---------------------------------------------------------
uVS 4.13 02.01.2023
---------------------------------------------------------
[QUOTE] o Добавлена поддержка Windows 10 2004 ADK для создания загрузочных дисков.
  (!) Это последний пакет Windows PE x86, все что старше это x64, в котором запуск 32-х битных приложений невозможен.
  Для создания дисков требуются установить следующие пакеты:
  o Три компонента из Windows ADK для Windows 10 версии 2004
    o средства развертывания
    o средства миграции (USMT)
    o набор средств оценки производительности Windows
  o Windows надстройка PE для ADK версии 2004
  (Скачать оба пакета можно в окне создания загрузочной флешки/ISO)
  (!)Если не удается установить Windows ADK с ошибкой "Could not acquire privileges; GLE=0x514"
     то следует запустить adksetup из под системной учетки, что можно сделать с помощью uVS, запущенного под LocalSystem.

o Исправлена ошибка, которая в очень редких случаях приводит к переполнению буфера при чтении строк из реестра.
[/QUOTE]

Ответ на указанную почту будет[B] лишь в том случае,[/B] если ESET будет необходима дополнительная информация.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.12.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
delhst 0.0.0.0 expire.eset.com
delhst 0.0.0.0 edf.eset.com
;------------------------autoscript---------------------------

delref I:\AUTORUN.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {0D012ABD-CEED-11D2-9C76-00105AA73033}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {56A58823-AE99-11D5-B90B-0050DACD1F75}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {E01D1C6A-4F40-11D3-8958-00105A272DCF}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

dnsreset
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Скрипт fixlist.txt выполните через FRST.exe
файл сохранить в папку, откуда запускаете FRST
Запускаем FRST от имени Администратора, ждем когда программа будет готова к работе, нажимаем "Исправить".
Очистка системы выполните автоматически, после перезагрузки проверьте наличие проблемы с установкой антивирусных программ.

[QUOTE]Ivan Miaskovskij написал:
А вот что дальше с ключем делать-пока не понял (во всех сообщениях KEY разный), да и спать пора-решил вот перед сном написать сюда. Вдруг помогут с дешифровкой.  [/QUOTE]
Если необходим детальный анализ для ПК с шифрованием, необходимо собрать файлы Crypted, Filecoder, ELC, ESVC.
Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию:
https://forum.esetnod32.ru/forum35/topic16689/
Файлы можно будет отправить со страницы технической поддержки:
https://www.esetnod32.ru/support/
Выберите тип обращения: Вирусы и проч.
Категория: файлы зашифрованы.

Отправить образец (файл или веб-сайт) на анализ в ESET можно одним из следующих способов.

[QUOTE]1.Воспользуйтесь формой отправки образца в своем продукте. Чтобы открыть ее, нажмите Сервис > Дополнительные средства > Отправка образца на анализ. Максимальный размер отправляемого образца — 256 МБ.

2.Файл также можно отправить по электронной почте. Если этот способ для вас удобнее, заархивируйте файлы с помощью программы WinRAR/WinZIP, защитите архив паролем «infected» и отправьте его по адресу [email protected].

В форме Выбор образца для анализа выберите раскрывающееся меню Причина отправки файла и укажите наиболее подходящее описание своего сообщения:

•Подозрительный файл

•Подозрительный сайт (веб-сайт, зараженный вредоносной программой)

•Ложно обнаруженный сайт

•Ложно обнаруженный файл (файл обнаружен как зараженный, хотя не является таковым)

•Другое

Файл/сайт: путь к отправляемому на анализ файлу или веб-сайту.

Адрес электронной почты: адрес отправляется в ESET вместе с подозрительными файлами и может использоваться для запроса дополнительной информации, необходимой для анализа

[/QUOTE]https://help.eset.com/eis/16/ru-RU/idh_charon_file.html

Отправить образец (файл или веб-сайт) на анализ в ESET можно одним из следующих способов.

[QUOTE]1.Воспользуйтесь формой отправки образца в своем продукте. Чтобы открыть ее, нажмите Сервис > Дополнительные средства > Отправка образца на анализ. Максимальный размер отправляемого образца — 256 МБ.

2.Файл также можно отправить по электронной почте. Если этот способ для вас удобнее, заархивируйте файлы с помощью программы WinRAR/WinZIP, защитите архив паролем «infected» и отправьте его по адресу [email protected].

В форме Выбор образца для анализа выберите раскрывающееся меню Причина отправки файла и укажите наиболее подходящее описание своего сообщения:

•Подозрительный файл

•Подозрительный сайт (веб-сайт, зараженный вредоносной программой)

•Ложно обнаруженный сайт

•Ложно обнаруженный файл (файл обнаружен как зараженный, хотя не является таковым)

•Другое

Файл/сайт: путь к отправляемому на анализ файлу или веб-сайту.

Адрес электронной почты: адрес отправляется в ESET вместе с подозрительными файлами и может использоваться для запроса дополнительной информации, необходимой для анализа[/QUOTE]

https://help.eset.com/eis/16/ru-RU/idh_charon_file.html

Скрипт fixlist.txt выполните через FRST.exe
файл сохранить в папку, откуда запускаете FRST
Запускаем FRST от имени Администратора, ждем когда программа будет готова к работе, нажимаем "Исправить".
Очистка системы выполните автоматически, после перезагрузки проверьте еще раз активацию продукта.

по журналам:
шифрование было 23.11 судя по дате создания записки о выкупе
Restore-My-Files.txt
Возможно, отсюда было подключение:
sep=,
Datetime,Source,Event description
22.11.2022 11:22:50.370,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: 192.168.10.104, P: User32)"
или отсюда:
sep=,
Datetime,Source,Event description
23.11.2022 12:20:20.728,Security Logs,"""User"" logged in via RDP. (W: USER-ПК, IP: fe80::e91c:8c7d:e4ff:10c5, P: User32)"
------------------
по рекомендациям:

Установлена ​​Windows 7 Профессиональная. Пользователь должен перейти на полностью поддерживаемую и безопасную ОС.

Пользователь должен включить контроль учетных записей (UAC).

Включен уязвимый протокол SMBv1. Чтобы отключить его, проверьте «Как удалить SMBv1» по адресу:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Продукт безопасности ESET не найден.

Аудит событий входа, вероятно, частично (или полностью) отключен.
Чтобы включить его, запустите secpol.msc и в разделе «Локальные политики» -> «Политика аудита» -> «Аудит событий входа» отметьте «Успех» и «Сбой».

Могут отсутствовать следующие критические исправления:
- MS16-032 (https://technet.microsoft.com/en-us/library/security/MS16-032)
- CVE-2019-1181, CVE-2019-1182, кодовое имя «DejaBlue» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-1181)
- CVE-2021-34527, кодовое название «PrintNightmare» (https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-34527)

Следующие общие ресурсы имеют разрешение на запись для всех. Их содержимое может быть зашифровано с удаленной машины:

Users  (C:\Users)
- Базы  (C:\Users\User\Desktop\Базы)

[QUOTE]Мы рекомендуем:
- регулярное резервное копирование важных данных для предотвращения потери данных
- ужесточение RDP путем: включение RDP только для подключений из внутренней сети и использование VPN для подключений извне, использование 2FA, политика блокировки, предоставление доступа по RDP только тем пользователям, которым это действительно необходимо
- использование надежного пароля пользователями с доступом по RDP
- установка пароля для защиты настроек ESET и предотвращения их отключения или удаления посторонними лицами (см. https://support.eset.com/kb6783/)
- включение системы ESET LiveGrid Feedback
- включение обнаружения потенциально небезопасных приложений (см. https://support.eset.com/kb6795/)[/QUOTE]

по антивирусам:
sep=,
Datetime,Service name,Type,File name,Start type,Account
28.11.2022 13:19:43,Kaspersky Small Office Security Service 21.7,служба режима пользователя,"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Small Office Security 21.7\avp.exe"" -",Автоматически,LocalSystem

не запустился? или некорректно был установлен?
В системе остались активные файлы от попытки установить антивирус Касперского, скорее всего они и мешают теперь корректно установить антивирус.