Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна.
Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.
На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения
PRO32
— надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.
Для действующих клиентов ESET мы предлагаем промокод на скидку в размере
15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.
нет, конечно. это настройки фильтрации протоколов. Вы отметили приложения, для которых не будет проверяться трафик. Вам же надо исключить локальные папки, которые вы хотите пропускать при сканировании. Это пунктик на одну строку выше фильтрации протоколов - "Исключения". Вот его и надо заскриншотить. Чтобы было видно, что вы действительно что-то исключаете из сканирования и мониторинга.
да, неизвестно. адреса серверов заблокированы в hosts, сканирование запустить невозможно, из-за блокирования egui, EsetRescue создать невозможно, по той же причине, встроенным SysInspector-ом тоже не воспользоваться, ekrn.exe прибивает вирусы, те что активный червь копирует на флэшку, но эвристика недотягивает, чтобы обнаружить в системе активных червей с таким же хэшем, что файлик копируемый на флэшку, один из которых стартует под системным именем lsass, но из другой папки - system32\config, другой находится в system32 и стартует вместо logon.scr как "Key" = "HKCU\Control Panel\Desktop"; "SCRNSAVE.EXE" = "default.scr"
скорее всего, заблокированы адреса антивирусных сайтов.
REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDOWS\system32\35deb3f8.exe,\\?\globalroot\systemroot\system32\803b1dN.exe,\\?\globalroot\systemroot\system32\zmOfOyO.exe,\\?\globalroot\systemroot\system32\BiIhsw3.exe,\\?\globalroot\systemroot\system32\gEf3xPC.exe,\\?\globalroot\systemroot\system32\jJYhFW9.exe,\\?\globalroot\systemroot\system32\41Q4Ws7.exe,\\?\globalroot\systemroot\system32\EwIAu3e.exe,\\?\globalroot\systemroot\system32\aVU9tn9.exe,\\?\globalroot\systemroot\system32\qtTECJd.exe,\\?\globalroot\systemroot\system32\YJNCDMj.exe,\\?\globalroot\systemroot\system32\Qzdz6NN.exe,\\?\globalroot\systemroot\system32\DHK2XSH.exe,\\?\globalroot\systemroot\system32\20qd4gg.exe,\\?\globalroot\systemroot\system32\RzmmQRN.exe, ==== найдите файлы из данного списка и удалите ВСЕ, кроме userinit.exe перегрузите компьютер, сделайте новый лог hijackthis, запостите на форум. так же сделайте лог с помощью SysInspector - запостите на форум, так же скачайте, установите, выполните быстрое сканирование системы с помощью malwarebytes - лог запостите на форум. Скачать отсюда (free version) Если не запустится установка, то скаченный файл переименовать в 2.pif и запустить, установить, обновить выполнить быстрое сканирование, лог приложить.
что еще можно добавить: блокирование запуска программ выполнялось с помощью параметров: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "DisallowRun"="1" и ветки [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Disallowrun] "0"="avp.exe" (дополнительно был заблокирован запуск Касперского, эта запись была обнаружена и удалена malwarebytes, другие блокирующие записи не были удалены). вирус (в активном режиме) имеет веселый нрав: обнаружив папку с антивирусными утилитками - скрыл ее, создав соотв. файлик avirus.scr, отображаемый как папку. При входе в папку avirus, при попытке изменить имя avz.exe на что-нибудь другое, выдает фирменный для антивируса Касперского звук, переходящий в хохот. Соответственно avz в любом переименованном виде, за исключением полиморфных версий, (не проверял) не запускается, лишь после удаления активного вируса - помогает переименование для запуска, пока не сняты блокировки. При входе в папку Cureit, так же разрождается веселым смехом, вот только зря. Курит то его и прибивает, и после перезагрузки остается только бороться с блокировками запуска программ, и сокрытием файлов и папок.
Также вирус может изменить ключ "CheckedValue" в ветке
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL] "CheckedValue"=dword:00000001 === восстановить указанные значения параметров реестра.