[QUOTE]RP55 RP55 написал:
Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров[/QUOTE]
в uVS есть твики по сбросу и удалению вредоносной политики:
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{c2c11a00-551e-41c8-8bb9-5d11119e293e}
твик 25 удалить все политики
твик 26 деактивировать активную политику
------------
насколько помню, блокировку обновлений антивируса через политики безопасности практиковал Carberp
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{b4f9004c-904c-45a5-8711-3501b4a3f465}

[QUOTE]RP55 RP55 написал:
Сейчас в каждой второй теме по лечению фиксят записи типа:
FirewallRules: [{700AF8EB-DFC9-4B3E-830C-92BB1A9AA978}] => (Block) LPort=***

FirewallRules: [{B10722AC-3E9F-4997-A84F-93BE0ADE4EE5}] => (Allow) C:\Program Files (x86)\Core\Core.exe

Может быть заблокировано обновление антивируса, или наоборот добавлено разрешение для нежелательной программы...

Хотелось бы видеть эти записи и нужен твик\ки для сброса параметров:
1) Все FirewallRules (Block)  - Сброс.
2) Все FirewallRules (Allow)  - Сброс.[/QUOTE]
RP55, это не всегда актуально:
во первых,
 установленные антивирусы с функцией firewall отключают встроенный брэндмауэр
во вторых,
 показывать правила брэндмауэра для входящих и исходящих, не есть хорошо - это будет утечка чувствительной информации о защите системы.
в третьих,
 сброс [B]всех[/B] блокирующих или разрешающих правил приведет к тому, что и полезные правила будут удалены, и придется заново настраивать разрешение и блокировку для приложений и системных файлов.

[QUOTE]RP55 RP55 написал:
Добавить информатор ( по выбранным типам обновлений )[/QUOTE]
это можно делать через скриптовую команду:
[QUOTE]Добавлена скриптовая команда [B]cexec [/B]для запуска консольных приложений
  с выводом результата в лог uVS.
  Результат выводится в 2-х кодировках.[/QUOTE]

пример:

--------------------------------------------------------
cexec cmd /c ver
--------------------------------------------------------

Microsoft Windows [Version 6.1.7601]
--------------------------------------------------------

Microsoft Windows [Version 6.1.7601]
--------------------------------------------------------
--------------------------------------------------------
cexec cmd /c wmic qfe get hotfixid | find "KB4012212"
--------------------------------------------------------
KB4012212  
--------------------------------------------------------
KB4012212

[B]Dharma Ransomware-as-a-Service (RaaS)[/B] позволяет начинающему киберпреступнику легко войти в бизнес с программами-вымогателями, предлагая набор инструментов, который делает почти все за них.

Операция RaaS - это модель киберпреступности, в которой разработчики отвечают за управление разработкой программ-вымогателей и системой выплаты выкупа. В то же время филиалы несут ответственность за компрометацию жертв и развертывание программ-вымогателей.

В рамках этой модели разработчики зарабатывают от 30 до 40% любых выплат выкупа, а остальное делают партнеры.

Большинство сегодняшних групп программ-вымогателей, нацеленных на предприятия, работают как частная модель RaaS, к участию в которой приглашаются только самые талантливые хакеры.

Например, [B]REvil RaaS[/B] требует, чтобы все потенциальные партнеры прошли собеседование и предоставили доказательства того, что они являются опытными хакерами.

Начиная с марта 2016 года под названием CrySiS, главные ключи дешифрования просочились в сообщение на форумах BleepingComputer в ноябре 2016 года.

Вскоре после этого был выпущен новый вариант программы-вымогателя, в котором к зашифрованным файлам добавлялось расширение .dharma. С тех пор семья и ее постоянный поток новых вариантов известны как Dharma.

В отличие от других операций RaaS, ориентированных на крупные предприятия, требующих выкупа от ста тысяч до миллионов долларов, Dharma, как правило, находится в нижнем диапазоне со средними требованиями около 9000 долларов.

Основываясь на новом наборе инструментов, предлагаемом RaaS, его низкая цена может отражать низкую планку входа, необходимую для аффилированных лиц.

Dharma RaaS предлагает готовый инструментарий для начинающих хакеров.

[URL=https://news.sophos.com/en-us/2020/08/12/color-by-numbers-inside-a-dharma-ransomware-as-a-service-attack/][B]Новое Исследование Sophos[/B][/URL] может объяснить, почему требования выкупа для атак Dharma намного ниже, чем для других операций; он обслуживает менее опытных партнеров.

В отличие от многих частных операций RaaS, которые работают только с опытными хакерами, было обнаружено, что операторы Dharma предлагают готовый инструментарий, который позволяет любому желающему взломать сеть.

Этот набор инструментов, известный как [B]«Toolbelt»[/B], представляет собой сценарий PowerShell, который при запуске позволяет злоумышленнику загружать и запускать различные инструменты из подключенной общей папки удаленного рабочего стола.

При использовании инструментария партнер будет вводить номер, соответствующий одной из 62 задач, которые могут быть выполнены.

После ввода команды инструментарий загрузит необходимые исполняемые файлы из общего ресурса удаленного рабочего стола и выполнит их.

Этот набор инструментов позволяет аффилированному лицу распространяться по сети с помощью таких инструментов, как [B]Mimikatz[/B] для сбора паролей, [B]NirSoft Remote Desktop PassView[/B] для кражи паролей RDP, [B]Hash Suite Tools Free[/B] для сброса хэшей и других инструментов для поиска целевых компьютеров и последующего развертывания программа-вымогатель.

https://www.bleepingcomputer.com/news/security/dharma-ransomware-created-a-hacking-toolkit-to-make-cybercrime-easy/

update:
[QUOTE]
   4.11 o Исправлена ошибка из-за которой не обновлялся список сетевой активности.
   4.1.9 o Исправлена ошибка в обработчике планировщика задач, ошибка могла приводить к зацикливанию.

   o Исправлена функция обработки 38-го твика при работе с образами и удаленными системами.
[/QUOTE]

как правило, после сканирования отображается полный список найденных объектов для удаления,
те объекты, которые вы считаете (или вам рекомендуют сохранить) безопасными, вы можете исключить из удаления,
надо просто снять галочки рядом с этими объектами в списке.
потом, выполняем действие: либо удалить, ли бо отправить в карантин.

система очищена
EmptyTemp: => 19.8 GB temporary data Removed.
проблема решена или еще остались вопросы?

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> No File <==== ATTENTION
Task: {4520E8A9-AF06-4122-859B-E4B655B29B36} - \Microsoft\Windows\AppID\SmartScreenSpecific -> No File <==== ATTENTION
Task: {4D77E7DF-932E-4AC5-B820-F553CE145942} - \Microsoft\Windows\ErrorDetails\EnableErrorDetailsUpdate -> No File <==== ATTENTION
Task: {BAE9D59F-1A17-4B16-BDBD-7D57B5F3E91A} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> No File <==== ATTENTION
Task: {C9ACBFD2-20AA-4A3F-BE1A-A3D5279BB1BB} - \Microsoft\Windows\Plug and Play\Plug and Play Cleanup -> No File <==== ATTENTION
Task: {CE30065B-2753-46E1-A23D-EF472C97CD3F} - \Microsoft\Windows\ErrorDetails\ErrorDetailsUpdate -> No File <==== ATTENTION
EmptyTemp:
Reboot:
[/CODE]

[QUOTE]Денис Краснов написал:
Новый образ с системы, которая сейчас нормально загружается. Может и прояснит ситуацию с синим экраном.[/QUOTE]
Вы из под winpe сделали образ? сделайте теперь из нормальноо режима
+
сделайте логи в ESETsysinspector, возможно там будет информация из журналов.
http://forum.esetnod32.ru/forum9/topic10701/

если система загружается в нормальном режиме, то сделайте еще образ автозапуска из нормального режима.