Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Выбрать дату в календареВыбрать дату в календаре

ESET не на системный диск, Как это будет работать?
[QUOTE]Подозрительный Человек написал:
неужели[/QUOTE]

Я выше написал о программе: TreeSize

[QUOTE]Программа: TreeSize Free покажет, что и где занимает место на диске. jam-software.com/treesize_free[/QUOTE]
Обнаружена атака путем подделки записей кэша ARP, Каждый день выходит это сообщение
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.



Код
  

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
Task: {5CA08649-520A-4263-96F3-D10FB12140A9} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> No File <==== ATTENTION
FF HKU\S-1-5-21-1895224048-345741818-4275738559-1001\...\Firefox\Extensions: [[email protected]] - C:\Users\RAMZES\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
FF Plugin HKU\S-1-5-21-1895224048-345741818-4275738559-1001: @acestream.net/acestreamplugin,version=3.1.32 -> C:\Users\RAMZES\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]


EmptyTemp:
Reboot:


Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Пишем по результату.
ESET не на системный диск, Как это будет работать?
+
Посмотреть:
Acronis архив разделить на несколько файлов.
Обнаружена атака путем подделки записей кэша ARP, Каждый день выходит это сообщение
1) Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !


Код
;uVS v4.11.3 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
deltmp
restart
;---------command-block---------
delall %SystemDrive%\USERS\RAMZES\APPDATA\LOCAL\TEMP\CSRSS\SCHEDULED.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE15\OLICENSEHEARTBEAT.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\IOBIT UNINSTALLER\IOBITUNINSTALER.EXE
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SMBDIRECT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref P:\LFSERVICE.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {CB3D0F55-BC2C-4C1A-85ED-23ED75B5106B}\[CLSID]
delref {23170F69-40C1-278A-1000-000100020000}\[CLSID]
delref P:\LF37CONTEXT.DLL
delref {E61BF828-5E63-4287-BEF1-60B1A4FDE0E3}\[CLSID]
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %SystemDrive%\USERS\RAMZES\APPDATA\LOCAL\MICROSOFT\WINDOWS\WINX\GROUP2\2 - SEARCH.LNK
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref P:\BIN\OLSERVICE.EXE
delref P:\BIN\OPCDB.EXE
delref P:\BIN\SYNCAGENTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MICROSOFT SHARED\DAO\DAO350.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %SystemDrive%\PROGRAM FILES\ADOBE\ADOBE ILLUSTRATOR CC 2015\ADOBE ILLUSTRATOR CC\SUPPORT FILES\CONTENTS\WINDOWS\ILLUSTRATOR.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref P:\BIN\SCENEVIEWX.OCX
delref P:\BIN\SDENAVIGATION.DLL
delref P:\BIN\OPCSDE.DLL
delref P:\BIN\SCENEPLUGIN.DLL
delref P:\BIN\PGUEST.DLL
delref P:\BIN\INTEGRATOR.EXE
delref P:\BIN\CURRENTRATING.DLL
delref P:\BIN\SDEDB.DLL
delref P:\BIN\HTSDE2.OCX
delref P:\BIN\HTSDN2.OCX
delref P:\BIN\OPTASK.DLL
delref P:\BIN\OLREPORT.EXE
delref P:\BIN\SPSYNTH.EXE
delref P:\BIN\SWMAN32.EXE
delref P:\BIN\OL.EXE
delref P:\BIN\SDEDIT32.EXE
delref %SystemRoot%\SYSWOW64\TTLSEXT.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref P:\BIN\CADVIEWLIB\CADVIEWLIB.OCX
delref P:\BIN\VXPLIB.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref P:\BIN\ELMODUS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\WBEM\NLMCIM.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref P:\BIN\ABONENTS.DLL
delref P:\BIN\PHOENIXSRV.EXE
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DMJBEPBHONBOJPOAENHCKJOCCHGFIAOFO%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://BESTBLUES.TECH/APP/APP.EXE
apply






2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  и Yandex снимите [V]


Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/
ESET не на системный диск, Как это будет работать?
[QUOTE]Подозрительный Человек написал:
7zip[/QUOTE]
Это дополнительная программа.
В поиске задать: Сжатие файлов в Windows
ESET не на системный диск, Как это будет работать?
1) Место могут занимать сами точки восстановления ( их можно удалить )
2) Файл Подкачки ( временно отключить )
3) Файл Гибернации (временно отключить )
Можно сжать файлы средствами самой системы. ( потом всё вернуть, как было )

Программа: TreeSize Free  покажет, что и где занимает место на диске. jam-software.com/treesize_free

и\или

[URL=https://www.comss.ru/page.php?id=6811]Резервное копирование с помощью программы Acronis True Image 2020[/URL]

[QUOTE]Резервные копии, создаваемые программой Acronis True Image 2020, имеют расширение TIBX. По умолчанию они создаются с использованием сжатия данных, поэтому требуется гораздо меньше дискового пространства для их хранения. Степень сжатия всегда можно настроить перед запуском резервного копирования.
В контекстном меню выбрать команду Сжать том...
[/QUOTE]
В общим читаем.
ESET не на системный диск, Как это будет работать?
Копии драйверов нужны, если они нужны :) ( можно отдельно почитать, для чего и как создаются копии драйверов )
----
Можно взять флешку с установщиком системы Windows и создать на флешке свою папку\папки и кинуть туда нужные данные.
т.е. это будет ваш: " установочный носитель " + ваши файлы.
Установщик ваши папки и файлы в них просто проигнорирует.
ESET не на системный диск, Как это будет работать?
[QUOTE]Подозрительный Человек написал:
1. Качаю/обновляю все драйвера, чтобы они сохранились в бекапе [/QUOTE]
Идея так себе.
а) На момент восстановления бекапа драйвера всё равно устареют.
б) Не всегда новые драйвера подходят\встают, так, как нужно.  Поэтому многие и сидят на старых ( или часть новые часть старые )
в) Драйвера можно обновить но: 1) Создать резервную копию старых 2) Перед созданием бекапа некоторое время поработать и убедиться, что система нормально работает, корректно загружается в общем всё хорошо. Тогда и создавать бекап - иначе при восстановлении можно получить неожиданную проблему...

[QUOTE]Подозрительный Человек написал:
То есть могут и флешке не дать записать/воспроизвести бекап? А как же тогда бекапить то?[/QUOTE]

Подразумевается, что человек который восстанавливает систему предварительно форматирует диск.
т.е. устанавливает чистую систему на чистый диск.
Или на систему без вирусов иначе какой смысл ?
Изменено: RP55 RP55 - 29.01.2021 15:13:59
поговорить о uVS, Carberp, планете Земля
Провёл с FRST эксперимент. ( для подтверждения )

Создал папку:
2021-01-28 10:26 - 2021-01-28 10:26 - 000000000 ____D C:\Проба

для fixlist.txt изменил запись на:
2019-01-28 10:26 - 2019-01-28 10:26 - 000000000 ____D C:\Проба
и прописал в варианте:
C:\Проба

Получил:
C:\Проба => moved successfully

Как и предполагалось :) учитывается только путь.

--------------
Значит можно написать универсальный скрипт для разблокирования каталогов антивирусов.
так, как изменения моли быть произведены и год и два назад и FRST этого может просто в логе не увидеть\не показать.
Как итог ошибка при установке.
uVS как стать опытными пользователем этой программы., Обучение пользования программой uVS
Вес файла:  0 байт.
Такие файлы удалять можно ( особенно если они в автозагрузке) так, как это будет замедлять работу системы. Система выполняет ( пытается ) выполнить некое действие\операцию
с файлом у которого нет полезного функционала.
С файлом\нулёвкой  может работать программа - что-то в него записывать и\или удалять.
Если файл нужен программе для работы то программа может его воссоздать\восстановить после удаления.
Если в отношении некого файла есть сомнение его можно переименовать c: DP45977C.lfl  в DP45977C.lfl.old
---
Есть ресурсы которые показывают тип расширения и можно определить с чем мы имеем дело: open-file.ru/types/l/
( но не всегда можно получить результат :)
Изменено: RP55 RP55 - 29.01.2021 13:50:38