Да, интересно. Это последствия вируса, залочены не только ESET и Doctor Web, там каталоги для многих антивирусов есть. Заражение произошло 26 апреля в 19:42.
1) Судя по этому времени, Вам тут же Вам поставили RDP, поэтому злоумышленник до сих пор имеет доступ к Вашему компьютеру.
<file path="C:\Program Files\RDP Wrapper\rdpwrap.dll" size="116736" links="1" ctime="26.04.2019 19:43:16.383" atime="26.04.2019 19:43:16.383" wtime="26.04.2019 19:43:16.384" buildtime="10.12.2014 23:17:30.000">
<attrib hidden="true" system="true" archive="true" value="26" />
<hash sha1="b3892eef846c044a2b0785d54a432b3e93a968c8" sha256="798af20db39280f90a1d35f2ac2c1d62124d1f5218a2a0fa29d87a13340bd3e4" />
<arkstatus file="unsigned, pe64, dll" cert="unsigned" cloud="unknown" type="unknown" />
<verinfo company="Stas'M Corp." descr="Terminal Services Wrapper Library" origname="rdpwrap.dll" version="1.5.0.0" product_name="RDP Host Support" product_version="1.5.0.0" file_version_ls="0" file_version_ms="65541" product_version_ls="0" product_version_ms="65541" />
</file>
<key hive="HKLM" name="SOFTWARE\Wow6432Node\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019">
<key name="Remote Desktop" subkeys="3" values="0" lastwrite="26.04.2019 19:43:30.101">
<key name="Certificates" subkeys="1" values="0" lastwrite="26.04.2019 19:43:30.102">
<key name="4AA616EDB38B88A88921A453C7CBF16B1864287E" subkeys="0" values="1" lastwrite="26.04.2019 19:43:30.102">
Необходимо удалить RDP Wrapper. Просто удалить каталог нельзя (он плотно прописан в систему), поэтому надо скачать архив:
https://github.com/stascorp/rdpwrap/releases/download/v1.6.2/RDPWrap-v1.6.2.zip
Распаковать его и выполнить uninstall.bat с правами администратора.
Еще вижу активный TeamViewer, если не Вы его устанавливали, тоже удалите (он должен удалиться штатно через список установленных программ).
2) Далее: в реестре запрещено куча защитного софта:
<key hive="HKLM" name="SOFTWARE\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019 19:43:30.099">
<key name="Disallowed" subkeys="3" values="0" lastwrite="14.07.2009 07:49:06.169">
<key name="Certificates" subkeys="27" values="0" lastwrite="08.02.2015 22:28:51.289">
<key hive="HKLM" name="SOFTWARE\Wow6432Node\Microsoft\SystemCertificates" subkeys="13" values="0" lastwrite="26.04.2019 19:43:30.099">
<key name="Disallowed" subkeys="3" values="0" lastwrite="14.07.2009 07:49:06.169">
<key name="Certificates" subkeys="27" values="0" lastwrite="08.02.2015 22:28:51.289">
Все ключи из:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\Disallowed\Certificates
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\SystemCertificates\Disallowed\Certificates
надо удалить.
3) Видно еще следы:
C:\Windows\svchost.exe
C:\Windows\boy.exe
C:\ProgramData\lsass.exe
C:\ProgramData\lsass2.exe
C:\ProgramData\script.exe
C:\ProgramData\kz.exe
C:\ProgramData\olly.exe
Они нулевого размера, так что, видимо, тоже заглушки чтобы просто было невозможно установить софт для защиты/отладки/лечения.
Вам надо проверить каталоги:
C:\Windows\
C:\ProgramData\
C:\Program Files\
C:\Program Files (x86)\
На предмет файлов и каталогов, созданных 26.04.2019 19:43 (их видно в выводе команды "dir /q /A") и удалить (например, командами rmdir для каталогов и del для файлов)
После этого всего поставьте Dr.Web Security Space (хотя бы пробный период) и сообщите, что получилось.
Сообщение было изменено RomaNNN: 08 Май 2019 - 09:43
Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.