---------------------------------------------------------
4.14.1 от 16.06.2023
---------------------------------------------------------
[QUOTE] o Добавлена возможность работать с файлами на разделах без присвоенной буквы диска.
  Например: \DEVICE\HARDDISKVOLUME1\EFI\MICROSOFT\BOOT\RECOVERY.EXE
  Файлы с аналогичным путем автоматически попадают в раздел подозрительных файлов.
  Доступна вся информация о таких файлах в списке автозапуска, кроме иконки.
  Доступны все операции с файлом.
  (Возможно функция не будет работать на устаревших версиях Windows)

---------------------------------------------------------[/QUOTE]

создайте образ автозапуска вашей системы в uVS

по новым логам:
Папка почему то с атрибутами System и Hiden
2023-06-12 12:55 - 2023-03-08 22:49 - 000000000 __SHD C:\Program Files\ESET
можно снять эти атрибуты, чтобы папка отображалась.

остался драйвер от Касперского
S3 eaf1cc15; C:\Windows\System32\Drivers\eaf1cc15.sys [89392 2023-04-23] (AO Kaspersky Lab -> AO Kaspersky Lab)

по Windef:
U4 WinDefend; отсутствует ImagePath
Возможно его необходимо переустанавливать.

служба терминалов не работает
S2 TermService; C:\Windows\System32\svchost.exe [46472 2023-01-12] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL) <==== ВНИМАНИЕ (отсутствует ServiceDLL)

- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

без перезагрузки системы, пишем о старых и новых проблемах.
------------

«Доктор Веб»: в пиратских сборках Windows обнаружен стилер для кражи криптовалюты, который проникает в EFI-раздел

Компания «Доктор Веб» выявила троянскую программу-стилер в ряде неофициальных сборок ОС Windows 10, которые злоумышленники распространяли через один из торрент-трекеров. Получившее имя Trojan.Clipper.231, это вредоносное приложение подменяет адреса криптокошельков в буфере обмена на адреса, заданные мошенниками.

https://news.drweb.ru/show/?lng=ru&i=14712

Злоумышленники распространяют Windows 10 с помощью торрентов, которые скрывают угонщиков криптовалюты в разделе EFI (Extensible Firmware Interface), чтобы избежать обнаружения.

https://www.bleepingcomputer.com/news/security/pirated-windows-10-isos-install-clipper-malware-via-efi-partitions/

-----------------
[QUOTE][B]Полное имя C:\WINDOWS\INSTALLER\ISCSICLI.EXE[/B]
Имя файла                   ISCSICLI.EXE
Тек. статус                 ВИРУС ПОДОЗРИТЕЛЬНЫЙ в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Trojan.MulDrop22.7578 [DrWeb] (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-06-14
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     6408C4D3D000
Linker                      14.32
Размер                      91880 байт
Создан                      15.03.2023 в 15:46:56
Изменен                     08.03.2023 в 20:34:04
                           
TimeStamp                   08.03.2023 в 17:24:35
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               НАРУШЕНА, файл модифицирован или заражен
Цифровая подпись            Microsoft Windows
                           
Оригинальное имя            iscsicli.exe
Версия файла                10.0.19041.1766 (WinBuild.160101.0800)
Версия продукта             10.0.19041.1766
Описание                    iSCSI Discovery tool
Продукт                     Microsoft® Windows® Operating System
Copyright                   © Microsoft Corporation. All rights reserved.
Производитель               Microsoft Corporation
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Цифровая подпись            Недействительна (файл поврежден/заражен)
                           
Доп. информация             на момент обновления списка
pid = 5644                  DESKTOP-***\****
Процесс создан              15:11:01 [2023.05.24]
Процесс завершен            15:11:07 [2023.05.24]
CmdLine                     "C:\Windows\Installer\iscsicli.exe"
parentid = 1348             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        32C7B6629FABE6254431A558B57D30CD2F2D43D7
MD5                         BFEC28E480DFC2814A2C762D0ADEE018
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\Microsoft\Windows\License Manager\LICENSE VALIDATION
Task                        \Microsoft\Windows\License Manager\License Validation
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\Actions
Actions                     "%SystemDrive%\Windows\Installer\iscsicli.exe"
Задача создана              15.03.2023 в 15:30:18
Последний запуск            24.05.2023 в 15:11:01
Код ошибки                  0x1
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{3CD413B8-9C9D-40A2-84D3-E5527D58F091}\
[/QUOTE]


[QUOTE]Полное имя [B]\DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\KD_08_5E78.DLL[/B]
Имя файла                   KD_08_5E78.DLL
Тек. статус                 АКТИВНЫЙ ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ DLL
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ DLL
                           
Процессы                    на момент обновления списка
Процесс                     C:\WINDOWS\SYSTEM32\LSAISO.EXE [7792]
[/QUOTE]

[QUOTE]Полное имя [B]\DEVICE\HARDDISKVOLUME3\EFI\MICROSOFT\BOOT\RECOVERY.EXE[/B]
Имя файла                   RECOVERY.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
Удовлетворяет критериям    
EFI_DETECT                  ( ~ \EFI\MICROSOFT\BOOT)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      [Запускался неявно или вручную]
                           
Доп. информация             на момент обновления списка
pid = 7488                  DESKTOP-****\***
Процесс создан              15:11:05 [2023.05.24]
Процесс завершен            15:11:06 [2023.05.24]
CmdLine                     M:\EFI\Microsoft\Boot\recovery.exe
parentid = 6424             C:\WINDOWS\SYSTEM32\CMD.EXE
                           




[/QUOTE]

Для анализа проблемы и поиска решения сделайте, пожалуйста, лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
и образ автозапуска системы в uVS
https://forum.esetnod32.ru/forum9/topic2687/
Приложите полученные логи в ваше сообщение.

Хорошо.
Это у вас рабочий ПК судя по установленной системе?
Возможно, так и есть, что часть параметров Windef управляется через локальные политики.
В любом случае, сделайте пожалуйста, лог ESETLogCollector для проверки журнала обнаружений.
https://forum.esetnod32.ru/forum9/topic10671/
и свежие логи FRST для контроля
https://forum.esetnod32.ru/forum9/topic2798/

Для очистки задач в системе:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START
delref MENU\PROGRAMS\STARTUP\RYUK.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUKREADME.HTML
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.

По расшифровке, увы, к сожалению, это новый вариант FONIX/RYUK
Акт сверки № 00000000109 от 23.05.2023 (2).pdf.[[email protected]].[C6B0931E].RYK
и прежний дешифратор для RYK уже не сработает.
Пока что важные зашифрованные файлы+hrmlog1 лучше сохранить на отдельный носитель, как только станет ясно, возможна или нет расшифровка данного варианта без мастер-ключа (которого у нас нет). Сообщим дополнительно.
Предварительный ответ - невозможна сейчас.

файлы Crypted и Filecoder сейчас посмотрю. это еще сделайте для очистки системы.

[B]Для очистки системы сделайте пожалуйста, образ автозапуска системы
https://forum.esetnod32.ru/forum9/topic2687/

Файл образа прикрепите к вашему сообщению.[/B]

а куда файлы выслали? возможно, почтовый антивирус не пропустил архивы.
пробуйте архивы прикрепить к вашему сообщению здесь, как вы прикрепили логи ELC и ESVC