Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Вирус блокирует установку антивируса, Помощь с FRST
сейчас выполните скрипт в uVS + добавьте новые логи FRST
[ Закрыто] Вирус блокирует установку антивируса, Помощь с FRST
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

deltmp
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\SPEECH_ONECORE\SR\SV10-EV100\EN-US-N\MV101\NASPMODELSMETADATA.XML
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\­ONEDRIVESTANDALONEUPDATER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {307A6C42-0000-0010-8000-00AA00389B71}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {2D8B3101-E025-480D-917C-835522C7F628}\[CLSID]
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_B2DD7130A686A22F\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_B2DD7130A686A22F\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.21.169\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_B2DD7130A686A22F\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.127.15\PSMACHINE.DLL
delref D:\THE SETTLERS 7 - PATHS TO A KINGDOM\DATA\BASE\_DBG\BIN\RELEASE\ORBIT\NPUPLAYPC.DLL
delref {1C492E6A-2803-5ED7-83E1-1B1D4D41EB39}\[CLSID]
delref %SystemDrive%\USERS\E.GASPAROVA\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\STANDALONEUPDATER­\ONEDRIVESETUP.EXE
delref %SystemDrive%\USERS\SERGEY\DOWNLOADS\EURO TRUCK SIMULATOR 2.STEAM-RIP [=NEMOS=]\EURO TRUCK SIMULATOR 2\BIN\WIN_X86\EUROTRUCKS2.EXE
delref %SystemDrive%\USERS\SERGEY\APPDATA\ROAMING\UTORRENT\UTORRENT­.EXE
delref %SystemDrive%\USERS\SERGEY\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\­ONEDRIVE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\LAV FILTERS\X86\LAVAUDIO.AX
delref %SystemDrive%\PROGRAM FILES (X86)\LAV FILTERS\X86\LAVSPLITTER.AX
delref %SystemDrive%\PROGRAM FILES (X86)\LAV FILTERS\X86\LAVVIDEO.AX
delref D:\KING ARTHUR II - THE ROLE-PLAYING WARGAME\KINGARTHURII.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOG GALAXY\GALAXYCLIENT.EXE

regt 18
;-------------------------------------------------------------

[/code]
перезагрузка, пишем о старых и новых проблемах.
------------

+
добавьте новые логи FRST
[ Закрыто] Вирус блокирует установку антивируса, Помощь с FRST
[QUOTE]Serge Paramonov написал:
Прикладываю.[/QUOTE]
я так понимаю, что вы уже через логи FRST выполнили очистку системы и решили проблему с установлкой антивируса?
[ Закрыто] Вирус блокирует установку антивируса, Помощь с FRST
в данном разделе необходимо еще добавить образ автозапуска системы
[ Закрыто] Предупреждения при переходе на сайт
возможно, сайт без сертификата безопасности, такие сайты все чаще будут недоступны для новых браузеров.
Какую версию браузера используете?
Universal Virus Sniffer (uVS)
---------------------------------------------------------
4.11.3
---------------------------------------------------------
o Исправлены функции массовой проверки файлов на VT.

o Исправлена функция анализа внедренных потоков.

---------------------------------------------------------
4.11.2
---------------------------------------------------------
o Добавлена поддержка VT API v3.

o Восстановлена поддержка сервиса runscanner.net

o Исправлена функция переключения рабочих столов при работе с удаленной системой.

o В лог теперь выводится информация о существующих оконных станциях и список рабочих столов для дефолтной оконной станции.

o Добавлены горячие клавиши при работе с активной системой:
  Alt->left и Alt->right клавиши переключают доступные рабочие столы.
[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer
4.11.3
---------------------------------------------------------
o Исправлены функции массовой проверки файлов на VT.

o Исправлена функция анализа внедренных потоков.
Это значение доступно только для чтения
ESET Security Management Center установлен в локальной сети? возможно данный параметр транслируется через установленный агент с помощью политики  ESMC (потому защищен от изменения)
TrickBot v 100: выпущено обновление вредоносного ПО с новыми функциями
Киберпреступная группа TrickBot выпустила сотую версию вредоносного ПО TrickBot с дополнительными функциями, позволяющими избежать обнаружения.

[IMG WIDTH=1250 HEIGHT=455]https://www.bleepstatic.com/content/hl-images/2017/09/03/TrickBot-Logo.png[/IMG]


[B]TrickBot[/B] - это вредоносное ПО, которое обычно устанавливается через вредоносные фишинговые сообщения электронной почты или другое вредоносное ПО. После установки TrickBot будет незаметно работать на компьютере жертвы, пока он загружает другие модули для выполнения различных задач.

Эти модули выполняют широкий спектр злонамеренных действий, включая кражу базы данных служб Active Directory домена, распространение в сети, блокировку экрана, кражу файлов cookie и паролей браузера, а также кражу ключей OpenSSH.

Известно, что TrickBot завершает атаку, предоставляя доступ к злоумышленникам, стоящим за вымогателями [B]Ryuk и Conti[/B], что еще больше усугубляет ситуацию.

В TrickBot v100 добавлены новые функции

После того, как в прошлом месяце Microsoft и их партнеры провели скоординированную атаку на инфраструктуру TrickBot, появилась надежда, что им потребуется время, чтобы восстановиться.

К сожалению, TrickBot все еще не утихает, о чем свидетельствует выпуск сотой сборки вредоносного ПО TrickBot.

Эта последняя сборка была обнаружена Виталием Кремезом из Advanced Intel, который обнаружил, что они добавили новые функции, которые затрудняют обнаружение.

В этом выпуске TrickBot теперь внедряет свою DLL в легитимный исполняемый файл Windows wermgr.exe (Windows Problem Reporting) прямо из памяти с помощью кода из проекта MemoryModule.

«MemoryModule - это библиотека, которую можно использовать для полной загрузки DLL из памяти - без предварительного сохранения на диск», - поясняет страница проекта на GitHub.

Первоначально запущенный как исполняемый файл, TrickBot внедрится в wermgr.exe, а затем завершит работу исходного исполняемого файла TrickBot.

По словам Кремеза, при внедрении DLL она будет делать это с помощью Doppel Hollowing или обработки двойного соединения, чтобы избежать обнаружения программным обеспечением безопасности.

«Этот метод использует транзакции, функцию NTFS, которая позволяет сгруппировать набор действий в файловой системе, и если какое-либо из этих действий не удается, происходит полный откат. Процесс инжектора создает новую транзакцию, внутри которой он создает новый файл, содержащий вредоносную полезную нагрузку. Затем он сопоставляет файл внутри целевого процесса и, наконец, откатывает транзакцию. Таким образом, создается впечатление, что файл никогда не существовал, даже если его содержимое все еще находится в памяти процесса, "Описание этого метода, сделанное исследователем безопасности Франческо Мурони.

Как видите, кибергруппа TrickBot не позволила нарушению своей инфраструктуры сдерживать их, и они продолжают интегрировать новые функции, чтобы предотвратить обнаружение вредоносного ПО.

[B]К сожалению, это означает, что TrickBot останется с нами в обозримом будущем, а потребителям и предприятиям необходимо внимательно следить за тем, какие вложения электронной почты они открывают.[/B]

https://www.bleepingcomputer.com/news/security/trickbot-turns-100-latest-malware-released-with-new-features/
поговорить о uVS, Carberp, планете Земля
Я начинал работать с версий Windows 3.1 для рабочих групп, а далее уже со всей линейкой знаком по рабочим станциям. :)