[QUOTE]Человек Земли написал:
Файл ENIGMA_NNN.RSA может остаться на компьютере даже после переустановки Windows?
Если это так-подскажите где его можно искать?  [/QUOTE]
можно просто поиском по диску "enigma*", "enigma*.rsa", "ENIGMA_*.RSA"

ENIGMA_NNN.RSA остается на диске после шифрование. Письмо от злоумышленников здесь не нужно, только зашифрованные файлы и файл ключа после шифрования.

[QUOTE]Человек Земли написал:
Шифрование произошло в июне 2016 г.[/QUOTE]
июнь 2016 - скорее всего это первая версия Enigma. Для получения ключа нужен файл такого типа ENIGMA_257.RSA, где вместо 257 может быть любое другое трехзначное число.
Сможете запросить/найти данный файл? Без него возможно не сможем получить ключ расшифровки.

Добавьте, пожалуйста, несколько зашифрованных файлов + если есть файл ENIGMA_NNN.RSA или ENIGMA.RSA  в архиве через функцию "загрузить файлы".
Уточните когда произошло шифрование.

[QUOTE]Aristan Admin написал:
Спасибо! будем ждать.[/QUOTE]
По текущей версии FONIX/RYUK к сожалению расшифровки нет. Сохраните все важные данные на отдельный носитель+hrmlog1, возможно в будущем расшифровка станет возможной.

---------------------------------------------------------
4.14.1 от 16.06.2023
---------------------------------------------------------
[QUOTE] o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
  Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
  Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
  Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
  Доступны все операции с файлом.
  (Возможно функция не будет работать на устаревших версиях Windows)

---------------------------------------------------------[/QUOTE]

создайте образ автозапуска вашей системы в uVS

по новым логам:
Папка почему то с атрибутами System и Hiden
2023-06-12 12:55 - 2023-03-08 22:49 - 000000000 __SHD C:\Program Files\ESET
можно снять эти атрибуты, чтобы папка отображалась.

остался драйвер от Касперского
S3 eaf1cc15; C:\Windows\System32\Drivers\eaf1cc15.sys [89392 2023-04-23] (AO Kaspersky Lab -> AO Kaspersky Lab)

по Windef:
U4 WinDefend; отсутствует ImagePath
Возможно его необходимо переустанавливать.

служба терминалов не работает
S2 TermService; C:\Windows\System32\svchost.exe [46472 2023-01-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

без перезагрузки системы, пишем о старых и новых проблемах.
------------

«Доктор Веб»: в пиратских сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками.

https://news.drweb.ru/show/?lng=ru&i=14712

Злоумышленники распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.

https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/

-----------------
[QUOTE][B]Полное имя C:\WINDOWS\INSTALLER\ISCSICLI.EXE[/B]
Имя файла                   ISCSICLI.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.MulDrop22.7578 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-06-14
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     6408C4D3D000
Linker                      14.32
Размер                      91880 байт
Создан                      15.03.2023 в 15:46:56
Изменен                     08.03.2023 в 20:34:04
                           
TimeStamp                   08.03.2023 в 17:24:35
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
Цифровая подпись            Microsoft Windows
                           
Оригинальное имя            iscsicli.exe
Версия файла                10.0.19041.1766 (WinBuild.160101.0800)
Версия продукта             10.0.19041.1766
Описание                    iSCSI Discovery tool
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
pid = 5644                  DESKTOP-***\****
Процесс создан              15:11:01 [2023.05.24]
Процесс завершен            15:11:07 [2023.05.24]
CmdLine                     "C:\Windows\Installer\iscsicli.exe"
parentid = 1348             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        32C7B6629FABE6254431A558B57D30CD2F2D43D7
MD5                         BFEC28E480DFC2814A2C762D0ADEE018
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION
Task                        \Microsoft\Windows\License Manager\License Validation
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions
Actions                     "%SystemDrive%\Windows\Installer\iscsicli.exe"
Задача создана              15.03.2023 в 15:30:18
Последний запуск            24.05.2023 в 15:11:01
Код ошибки                  0x1
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\
[/QUOTE]


[QUOTE]Полное имя [B]\DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\KD_08_5E78.DLL[/B]
Имя файла                   KD_08_5E78.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ DLL
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]
[/QUOTE]

[QUOTE]Полное имя [B]\DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE[/B]
Имя файла                   RECOVERY.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                           
Доп. информация             на момент обновления списка
pid = 7488                  DESKTOP-****\***
Процесс создан              15:11:05 [2023.05.24]
Процесс завершен            15:11:06 [2023.05.24]
CmdLine                     M:\EFI\Microsoft\Boot\recovery.exe
parentid = 6424             C:\WINDOWS\SYSTEM32\CMD.EXE
                           




[/QUOTE]

Для анализа проблемы и поиска решения сделайте, пожалуйста, лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
и образ автозапуска системы в uVS
https://forum.esetnod32.ru/forum9/topic2687/
Приложите полученные логи в ваше сообщение.