santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] майнер MICROSOFTHOST.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2023 15:57:22

Скриптом в uVS очистили активное заражение, скриптом в FRST была снята блокировка установки антивирусных программ.
Можете установить сейчас антивирусную программу (ESET, PRO32, Kaspersky, DrWeb) и выполнить полное сканирование системы после обновления баз.
Напишите нам по результату.

[ Как создать образ автозапуска? ]

Перейти

Оффлайн обновления для версии 4.2, Последняя версия оффлайн обновлений базы данных сигнатур для ESS 4.2 - 27338 (20230602) ?

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2023 13:46:25

Цитата
Роман Кузнецов написал: Получается, что последняя версия базы данных сигнатур для версии ESS 4.2 - 27338 (20230602)?

Возможно, что и так. Поддержка данной версии давно прекращена. С некоторого времени может прекратиться и выпуск сигнатур для версий без поддержки.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] майнер MICROSOFTHOST.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2023 13:42:40

Сохраните файл из вложения fixlist.txt в папку, откуда запускаете FRST.exe
Далее, запускаем FRST.exe от имени Администратора
Ждем, когда программа (после проверки обновления) будет готова к работе
Нажимаем кнопку "Исправить"
Ждем завершения процесса очистки с перезагрузкой системы
Далее, после перезагрузки, добавьте, пожалуйста, файл FixLog.txt из папки с FRST

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] майнер MICROSOFTHOST.EXE

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.06.2023 11:32:05

hosts будет полностью очищен,
если нужно будет восстановите эту запись:
169.254.245.107 WIN-N4MNQFNPMEA.mshome.net # 2027 11 5 12 14 15 5 886

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;

Код
;uVS v4.14 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8 Win64/Packed.Themida.L 7 zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE zoo %SystemRoot%\SYSWOW64\UNSECAPP.EXE zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 21 Win64/CoinMiner.QG 7 chklst delvir regt 14 regt 18 apply deltmp delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID] delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID] delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID] delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID] delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID] delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID] delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID] delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref %Sys32%\DRIVERS\458E43AEF32F6314.SYS delref %Sys32%\DRIVERS\CPUZ153.SYS delref V:\AUTORUN.EXE delref V:\RUNGAME.EXE delref %SystemDrive%\GAMES\WARTHUNDER\GJAGENT.EXE delref H:\OFF-LINE GAMES\PROJECT ZOMBOID\PROJECTZOMBOID64.EXE delref D:\GAMES\BIN\H5_GAME.EXE delref %SystemDrive%\GAMES\ENLISTED\LAUNCHER.EXE delref %SystemDrive%\GAMES\ENLISTED\UNINS000.EXE delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE delref %SystemDrive%\GAMES\WORLD_OF_TANKS_RU\WGC_API.EXE delref D:\GAMES\WORLD_OF_TANKS_RU\WGC_API.EXE delref %SystemDrive%\GAMES\WARTHUNDER\LAUNCHER.EXE delref %SystemDrive%\GAMES\WARTHUNDER\UNINS000.EXE delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE ;------------------------------------------------------------- czoo restart

Код



;uVS v4.14 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOST.EXE
addsgn 1A6E769A552B1E3B8236EFE32D4360156C0186D675489FF2838B3A7AD8D139B3E4ACC1573E559D9B5E870E890EE98FEAAFAC0C7287AFB7A63B3F5BE9D7D4512D 8  Win64/Packed.Themida.L 7

zoo %SystemDrive%\PROGRAMDATA\REAITEKHD\TASKHOSTW.EXE
zoo %SystemRoot%\SYSWOW64\UNSECAPP.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\AUDIODG.EXE
zoo %SystemDrive%\PROGRAMDATA\WINDOWSTASK\MICROSOFTHOST.EXE
addsgn BA6F9BB2BD5149720B9C2D754C2160FBDA75303A4536D3B4490F09709C1ABD80EFDBA531314A19492B80849F0E95A5EA3156FC561953EC08253A97F48B8B7657 21 Win64/CoinMiner.QG 7

chklst
delvir

regt 14
regt 18

apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %Sys32%\REMOTEFXVGPUDISABLEMENT.EXE
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {BBACC218-34EA-4666-9D7A-C78F2274A524}\[CLSID]
delref {5AB7172C-9C11-405C-8DD5-AF20F3606282}\[CLSID]
delref {A78ED123-AB77-406B-9962-2A5D9D2F7F30}\[CLSID]
delref {F241C880-6982-4CE5-8CF7-7085BA96DA5A}\[CLSID]
delref {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}\[CLSID]
delref {9AA2F32D-362A-42D9-9328-24A483E2CCC3}\[CLSID]
delref {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %Sys32%\DRIVERS\458E43AEF32F6314.SYS
delref %Sys32%\DRIVERS\CPUZ153.SYS
delref V:\AUTORUN.EXE
delref V:\RUNGAME.EXE
delref %SystemDrive%\GAMES\WARTHUNDER\GJAGENT.EXE
delref H:\OFF-LINE GAMES\PROJECT ZOMBOID\PROJECTZOMBOID64.EXE
delref D:\GAMES\BIN\H5_GAME.EXE
delref %SystemDrive%\GAMES\ENLISTED\LAUNCHER.EXE
delref %SystemDrive%\GAMES\ENLISTED\UNINS000.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\STEAM\STEAM.EXE
delref %SystemDrive%\GAMES\WORLD_OF_TANKS_RU\WGC_API.EXE
delref D:\GAMES\WORLD_OF_TANKS_RU\WGC_API.EXE
delref %SystemDrive%\GAMES\WARTHUNDER\LAUNCHER.EXE
delref %SystemDrive%\GAMES\WARTHUNDER\UNINS000.EXE
delref %SystemDrive%\USERS\ADMINISTRATOR\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
;-------------------------------------------------------------
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_гггг-мм-дд_чч-мм-сс.rar/7z) отправить в почту [email protected]
------------
далее,
сделайте дополнительно логи FRST
https://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]

Перейти

Фаервол от разработчика uVS

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2023 08:06:45

---------------------------------------------------------
Ф(аервол) 1.40 от 24.05.2023
---------------------------------------------------------

Цитата
o Исправлена программа установки, в некоторых случаях не удавалось удалить драйвер. o В окно приложений добавлена информация: о дате/времени последнего запроса в сеть, попавшего в лог. о текущем типе доступа приложения в сеть. o В окно настройки фильтров приложения добавлены кнопки: o Путь - открывает каталог с файлом o Версия - открываeт свойства файла o В контекстное меню списка запросов окна настройки фильтров приложения добавлен пункт "Открыть адрес в браузере". o Для приложений не найденных на диске теперь отображается крест вместо иконки. o Исправлена ошибка из-за которой приложения, имеющие записи в логе, но отсутствующие на диске не отображались в режиме отображения удаленных приложений. o Обновления драйвера при переходе с версии 1.31 не требуется.

Цитата

o Исправлена программа установки, в некоторых случаях не удавалось удалить драйвер.

o В окно приложений добавлена информация:
о дате/времени последнего запроса в сеть, попавшего в лог.
о текущем типе доступа приложения в сеть.

o В окно настройки фильтров приложения добавлены кнопки:
o Путь - открывает каталог с файлом
o Версия - открываeт свойства файла

o В контекстное меню списка запросов окна настройки фильтров приложения добавлен пункт "Открыть адрес в браузере".

o Для приложений не найденных на диске теперь отображается крест вместо иконки.

o Исправлена ошибка из-за которой приложения, имеющие записи в логе, но отсутствующие на диске не отображались в режиме
отображения удаленных приложений.

o Обновления драйвера при переходе с версии 1.31 не требуется.

[ Как создать образ автозапуска? ]

Перейти

Universal Virus Sniffer (uVS)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2023 08:04:50

---------------------------------------------------------
uVS 4.14 от 24.05.2023
---------------------------------------------------------

Цитата
o Исправлена критическая ошибка при разборе параметров в файлах задач. Из-за ошибки uVS мог аварийно завершится без создания дампа. o Каталог по умолчанию теперь каталог Windows. (Для окон выбора каталога).

[ Как создать образ автозапуска? ]

Перейти

ВПН для ChatGPT в ESETNOD32, Интересуют возможности текущие и что будет в планах по ИИ

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2023 05:16:05

Вы можете написать об этом на официальном техническом форуме разработчика продуктов ESET.
forum.eset.com

[ Как создать образ автозапуска? ]

Перейти

Статичный значок в системном трее при сканировании системы

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2023 05:13:42

Цитата
che burator написал: EIS 16.1.14.0 Во время сканирования системы у значка в системном трее нет анимации (бегущей стрелки по кромке). Переустановка не помогла.

Добавьте лог ELC, лучше сделать его через интерфейс установленного антивируса.

[ Как создать образ автозапуска? ]

Перейти

Проблемы с регистрацией/восстановлением лицензии антивируса

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 20.05.2023 05:06:40

Цитата
Михаил Терехин написал: Скажите, куда пропали лицензии от Nod32 из Ростелекома? Сейчас у них на сайте вижу только антивирусы других компаний. С чем это связано?

Скорее всего по причине того, что ESET приостановил новые продажи и продление лицензий в России и Беларуси с февраля 2022 года на неопределенное время.

[ Как создать образ автозапуска? ]

Перейти

Восстановление двухфакторной аутентификация

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 04.05.2023 13:57:27

Цитата
Александр Демикальщик написал: Можно ли как-то воостановить двуфакторную авторизацию зная только логин и пароль (ну и имея доступ к почте на которую зарегистрирован аккаунт)?

Пробуйте написать в техническую поддержку [email protected] (или в [email protected] если вы из Украины) при наличие лицензии на продукт ESET

[ Как создать образ автозапуска? ]

Перейти