[QUOTE]RP55 RP55 написал:
Смотрю образ автозапуска - Чисто.
Смотрю лог FRST - Вирус.
Повторно открывают образ > файла нет ? > Файл есть, но он в проверенных ? > удаляю файл из проверенных > файл в проверенных...
Смотрю лог, у человека есть своя база проверенных и файл в _его базе, не в моей...

Мораль:
1) Статус: Проверен - только по базе хелпера, или по настройке settings.ini
2) Не дурить оператора, что SHA удалён - а сообщать: SHA  файла невозможно удалить из базы.
3) В Инфо. каждого файла писать подробные сведения  по задействованной базе.

Как я помню вопрос уже обсуждался, но по нему не было принято процессуального решения.[/QUOTE]
лучше конкретнее на примере. возможно файл действительно чистый, но может выполнять деструктивные действия, это сплошь и рядом.

возможно, это Crysis\Dharma если судить только по электронной почте злоумышленников:

[QUOTE]Для этого вымогателя пока нет способа дешифровки данных.

Сделайте бэкап зашифрованных файлов, может в будущем будет дешифровщик.

Опознан как

   ransomnote_email: [email protected][/QUOTE]

https://id-ransomware.malwarehunterteam.com/identify.php?case=92c2d3304cfe5dc150c11f0009e8fdea37f1b3a1

если файлы зашифрованы с таким расширением, только id может быть другим) (.id-3A2E8CB6.[[email protected]].bH4T.
то это с большой вероятностью Crysis\Dharma

1. добавьте несколько зашифрованных файлов в архиве и записку о выкупе (если есть)
2. сделайте образ автозапуска системы с зашифрованного сервера

File Version 10.16.43.0 BETA
ESET, spol. s r.o.
‎18 ‎сентября ‎2020 ‎г. 23:24:55
и
Microsoft Windows Hardware Compatibility Publisher
‎21 ‎сентября ‎2020 ‎г. 22:06:49
https://www.virustotal.com/gui/file/602329963b1277b0f8e2e3de1d7b9e1e5675f148b4c57bb­66524e02f23c9d236/details

REGT 18 выполняет очистку ограничения запуска приложений

HKLM\...\Policies\Explorer: [DisallowRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0

если бы лог FRST был сделан вместе с образом, можно было бы увидеть, какие приложения были ограничены
https://forum.esetnod32.ru/forum6/topic16164/

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
FirewallRules: [{BC11B804-C64B-438C-844A-EE942A0021C8}] => (Block) LPort=139
FirewallRules: [{781603CC-12A8-44B2-B6A4-75D11DA1F494}] => (Block) LPort=139
FirewallRules: [{FFF65005-3D95-4B77-9DDF-C162FBA912A5}] => (Block) LPort=445
FirewallRules: [{7AB68719-02A9-48ED-A469-0FF880F2FA3F}] => (Block) LPort=445
2020-11-02 20:01 - 2020-05-29 11:01 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab Setup Files
2020-11-02 20:01 - 2020-05-29 11:01 - 000000000 __SHD C:\ProgramData\Kaspersky Lab Setup Files
2020-11-03 10:58 - 2020-05-29 11:01 - 000000000 __SHD C:\AdwCleaner
2020-10-16 00:05 - 2020-05-29 11:01 - 000000000 __SHD C:\KVRT_Data
2020-10-15 12:35 - 2020-05-29 11:01 - 000000000 __SHD C:\Users\Все пользователи\Doctor Web
2020-10-15 12:35 - 2020-05-29 11:01 - 000000000 __SHD C:\ProgramData\Doctor Web
2020-10-15 16:48 - 2020-11-03 11:05 - 000000000 ____D C:\FRST
2020-10-15 12:22 - 2020-10-15 13:23 - 000000000 ____D C:\Users\Admin\Doctor Web
AlternateDataStreams: C:\ProgramData\TEMP:F336C880 [440]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:F336C880 [440]
EmptyTemp:
Reboot:[/CODE]

клиенты 4 и 5, конечно, лучше не заводить в в 7 консоль. либо для них держать отдельный сервер управления 5ERA, либо заранее делать переустановку актуальных версий.

[QUOTE]Роман Тузов написал:
Создана задача на удаление старой версии ESET Endpoint Antivirus 5. На клиентах был установлен пароль, в параметрах удаления он указан. В итоге клиент удалился только на некоторых ПК. На большинстве ПК выдало сбой.[/QUOTE],
из какой версии ERA вы создавали задачи на удаление 5 версии ESET Endpoint Antivirus?

---------------------------------------------------------
4.11.2
---------------------------------------------------------
o Добавлена поддержка VT API v3.

o Восстановлена поддержка сервиса runscanner.net

o Исправлена функция переключения рабочих столов при работе с удаленной системой.

o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

o Добавлены горячие клавиши при работе с активной системой:
  Alt->left и Alt->right клавиши переключают доступные рабочие столы.

[QUOTE]Вячеслав Колесов написал:
Словил шифровальщик  wannacash при открытии файла "Ключи активации на 365 дней", зашифровано 50 699 мелких файлов, самый крупный прилагаю к сообщению, он был в формате mp4. Файлы сам заархивировал, т.к. не вставляются в сообщение в исконном виде. В свойствах файла "ключи активации на 365 дней.exe"  в комментариях содержится запись "Path=%temp% Setup=ss3.exe Setup=ключи.txt Silent=1 Overwrite=1", т.е. при открытии создаётся файл ss3.exe - видимо он и шифрует. Помогите, пожалуйста с расшифровкой, если возможно.[/QUOTE]
при наличие лицензии на продукты ESET напишите в [email protected]

кстати,
по логу uVS:
======= Начало исполнения скрипта =======
--------------------------------------------------------
v400c
--------------------------------------------------------
--------------------------------------------------------
unload %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
Операция выгрузки объекта добавлена в очередь: C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
--------------------------------------------------------
deltsk %Sys32%\RUNDLL32.EXE
--------------------------------------------------------
--------------------------------------------------------
zoo %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
Копирование файла в Zoo: \\?\C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\FREETP­ORG.DLL
Файл скопирован в ZOO: C:\USERS\АДМИНИСТРАТОР\DESKTOP\SUPPORT\ZOO\FREETPORG.DLL._BE2292743106EC183CD2DA5B9CB0CE4548C3C5B8
--------------------------------------------------------
delall %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP\FREETPORG.DLL
--------------------------------------------------------
--------------------------------------------------------
dirzooex %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freept­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\freetp­org.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\main.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\Module­.exe
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\StartP­rocess.dll
Копирование файла в Zoo: C:\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\FREETP\stub.exe
--------------------------------------------------------
deldir %SystemDrive%\USERS\АДМИНИСТРАТОР\APPDATA\ROAMING\MICROSOFT\­FREETP
--------------------------------------------------------
Удалено файлов: 8 из 8