ESET Endpoint Antivirus обеспечивает защиту от фишинга:
веб-страницы, которые заведомо содержат подобные материалы, всегда блокируются.

Справка: https://download.esetnod32.ru/manuals/business/windows/eset_endpoint_antivirus_5_usergu­ide_rus.pdf

[QUOTE]santy написал:
FRST похоже добавил антируткит[/QUOTE]

https://safezone.cc/threads/frst-tutorial/

[QUOTE]Примечание: Если FRST никак не сможет получить доступ к службе, в логе будет напечатано следующее:
1b36535375971e1b" => service could not be unlocked. <===== ATTENTION
Нечто подобное может свидетельствовать о рутките или повреждение реестра[/QUOTE]

[QUOTE]При заражении руткитом/буткитом не стоит вообще лечить с помощью FRST. Он для этого не предназначен и во многих случаях в его логах просто и не заметите этого заражения. А вместо FRST использовать TDSSKiller или другие утилиты, предназначенные для борьбы с руткитами/буткитами.[/QUOTE]

Правда они уже давно не пишут про обновление программы и изменения... ?

Yaroslav Voloshchuk

McAfee Agent
McAfee VirusScan Enterprise
+
ESET

Использовать одновременно несколько антивирусов нельзя.
--------
Система сейчас чиста.

Какие файлы можно удалять не боясь угробить систему ?
Можно удалять файлы с расширениями:
.BAT

Пример:
OK.BAT
VK.BAT
BROWSER.BAT
BROWSER.EXE.BAT

.URL

BROWSER.URL
FIREFOX.URL
CHROME.URL

HTTP:

HTTP://
HTTP:\\
0HTTP://
0HTTP:\\
EXPLORER.EXE HTTP://
EXPLORER.EXE HTTP:\\
OPERA.EXE HTTP://
OPERA.EXE HTTP:\\

.XML

ASK-SEARCH.XML
CONDUIT-SEARCH.XML

.TMP
.LNK

--------------------------------------------------------
Какие пути чаще всего используются:
\APPDATA\LOCAL\
\APPDATA\ROAMING\
\APPLICATION DATA\
\PROGRAMDATA\

\PROGRAMS\STARTUP\
\START MENU\PROGRAMS\STARTUP\
\TEMP\

\TEMP\ - каталоги "TEMP" содержать временные файлы ( как правило эти временные файлы используются 1-2 раза - значит их можно удалять )
\PROGRAMS\STARTUP\ - каталоги вообще не должны ничего содержать ( если вы сами не добавили программу\ярлык в запуск )

[QUOTE]santy написал:
сигнатура в данном случае - самая лучшая маска.[/QUOTE]
Мы это уже обсуждали - не все файлы исполняемые и не для всех можно ( и нужно ) добавлять сигнатуры.

[QUOTE]santy написал:
свободного времени разработчика.[/QUOTE]
= Разработчик должен знать об этой теме ( и по хорошему написать общение на anti-malware.ru о переносе темы и смене форума ) у модератора должно было остаться право на публикацию ... ?

Значит процитирую....
накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/
Здесь может быть ошибка разбора.

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                   
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                         
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                         
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                         
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                         
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

santy

Полное имя                  CMD\GIT.EXE

Здесь может быть ошибка разбора.
----------------
отображении иконки чужого файла, как своего.
Очевидно, что эта информация будет полезна в Инфо.
------------------
Поддержка SHA-2  
Вопрос насколько корректно uVS будет работать с такими файлами.
------------------
и т.д.
дело не только в мусоре.
------------------
[QUOTE]santy написал:
в итоге получится 13 команд будет добавлено в скрипт для удаления этих файлов.[/QUOTE]
в AVZ есть команда удаления по маске ?




.

santy
раз anti-malware.ru накрылся нужно создавать здесь тему ( или писать в одной из созданных ) и обсуждать
Иначе: "  уникальность функций Universal Virus Sniffer " останется в прошлом.
Выпускать новую версию раз в пол года - это не есть хоро.
Вот уже сколько накопилось вопросов:
------------------
FILES ENCRYPTED.txt; README.txt; INFO.HTA ; КАК РАСШИФРОВАТЬ ФАЙЛЫ.TXT;
Прописать в settings.ini какие файлы нужно добавить в образ. ( FRST видит все файлы - uVS выборочно - если уж чистить, так чистить )
------------------

http://www.tehnari.ru/f183/t267632/

Полное имя                  CMD\GIT.EXE
Имя файла                   GIT.EXE
Тек. статус                
                                                     
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
                           
Доп. информация             на момент обновления списка
Файл                        C:\PROGRAM FILES\GIT\GIT-BASH.EXE
CmdLine                     --HIDE --NO-NEEDS-CONSOLE --COMMAND=CMD\GIT.EXE UPDATE-GIT-FOR-WINDOWS --QUIET --GUI
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\GIT FOR WINDOWS UPDATER
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\Actions
Actions                     "C:\Program Files\Git\git-bash.exe" --hide --no-needs-console --command=cmd\git.exe update-git-for-windows --quiet --gui
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{EF8EDE4A-2075-4801-B3D0-61A2FB1CB41E}\
                           
-----------------------------
Task: {48C470AA-9D1F-48F5-8A33-1CCB20E75F26} - C:\Windows\system32\pcalua.exe -a "C:\Users\SataLink\Downloads\MegaCasino_Setup (1).exe" -d C:\Users\SataLink\Downloads

-------------------------------
https://forum.kasperskyclub.ru/index.php?s=de86ae4c08a9c12b6ecee6ca4ec79a2a&showtopic=64818

Исполняемый файл: LS0BK2_payload.exe втречается 13 раз.
Хотелось бы удалить его одной командой - без сигнатур.

-------------------------------
Фиксирует ли uVS
CHR HKLM-x32\...\Chrome\Extension: [ehfanjejklfmnldbbclpocdbceaeemkn] - <no Path/update_url>
CHR HKLM-x32\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path/update_url>

CHR HKLM\...\Chrome\Extension: [hdjacnejoohiamgmaciljlpniffgkojd] - <no Path\update_url>
CHR HKLM\...\Chrome\Extension: [jifflliplgeajjdhmkcfnngfpgbjonjg] - <no Path\update_url>

-------------------------------
Видит ли это:

HKLM\...\batfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
HKLM\...\cmdfile\DefaultIcon: %SystemRoot%\System32\shell32.dll,-153 <==== ATTENTION
Видимо в том числе речь может идти о отображении иконки чужого файла, как своего.

--------------------------------
https://forum.esetnod32.ru/forum4/topic15783/
Фиксирует  uVS, чистит ли ?
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\ESET
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\COMODO
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Common Files\McAfee
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\Cezurity
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files\AVG
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Panda Security
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Microsoft JDX
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\Kaspersky Lab
2020-03-08 16:34 - 2020-03-08 16:34 - 000000000 __SHD C:\Program Files (x86)\GRIZZLY Antivirus

--------------------------------
SHA-2 Системы Windows
https://support.microsoft.com/ru-ru/help/4472027/2019-sha-2-code-signing-support-requirement-for-windows-and-wsus

https://support.microsoft.com/ru-ru/help/4474419/sha-2-code-signing-support-update

---------------------------------

А это: http://www.tehnari.ru/f35/t267839/
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION
HKLM Group Policy restriction on software: C:\USERS\Я\APPDATA\ROAMING\CPPREDISTX86.EXE <==== ATTENTION

----------------------------------
А это:
HKU\S-1-5-21-282081067-1870339625-3958985120-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
----------------------------------
А это:
Lsa: [Authentication Packages] msv1_0 SshdPinAuthLsa
-----------------------------------
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573 ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMON.SYS._3FD92C0224DE69048FD8F7D06BE85709F25D6573]
Нет доступа к файлу, возможно файл защищен [ E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB ]
Доступ к файлу получен [E:\=DOWNLOAD=\UVS_LATEST\ZOO\WINMONFS.SYS._C0619FA97488838522E23181B80DBE8B25BF45AB]
Очевидно, что это лишнее действие.
-----------------------------------
Поддержка перехода _программ на стандарт цифровой подписи SHA2
-----------------------------------
HKU\S-1-5-18\...\RunOnce: [Application Restart #2] => C:\Program Files\Internet Explorer\iexplore.exe -restart /WERRESTART <==== ATTENTION

-----------------------------------

Сейчас ESET выпускается для Windows два продукта:
ESET NOD32 Антивирус
и
ESET  Internet Security
Компоненты входившие в smart Security Family  сейчас входят в состав Internet Security

Доброго
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/