Судя по образу в системе уже нет активного шифровальщика. Это Filecoder.Phobos (расширение *.Elbie)
Или образ был создан под учетной записью без прав Администратора

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1000\Software\Microsoft\Windows\CurrentVersion\Run
(!) Не удалось открыть ключ: [Отказано в доступе. ]

(!) Не удалось открыть ключ: [Отказано в доступе. ]
HKEY_USERS\S-1-5-21-3559245007-3873300145-2388895131-1003\Software\Microsoft\Windows\CurrentVersion\Run

К сожалению, по Phobos нет расшифровки без приватного ключа.

Сделайте, пожалуйста, еще логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

[QUOTE]Тимофей Синицын написал:
Добрый день. Подхватили Phobos.
прикрепил лог ESETSysVulnCheck[/B] [/QUOTE]
+
Добавьте, пожалуйста, несколько зашифрованных файлов и записку о выкупе в архиве, и загрузите архив в ваше сообщение.
Если система не очищена тел шифровальщика,
сделайте образ автозапуска системы в uVS, прикрепите файл образа к вашему сообщению.
----------
по логу ESVC:

1. учетная запись ваша? создана накануне атаки.

Name,Creation date,Is enabled?,Is locked out?,Is administrator?,Has RDP access?
ROP,17.10.2023 20:25:11 (?),no,no,yes,yes

2. По параметрам политик:

Lockout threshold,Никогда ---
необходимо указывать 20-30 неверных попыток после чего учетная запись будет блокирована с целью предупреждения автоматического подбора (brute-force) пароля.

3.по антивирусам - антивирусная защита не установлена.

4. Timeline:
Datetime,Source,Event description
17.10.2023 20:25:12.464,TS - Lcl Session Man,"""ROP"" logged in from IP 89.39.107.157."
17.10.2023 20:25:11.999,Local Users,"Local user ""ROP"" was created."
17.10.2023 20:22:14.404,TS - Lcl Session Man,"""Logistika"" logged in from IP 89.39.107.157."

Возможно здесь начало атаки.
Надо сверить с датой и временем шифрования файлов.

(подобран пароль к учетной записи Logistika и создана новая учетная запись RDP c ip country:        NL)
по timeline:

Можно предположить, что шифрование было или вечером 17.10 или ночью 18.10.

Архив получил, спасибо. Проверяйте установку антивирусного продукта.

если архив получится большим > 5Мб, выложите его, пожалуйста, на облачный диск, и в почту пришлите только ссылку на скачивание.

[QUOTE]Алексей Шкель написал:
А нет там такого файла, папка ZOO есть, но в ней ничего подобного нет[/QUOTE]
да, вижу, не было в скрипте команды CZOO
zoo %SystemDrive%\PROGRAMDATA\MICROSOFT\NETWORK\CQAVUH77UZS\CHEC­KGLOBALD.BAT
вот этот файл должен быть в ZOO
или вообще эту папку вручную заархивируйте в Winrar или 7zip с паролем infected, и тогда полученный архив отправьте в почту [email protected]

FRST после успешного запуска удаляет строку блокировки FRST64.exe :)
[QUOTE]HKU\S-1-5-21-3788994120-2036808167-1479317438-1001\...\Policies\Explorer\DisallowRun: [16] FRST64.exe => успешно удалены[/QUOTE]

[QUOTE]Алексей Шкель написал:
Готово[/QUOTE]
Хорошо, пробуйте выполнить установку антивирусного продукта. После установки и активации, обновите антивирусные базы и выполните полное сканирование системного диска.
+жду в почту от вас:[QUOTE]В почту я просил прислать файл, который начинается с имени ZOO_ далее дата_время.7z
он должен быть в папке, откуда запускали start.exe для выполнения скрипта из сообщения RP55.[/QUOTE]

[QUOTE]RP55 RP55 написал:
regt 1
regt 2
regt 14
regt 25
regt 38[/QUOTE]
regt 18 забыл добавить сюда. (или не забыл, оставил для скрипта в FRST)

В почту я просил прислать файл, который начинается с имени ZOO_ далее дата_время.7z
он должен быть в папке, откуда запускали start.exe для выполнения скрипта из сообщения RP55.

Сохраните файл fixlist.txt из вложения в папку, откуда запускаете FRST.
Запустите еще раз FRST от имени Администратора, дождитесь когда программа будет готова к действию.
Нажмите кнопку "Исправить".
FRST автоматически выполнит очистку системы и перегрузит ее.
После перезагрузки системы добавьте на форум файл Fixlog.txt из папки FRST.