выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
regt 39
regt 41
restart
[/code]
перезагрузка, сделайте, пожалуйста, образ автозапуска с отслеживанием процессов и задач.
------------

по логу ESVC:
Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Logon events auditing is probably partially (or fully) disabled.
To enable it, launch secpol.msc and in Local Policies -> Audit Policy -> Audit logon events, check both Success and Failure.

A tool that might have been misused by hackers to uninstall or disable ESET was detected:
- Process Hacker 2.39 (r124)  (installed on 08.05.2022 18:52:58)

The following critical patches are missing:
- MS16-032  (https://technet.microsoft.com/en-us/library/security/MS16-032)

17.06.2022 8:57:19 Advanced memory scanner file Operating memory » powershell.exe(1532) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
17.06.2022 2:56:36 Advanced memory scanner file Operating memory » powershell.exe(1620) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618


[QUOTE]27.05.2022 14:43:16 Advanced memory scanner file Operating memory » taskeng.exe(1984) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 7DE35EDDF40ED09D65E6DC2122BE85D78DA83773
27.05.2022 14:43:15 Advanced memory scanner file Operating memory » taskeng.exe(2772) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 2BF64E68A5CB864127D1BC4DE3D65B759ACCDB81
27.05.2022 14:43:15 Advanced memory scanner file Operating memory » CCleaner64.exe(384) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 5437FA266CCB37ABD17D332120D4FBCDD53EB4BF
27.05.2022 14:43:14 Advanced memory scanner file Operating memory » dllhost.exe(4004) a variant of Win64/Rootkit.Agent.AZ trojan unable to clean 9F213E2E081104D00D7927D623251674309FB057
[/QUOTE]

Систему уже пролечивали от руткита?

Любому приложению из каталога - нет, необходимо в каждом правиле указать точный путь для приложения.

[QUOTE]Станислав Кондрашов написал:
Что необходимо для исправления этой ситуации?Как быть?[/QUOTE]
Информация о блокировке сайтов отправлена в антивирусную лабораторию, ждем ответ.

Мы получили ответ из антивирусной лаборатории, сайты будут разблокированы.
---------------
Thank you for your submission.
The site / IP address will be unblocked.

Вадим, посмотри пожалуйста, в этих папках что-то еще осталось?
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\
%SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\

подозрение на то, что для запуска вредоносного кода, использовались легальные файлы, которые при запуске могли загружать вредоносные dll
---------------
Теперь можно отменить отслеживание процессов и лог DNS
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
[code]
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
regt 40
regt 42
QUIT
[/code]
без перезагрузки системы

Отлично, спасибо Вам за все предоставленные оперативно  логи и файлы.

[QUOTE]Sasha Rus написал:
Буду рад, если можно что-то исправить по этому поводу[/QUOTE]

Хорошо, информация о блокировке сайта будет отправлена в антивирусную лабораторию, ждем ответ.
---------
Мы получили ответ из антивирусной лаборатории: сайт будет разблокирован.

Thank you for your submission.
The site / IP address will be unblocked.

Хорошо. Выполняем скрипт с перезагрузкой системы. Проверяем результат после перезагрузки.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]
;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv11.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1­BEE53B.MSI
zoo %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
zoo %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
;---------command-block---------
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\FULLDUMP\2CED3B14\DB31E98E\VLC.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\ACTIVISION\CALL OF DUTY VANGUARD\CRASH_REPORTS\A63750E0\VXPLAYER.EXE
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\XVEASRLJH.QTD
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\TEMP\EC905A47.PNG
delall %SystemDrive%\USERS\KVV80\APPDATA\LOCAL\PROGRAMS\ADLOCK\D2C1­BEE53B.MSI
delall %SystemDrive%\USERS\KVV80\APPDATA\ROAMING\MICROSOFT\WINDOWS\­START MENU\PROGRAMS\STARTUP\DRIVER.URL

apply

czoo
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z)  отправить в почту [email protected]