Начало темы: [URL=https://forum.esetnod32.ru/messages/forum6/topic14252/message100718/#message100718]здесь[/URL]

1) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

2) Выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Андрей Щевелев


Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.0.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE

deldirex %SystemDrive%\USERS\А\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPOR­ARY INTERNET FILES\CONTENT.IE5\1W39CHZA

delall %SystemDrive%\USERS\А\APPDATA\LOCAL\TEMP\FOX14DE.TMP
delall %SystemRoot%\TEMP\SKY9E6.TMP
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAAHLFAHLDNILIDGNLIKDCKBFEHHCA%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAAAAAIABCOPKPLHGAEDHBLOEEJHHANKF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DAMINLPMKFCDIBGPGFAJLGNAMICJCKKJF%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIAKDDMMLEDECLCODPBGEBFKHEGAADDGE%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIIFCHHFNNMPDBIBIFMLJNFJHPIFIFFOG%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLIFBCIBLLHKDHOAFPJFNLHFPFGNPLDFL%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref %SystemDrive%\USERS\А\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAHAEGINBDCCKOCJKHBCIADCAFNEP\12.16_0\SHOPPING APP BY ASK
delref %SystemDrive%\USERS\А\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\AAAAAIABCOPKPLHGAEDHBLOEEJHHANKF\55.11_0\SEARCH APP BY ASK V2
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFCFENMBOOJPJINHPGGGODEFCCIPIKBPD%26INSTALLSOURCE%3D­ONDEMAND%26UC
delref HTTP://WWW.SEARCH.ASK.COM/WEB?TPID=ORJ-ST-SPE&O=APN11461&PF=V7&P2=^BE7^OSJ000^YY^RU&GCT=&ITBV=12.18.0.81&APN_UID=7C311B87-7050-47FD-9EB3-F173F6820614&APN_PTNRS=BE7&APN_DTID=^OSJ000^YY^RU&APN_DBR=IE­_11.0.9600.17207&DOI=2014-10-19&TRGB=IE&Q={SEARCHTERMS}&PSV=&P


delref WMI_ACTIVESCRIPTEVENTCONSUMER\FUCKYOUMM2_CONSUMER.[FUCKYOUMM2_FILTER]
delref HTTP://JS.MYKINGS.TOP:280/HELLOWORLD.MSI
delref HTTP://JS.MYKINGS.TOP:280/V.SCT
apply

deltmp
restart



</code>

+

2) ____[COLOR=#EE1D24]Обязательно[/COLOR] установите обновление безопасности: https://technet.microsoft.com/en-us/library/security/ms17-010.aspx

3) Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )

[QUOTE]NOD64 написал:
С тех пор как Майрософт стал предлагать апдейты одним большим "мешком", ставить, не видя, что там внутри, как-то расхотелось.
[/QUOTE]
Да, доверие к компании упало...
----------
:)

Два раза писал и удалял.
Всё таки не всё нужно\можно писать.

В принципе можно обеспечить такой уровень безопасности когда никто и никогда не отследит.

[URL=https://www.google.ru/search?newwindow=1&dcr=0&q=%D0%BD%D0%B0%D1%81%D1%82%D1%80%D0%BE%D0%B9%D0%BA%D0%B0+%D0%BE%D1%82%D0%BE%D0%B1%D1%80%D0%B0%D0%B6%D0%B5%D0%BD%D0%B8%D1%8F+%D1%81%D0%B8%D1%81%D1%82%D0%B5%D0%BC%D0%BD%D0%BE%D0%B3%D0%BE+%D1%82%D1%80%D0%B5%D1%8F&spell=1&sa=X&ved=0ahUKEwj3wLGYnYfXAhUFM5oKHd5NBqQQvwUIIygA]Может так ?[/URL]

Вполне легальный файл от ESET 10.

Полное имя                  C:\PROGRAM FILES\ESET\ESET SECURITY\ECMDS.EXE
Имя файла                   ECMDS.EXE
Тек. статус                 ПРОВЕРЕННЫЙ в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ в автозапуске
File_Id                     59DCE9CD4F000
Linker                      14.0
Размер                      324216 байт
Создан                      23.10.2017 в 00:45:15
Изменен                     23.10.2017 в 00:45:15
                           
TimeStamp                   10.10.2017 в 15:39:57
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
[COLOR=#00A650]Цифр. подпись Действительна, подписано "ESET, spol. s r.o."[/COLOR]
                           
Оригинальное имя            ecmd.exe
Версия файла                10.1.235.0
Описание                    ESET command line interface
Производитель               ESET
                           
Доп. информация             на момент обновления списка
SHA1                        9C1B4EE53219EA02C22DCB0AD70DB60F1356C6BE
MD5                         A5A45466628F53BC61C6B24A8952F11B
                           
Ссылки на объект            
Ссылка                      HKLM\Software\Microsoft\Windows\CurrentVersion\Run\egui
egui                        "C:\Program Files\ESET\ESET Security\ecmdS.exe" /launch /hide

[QUOTE]NOD64 написал:
 [URL=https://forum.esetnod32.ru/user/997/]RP55 RP55[/URL]

[QUOTE]Если человека нельзя вычислить - то и таргетированно инфицировать его PC невозможно.
[/QUOTE]
Если государство (не важно какое) захочет закинуть кому-то зловреда, которого, допустим, пропустит АВ, то оно затребует у провайдера текущий локальный IP, я слышал, что зная его и при определённых навыках, которых полицейским хакерам наверняка не занимать, в комп можно закинуть что угодно. Или так не получится?

[/QUOTE]
А смысл ?
Если уровень подготовки человека позволит выявить любой посторонний объект за пять минут ?
Или это сделает за него программа, или аппаратное оборудование.

Здесь всё зависит от уровня знаний\подготовки.
Если человек не подготовлен и не подготовлена к защите его система - то можно сделать всё, что угодно.
--------
Могут и в клавиатуру дополнительную плату впаять - с перехватчиком.
Но, одно дело когда слежка идёт за известным объектом - тогда...
И совсем другое дело когда нужно добраться до неизвестного.

[URL=http://forum.esetnod32.ru/messages/forum9/topic13084/message92079/?result=edit#message92079]К прочтению.[/URL]

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

В обсуждении явное логическое противоречие.
Если человека нельзя вычислить - то и таргетированно инфицировать его PC невозможно.
--------
Кроме того, свет клином на антивирусах не сошёлся.
Есть программы с: HIPS - где можно контролировать происходящее в системе, есть программы для "заморозки системы"  типа: Deep Freeze
есть uVS  и т.д.

Сергей Хатылаев

У вас в системе:

360 Total Security
IObit Malware Fighter Service
ESET

Выполните удаление антивирусных продуктов.

( Переустановите ( при необходимости ) продукт от ESET )