В системе есть активные файлы шифровальщика.

Для очистки системы, выполните, пожалуйста, скрипт в uVS без перезагрузки системы.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.12.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAMDATA\WINLOGON.EXE
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
zoo %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\WINLOGON.EXE
zoo %SystemRoot%\WINLOGON.EXE
zoo %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINLOGON.EXE
;---------command-block---------
delall %SystemDrive%\PROGRAMDATA\WINLOGON.EXE
delall %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\WINLOGON.EXE
delall %Sys32%\CONFIG\SYSTEMPROFILE\APPDATA\ROAMING\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\MICROSOFT\WINDOWS\S­TART MENU\PROGRAMS\STARTUP\WVTYMCOW.BAT
delall %SystemRoot%\WINLOGON.EXE
delall %SystemDrive%\USERS\USER\APPDATA\ROAMING\WINLOGON.EXE
delref {FD387882-7305-4231-86E1-35B1FAE33425}\[TASK]
delall %SystemRoot%\WINLOGON.EXE
regt 1
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCNCGOHEPIHCEKKLOKHBHIBLHFCMIPBDH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGEHNGEIFMELPHPLLNCOBKMIMPHFKCKNE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLGDNILODCPLJOMELBBNPGDOGDBMCLBNI%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPBEFKDCNDNGODFEIGFDGIODGNMBGCFHA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAJFLEPEGNONONCFMOIKDNEPHFLELDNBH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCFIFBOJENKENPKMNBNNDEADPFDIFFOF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFAHHEAKDHOEOIGMAFEJKEHDOEIKPGDFP%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DODIJCGAFKHPOBJLNFDGIACPDENPMBGME%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOELPKEPJLGMEHAJEHFEICFBJDIOBDKFJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DOJLCEBDKBPJDPILIGKDBBKDKFJMCHBFD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPHKDCINMMLJBLPNKOHLIPAIODLONPINF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPMPOAAHLECCAIBBHFJFIMIGEPMFMMBBK%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply
CZOO

QUIT
[/code]
Без перезагрузки, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]
------------

Скачайте утилиту ESET Log Collector по ссылке:
https://download.eset.com/com/eset/tools/diagnosis/log_collector/latest/esetlogcol­­lector.exe

Перед сбором лога ELC желательно, чтобы на компьютере была установлена последняя версия антивируса с действующей лицензией:
Сохраните программу на компьютер. Запустите ESET Log Collector от имени администратора (щелкните по программе правой клавишей мышки и в контекстном меню выберите "Запуск от имени администратора").  

В выпадающем меню "Режим сбора журналов ESET" выберите пункт "Фильтрованный двоичный код" и нажмите кнопку Собрать. Дождитесь окончания сбора необходимых сведений, по окончанию работы программы Вы увидите сообщение «Все файлы собраны и заархивированы» По умолчанию, архив с данными сохранится в папку, откуда Вы запускали утилиту и будет иметь название "ess_logs.zip". Путь сохранения архива можно изменить, нажав кнопку "...". Пришлите данный архив к нам на анализ.  Если размер файла превышает 20Мб, выложите файл на общедоступный диск, и пришлите нам ссылку на загрузку данного файла.

"SysVulnCheck_out.zip" (лог, созданный в программе ESETSysVulbCheck)

Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe

и запустите её от имени администратора. После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip". Пришлите его также нам на анализ.

---------------------------------------------------------
Ф v1.12 [15.11.2022]
---------------------------------------------------------
[QUOTE]Ф - это фаервол, поддерживается IPv4 и IPv6 одновременно.
Вы можете фильтровать трафик используя доменные фильтры вместо IP адресов.
В отличии от давно устаревших "современных" фаерволов вы можете легко обеспечить узкий круг разрешенных доменных адресов для любого приложения, включая системные процессы и даже svchost,
что физически невозможно для любого другого фаера.
Благодаря доменным фильтрам вы сможете ограничить выделенный браузер например для работы с финансовыми инструментами и вам не нужно будет
ежечасно добавлять новые IP адреса в белый список. В итоге браузер не сможет отправлять данные и статистику о ваших действиях даже разработчику,
отправка данных на адреса за пределом четко описанного фильтрами круга доменных имен невозможна.
(!) Майкрософт не желает видеть на рынке независимых производителей драйверов поэтому Ф работает исключительно с включенной опцией "Test signing", позволяющей загружать самоподписанные драйвера.
[/QUOTE]

---------------------------------------------------------
uVS v4.12.3 [23.11.2022]
---------------------------------------------------------
[QUOTE] o Добавлено несколько новых ключей автозапуска.

o Добавлен новый флаг запуска "Проверять весь HKCR".
  Не всегда требуется загружать и проверять все CLSID (по умолчанию флаг установлен).
  Снятие флага значительно ускорит скорость построения образа автозапуска за счет существенного сокращения файлов в списке.
  Если флаг установлен:
   o Твик #37 не исправит все проблемные пути в реестре
   o Функция удаления ссылок на отсутствующие файлы не затронет незагруженную часть HKCR.

o Улучшена функция парсинга командной строки.

o Исправлена функция восстановления реестра для неактивной системы.
  Обновлен ABR до версии 1.10, в него внесены аналогичные с uVS изменения.

o В окно информации о задаче добавлены даты создания и последнего запуска.

o Теперь в лог добавляется предупреждение о слишком длинных строках в реестре (более 2к символов).

o Исправлена ошибка в функции внесения данных из reg-файла в реестр неактивной системы.

o Добавлена поддержка кэша задач версий 1(Win8 и 8.1) и 2(некоторые серверные версии). (ранее поддерживалась только 3-я версия Win10/Win11).

o Исправлена ошибка которая могла привести к переполнению буфера.
[/QUOTE]

по удалению аккаунта напишите в [email protected]
или через форму в разделе технической поддержки:
https://www.esetnod32.ru/support/

[QUOTE]Zok Zok написал:
После последнего обновления перестал открываться сайт fon.bet на всех браузерах. Единственное спасает полное отключение защиты ESET Internet Security. Хотелось бы узнать причину блокировки сайта?[/QUOTE]
Информация по данной проблеме отправлена в антивирусную лабораторию.
Защиту антивируса надо включить.
Пока проблема в работе сайта решается исключением из проверки
*.bk6bba-resources.com*

[QUOTE]Алексей Чернов написал:
Есть дешифратор для шифровальшика?[/QUOTE]
Дешифратора по HYDRA нет в настоящее время.
Если необходим детальный анализ для ПК с шифрованием, необходимо собрать файлы Crypted, Filecoder, ELC, ESVC.
Как собрать файлы и логи после атаки шифрования для отправки в антивирусную лабораторию:
https://forum.esetnod32.ru/forum35/topic16689/
Файлы можно будет отправить со страницы технической поддержки:
https://www.esetnod32.ru/support/
Выберите тип обращения: Вирусы и проч.
Категория: файлы зашифрованы.

[QUOTE]Alexey Voronko написал:
Что можно сделать?  [/QUOTE]
Обновление программы WhatsApp ставится каждый раз в новую папку, поэтому правило, которое создаете, будет работать до нового обновления. (к этому тоже можно привыкнуть).

4.12.1
[QUOTE]---------------------------------------------------------
o Улучшена функция парсинга командной строки.

o Исправлена ошибка в парсере файла hosts, ошибка позволяла некоторым зловредам скрывать записи в hosts.

o Исправлены критические ошибки в утилитах:
  o uvs_snd.exe
  o cmpimg.exe[/QUOTE]

Проверьте, есть ли заблокированные устройства через мастер устанения неполадок