Добрый день.
На диске D: удалились только файлы (они не стали системными или скрытыми), структура папок сохранена. Win10 Pro 1903, KES 11.2.0.2254. В автозагрузке ничего нет, при полном сканировании антивирус ничего не нашел, диск физически исправен. Как вообще это произошло?

Garold, Если у вас объем раздела сохранился попробуйте в параметрах папок снять галочку с Скрывать защищенные системные файлы (рекомендуется) и активировать Показывать скрытые файлы, папки и диски. У меня был инцидент когда от зараженного пк исчезли файлы, но при этом объем кармана сохранился. Пришел домой и оказывается все файлы стояли с атрибутами системные. Если объем раздела упал, то пробуйте восстановить файлы с помощью MiniTool Power Data Recovery или с помощью утилиты от Hetman

К сожалению, это не мой случай. Данные физически удалены. Я ничего сомнительного не запускал, не сохранял. Запроса UAC не было. Файлы удалились только с одного диска.

Запроса UAC не было »
А вы когда с файлами работаете, он разве появляется? Нет. И точно так же молча любой батник мог их грохнуть безо всяких запросов. Посмотрите смарт диска, может быть ему нехорошо.
Просканируйте диск софтом для восстановления удаленных файлов, может быть что-то найдется.

И как от такого скрипта защититься? Тем более, непонятно как он проник и запустился...

Garold, Вообще-то самое слабое звено - это всегда человек, а не система. Всегда. Я к тому, что такое выборочное удаление данных говорит не о работе вредоносного ПО, а о том, что это человеческих рук дело.

Если к компьютеру есть физический доступ, то достаточно выманить вас из помещения на 5-10 минут, чтобы кто-то мог сделать своё черное дело. Чтобы оградить себя от такого вмешательства, необходимо ставить пароль на BIOS (UEFI) + ставить пароль на HDD (SSD). Только так можно получить достаточно определенную гарантию безопасности. Пароль на Windows, естественно, защитой вообще не считается, поскольку элементарно обходится путем загрузки с флэшки.

Так что ищите кому было выгодно удаление данных и трясите его. Хотя доказать все равно ничего не сможете.

Garold, вы диск проверили али что? Может у вас оборудование сыпется, а вы скрипты сейчас искать собираетесь.
Доводить до паранойи, как советует Avatar-Lion не стоит, это бессмысленно и мешает работать. Как защититься - внешний HDD, отключаемый физически от машины и резервное копирование информации по расписанию. Если у вас важная информация хранится в единственном экземпляре - значит у вас уже нет важной информации.