хорошо, ждем результат (можно добавить новый лог журнала обнаружения угроз) после установки патча.
+
добавьте новый образ автозапуска.
по нему видно, что добавляются внедренные потоки в в svchost.exe
(и скорее всего после сетевой атаки).
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [2188], tid=2196
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [3884], tid=1104

если есть такая информация в журнале, добавьте еще часть лога за 06.02.2019
[QUOTE]06.02.2019 23:30:33;Защита в режиме реального времени;файл;C:\Windows\System32\Tasks\9e8b42dd-d090-5aef-05988218f949eab4;PowerShell/Agent.AS троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\svchost.exe (4AF001B3C3816B860660CF2DE2C0FD3C1DFB4878).;EAE11DFB3A4663D1EB26B8348DF904EC70154B2F;[/QUOTE]

возможно, пробивает по сети.
если система не обновляется, установите для начала патч MS-2017-010 (здесь накопительное обновление)
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

или отдельно установить патч для вашей системы
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

------------
после установки патча, перегрузить систему,
наблюдаем за системой, и пишем результат

добавьте так же лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

@Евгений Смотров,
добавьте образ автозапуска системы, где обнаружен  DOC001.exe

@Сергей Иванов,
добавьте образ автозапуска системы

[QUOTE]Алексей Сапожников написал:
[QUOTE] santy написал:
а локально вы можете установить Remote Administrator Agent? будет ли ошибка при установке?[/QUOTE]Локально уже пробовал. Все работает без ошибок, но нужно загрузить удаленно[/QUOTE]
посмотрите в режиме отчеты:
https://help.eset.com/era_admin/65/ru-RU/?reports.html
[IMG WIDTH=900 HEIGHT=550]https://help.eset.com/era_admin/65/ru-RU/images/work_new_report_template.png[/IMG]
"сведения о задачах по развертыванию агентов",
возможно там более подробно описана ошибка по удаленной установке на вашем компутере.

а локально вы можете установить Remote Administrator Agent? будет ли ошибка при установке?

[QUOTE]Никита Король написал:
"Добрый" день. Расшифровки пока нет?[/QUOTE]
"пока" - это очень оптимистично,
ее может не быть никогда.
в любом случае, если вы пострадали от шифратора по данному списку,
обращайтесь в [email protected] или [email protected] (какой к вам ближе),
при наличие [U][B]реальной лицензии[/B][/U] на продукт ESET

@Денис Смирнов,

если тема "Установка из командной строки" непонятна в русской редакции (бывает и такое),
можно посмотреть аналогичную статью в английской редакции.
https://help.eset.com/efsw/7.0/en-US/installation_cmd.html

из этой статьи становится ясно:
[QUOTE]If you want to remove any of the following features, you need to remove the whole group by specifying every feature that belongs to the group. Otherwise, the feature will not be removed. Here are two groups (each line represents one group):

GraphicUserInterface,ShellExt

NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailPlugins,EmailClientProtection[/QUOTE]
что функции, перечисленные в этих двух группах взаимосвязанные, т.е. нельзя удалить одну функцию из списка,
необходимо удалить всю группу.

отсюда ответ на ваш вопрос:
нельзя удалить WebAccessProtection или EmailClientProtection, оставив при NetworkProtection
необходимо удалить всю группу NetworkProtection,WebAccessProtection,IdsAndBotnetProtection,ProtocolFiltering,MailPlugins,EmailClientProtection

проверьте, есть ли точки восстановления близкие, к дате, когда появилась проблема.
если есть такие точки, попробуйте запустить восстановление системы из данной точки восстановления.