Форум esetnod32.ru [тема: JS/Adware.HiRu.A при запуске защиты банковской оплаты eset] http://forum.esetnod32.ru Новое в теме JS/Adware.HiRu.A при запуске защиты банковской оплаты eset форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 03 May 2026 06:59:40 +0300 JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
:)

Выполните рекомендации:
https://forum.esetnod32.ru/forum9/topic13764/
30.01.2018 21:56:11, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101939/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101939/ Tue, 30 Jan 2018 21:56:11 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо.Пока система работает нормально буду наблюдать.
Заметил что после AdwCleaner,перезагрузки, в диспетчере задач-производительность пропала видеокарта,которая появилась там после последнего обновления 10 винды,не критично, но странно...
Fixlog.txt
30.01.2018 21:53:50, Alex Dark.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101938/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101938/ Tue, 30 Jan 2018 21:53:50 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

====code==== 
  

CHR HKLM-x32\...\Chrome\Extension: [ochbjojkpcmlfeagbaahkofepalngihg] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [oejkcgajlodefenbbjdnaiahmbnnoole] - <no Path/update_url>
EmptyTemp:
Reboot:
=============
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

2) Отключите синхронизацию данных с серверами Google ( если включена )
Подробно: http://my-chrome.ru/2013/05/kak-pravilno-otklyuchit-sinxronizaciyu-v-google-chrome/

3) Проверяем, как работает система...
и
Пишем по _общему результату лечения.
30.01.2018 21:23:49, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101937/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101937/ Tue, 30 Jan 2018 21:23:49 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
AdwCleaner удалил все кроме ACE stream ибо юзаю ее. Вложил логи с  FRST
Все ли теперь в порядке?  
FRST.txt
Addition.txt
AdwCleaner[S1].txt
AdwCleaner[S0].txt
AdwCleaner[C0].txt
30.01.2018 20:55:05, Alex Dark.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101936/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101936/ Tue, 30 Jan 2018 20:55:05 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Alex Dark написал:
ключевые строчки скрипта это удаление ссылок на OURSTATSSRV.COM
=============

вот, что было:

====code==== 
Полное имя                  HTTP://STATS.OURSTATSSRV.COM
Имя файла                   HTTP://STATS.OURSTATSSRV.COM
                            
                            
Сохраненная информация      на момент создания образа
Статус                      
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-chromeinstaller.exe" /installcrx /agentregpath='weDownload Manager' /extensionfilepath='C:\Program Files (x86)\weDownload Manager\34344.crx' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installerfullversion=1.28.153.1 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /waitforbrowser=300 /extensionid=oifomnalkciipmgkfgdjkepdocgiipjg /extensionversion=1.24.94 /extensionpublickey=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDsmxxcZ3TSfQyL/HTvv7DYZRUmstBOz82F8oPoGxRpuEwEY2vlW2l++ot4kGq/5cIIatdYK49YhGesm7K2fvTK3MmOMt62s2L0rfvY/IyHzdpe/d6w2PnBpYF09HheI1of3HuFFLbgH1dJNm4HU7LMJwhahzvVx/2rf/k577PaiQIDAQAB /allusers /allprofiles /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CF63C5F9-4652-4D02-A11A-2449FA9CB235}\
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\
                            
--------------------------------------------------------------------------------------------
Полное имя                  HTTP://STATS.SYNCSTATSDATA.COM
Имя файла                   HTTP://STATS.SYNCSTATSDATA.COM
                            
                            
Сохраненная информация      на момент создания образа
Статус                      
                            
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EED0048A-5834-44DE-A4A7-C27341D004CF}\Actions
Actions                     "C:\Program Files (x86)\weDownload Manager\weDownload Manager-updater.exe" /runupdater /agentregpath='weDownload Manager' /appid=34344 /srcid='000138' /subid='0' /zdata='0' /bic=FB7B9FC49FB84E718DABFB07C5313CADIE /verifier=c0462dad96a8412a50a3741ffbaf9f42 /installerversion=1_28_153 /installationtime=1380203087 /statsdomain=http://stats.ourstatssrv.com /errorsdomain=http://errors.ourstatssrv.com /monetizationdomain=http://stats.syncstatsdata.com /geoserviceurl=http://ipgeoapi.com/ /updatejsondomain=http://update.ourstatssrv.com /updaterversion=1 /externallog=''
                            
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EED0048A-5834-44DE-A4A7-C27341D004CF}\
=============
____________________________________________________________­______

Далее.

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
30.01.2018 20:11:22, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101934/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101934/ Tue, 30 Jan 2018 20:11:22 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добрый вечер,после выполнения скрипта проблему не фиксирую,лог приложил,угроз Malwarebytes не обнаружил.
В чем была проблема и почему ее не удавалось решить стандартными средствами?
Я так понимаю ключевые строчки скрипта это удаление ссылок на OURSTATSSRV.COM ,браузер пытался перейти на это сайт,эту попытку блокировал eset?

Могу ли я теперь быть спокоен касательно удаления заразы или можно дополнительно как то проверить? Сканирование eset выбрано как детальное,проблем не фиксирует.
log.txt
30.01.2018 19:41:14, Alex Dark.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101930/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101930/ Tue, 30 Jan 2018 19:41:14 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
ESET блокирует: OURSTATSSRV.COM
--------------

Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


====code==== 
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://ERRORS.OURSTATSSRV.COM
delref HTTP://UPDATE.OURSTATSSRV.COM
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIMHLIANHLHDICJCHLBMBFAEFHHJENCBE%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://LOVEPLANET.RU/A-MAIN/AFFILIATE_ID-49789/TRACK-SETSTARTPAGE/

;---------command-block---------
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\EHOME\EHPRIVJOB.EXE
delref %SystemRoot%\EHOME\MCUPDATE
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref %SystemRoot%\EHOME\MCUPDATE.EXE
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {7FA3A1C3-3C87-40DE-AC16-B6E2815A4CC8}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref %SystemRoot%\EHOME\EHREC
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref {06DA0625-9701-43DA-BFD7-FBEEA2180A1E}\[CLSID]
delref {EA9155A3-8A39-40B4-8963-D3C761B18371}\[CLSID]
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %SystemRoot%\SYSWOW64\WPCUMI.DLL
delref %SystemRoot%\SYSWOW64\WPCMIG.DLL
delref {E51DFD48-AA36-4B45-BB52-E831F02E8316}\[CLSID]
delref {FF87090D-4A9A-4F47-879B-29A80C355D61}\[CLSID]
delref {45F26E9E-6199-477F-85DA-AF1EDFE067B1}\[CLSID]
delref {7CCA6768-8373-4D28-8876-83E8B4E3A969}\[CLSID]
delref %SystemDrive%\USERS\USER\APPDATA\ROAMING\STEAM\REVERSED\STEAM.EXE
delref E:\DOWNLOADS2\ПРОГРАММЫ\SBXF_PCDRV_L11_2_30_0004.EXE
delref E:\USERS\ALEX\DESKTOP\РАБОТА\22\НОВАЯ ПАПКА\VPNCLIENT-WIN-MSI-5.0.05.0290\VPNCLIENT_SETUP.EXE
delref D:\PROGRAM FILES (X86)\GRINDING GEAR GAMES\PATH OF EXILE\CLIENT.EXE
delref %SystemDrive%\USERS\USER\DOWNLOADS\LJ1000HOSTBASED-RU.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCLR.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {BAD4FE2C-503B-45CC-88CD-4B0574057D11}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCSHELL.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6720.1207\FILESYNCSHELL.DLL
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref {6B9228DA-9C15-419E-856C-19E768A13BDC}\[CLSID]
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref {9B5F5829-A529-4B12-814A-E81BCB8D93FC}\[CLSID]
delref {503739D0-4C5E-4CFD-B3BA-D881334F0DF2}\[CLSID]
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-CHROMEINSTALLER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\WEDOWNLOAD MANAGER\WEDOWNLOAD MANAGER-UPDATER.EXE
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\WEBCOMPAT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE7\BIN\JP2IEXP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\JAVA\JRE1.8.0_111\BIN\JP2IEXP.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.7131.1115\FILECOAUTHLIB.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MAIL.RU\GAMECENTER\NPDETECTOR.DLL
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILECOAUTH.EXE
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\17.3.6281.1202\FILESYNCAPI.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE PHOTOSHOP CC 2018\PHOTOSHOP.EXE\AUTOMATION
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\WBEM\WEMSAL_WMIPROVIDER (1).DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\CHTADVANCEDDS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\WBEM\KEYBOARDFILTERWMI.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref E:\RAID\6295~1\222\6088~1\PROXY4~1.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\INETSRV\IISRSTAS.EXE
delref {7558B7E5-7B26-4201-BEDB-00D5FF534523}\[CLSID]
delref {8DAE90AD-4583-4977-9DD4-4360F7A45C74}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ22\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {6B5863A0-C43F-4C0A-982B-CC0E9125783F}\[CLSID]
delref %SystemDrive%\USERS\ГОСТЬ\APPDATA\ROAMING\MAIL.RU\AGENT\MAGENT.EXE
delref {18DF081C-E8AD-4283-A596-FA578C2EBDC3}\[CLSID]
delref {9030D464-4C02-4ABF-8ECC-5164760863C6}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref %Sys32%\BLANK.HTM
delref E:\PROGRAM FILES (X86)\GARENAPOECIS\POECISLAUNCHER.EXE
deltmp
restart
apply
=============

+
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
29.01.2018 20:52:26, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101917/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101917/ Mon, 29 Jan 2018 20:52:26 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
http://rgho.st/7KgMKxR7W


Дополнение,сделал браузером по умолчанию edge,соответственно eset стал юзать его для банковской оплаты и уведомления об угрозе не выходят.
Сносил хром,ставил заново,один фиг,как только он браузер по умолчанию выдается угроза и появляются файлы в папке Temp которые eset видит как  JS/Adware.HiRu.
WIN-EG40C899DG9_2018-01-29_23-07-34.7z
29.01.2018 20:12:46, Alex Dark.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101915/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101915/ Mon, 29 Jan 2018 20:12:46 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
@Alex Dark,
добавьте образ автозапуска системы
29.01.2018 18:18:41, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101908/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101908/ Mon, 29 Jan 2018 18:18:41 +0300 Обнаружение вредоносного кода и ложные срабатывания JS/Adware.HiRu.A при запуске защиты банковской оплаты eset JS/Adware.HiRu.A при запуске защиты банковской оплаты eset не могу избавится от рекламной заразы силами eset internet security в форуме Обнаружение вредоносного кода и ложные срабатывания.
Доброго времени суток![FILE ID=103217]

при запуске защиты банковской оплаты eset (браузер хром) возникает сообщение о блокировке угрозы JS/Adware.HiRu.A, далее при сканировании всего компьютера было выявлено что зараза появляется в C:\Users\User\AppData\Local\Temp ,eset internet security ее находит,удаляет,но после повторного запуска банковской оплаты (и сообщения об угрозе),эта зараза снова там находится. Если запускать хром (или любой другой браузер) в чистом виде (не банковская оплата) такой проблемы нет.Настройки браузера сбрасывались по умолчанию,результата не дало.
Другие антивирусы malwarebytes,касперский,защитник винды (все с последними обновлениями) ничего не находят.

eset internet security 11.0.159.0 последние обновления
Windows 10 64бит. версия 1709

29.01.2018 17:56:06, Alex Dark.]]> http://forum.esetnod32.ru/messages/forum6/topic14422/message101905/ http://forum.esetnod32.ru/messages/forum6/topic14422/message101905/ Mon, 29 Jan 2018 17:56:06 +0300 Обнаружение вредоносного кода и ложные срабатывания