Хорошо.
Это у вас рабочий ПК судя по установленной системе?
Возможно, так и есть, что часть параметров Windef управляется через локальные политики.
В любом случае, сделайте пожалуйста, лог ESETLogCollector для проверки журнала обнаружений.
https://forum.esetnod32.ru/forum9/topic10671/
и свежие логи FRST для контроля
https://forum.esetnod32.ru/forum9/topic2798/

Для очистки задач в системе:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START
delref MENU\PROGRAMS\STARTUP\RYUK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.

По расшифровке, увы, к сожалению, это новый вариант FONIX/RYUK
Акт сверки № 00000000109 от 23.05.2023 (2).pdf.[[email protected]].[C6B0931E].RYK
и прежний дешифратор для RYK уже не сработает.
Пока что важные зашифрованные файлы+hrmlog1 лучше сохранить на отдельный носитель, как только станет ясно, возможна или нет расшифровка данного варианта без мастер-ключа (которого у нас нет). Сообщим дополнительно.
Предварительный ответ - невозможна сейчас.

файлы Crypted и Filecoder сейчас посмотрю. это еще сделайте для очистки системы.

[B]Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.[/B]

а куда файлы выслали? возможно, почтовый антивирус не пропустил архивы.
пробуйте архивы прикрепить к вашему сообщению здесь, как вы прикрепили логи ELC и ESVC

Судя по логу ELC есть задачи с RYUK
[QUOTE]c:\windows\system32\tasks\ryk,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, ,

c:\windows\system32\tasks\RYUK,
c:\programdata\microsoft\windows\start Menu\Programs\StartUp\ryuk.exe, , [/QUOTE]

по логу ESVC:
[QUOTE]sep=,
Path,Actions,Description,ID
\ryk,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{5CF23348-0E2C-4D26-831F-97E6B2F1FC20}
sep=,
Path,Actions,Description,ID
\RYUK,Author   L C:\ProgramData\Microsoft\Windows\Start< Menu\Programs\StartUp\ryuk.exe,,{4293C248-9461-451A-A2E0-7B6F1C8E18BB}
[/QUOTE]

Возможно шифровальщик еще активен в системе, или может запуститься через задачи.

обратите внимание, что сейчас в системе у вас два установленных антивируса. Защиту одного из них можно отключить, чтобы не было конфликта.

файл шифровальщика есть в процессах:
ryuk.exe, 9112, SARABI\Администратор, , , , "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe"

sep=,
Image name,PID,Session name,Session ID,Memory usage,Status,User name,CPU time,Window title
ryuk.exe,9112,Console,1,20 944 K,Running,SARABI\Администратор,0:01:53,C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\ryuk.exe

по логу ESVC:
журналы к сожалению очищены самостоятельно, или злоумышленниками, антивирусы похоже установлены уже после атаки шифрования:
sep=,
Datetime,Source,Event description
13.06.2023 09:08:21.029,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:21.000,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.974,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.972,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.943,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.914,Windows Event Log,"Log """" was cleared by \."
13.06.2023 09:08:20.600,Windows Event Log,"Log """" was cleared by \."
12.06.2023 23:50:15.682,Non-MS Apps,"Application ""Dr.Web Anti-virus for Windows Servers"" was installed."


----------
[B]Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.
-----------[/B]

Хорошо, логи посмотрю, добавьте так же это.
[QUOTE]Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.[/QUOTE]

по этой пробуйте
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

[B]В первую очередь:[/B]
Добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе hrmlog1 в отдельном архиве Crypted+ файл шифровальщика (ryuk.exe, ryuk64.exe) с паролем infected в архив Filecoder. проверим возможность расшифровки на текущий момент.

+
Если есть доступ к зашифрованному устройству, сделайте дополнительно лог ESETLogCollector
[QUOTE]"ess_logs.zip" (логи из программы ESETLogCollector)

Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  [/QUOTE]
+
[QUOTE]"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора на устройстве где было шифрование. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.  [/QUOTE]

Интересует объект СИСТЕМА
проверьте, чтобы на этих каталогах были максимальные права для СИСТЕМА, без особых разрешений.