 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DDJGDGDCFMDKFICBIFBNAACKNBLBKHHOC%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGKDKFNBDDPDPIDBPNLJCOCPJEAAFNGDB%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\ВАСИЛИЧ\DOCUMENTS\INFO.EXE
delall %SystemDrive%\USERS\ВАСИЛИЧ\APPDATA\LOCAL\YANDEX\YANDEXBROWS­ER\USER DATA\DEFAULT\EXTENSIONS\[email protected]
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
по расшифровке файлов при наличие лицензии на продукты ESET напишите в [email protected]