консоль управления и сервер ESET Security Management Center установлены?
пробовали через веб-консоль установить агентов? проверьте по логам установки агентов какие проблемы возникают при установке.

[QUOTE]RP55 RP55 написал:
Symantec
Всё...
Broadcom выкупил Symantec > название меняется на NortonLifeLock > Компания фактически уйдёт от антивирусной защиты...
[QUOTE]Новая компания будет больше уделять внимание сервисам для усиления приватности и защиты персональных данных, а не антивирусной защите.[/QUOTE] [URL=https://www.comss.ru/page.php?id=6654]https://www.comss.ru/page.php?id=6654[/URL]
-----------
Кто следующий на выход ?[/QUOTE]
возможно на шифровании сделают акцент, а антивирусная защита, это только часть спектра информационной безопасности.
В 2010 году Symantec Corp. выкупил PGP за 300 млн долларов

новый интерфейс в малваребайт

Malwarebytes 4.0 выпущен с новым интерфейсом и механизмом сканирования

Malwarebytes выпустила версию 4.0 своего флагманского антивирусного продукта, а также новый модуль сканирования, новый пользовательский интерфейс, статистику угроз и многое другое.

В настоящее время Malwarebytes 3.x не обновляется автоматически до Malwarebytes 4.0. Если вы хотите перейти на эту новую версию, вам нужно [URL=https://www.malwarebytes.com/mwb-download/thankyou/]скачать установщик[/URL] прямо с сайта Malwarebytes.

[IMG WIDTH=896 HEIGHT=641]https://chklst.ru/uploads/editor/mi/qz7bbdno41g6.jpg[/IMG]

[QUOTE]Петр Петрович написал:
Образ.[/QUOTE]
судя по образу автозапуска на сервере не установлен антивирус.
А в ViPNet CSP нет модуля антивирусной защиты?
(судя по описанию - нет такого модуля,
ViPNet CSP 4.2 — российский криптопровайдер, сертифицированный ФСБ России как средство криптографической защиты информации (СКЗИ) и электронной подписи. )
данный шифратор хорошо (и длительное время) детектруется основными производителями антивирусов.
https://www.virustotal.com/gui/file/7336c55ff368c3b2d989840cb59b6fc91a0266a6eb4454c­bfd6b494877d6390a/detection

Поэтому запуска шифратора возможен либо при отсутствие антивирусной защиты, либо при его отключении или удалении,
(в том числе и злоумышленниками)

[QUOTE]Roman Shabalkin написал:
Здравствуйте! Помогите...[/QUOTE]
по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.2
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\INFO.HTA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\INFO.HTA
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-12D6876E.[[email protected]].HARMA
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­WINDOWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\MICROSOFT\WIND­OWS\START MENU\PROGRAMS\STARTUP\L033J6_PAYLOAD.EXE
zoo %Sys32%\L033J6_PAYLOAD.EXE
zoo %SystemDrive%\USERS\LEDOVSKIY\APPDATA\ROAMING\L033J6_PAYLOAD­.EXE
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\DESKTOP\L033J6_PAYLOAD.EXE
chklst
delvir

apply

;-------------------------------------------------------------

QUIT
[/code]
без перезагрузки,
------------

по расшифровке документов не поможем, восстановить утраченные документы можно только из бэкапов.

активности шифратора нет, но майнеры активны и в автозапуске.

[QUOTE]Петр Петрович написал:
Образ.[/QUOTE]

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\1SQB.ZIP
regt 26
regt 25
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\WINHOST.EXE
addsgn 1A367F9A5583338CF42B95BC68285505D7FFFE044A08F6D284C3C5E9DB3A­9A41DC62CBBF5B709F49720544EB49E93CF295E14B73558335EC5991F9EC­447B2A8C 8 Win32/CoinMiner.BIW 7

zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\LASS.EXE
addsgn 71007B5D5032F6380BD4AEB164202C50238A7F32851349847A3C552CC046­E1DC769E260068061EA5374780BB46B601FA82CA40A41FDA33C029F2645B­B48FE1B4 8 Win32/CoinMiner.AQO 7

zoo %SystemDrive%\USERS\KWL\DESKTOP\JAVAL.EXE
zoo %SystemDrive%\USERS\SCAN\DESKTOP\1SQB.EXE
addsgn A7679B1BB9DA4D720B132BD59A37ED05258AFC31CC061F7885C302F9A8D6­714C237F43573E55F549CBC084F77AB749FA155F083255B230CC6D774CEE­A8F9DDF0 8 Win32/Filecoder.Crysis.L 7

chklst
delvir

delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-7966CC04.[[email protected] ].HARMA
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\1SQB.EXE
delref %SystemDrive%\USERS\SCAN\APPDATA\ROAMING\INFO.HTA
apply

deltmp
;-------------------------------------------------------------

czoo

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]

обратитесь в техническую поддержку [email protected] для проверки вашей лицензии

@Роман Кузнецов,
если вы не планируете перейти на актуальные (6 и 7) корпоративные версии ESET, перейдите хотя бы на 5 версию

https://support.eset.com/kb3592/

ESET Endpoint Security
Version Release Date Latest build Updated Status Next Status Expected EOL
5.x 29-May-12 5.0.2272.7 22-May-18 Basic Support End of Life Dec 2020

ESET Smart Security Business Edition
Version Release Date Latest build Updated Status Next Status Expected EOL
4 2-Mar-09 4.2.76.0 12-Jan-12 Basic Support End of Life Dec 2020*

что означает базовая поддержка:
Наличие регулярных обновлений базы данных сигнатур вирусов
    Наличие обновлений модуля не гарантируется
    Продукт больше не доступен для загрузки с серверов загрузки ESET
    Техническая поддержка больше не доступна, ошибки не будут исправлены

вообще-то ESET хорошо детектирует этот тип трояна
https://www.virustotal.com/gui/file/21e1c719da2bd2f3487d4867c683c06b493307dec310227­e4018dcb8aa354507/detection
если можно, расскажите подробнее об этом инциденте
+
добавьте образ автозапуска с одной из машин, где произошла очистка трояна
----------
судя по консоли у вас ERA5, отсюда можно предположить, что и антивирусы на клиентах установлены 5 версии, а возможно и более ранние версии.

кроме того, необходимо установить на клиентские компьютеры и сервера патч MS-17-010, чтобы избежать повторных атак и заражений.

[QUOTE]Петр Петрович написал:
Если я сделаю образ автозапуска системы через учетку Администратора, а не взломанной, Вам подойдёт такой образ?[/QUOTE]
да, подойдет.