Так как записи с указанием исключений для Defender имеют определенный статус, то имеет смысл исключить их автоматическое попадание по признаку "файл не найден" при формировании автоскрипта.
В этом случае приходится вручную править тело скрипта, чтобы убрать некоторые записи.
1. ранее это можно было не делать, так как все равно они без виртуализации не удалялись.
2. теперь, с учетом удаления через powershell будут удалены и "полезные" исключения, которые могли быть сделаны самим пользователем, например активаторы.
На мой взгляд, будет лучше добавить в скрипт удаление исключений дефендера вручную, из секции исключений для WD.
Вылет здесь не понятно по какой причине произошел, так как изначально был создан образ автозапуска с активным зловредом, а повторно, по словам пользователя, не получилось uVS выйти на основную позицию, когда можно было бы собрать новый образ, или выполнить скрипт очистки. В том числе и в безопасном режиме.
Последствия запуска зловреда firfox.exe есть здесь, и возможно действительно входят у указанное семейство.
1. Microsoft тестирует функцию - Защита администратора.
https://www.comss.ru/page.php?id=15533
----------
2. Вирус\ы
https://forum.kasperskyclub.ru/topic/465570-trojanwin32sepeh/
Видимо это семейство:
https://vms.drweb.ru/virus/?i=27109129
https://vms.drweb.ru/virus/?i=27380925
--------
https://vms.drweb.ru/virus/?i=25801988
https://vms.drweb.ru/virus/?i=25339881
https://vms.drweb-av.it/virus/?i=25698634
3. TloBeJluTeJlb.exe
если в директории или имени файла "чудеса" с регистром...
Предлагаю помечать файл, как Подозрительный.