FRST.exe переименуйте с Clean.exe и пробуйте еще раз собрать логи FRST
+пришлите файл ZOO_дата_время* в почту [email protected] для анализа.

[QUOTE]Василий Шилов написал:
Добрый день!
Прошу помочь разобраться, почему именно блокируете наши домены?
В описании мы видим только слово вредоносное ПО и не понимаем о чем именно идет речь. Конечно же я прочитал предыдущие темы, которые обсуждались на форуме. Хотелось бы услышать ответ от вас именно по нашим доменам.
Ссылки на заблокированные домены
-  [URL=http://rqsvqjqdje.com/]rqsvqjqdje.com[/URL]
-  [URL=http://ahzxppktgc.com/]ahzxppktgc.com[/URL] [/QUOTE]
Вы можете написать в техническую поддержку по поводу блокировки ваших доменов [email protected]
https://support.eset.com/en/kb141-submit-a-virus-website-or-potential-false-positive-sample-to-the-eset-lab#SubmitWebsite

[QUOTE]Юрий Мисюрин написал:
Очень интересная тема, у нас такая же беда. Не подскажете, чем дело закончилось?[/QUOTE]
Как видите, по данному случаю шифрования *([email protected]).MRN
дешифратор и ключ, который предоставляют за выкуп является нерабочим.

Настройки на антивирусных клиентах защищены паролем?

Посмотрите тему с аналогичной проблемой на оф.форуме eset.com
https://forum.eset.com/topic/26169-eset-uninstallation-error-0x643/

К блокировке запуска установщиков и путей установки антивирусов добавилось блокировка записи данных в реестре.
Последняя выполняется, скорее всего другим зловредом. (Не Microsofthost.exe)
Предположительно, майнером, который маскируется под апдейтер Google Chrome.
Из активных зловредов в системе был файл, запускаемый через задачу

C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE

https://www.virustotal.com/gui/file/6e9b3d4db604e79c053e69230ba3fe2981a045796566f72­9c5dd782322d8ff2b/behavior

[QUOTE]Полное имя C:\PROGRAM FILES\GOOGLE\CHROME\UPDATER.EXE
Имя файла                   UPDATER.EXE
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   Win64/GenKryptik.GIIA (delall) [глубина совпадения 64(64), необх. минимум 8, максимум 64] 2023-08-28
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     647305189F0000
Linker                      2.38
Размер                      10381312 байт
Создан                      04.06.2023 в 12:10:53
Изменен                     16.06.2023 в 18:07:21
                           
TimeStamp                   28.05.2023 в 07:39:04
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Версия файла                70,0,3538,110
Описание                    Google Chrome
Производитель               Google Inc.
                           
Доп. информация             на момент обновления списка
SHA1                        F646E84DC91A32D2C06CC36E6FC7DF1F6C3D0D87
MD5                         CBF41D5AA487E94FE7F1DBF6C1AE2ABB
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GOOGLEUPDATETASKMACHINEQC
Task                        \GoogleUpdateTaskMachineQC
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{88932E95-EB12-423E-8FEB-B562CDB83B62}\Actions
Actions                     "C:\Program Files\Google\Chrome\updater.exe"
Задача создана              04.06.2023 в 12:10:53
Последний запуск            28.08.2023 в 11:14:07
Код ошибки                  0x0
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{88932E95-EB12-423E-8FEB-B562CDB83B62}\
                           
[/QUOTE]

В ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node добавляют наименования антивирусных вендоров, и обрезают права записи, или вообще удаляют всех пользователей.

[QUOTE]Юрий Мисюрин написал:
Приветствую, комрады!
Очень интересная тема, у нас такая же беда. Не подскажете, чем дело закончилось?[/QUOTE]
Добрый день,
добавьте, пожалуйста, несколько зашифрованных файлов+записку о выкупе в одном архиве в ваше сообщение.
Если необходима очистка зараженной системы сделайте дополнительно образ автозапуска.

Уточните, пожалуйста, какую версию консоли используете, и какие версии продукта установлены.

[B]Пока в стадии бета[/B]
[QUOTE]---------------------------------------------------------
2.00
---------------------------------------------------------
o Добавлены дополнительные функции повышающие уровень защиты от повреждения и утечки данных:
  o История запуска процессов с момента старта системы.
  o Защита от внедрения потоков в процессы, в т.ч. и опциональная активная защита,
    прерывающая внедрение потока на этапе его создания с информированием о процессе.
    (!) Не рекомендуется использовать эту функцию в Windows 7.
  o Добавлены параметры процессов. Процессам можно запрещать запуск, разрешать внедрение потоков
    или включить информирование при запуске конкретного процесса.
    (например cmd.exe, что часто является признаком активности зловреда)
  o Установка прав доступа к каталогам (например для защиты файлов от шифровальщиков или утечки данных).
    В том числе можно разграничить права доступа на уровне приложений.
    Поддерживается настраиваемый лог операций для каждого каталога.
  o Защита каталогов приложений от модификации сторонними приложениями.
  o Защита файла драйвера, усилена защита файла фильтров.
  o Защита параметров запуска служб BFE, FltMgr.
  o Защита от запуска svchost зловредами.
  o Защита настроек паролем.
  (!) О влиянии новых функций на производительность см. readme, по умолчанию все доп. функции
  (!) влияющие на производительность отключены. Для их активации перейдите в окно настройки, после
  (!) чего потребуется перезагрузить компьютер.

o Драйвер Ф теперь загружается раньше, до старта BFE.

o Добавлена функция сохранения и восстановления настроек, в т.ч. можно переносить все настройки
  на другой компьютер. (кроме наименования и размера шрифта, которые хранятся в F.ini).

o Исправлена ошибка первоначальной регистрации фильтров в новой системе.[/QUOTE]
----------------
Для тестирования были использованы каталог с тестовыми файлами, каталог запуска фаервола и каталог запуска uVS. В предыдущем тесте Lockbit v3 шифровал все файлы в каталоге uVS за исключением исполняемых *.exe и это приводило к завершению контрольного процесса uVS.

Настройка защиты каталогов достаточно удобна. Можно запретить запись (или доступ) в данный каталог, и предоставить различные права доступа для определенных процессов, или полный доступ для приложения, которое запускается из данного каталога.

По результату нового запуска сэмпла Lockbit v3 были зашифрованы файлы во всех каталогах, за исключением защищенных. При этом после самоудаления сэмпла процессы uVS и Ф продолжали работать и зафиксировали в логах запуск процесса шифрования, все безрезультатные попытки добавить записку о выкупе,  и перезаписи оригинальных файлов зашифрованными копиями.

Проверил сегодня защиту каталогов  дополнительно  на сэмплах  crysis(*onion), FONIX(*RYUK), Crylock v2, Conti(*RUSSIA), LokiLocker, aesni_april

Никому не удалось прорваться в защищенные каталоги. (Lockbit делал 6 попыток записи файлов, Crylock - дважды)

[B]А комбинация uVS+Fv очень удачная для наблюдения за поведением шифровальщика.[/B]

FV фиксирует сетевую активность всех процессов. Интересно было наблюдать за поведением AES_NI (*aes_ni_0day). После запуска сэмпл самоудалился, но при этом запустил системный svchost.exe из SysWOW64, внедрил в него несколько потоков, svchost.exe попытался выйти во внешнюю сеть.



Далее шифрование пошло из под процесса SysWOW64\svchost.exe,  После завершения шифрования процесс SysWOW64/svhost.exe  остается активным. Т.е. все добавленные новые файлы будут зашифрованы. Перед расшифровкой файлов (для AES_NI есть универсальный дешифратор) через uVS заморозил все потоки. Шифрование новых файлов прекратилось.

Update: В настройках фаервола добавилась блокировка запуска svchost.exe вредоносами,  "aes_ni_april" при этом изменил свое поведение: не смог запустить процесс SysWOW64\svchost.exe, чтобы добавить в него вредоносные потоки шифровальщика, процесс "aes_ni" сохранился, в него были добавлены потоки, шифрование продолжилось, но защищенные каталоги не были затронуты шифрованием.

[4] Объект невозможно открыть. Он используется другим приложением или операционной системой.

Чтобы проверить эти объекты необходимо проверить систему из под загрузочного диска. С большой вероятностью - это чистые файлы.

по очистке системы в uVS:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.14.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\20.8.3.115\SERVICE_UPDATE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\NEFARIUS SOFTWARE SOLUTIONS\VIGEM BUS DRIVER\VIGEMBUSUPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BORLAND\DELPHI7\BIN\BORDBG70.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\CREDO\ЦЕНТР УПРАВЛЕНИЯ ПО CREDO\CSM.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHMONITOR.EXE
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES\CREDO\ECHELON-II\ECHSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\DDG.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\GOOGLE.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\MAILRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\OZONRU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\PRICERU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\WIKIPEDIA-RU.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX-SLOVARI.XML
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\SEARCHPLUGINS\YANDEX.XML
delref E:\HISUITEDOWNLOADER.EXE
delref %SystemDrive%\PROGRAM FILES\4KDOWNLOAD\4KVIDEODOWNLOADER\4KVIDEODOWNLOADER.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

Проверьте доступен ли  сервис ESET Live Grid на вашем устройстве,
https://support.eset.com/ru/kb332-ports-and-addresses-required-to-use-your-eset-product-with-a-third-party-firewall