Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.

Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новые продукты компании PRO32.

PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи RP55 RP55
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 111 112 113 114 115 116 117 118 119 120 121 ... 623 След.
Ошибка при установки антивируса: "msi.1303"
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 30.08.2020 00:34:06
Добрый вечер.
Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
если и FRST не будет запускаться переименуйте программу например в 111.exe
Или пробуйте работать с uVS и FRST в безопасном режиме:

Windows XP / Vista / 7
https://www.comss.ru/page.php?id=460

Windows 10
https://www.comss.ru/page.php?id=3862
Перейти
[ Закрыто] Вирус блокирует установку антивирусов
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 27.08.2020 15:01:13
Хорошо.
Перейти
[ Закрыто] Вирус блокирует установку антивирусов
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 27.08.2020 14:08:26
Установку антивирусов блокируют:
- Созданием правил\запретов в настройках групповой политики ( Group Policy )
Чаще всего используют: Правило сертификата ( блокировка запуска по цифровой подписи )
  Блокированием работы  на уровне сети - запретить обращаться к портам. ( заблокируется установка компонентов и обновление, регистрация )
- При активном вирусе перехват запущенных процессов и их завершение.
- Создание папок\каталогов с повышенными привилегиями - блокировка доступа ( антивирус не может создать свой каталог для установки )


1) Всё найденное в Malwarebytes - удалите ( поместите в карантин )


2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Смотрим как работает система...
Изменено: RP55 RP55 - 27.08.2020 14:12:55
Перейти
[ Закрыто] Вирус блокирует установку антивирусов
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.08.2020 23:33:07
1) Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
  

ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} =>  -> No File
AlternateDataStreams: C:\WINDOWS\system32\Drivers\modyterx.sys:changelist [598]
AlternateDataStreams: C:\Users\19vov\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
AlternateDataStreams: C:\Users\19vov\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
FirewallRules: [{11B24665-97C8-4649-8101-A2EC204922BC}] => (Allow) LPort=9494
FirewallRules: [{A57E1AA2-B7E7-4988-ACA5-49A350EAFAB6}] => (Allow) LPort=9393
FirewallRules: [{1419F15C-AF52-4C7B-A2D1-8CC4B94221D9}] => (Allow) LPort=9393
FirewallRules: [{D234F9D8-BCDB-4E87-8AE0-4BF9E891AC23}] => (Allow) LPort=9494
FirewallRules: [{25DC9358-C8E3-48AA-B95E-018D367EC2B4}] => (Allow) LPort=9494
FirewallRules: [{8C48A936-0FE0-49DA-9D31-159913C21832}] => (Allow) LPort=9393
FirewallRules: [{B273FA1B-A760-4DC0-AF16-A6BBC7D9EEF2}] => (Allow) LPort=9494
FirewallRules: [{327185DF-2E03-4002-ADFA-0DC9B0AC9CE7}] => (Allow) LPort=9393
FirewallRules: [TCP Query User{94DAE498-D2E6-4866-96D3-6D7822A8AE78}C:\users\19vov\appdata\local\microsoft\teams\current\teams.exe] => (Allow) C:\users\19vov\appdata\local\microsoft\teams\current\teams.exe (Microsoft Corporation -> Microsoft Corporation)
FirewallRules: [{1B6A31E9-FA75-46A1-B497-1120EEFC2284}] => (Block) LPort=445
FirewallRules: [{91343D10-7AC5-4D86-88BD-5DD144C8A93F}] => (Block) LPort=445
FirewallRules: [{487BE222-757E-44C1-850E-A9C24993E993}] => (Block) LPort=139
FirewallRules: [{419A190C-0C83-41CE-B405-0C4A0A170E0C}] => (Block) LPort=139
FirewallRules: [{F2AE0D28-8BE9-46F6-B0DE-E436ED3ED5AA}] => (Allow) LPort=3389
FirewallRules: [TCP Query User{D1A45AB6-A20B-4C05-9A16-CB4A1BC86061}C:\program files\steinberg\cubase le ai elements 9\components\vst2xscanner.exe] => (Allow) C:\program files\steinberg\cubase le ai elements 9\components\vst2xscanner.exe (Steinberg Media Technologies) [File not signed]
(Bitdefender SRL -> Bitdefender) C:\Program Files\Bitdefender Agent\ProductAgentService.exe
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== ATTENTION
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
IFEO\dismHost.exe: [Debugger] *
IFEO\EOSNOTIFY.EXE: [Debugger] *
IFEO\InstallAgent.exe: [Debugger] *
IFEO\MusNotification.exe: [Debugger] *
IFEO\MUSNOTIFICATIONUX.EXE: [Debugger] *
IFEO\remsh.exe: [Debugger] *
IFEO\SIHClient.exe: [Debugger] *
IFEO\UpdateAssistant.exe: [Debugger] *
IFEO\UPFC.EXE: [Debugger] *
IFEO\UsoClient.exe: [Debugger] *
IFEO\WaaSMedic.exe: [Debugger] *
IFEO\WaasMedicAgent.exe: [Debugger] *
IFEO\Windows10Upgrade.exe: [Debugger] *
IFEO\WINDOWS10UPGRADERAPP.EXE: [Debugger] *
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Task: {1160BA3F-05B4-4237-90E0-27B6C38D1484} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
Task: {2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask -> No File <==== ATTENTION
Task: {317107BF-13F6-48B4-AA5A-BA0B03A02F4B} - \Microsoft\Windows\ErrorDetails\EnableErrorDetailsUpdate -> No File <==== ATTENTION
Task: {48A98229-5C8E-4DDD-8139-CF35F7262A95} - \Microsoft\Windows\Plug and Play\Plug and Play Cleanup -> No File <==== ATTENTION
Task: {5587F1DC-15D0-4331-A673-6EF75E5CD9C0} - \Microsoft\Windows\AppID\SmartScreenSpecific -> No File <==== ATTENTION
Task: {71E53243-3A2D-47EE-9DAB-6D71B2366657} - \Microsoft\Windows\ErrorDetails\ErrorDetailsUpdate -> No File <==== ATTENTION
Task: {D7DE42BA-40BA-407A-89B6-D065AB6ECB60} - System32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864 => C:\Program Files\Bitdefender Agent\WatchDog.exe [461776 2018-07-31] (Bitdefender SRL -> Bitdefender)
Toolbar: HKU\S-1-5-21-2933077238-132442377-1683831893-1001 -> No Name - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  No File
OPR Extension: (No Name) - C:\Users\19vov\AppData\Roaming\Opera Software\Opera Stable\Extensions\dmdhajlcfmlocjeihknhbbekjaageelh [2020-08-25]
OPR Extension: (No Name) - C:\Users\19vov\AppData\Roaming\Opera Software\Opera Stable\Extensions\nkbmdlcfodnjommcenonfmhofdompmfc [2018-09-13]
OPR Extension: (SaveFrom.net helper) - C:\Users\19vov\AppData\Roaming\Opera Software\Opera Stable\Extensions\npdpplbicnmpoigidfdjadamgfkilaak [2020-08-20]
R2 ProductAgentService; C:\Program Files\Bitdefender Agent\ProductAgentService.exe [1284032 2018-07-31] (Bitdefender SRL -> Bitdefender)
2020-08-26 18:48 - 2020-08-26 18:48 - 000003802 _____ C:\WINDOWS\system32\Tasks\Bitdefender Agent WatchDog_65D6944A0EF74FDAB96E31112AD39864
2020-08-25 02:23 - 2020-08-26 19:13 - 000000000 ____D C:\WINDOWS\system32\Tasks\Doctor Web
2020-08-24 23:55 - 2020-08-26 16:27 - 000000000 ____D C:\Program Files\Bitdefender Agent
2020-08-24 17:01 - 2020-08-24 17:01 - 000000000 ____D C:\Users\19vov\AppData\Local\ESET
2020-08-23 15:38 - 2020-08-23 15:38 - 000230080 _____ (AVAST Software) C:\Users\19vov\Desktop\avast_free_antivirus_setup_online.exe
2020-08-23 15:37 - 2020-08-23 15:37 - 000000000 ____D C:\Users\Все пользователи\AVG
2020-08-23 15:37 - 2020-08-23 15:37 - 000000000 ____D C:\ProgramData\AVG
2020-08-22 17:46 - 2020-08-26 20:18 - 000000000 __SHD C:\KVRT_Data
2020-08-22 17:46 - 2020-08-24 17:59 - 000000000 __SHD C:\Users\Все пользователи\Setup
2020-08-22 17:46 - 2020-08-24 17:59 - 000000000 __SHD C:\ProgramData\Setup
2020-08-22 17:46 - 2020-08-24 17:57 - 000000000 ____D C:\Users\Все пользователи\install
2020-08-22 17:46 - 2020-08-24 17:57 - 000000000 ____D C:\ProgramData\install
2020-08-22 17:46 - 2020-08-23 16:48 - 000000000 ___HD C:\Program Files\RDP Wrapper
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Users\Все пользователи\Norton
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Users\Все пользователи\grizzly
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Users\Все пользователи\ESET
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Users\Все пользователи\360safe
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\ProgramData\Norton
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\ProgramData\grizzly
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\ProgramData\ESET
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\ProgramData\360safe
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\SpyHunter
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\ESET
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\Enigma Software Group
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\COMODO
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\Cezurity
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\ByteFence
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\AVG
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files\AVAST Software
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\SpyHunter
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\Cezurity
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\AVG
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\AVAST Software
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 __SHD C:\Program Files (x86)\360
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\WINDOWS\speechstracing
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\Все пользователи\System32
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\Все пользователи\MB3Install
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\Все пользователи\Malwarebytes
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\Все пользователи\Indus
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\Все пользователи\Avira
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\19vov\AppData\Roaming\Steinberg Installation Updater
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\Users\19vov\AppData\Local\Steinberg Installation Updater
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\ProgramData\System32
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\ProgramData\MB3Install
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\ProgramData\Malwarebytes
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\ProgramData\Indus
2020-08-22 17:46 - 2020-08-22 17:46 - 000000000 ____D C:\ProgramData\Avira
2020-08-20 16:22 - 2020-08-20 16:22 - 000000000 ____D C:\Users\19vov\AppData\Local\SaveFrom.net helper
2020-08-26 20:02 - 2018-06-03 12:10 - 000000000 __SHD C:\Users\Все пользователи\Kaspersky Lab
2020-08-26 20:02 - 2018-06-03 12:10 - 000000000 __SHD C:\ProgramData\Kaspersky Lab
2020-08-24 23:43 - 2018-11-05 17:48 - 000000000 __SHD C:\Program Files\Malwarebytes
2020-08-24 17:59 - 2020-02-24 02:56 - 000000000 __SHD C:\Users\Все пользователи\WindowsTask
2020-08-24 17:59 - 2020-02-24 02:56 - 000000000 __SHD C:\ProgramData\WindowsTask
2020-08-23 17:01 - 2020-02-24 02:56 - 000000000 __SHD C:\Users\Все пользователи\RealtekHD
2020-08-23 17:01 - 2020-02-24 02:56 - 000000000 __SHD C:\ProgramData\RealtekHD
2020-08-22 18:34 - 2019-09-29 14:33 - 000000000 ____D C:\WINDOWS\system32\Tasks\Avast Software
2020-08-22 17:46 - 2019-03-19 07:52 - 000000000 ____D C:\Program Files\Common Files\System


EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


2) Далее (даже если проблема решена) выполните лог программой Malwarebytes ( программа должна установиться )
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

3) Удалите хвосты от: Bitdefender Avast  и прочих антивирусов которые пробовали установить.
https://www.comss.ru/page.php?id=1199
https://www.comss.ru/page.php?id=383

! Избегайте избыточного цитировавания...
Изменено: RP55 RP55 - 26.08.2020 23:34:08
Перейти
[ Закрыто] Вирус блокирует установку антивирусов
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 26.08.2020 19:36:38
1) Файл: C:\USERS\19VOV\DESKTOP\НЕ ПОДТВЕРЖДЕН 931530.CRDOWNLOAD
проверьте здесь: https://www.virustotal.com/gui/home/upload
2) Удалите хвосты антивирусов:
Kaspersky https://www.comss.ru/page.php?id=343
Dr.Web https://www.comss.ru/page.php?id=309

3) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.1.8 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

deldirex %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\UMMYVIDEODOWNLOADER

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delall %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\TEMP\384D9043.SYS
delall %SystemDrive%\USERS\19VOV\APPDATA\LOCAL\TEMP\CPUZ143\CPUZ143_X64.SYS
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJMPFDKMPOJOEEMJMFIDDLHKKNDCDPNO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMOIHLEDLMCHHOFENPACBHPHNBNPAKGMO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTP://WWW.MSN.COM/
delref HTTP://WWW.VIRTUALDJ.COM/WIKI/
delref HTTP://WWW.VIRTUALDJ.COM/
apply

;-------------------------------------------------------------

deltmp
regt 38
restart
;---------command-block---------
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref %Sys32%\EOSNOTIFY.EXE
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {19916E01-B44E-4E31-94A4-4696DF46157B}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {5E5CBAC6-79BD-4975-8D6C-623E7830E702}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref {E8C77137-E224-5791-B6E9-FF0305797A13}\[CLSID]
delref %Sys32%\DRIVERS\VNVDIMM.SYS
delref %Sys32%\HVSICONTAINERSERVICE.DLL
delref %Sys32%\DRIVERS\INVDIMM.SYS
delref %Sys32%\DRIVERS\NVDIMMN.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
delref %Sys32%\BLANK.HTM
delref {472083B0-C522-11CF-8763-00608CC02F24}\[CLSID]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref TWEAKINGREMOVESAFEBOOT\[SERVICE]
delref VMMS\[SERVICE]
delref WMS\[SERVICE]
delref WMSSELFHEALING\[SERVICE]
delref WSSERVICE\[SERVICE]
delref %Sys32%\DRIVERS\HVSIFLTR.SYS
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\VSOCKLIB.DLL
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.302\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_55E7FB10AB85A7C2\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref {159FF5D5-55F1-4D2F-B706-767A55F77ABB}\[CLSID]
delref {1DAC0C53-7D23-4AB3-856A-B04D98CD982A}\[CLSID]
delref F:\SKYRIM - LEGENDARY EDITION\SKYMP.EXE
delref F:\THE ELDER SCROLLS V SKYRIM\THE ELDER SCROLLS V SKYRIM\SKYRIMSE.EXE
delref %SystemDrive%\USERS\19VOV\APPDATA\ROAMING\UTORRENT WEB\UTWEB.EXE
delref %SystemDrive%\USERS\19VOV\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE
delall %SystemRoot%\SYSWOW64\XPSVIEWER\TASKSG\G-1-43-27\TG_1.4.22.56.EXE
delall %SystemDrive%\PROGRAM FILES\QEMU\SYSTEMSERVICES.EXE
apply


4) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Перейти
поговорить о uVS, Carberp, планете Земля
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 24.08.2020 18:22:50
Котик та вернулся :) ( Carberp.2159 )
Описание: первое  второе
Тема лечения.
Самый интересный момент.

Цитата
2020-08-20 13:08 - 2020-08-20 13:08 - 001246160 _____ (Mozilla Foundation) C:\Users\Все пользователи\nss3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 001246160 _____ (Mozilla Foundation) C:\ProgramData\nss3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000645592 _____ C:\Users\Все пользователи\sqlite3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000645592 _____ C:\ProgramData\sqlite3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000440120 _____ (Microsoft Corporation) C:\Users\Все пользователи\msvcp140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000440120 _____ (Microsoft Corporation) C:\ProgramData\msvcp140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000334288 _____ (Mozilla Foundation) C:\Users\Все пользователи\freebl3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000334288 _____ (Mozilla Foundation) C:\ProgramData\freebl3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000144848 _____ (Mozilla Foundation) C:\Users\Все пользователи\softokn3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000144848 _____ (Mozilla Foundation) C:\ProgramData\softokn3.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000137168 _____ (Mozilla Foundation) C:\Users\Все пользователи\mozglue.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000137168 _____ (Mozilla Foundation) C:\ProgramData\mozglue.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000083784 _____ (Microsoft Corporation) C:\Users\Все пользователи\vcruntime140.dll
2020-08-20 13:08 - 2020-08-20 13:08 - 000083784 _____ (Microsoft Corporation) C:\ProgramData\vcruntime140.dll
Перейти
[ Закрыто] Предложения по дальнейшему развитию функций Universal Virus Sniffer
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 20.08.2020 19:43:20
В Windows 10 внесены изменения при работе с GPU - “Specific GPU”
https://www.comss.ru/page.php?id=7869
т.е. это может повлиять на определение %  соотношения нагрузки.
Изменено: RP55 RP55 - 20.08.2020 19:44:12
Перейти
[ Закрыто] не лечится: Модифицированный Win32/Freemake.A потенциально нежелательная программа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 19.08.2020 21:56:12
Цитата
Anastasiia Zhigalova написал:
про карантин
Антивирус тоже ( как правило ) не удаляет файлы, а шифрует их и помещает на карантин ( если ложное срабатывание - то можно восстановить файл )
т.е. файл удаляется ( из того места где он был ) и помещается в карантин.

Цитата
Anastasiia Zhigalova написал:
Так, нужно ли (можно ли) это всё удалять?
Удалите всё кроме записей по KMS... ( поместить в карантин )

т.е сохраняются записи\параметры нужны вам для работы, или _реально нужные для работы Windows или программ. ( как правило компоненты от Mail.Ru к таким не относятся )
Перейти
[ Закрыто] не лечится: Модифицированный Win32/Freemake.A потенциально нежелательная программа
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 16.08.2020 22:52:54
1) Всё найденное в Malwarebytes - удалите кроме этих записей:

Цитата
Generic.Malware/Suspicious, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\KMSAuto, Проигнорировано пользователем, 0, 392686, , , , , ,
Generic.Malware/Suspicious, C:\WINDOWS\SYSTEM32\TASKS\KMSAuto, Проигнорировано пользователем, 0, 392686, , , , , 144D09E07A711DA0640463359614AD3B, 6F8BB9DE24E921E0748466E44B9503CFCF737B5E3147DA867D40E627680D­20E9
Generic.Malware/Suspicious, C:\WINDOWS\KMSAUTO.EXE, Проигнорировано пользователем, 0, 392686, 1.0.28573, , shuriken, , 78533E898D4069726DA3134D1712919B, A782153073AF51095E335A267557DEDA1D6B318E92E2B56C0AD1E95C91F1­94D4

* Опасных объектов при сканировании не обнаружено - найденное просто рекламный мусор.  ( или KMS активаторы )
** Если есть замечания по работе Windows - напишите, что беспокоит.

2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
Перейти
WannaCash
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 16.08.2020 17:11:18
Цитата
Злоумышленник слил дешифратор.

Расшифровка возможна для: WannaCash (v170720 и v010820) ( номер указан в записке о выкупе )
Изменено: RP55 RP55 - 16.08.2020 17:12:48
Перейти
Пред. 1 ... 111 112 113 114 115 116 117 118 119 120 121 ... 623 След.