RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

js/adware.adport.a

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 15.10.2020 01:49:41

Как правило это связано с обращением к сайту на котором размещён . js \скрипт.
Если это случайный переход, или пере - направление с сайта на сайт, то это обычное дело.
Если причина в левых расширениях браузерах, или его перенастройке ( стартовая страница, модификация ярлыка и т.д ) это на порядок опаснее - так как есть изменения в самой системе.
Если это происходит регулярно нужна очистка системы - браузера.
Если пару раз в месяц и случайно... то это в пределах допустимого.
--------
Точный ответ можно дать только по результату проверки = анализу логов.
Иначе это переход в разряд гаданий.

Изменено: RP55 RP55 - 15.10.2020 01:52:05

Перейти

js/adware.adport.a

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.10.2020 23:36:42

Если проблема периодически повторяется - нужно смотреть логи.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
FRST: http://forum.esetnod32.ru/forum9/topic2798/

Перейти

[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.10.2020 17:08:35

В uVS есть категория для отсутствующих файлов.
Можно создать отдельную категорию: Пустые каталоги с информацией по ним.

Изменено: RP55 RP55 - 14.10.2020 17:11:00

Перейти

[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 14.10.2020 12:57:00

Так, как вирусы начали блокировать установку антивирусов появились спец. скрипт\ы лечения.

https://www.cyberforum.ru/viruses/thread2711200.html
forum.kasperskyclub.ru/topic/74431-podhvatil-virusy-ne-zapuskaetsja-skanirovanie-kvrt/

Перейти

[ Закрыто] Не могу установить антивирус, Не устанавливается антивирус

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 23:10:13

1) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

Код
;uVS v4.11 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE deltmp regt 24 regt 26 regt 38 restart ;---------command-block--------- delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02 delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\PROGRAMDATA\DISPLAYSESSIONCONTAINER%D.LOG delref %SystemDrive%\USERS\HYPERBEAST\APPDATA\ROAMING\DISCORD\0.0.307\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID] delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE delref %SystemRoot%\SYSWOW64\VID.DLL delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS delref %SystemRoot%\SYSWOW64\BTHSERV.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %SystemDrive%\USERS\HYPERBEAST\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINX\GROUP2\2 - SEARCH.LNK delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL delref %Sys32%\BLANK.HTM delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS delref SWPRV\[SERVICE] delref BROWSER\[SERVICE] delref %Sys32%\DRIVERS\RDPENCDD.SYS delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM delref %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE delref %SystemRoot%\SYSWOW64\RSTRUI.EXE delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\NVENCMFTH264.DLL delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\NVDECMFTMJPEG.DLL delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERHUB\DRIVERHUB.EXE delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERHUB\UNINSTALL.EXE apply

Код

;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltmp
regt 24
regt 26
regt 38
restart
;---------command-block---------
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAMDATA\DISPLAYSESSIONCONTAINER%D.LOG
delref %SystemDrive%\USERS\HYPERBEAST\APPDATA\ROAMING\DISCORD\0.0.307\MODULES\DISCORD_DESKTOP_CORE\CORE.ASAR\APP\MAINSCREENPRELOAD.JS
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOST.EXE
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\COMPMGMTLAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %SystemDrive%\USERS\HYPERBEAST\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINX\GROUP2\2 - SEARCH.LNK
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref SWPRV\[SERVICE]
delref BROWSER\[SERVICE]
delref %Sys32%\DRIVERS\RDPENCDD.SYS
delref %Sys32%\DRIVERS\SMARTCARDSIMULATOR.SYS
delref %Sys32%\DRIVERS\VIRTUALSMARTCARDREADER.SYS
delref %Sys32%\DRIVERS\WUDFUSBCCIDDRIVER.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAMDATA\WINDOWS\RUTSERV.EXE
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOST.EXE
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\RSTRUI.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_90685A092BCF58C7\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERHUB\DRIVERHUB.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVERHUB\UNINSTALL.EXE
apply

+
2) Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
( Если программа не установиться переходите к пункту №3 )

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Перейти

[ Закрыто] Не устанавливается NOD32. Код ошибки MSI.1317

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 16:36:30

Хорошо :)

Перейти

[ Закрыто] Не устанавливается NOD32. Код ошибки MSI.1317

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 16:02:09

Пробуем так:

Цитата
Если учетная запись не имеет прав админа, включите встроенную учетную запись админа или создайте учетную запись с правами админа для установки. Выполните следующие действия для установки ESET. Щелкните правой кнопкой мыши установщик ESET и запустите его от имени администратора. Если проблема не устранена, выполните следующие действия: Перейдите на диск C на своем компьютере и создайте три папки, а именно: ESET Security, ESET Modules и ESET Data. Если вы используете автономный / онлайн-установщик ESET, выполните действия на экране, а затем, когда появится приглашение «Включить LiveGrid», нажмите «Изменить папку установки» и выберите созданные папки установки. Если вы используете ESET MSI, при появлении запроса «Включить обнаружение PUA» щелкните «Дополнительные параметры», а затем выберите созданный вами путь установки.

Цитата

Если учетная запись не имеет прав админа, включите встроенную учетную запись админа или создайте учетную запись с правами админа для установки.

Выполните следующие действия для установки ESET.
Щелкните правой кнопкой мыши установщик ESET и запустите его от имени администратора.
Если проблема не устранена, выполните следующие действия:

Перейдите на диск C на своем компьютере и создайте три папки, а именно: ESET Security, ESET Modules и ESET Data.
Если вы используете автономный / онлайн-установщик ESET, выполните действия на экране, а затем, когда появится приглашение «Включить LiveGrid», нажмите «Изменить папку установки» и выберите созданные папки установки.
Если вы используете ESET MSI, при появлении запроса «Включить обнаружение PUA» щелкните «Дополнительные параметры», а затем выберите созданный вами путь установки.

Перейти

[ Закрыто] Не устанавливается NOD32. Код ошибки MSI.1317

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 13:10:59

1) Удалите отключите все неизвестные учётные записи системы.

2) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
2020-08-26 12:27 - 2020-08-26 12:27 - 000116736 ___SH (Stas'M Corp.) [File not signed] c:\program files\rdp wrapper\rdpwrap.dll HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION HKU\S-1-5-21-863895609-1658055285-2912962486-1001\...\MountPoints2: {a51586f3-70ad-11ea-9382-6c626dd33459} - "E:\HiSuiteDownLoader.exe" FF Plugin HKU\S-1-5-21-863895609-1658055285-2912962486-1001: @zoom.us/ZoomVideoPlugin -> C:\Users\zz\AppData\Roaming\Zoom\bin\npzoomplugin.dll [No File] R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-08-26] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL) S3 esihdrv; C:\Users\zz\AppData\Local\Temp\esihdrv.sys [205464 2020-10-12] (ESET, spol. s r.o. -> ESET) <==== ATTENTION ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} => -> No File 2020-10-11 21:25 - 2016-07-16 18:47 - 000000000 ___HD C:\Windows\system32\GroupPolicy 2020-10-11 21:25 - 2016-07-16 18:47 - 000000000 ____D C:\Windows\SysWOW64\GroupPolicy EmptyTemp: Reboot:

Код

  

2020-08-26 12:27 - 2020-08-26 12:27 - 000116736 ___SH (Stas'M Corp.) [File not signed] c:\program files\rdp wrapper\rdpwrap.dll
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-863895609-1658055285-2912962486-1001\...\MountPoints2: {a51586f3-70ad-11ea-9382-6c626dd33459} - "E:\HiSuiteDownLoader.exe" 
FF Plugin HKU\S-1-5-21-863895609-1658055285-2912962486-1001: @zoom.us/ZoomVideoPlugin -> C:\Users\zz\AppData\Roaming\Zoom\bin\npzoomplugin.dll [No File]
R3 TermService; C:\Program Files\RDP Wrapper\rdpwrap.dll [116736 2020-08-26] (Stas'M Corp.) [File not signed] <==== ATTENTION (no ServiceDLL)
S3 esihdrv; C:\Users\zz\AppData\Local\Temp\esihdrv.sys [205464 2020-10-12] (ESET, spol. s r.o. -> ESET) <==== ATTENTION
ContextMenuHandlers3: [{4A7C4306-57E0-4C0C-83A9-78C1528F618C}] -> {4A7C4306-57E0-4C0C-83A9-78C1528F618C} =>  -> No File
2020-10-11 21:25 - 2016-07-16 18:47 - 000000000 ___HD C:\Windows\system32\GroupPolicy
2020-10-11 21:25 - 2016-07-16 18:47 - 000000000 ____D C:\Windows\SysWOW64\GroupPolicy

EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

3) Скачайте полный установщик антивируса.

64-bit
https://download.eset.com/com/eset/apps/home/eav/windows/latest/eav_nt64.exe

Пишем по результату.

Перейти

[ Закрыто] Ругается на яндекс или Майкрософт?, Потенциально нежелательное ПО

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 12:24:49

Подозрительный Человек

Когда появился яндекс браузер - его на всех форумах удаляли как нежелательное приложение.
не какой то компонент - сам браузер удаляли...
И только когда он массово пошел в массы его перестали трогать.
Что там в базах антивируса знают только разработчики т.е. регистрируйтесь на Словацком сайте и спрашивайте.
или ищите информацию на ESET Virusradar.
----------
И в сам вопрос уже включает ответ: На снимке видно - приложение обнаружено _год_ назад.
если это и обновление браузера, то не такое уж оно и новое-обновление.
Если есть обращение программы телеметрии к другой программе - то очевидно, что часть телеметрии работает.
т.е. стоит читать\смотреть что и как.

Перейти

[ Закрыто] Ругается на яндекс или Майкрософт?, Потенциально нежелательное ПО

Сообщений: 6241

Баллов: 4992

Регистрация: 25.05.2010

Размещено 13.10.2020 00:18:08

Это Яндекс и Вы его нашли поздравляю !
А думаю я, что Вася Ложкин великий русский живописец !
И он может найти "Днём с Огнём "

Перейти