[QUOTE]santy написал:
пока что встречается сейчас ситуация часто, когда основные исполняемые модули  - имеют чистую цифровую, а dll которые загружаются были (пропатчены) без цифровых, на примере майнера FLOCK[/QUOTE]

Это ещё в Хроме несколько лет назад было - подсовывали ему .dll - и он её запускал, как родную.

Просто кто-то в очередной раз сэкономил.
Эффектный менеджмент.

Microsoft призналась в подписании вредоносного драйвера «Netfilter»

«Netfilter» оказался руткитом, который обменивался данными с китайскими командными серверами...

safezone.cc/threads/microsoft-priznala-chto-podpisala-rutkit-vredonosnoe-po.38893/

https://www.virustotal.com/gui/file/e0afb8b937a5907fbe55a1d1cc7574e9304007ef33fa80f­f3896e997a1beaf37/details

Хорошо.
Пробуем установить антивирус - Пишем по результату.

Герберт Уэст

1) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


<code>
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltmp
regt 18
regt 25
regt 26
regt 38
restart
;---------command-block---------
delref %SystemDrive%\USERS\LOUIS ARMSTRONG\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\DBFIPCJECAMGGJFABEACLACJOOHFJHHN\3.0.33_0\КЭШБЭК-СЕРВИС \
delref %SystemDrive%\USERS\LOUISA~1\APPDATA\LOCAL\TEMP\CHROME_BITS_­1960_1666662258\G7YVLIV4RYLDG8AF2QDJOQ
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\29941042.SYS
delref %Sys32%\DRIVERS\38399270.SYS
delref %Sys32%\DRIVERS\72043990.SYS
delref %Sys32%\DRIVERS\77006392.SYS
delref %Sys32%\DRIVERS\77349623.SYS
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref HIPSDAEMON\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\LOUIS ARMSTRONG\DESKTOP\SOFT ORGANIZER PORTABLE\APP\SOFTORGANIZER\NOTIFICATIONS.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref H:\SETUP.EXE
delref {1C492E6A-2803-5ED7-83E1-1B1D4D41EB39}\[CLSID]
apply



</code>

+

2) Сохраните  файл:  fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


3) Выполните лог в AdwCleaner  
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

4) Пробуем установить антивирус.


...

В БЕЗОПАСНОМ режиме.

uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из файла.
( Скриптом удаляем то, что осталось от антивируса )

После чего - в реестре находим записи от ESET и удаляем.

ESET Endpoint Antivirus 6.1.2227.3  2021-06-24

Эта версия для предприятий, ( актуальная версия 8 )
-------
Актуальная версия для дома: 14 версия.
-------
Антивирус [URL=http://www.esetnod32.ru/support/knowledge_base/solution/?ELEMENT_ID=852896&sphrase_id=25964] по инструкции [/URL] удаляли в безопасном режиме ?

И с правильной раскладкой клавиатуры ?
------------
Error: (06/24/2021 04:37:59 PM) (Source: MsiInstaller) (EventID: 11406) (User: DESKTOP-BQ1I6PN)
Description: Product: ESET Endpoint Antivirus -- Ошибка 1406. Не удалось записать значение PackageTag в раздел \Software\ESET\ESET Security\CurrentVersion\Info.  Системная ошибка . Убедитесь в наличии необходимых прав доступа к разделу или обратитесь в службу поддержки.


2) Повторно удалите ( по выше данной инструкции продукты ESET )

3) Скачайте _актуальную версию и пробуйте её установить.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
+
Лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Программа FRST должна создать два файла:  FRST.txt и Addition.txt

! Здесь внизу страницы есть меню: Загрузить файлы.

Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

[QUOTE]Danil Perepelyak написал:
Кнопка "удалить хост" удаляет сам файл hosts или сточки в файле?[/QUOTE]

Если применить твик, - то происходит удаление всех записей содержащихся в файле, - кроме стандартных записей.
т.е. содержимое файла возвращается к первоначальному состоянию.

Если файл содержит смешанные записи ( полезные настройки и вирусные настройки )
и применение твика нежелательно...
Применяю удаление отдельных записей из меню.
т.е. Открываем вместо категории: "Подозрительные и вирусы"... категорию: HOSTS > Хлопаем правой лапой мыши по нужной ( ненужной ) записи и удаляем её.

После всего - применяем команду: Обновить список - и смотрим, что и как, и при необходимости...

Если и uVS не справиться - есть безопасный режим системы, есть LIVE CD диски.

[QUOTE]Danil Perepelyak написал:
uVS только сканирует пк и сохраняет лог[/QUOTE]

Да, если сам пользователь ( оператор ) не выполняет тех, или иных действий.
Создавая образ автозапуска - программа сохраняет лог\информацию по системе: Задачи, объекты автозапуска, списки установленных программ. и т.д.

То, что вы сами можете увидеть открыв программу ( категории )
По работе с uVS: https://forum.esetnod32.ru/forum8/topic15785/