Ds[QUOTE]Евгений Каспаров написал:
Ну и в конечном итоге
[URL=https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b]https://hostingkartinok.com/show-image.php?id=2b2fe20e55db19682791e98442cada7b[/URL] [/QUOTE]
Вы GoldenEye версию Пети использовали? а какую версию продукта  ESET тестируете?

[QUOTE]Евгений Каспаров написал:
Ни как)) Настройка в HIPS, выдать запрос при низкоуровневом доступе к диску, в случае с Ransom.Petya( это при отсутствии сигнатурного детекта естественно) никакого результата не дала. Запросов не было, перезагрузка и блок MBR. Я поэтому и спросил здесь, может я чего то не знаю?[/QUOTE]
а если выбрать "заблокировать" для всех приложений операции над файлами например диска C при непосредственном (нестандартном, надо понимать, низкоуровневом) доступе к диску?

выполните так же полную проверку диска сканерами от различных производителей.
https://www.esetnod32.ru/download/utilities/online_scanner/

[QUOTE]Владислав Исаев написал:
Вот.[/QUOTE]
иногда это бывает связано с обновлением системы
 svchost.exe 30.00 6 552 K 12 828 K 2648 Хост-процесс для служб Windows Microsoft Corporation

проверьте так же работу систему в инете с другим браузером.

1. пробуйте вместо Opera использовать временно другой браузер: Chrome или Firefox
2. как сделать лог процессов в Process Explorer - очень просто. Запустите утилиту Process Explorer, когд обнаружите, что какой-то из процессов нагружен до 30%,
   из меню File выполните команду Save As (сохранить как).
   созданный текстовый файл добавьте в ваше сообщение.

а вручную, без использования задачи активации вы можете активировать проблемного клиента? непосредственно с рабочего стола.

сделайте лог процессов в Process Explorer, так чтобы были видны нагружаемые процессы,
+ можно сделать лог в Autoruns

хактул.
Полное имя                  C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 11.0\ACROBAT\AMT EMULATOR 0.9.2.EXE
Имя файла                   AMT EMULATOR 0.9.2.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
                           
www.virustotal.com          2018-04-14
BitDefender                 Application.Hacktool.YH
Symantec                    PUA.Keygen
ESET-NOD32                  a variant of Win32/HackTool.Crack.FS potentially unsafe
DrWeb                       Trojan.DownLoader26.33933
Microsoft                   HackTool:Win32/Patcher
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ [Запускался неявно или вручную]
File_Id                     2A425E1926B000
Linker                      2.25
Размер                      2506752 байт
Создан                      24.03.2018 в 22:06:39
Изменен                     24.03.2018 в 21:31:51
                           
TimeStamp                   19.06.1992 в 22:22:17
EntryPoint                  +
OS Version                  5.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            emuext.exe
Версия файла                0.9.2.0
Описание                    ProxyEmu
Производитель               PainteR
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Файл                        ВОЗМОЖНО заражен вирусом из семейства Sality
                           
Доп. информация             на момент обновления списка
SHA1                        CAAD125358D2AE6D217E74CFCD175AC81C43C729
MD5                         8ABDC20F619641E29AA9AD2B999A0DCC
                           
Ссылки на объект            
Ссылка                      HKEY_USERS\S-1-5-21-1048257828-1040429118-1263983042-1000_CLASSES\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\PROGRAM FILES (X86)\ADOBE\ACROBAT 11.0\ACROBAT\AMT EMULATOR 0.9.2.EXE
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
--------------------
можно в нормальном режиме системы запустить скрипт.

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.0.11 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPCHFCKKCCLDKBCLGDEPKAONAMKIGNANH%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delall %SystemDrive%\USERS\ГОСТЬ\APPDATA\LOCALLOW\UNITY\WEBPLAYER\L­OADER\UNITYWEBPLUGINAX.OCX
apply

QUIT
[/code]
без перезагрузки, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

@Александр,
корпоративную лицензию не продлевали в ближайшее время?

сделайте еще образ автозапуска из безопасного режима системы.