ESET CONNECT

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
setdns Беспроводная сеть\4\{1EA486F3-2489-4669-9927-9DFBD40B28A8}\8.8.8.8,8.8.4.4
;------------------------autoscript---------------------------

setdns DNS Server list\8.8.8.8,8.8.4.4
deltsk "POWERSHELL.EXE" -C "$DDD = 'VXM1LT4H5DT5N8NLUKTZQM9MYWCFOMKENHSIWTDPNW/9FIIRXGKVW+P4/NX­7YLDG4HYICA0G9UKRMP4W11WGGJDOJWMKWD9OYELDRIHD3BAZWACSIHH8FLP­H9NBTDEUI0WXKKSSF8KT5GJIOXVXCNTKR2UFBTSTT1LLJURBA1VCATBSN5NV­UCEIR13X8ISOF8LB5EEVX+AO3TDC0N2SACY5EZGGCSCNEIK7TH4
delall %SystemDrive%\PROGRAMDATA\WINDOWS\DLCHOSTS.EXE
deltsk DLCHOSTS.EXE
deltsk DLHOSTS.EXE
deltsk %SystemDrive%\TEMP\ROOTSUPD.EXE
deltsk D:\INSTALL\PROGRAMS\NOD\ОШИБКА ПРИ АВТОРИЗАЦИИ ECP.20031\ROOTSUPD_AFC57447F7CAADD3253333E35777FCD.EXE
delref %Sys32%\HPZIPM12.DLL
delref %Sys32%\HPZINW12.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ALIBABA\WWBIZSRV\WWBIZSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\PUNTO SWITCHER\PUNTO.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BATTERY METER\BTMETER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DIRECT FOLDERS\DF.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\EPSON SOFTWARE\EVENT MANAGER\EEVENTMANAGER.EXE
delref D:\INSTALL\PROGRAMS\KRABIK\KRABIK2.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\NATIONAL INSTRUMENTS\SHARED\NI ERROR REPORTING\NIERSERVER.EXE
delref %Sys32%\HKCMD.EXE
delref %Sys32%\IGFXRRUS.LRC
delref %SystemDrive%\PROGRAM FILES\EVERYTHING\EVERYTHING.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\BIRTHDAY\BIRTHMIL.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\UPDATER\UPDATER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\AKELPAD\AKELPAD.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\PROGRAM FILES (X86)\SKILLBRAINS\LIGHTSHOT\LIGHTSHOT.EXE
delref %SystemDrive%\PROGRAM FILES\ESET\ESET SECURITY\ECMDS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\ALCOHOL SOFT\ALCOHOL 120\AXAUTOMNTSRV.EXE
delref %SystemDrive%\USERS\OLEGF\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\CPEGCOPCFAJIIIBIDLAELHJJBLPEFBJK\2.0.4.14_2\СТАРТОВАЯ — ЯНДЕКС
delref %SystemDrive%\USERS\OLEGF\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GHBMNNJOOEKPMOECNNNILNNBDLOLHKHI\1.7_0\GOOGLE ДОКУМЕНТЫ ОФЛАЙН
delref G:\HTC_SYNC_MANAGER_PC.EXE
delref %SystemDrive%\TOR BROWSER\BROWSER\FIREFOX.EXE
delref %SystemDrive%\USERS\OLEGF\APPDATA\ROAMING\TAOBAOPROTECT\TAOB­AOPROTECTSE.DLL
delref %SystemDrive%\USERS\OLEGF\APPDATA\ROAMING\TAOBAOPROTECT\TAOB­AOPROTECT.EXE
delref %SystemDrive%\USERS\OLEGF\APPDATA\ROAMING\TAOBAOPROTECT\ALIB­ENCH\ALIBENCHDLL.DLL
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\HP\HPSMARTDEVICEAGENTBASE\SERVICE\HPSMARTDEVICEAGENTBASE.EXE
delref %SystemRoot%\SYSWOW64\DRIVERS\O2FLASH.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\USERS\OLEGF\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\O­NEDRIVESTANDALONEUPDATER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemDrive%\PROGRAM FILES\LOGITECH\SETPOINTP\LOGISMOOTHFIREFOXEXT
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\BLANK.HTM
delref LOGITECH SETPOINT EXTENSION\[CLSID]
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %Sys32%\MSMIRADISP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
delref %Sys32%\IGFXCFG.EXE
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\ADOBE\ACROBAT DC\ACROBATINFO.EXE
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\GOOGLEUPDATEBROKER.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

@Константин Иванов,

1. Скачайте ESETUninstaller с оф. сайте ESET
2. загрузите систему в безопасном режиме  SAfe mode
3. запустите ESETUninstaller  и следуя всем указаниям в программу удалите из системы все найденные продукты ESET
https://support.eset.com/kb2289

Денис,
по очистке системы выполните скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
[code]

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;---------command-block---------
del %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\DESKTOP.INI.ID-6AC6E2EB.[VERACRYPT@FOXMAIL.COM].ADOBE
delall %SystemDrive%\USERS\1\APPDATA\ROAMING\INFO.HTA
delall %Sys32%\INFO.HTA
apply

QUIT
[/code]
без перезагрузки системы, пишем о старых и новых проблемах.
------------
К сожалению, вирлаб в текущий момент не может расшифровать файлы Crysis.adobe
восстановление документов возможно только из архивных копий.

чтобы избежать повторных атак с новым шифрованием [B]примите следующие меры[/B]:

поменяйте пароли доступа к учетным записям на более сложный, возможно доступ к системе по RDP стал возможен через подбор пароля для одной из учетных записей.
разрешите доступ к рабочему столу через брэндмауэр из внешней сети, только для определенных ip-адресов.
поменяйте стандартный номер порта для службы RDP на произвольный
в локальных политиках поставьте ограничение на количество попыток неправильного ввода паролей с блокировкой чтобы избежать автоматического подбора паролей из внешней сети.
[B]и главное[/B],
не забываем сохранять копии важных документов в архивах на отдельном носителе, который периодически подключается для сохранения бэкапов и отключается после завершения создания нового бэкапа.

Денис,
добавьте образ автозапуска системы
+
несколько зашифрованных файлов в архиве

Цитата
Алексей sd написал: А сейчас что не так?Антивирус по новой загрузился.

Цитата
[05/20/19 19:00:06] Installed ESET products: [05/20/19 19:00:06] 1. ESET Internet Security [05/20/19 19:00:06] Enter selection of the ESET product you wish to uninstall, and then press enter (hint: to abort press 'q'):

по новой зайти в безопасный режим,
запустить ESETUninstaller
нажать Y
далее
нажать цифру 1. и далее enter
обратите внимание чтобы Num был включен
+
добавить новый лог ESETUninstaller
/такое вам домашнее задание/

Цитата
Алексей sd написал: Are you sure you wish to continue? (y/n): н[05/19/19 14:09:41] ERROR! Unknown input option. Exiting...

обратите внимание, что вы на предложение продолжить работу с данной утилитой (y/n)
набираете русскую "н" вместо того что на латинском "y" согласиться продолжить работу.
потому программа и завершает работу.

ERROR! Unknown input option. Exiting.. /ОШИБКА! Неизвестная опция ввода. Выход ../
---------
пробуйте еще раз запустить данную утилиту из безопасного режима системы, и внимательно следите за раскладом клавиатуры
(дважды уже я и RP55 вас об этом предупредили)

после нового запуска добавьте новый лог ESETUninstaller - посмотрим, как вы справились с этой задачей.
+
добавьте образ автозапуска системы (из нормального режима)

последний штрих.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.1.5 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
winsockreset
restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
поскольку вы работаете с системой, которая в настоящее время не поддерживается многими производителями софта,
то по возможности, используйте для работы, те что необходимы.

это можно деинсталлировать:
GridinSoft Anti-Malware
Malwarebytes, версия 3.5.1.2522

если браузер Firefox некорректно работает, деинсталлируйте вместе с профилем, предварительно сохраните закладки,
и заново установите актуальную версию для Win XP

Цитата
Алексей sd написал: Не хочет удалять.Я зашел в безопасном режиме и запустил программу через права администратора, все подтвердил и exit там дальше было.Я перезагрузил, но программа опять работает и удаляться не хочет, пароль просит.Как же она мне уже надоела и программу другую антивируса не поставить и с этой мучаешься которая не живая и не мертвая.

в папке, откуда вы запускаете ESETUninstaller должен быть лог, который создает эта программа. добавьте лог на форум в ваше сообщение.
+
когда вводите ответы в диалоге с программой ESETUninstaller, следите, чтобы у вас был включен Eng.

Цитата
Сергей Черный написал: Будет ли пункт "при входе пользователя" срабатывать в момент после выхода из гибернации?

вы можете выбрать пункт обновления "при определенных условиях", и выбрать подходящее для вас условие: при каждой загрузке системы,
при входе пользователя.
(заодно и проверите, как это будет работать после выхода из гибернизации.)
думаю, что это повлияет на частоту обновлений баз, которые будет получать ваш компьютер (как правило 4-5 раз в день, т.е. в течение рабочего дня вы не будете получать свежие обновления.)

так же можете отключить в настройках обновления оповещение об успешном обновлении.

вы можете настроить обновление по расписанию в планировщике задач как вам удобно:

ежедневно - один раз в течение дня в указанное время
многократно - несколько раз в течение дня, по мере выпуска баз данных
еженедельно - один раз в неделю, в указанный день, в указанное время