RP55 RP55 (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 14.12.2020 00:25:56

[QUOTE]Подозрительный Человек написал:
вирус[/QUOTE]
На самом деле термин "вирус " в данном случае не верен.
Классический вирус - это то, что повреждает или уничтожает системные файлы, файлы пользователя.
т.е. название отсылает нас к биологическим угрозам\вирусом.
Реально это троянская программа.
Сейчас угрозы это конструкторы - нужен новый функционал - добавляют, что-то не нужно удаляют. Продают\покупают даже не сам вирус а КОД - отдельные функции\возможности\компоненты.

Есть файловые вирусы т.е. на диске сохраняются файл\файлы вирусов ( в скрытом или явном виде )- которые запускаются - тем или иным образом.
Есть без файловые - т.е. это просто процесс в оперативной памяти - пока PC работает "вирус" есть - перезагрузили его уже нет.

Как я уже говорил нужно отслеживать что находиться в оперативной памяти в норме и при появлении нового объекта реагировать.
Для лечения и профилактики изучать uVS и FRST
https://forum.esetnod32.ru/forum8/topic15785/
+
Читать статьи на специализированных сайтах форумах по информационной безопасности.

Изменено: RP55 RP55 - 14.12.2020 00:27:48

Перейти

[ Закрыто] Проблемы при/после удаления антивируса, главная

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 14.12.2020 00:11:24

У вас запись:

ESET NOD32 Antivirus (HKLM\...\{05CA29F2-09AC-480E-B5FE-5C54F5CFB35B}) (Version: 10.1.210.2 - ESET, spol. s r.o.)

Если есть записи - значит инструкция по удалению выполнена не верно. ( следите за раскладкой - она может переключаться сама )
Кроме того указана версия: 10

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
...
Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
2017-08-24 17:24 - 1989-12-11 01:28 - 001017344 _____ (SafeNet Inc.) [File not signed] C:\Program Files\Common Files\Aladdin Shared\HASP\haspvlib_46707.dll (SafeNet, Inc. -> SafeNet Inc.) C:\WINDOWS\system32\hasplms.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION R2 hasplms; C:\WINDOWS\system32\hasplms.exe [4608320 2014-11-27] (SafeNet, Inc. -> SafeNet Inc.) EmptyTemp: Reboot:

Код

  
2017-08-24 17:24 - 1989-12-11 01:28 - 001017344 _____ (SafeNet Inc.) [File not signed] C:\Program Files\Common Files\Aladdin Shared\HASP\haspvlib_46707.dll
(SafeNet, Inc. -> SafeNet Inc.) C:\WINDOWS\system32\hasplms.exe
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION
R2 hasplms; C:\WINDOWS\system32\hasplms.exe [4608320 2014-11-27] (SafeNet, Inc. -> SafeNet Inc.)


EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Перейти

[ Закрыто] Проблемы при/после удаления антивируса, главная

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 13.12.2020 22:01:42

Данил Ямилов

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !

Код
;uVS v4.11 [http://dsrt.dyndns.org:8888] ;Target OS: NTv5.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\YUPDATE-PING-YABROWSER.TEMP delref HTTP://RU.WIKIPEDIA.ORG/WIKI/SPECIAL:SEARCH?SEARCH={SEARCHTERMS} delref HTTP://PRICE.RU/ENTER?FROM=OSS&PNAM={SEARCHTERMS} delref HTTP://WWW.YANDEX.RU/YANDSEARCH?STYPE=&NL=0&TEXT={SEARCHTERMS} delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS} delref HTTP://WWW.CWER.RU/R/94162/BLOG/94162 delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?} delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\ACTIVEANTICHEAT\1223388\ACTIVE.SYS delref HTTP://WWW.MAIL.RU/CNT/9516 delref HTTP://WWW.SEARCHNU.COM/406 delref HTTP://WWW.GOOGLE.COM/ delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC apply ;------------------------------------------------------------- deltmp restart ;---------command-block--------- delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE delref {B089FE88-FB52-11D3-BDF1-0050DA34150D}\[CLSID] delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\УДАЛЕННЫЙ ПОМОЩНИК.LNK delref %Sys32%\TSCUPGRD.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT delref %Sys32%\BLANK.HTM delref {AE424E85-F6DF-4910-A6A9-438797986431}\[CLSID] delref %Sys32%\DRIVERS\CHANGER.SYS delref %Sys32%\DRIVERS\EAMONM.SYS delref %Sys32%\DRIVERS\EHDRV.SYS delref %Sys32%\DRIVERS\EPFWTDIR.SYS delref %Sys32%\DRIVERS\I2OMGMT.SYS delref %Sys32%\DRIVERS\LBRTFDC.SYS delref %Sys32%\DRIVERS\PCIDUMP.SYS delref %Sys32%\DRIVERS\PDCOMP.SYS delref %Sys32%\DRIVERS\PDFRAME.SYS delref %Sys32%\DRIVERS\PDRELI.SYS delref %Sys32%\DRIVERS\PDRFRAME.SYS delref %Sys32%\DRIVERS\WDICA.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.301\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL delref {0347C33E-8762-4905-BF09-768834316C61}\[CLSID] delref E:\AUTORUN.EXE delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID] delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID] delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID] delref {DDE87865-83C5-48C4-8357-2F5B1AA84522}\[CLSID] delref {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}\[CLSID] delref D:\PROGRAM FILES\NOX\BIN\NOX.EXE delref D:\PROGRAM FILES\NOX\BIN\NOX_UNLOAD.EXE delref D:\GAMES\HAMMERWATCH\HAMMERWATCH.EXE delref D:\GAMES\HAMMERWATCH\UNINS000.EXE delref D:\GAMES\HAMMERWATCH\UNINS001.EXE delref D:\PROGRAM FILES\MATHTYPE\SETUP.EXE delref D:\PROGRAM FILES\MATHTYPE\MATHTYPE.EXE apply

Код

;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv5.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\YUPDATE-PING-YABROWSER.TEMP
delref HTTP://RU.WIKIPEDIA.ORG/WIKI/SPECIAL:SEARCH?SEARCH={SEARCHTERMS}
delref HTTP://PRICE.RU/ENTER?FROM=OSS&PNAM={SEARCHTERMS}
delref HTTP://WWW.YANDEX.RU/YANDSEARCH?STYPE=&NL=0&TEXT={SEARCHTERMS}
delref HTTP://WWW.GOOGLE.RU/SEARCH?HL=RU&Q={SEARCHTERMS}
delref HTTP://WWW.CWER.RU/R/94162/BLOG/94162
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC={REFERRER:SOURCE?}
delall %SystemDrive%\DOCUME~1\9335~1\LOCALS~1\TEMP\ACTIVEANTICHEAT\1223388\ACTIVE.SYS
delref HTTP://WWW.MAIL.RU/CNT/9516
delref HTTP://WWW.SEARCHNU.COM/406
delref HTTP://WWW.GOOGLE.COM/
delref HTTP://SEARCH.LIVE.COM/RESULTS.ASPX?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IE8SRC
apply

;-------------------------------------------------------------

deltmp
restart
;---------command-block---------
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\LOCAL SETTINGS\APPLICATION DATA\YANDEX\YANDEXBROWSER\APPLICATION\BROWSER.EXE
delref {B089FE88-FB52-11D3-BDF1-0050DA34150D}\[CLSID]
delref %SystemDrive%\DOCUMENTS AND SETTINGS\АДМИНИСТРАТОР\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\УДАЛЕННЫЙ ПОМОЩНИК.LNK
delref %Sys32%\TSCUPGRD.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\INF\MSNETMTG.INF,NETMTG.INSTALL.PERUSER.NT
delref %Sys32%\BLANK.HTM
delref {AE424E85-F6DF-4910-A6A9-438797986431}\[CLSID]
delref %Sys32%\DRIVERS\CHANGER.SYS
delref %Sys32%\DRIVERS\EAMONM.SYS
delref %Sys32%\DRIVERS\EHDRV.SYS
delref %Sys32%\DRIVERS\EPFWTDIR.SYS
delref %Sys32%\DRIVERS\I2OMGMT.SYS
delref %Sys32%\DRIVERS\LBRTFDC.SYS
delref %Sys32%\DRIVERS\PCIDUMP.SYS
delref %Sys32%\DRIVERS\PDCOMP.SYS
delref %Sys32%\DRIVERS\PDFRAME.SYS
delref %Sys32%\DRIVERS\PDRELI.SYS
delref %Sys32%\DRIVERS\PDRFRAME.SYS
delref %Sys32%\DRIVERS\WDICA.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.442\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.342\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.7\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.301\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.23\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.17\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.34.11\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.35.422\PSMACHINE.DLL
delref {0347C33E-8762-4905-BF09-768834316C61}\[CLSID]
delref E:\AUTORUN.EXE
delref {2670000A-7350-4F3C-8081-5663EE0C6C49}\[CLSID]
delref {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA}\[CLSID]
delref {B4F3A835-0E21-4959-BA22-42B3008E02FF}\[CLSID]
delref {DDE87865-83C5-48C4-8357-2F5B1AA84522}\[CLSID]
delref {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856}\[CLSID]
delref D:\PROGRAM FILES\NOX\BIN\NOX.EXE
delref D:\PROGRAM FILES\NOX\BIN\NOX_UNLOAD.EXE
delref D:\GAMES\HAMMERWATCH\HAMMERWATCH.EXE
delref D:\GAMES\HAMMERWATCH\UNINS000.EXE
delref D:\GAMES\HAMMERWATCH\UNINS001.EXE
delref D:\PROGRAM FILES\MATHTYPE\SETUP.EXE
delref D:\PROGRAM FILES\MATHTYPE\MATHTYPE.EXE
apply

+

2) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Перейти

Не могу установить антивирус

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 13.12.2020 21:33:44

Сергей Михайлов

Скопируйте текст КОДа - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !

<code>
;uVS v4.11 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 18
regt 25
regt 26
regt 38
deltmp
restart
;---------command-block---------
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\SPEECH_ONECORE\SR\SV10-EV100\EN-US-N\MV101\NASPMODELSMETADATA.XML
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemDrive%\PROGRAMDATA\WINDOWSTASK\WINLOGON.EXE
delref %SystemDrive%\USERS\СЕРГЕЙ\APPDATA\LOCAL\PROGRAMS\OPERA\LAUNCHER.EXE
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %SystemDrive%\PROGRAMDATA\REALTEKHD\TASKHOSTW.EXE
delref %Sys32%\BLANK.HTM
delref {45AC2688-0253-4ED8-97DE-B5370FA7D48A}\[CLSID]
delref APPMGMT\[SERVICE]
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref SWPRV\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref BROWSER\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\USERS\836D~1\APPDATA\LOCAL\TEMP\ALSYSIO64.SYS
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\DEFINITION UPDATES\{BF30EB9F-AA60-4606-BBF4-E0EDF4C94DBF}\MPKSLDRV.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES\MICROSOFT OFFICE\ROOT\VFS\PROGRAMFILESCOMMONX64\MICROSOFT SHARED\EQUATION\EQNEDT32.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.41\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.93\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemRoot%\SYSWOW64\PERCEPTIONSIMULATIONEXTENSIONS.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.37\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.119.43\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\MAPSCSP.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.29\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\NVDECMFTMJPEG.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D223212C0A2275B5\NVENCMFTHEVC.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.135.49\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref H:\HISUITEDOWNLOADER.EXE
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DIBKNAFOBNMNDICOJAHLPPOLCAAIBNGJF%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCALJGKLBBFBCJJANAIJLACGNCAFPEGLL%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DCCBPBKEBODCJKKNKFKPMFECIINHIDAEH%26INSTALLSOURCE%3DONDEMAND%26UC
apply

</code>

+
Далее
2) Выполните лог в AdwCleaner
http://forum.esetnod32.ru/forum9/topic7084/

после завершения сканирования:
Записи относящиеся к Mail.Ru и Yandex можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru и Yandex снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Далее выполните FRST: http://forum.esetnod32.ru/forum9/topic2798/

Перейти

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 13.12.2020 17:32:51

[QUOTE]Подозрительный Человек написал:
Получается из ботнета можно только выбраться, перепрошив БИОС? [/QUOTE]
От _этого "вируса" Да, сброс\прошивка.
[QUOTE]Подозрительный Человек написал:
запретить фаерволом, хипсом и UAC скачивать вредоносное ПО или что-то в этом роде? [/QUOTE]
" Вирус " запускается до старта системы и средств защиты, они или не увидят его, или увидят - но не смогут удалить.
Могут эксплуатироваться уязвимости браузеров - и тогда загрузка будет идти за счёт браузера.
Компоненты которые загрузит " вирус " можно блокировать.
Но в этом нет смысла. Это как битва с ветряными мельницами.

[QUOTE]Подозрительный Человек написал:
Как я понял, вирус, который из компьютера делает зомби для ботнет-сети - заседает в BIOS[/QUOTE]

В статье об этом и говориться...
1) Можно предотвратить заражение - настроив режим безопасности в BIOS
2) Нужно знать данные о своей родной прошивке - и отслеживать изменения.
3) Чтобы PC функционировал - нужен BIOS чтобы BIOS работал нужен нормальный код. В чипе мало памяти, а у "вируса" должен быть определённый функционал.
т.е. он должен решать определённые задачи - для этого ему нужны доп. модули и новые инструкции которые он и получает ( как правило по сети ).

Перейти

Eset internet security имеет ограниченное прямое подключение к облаку

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 13.12.2020 13:29:44

Цитата
Кирилл Тюльков написал: P.S: Ключ нашёл, куда его отправлять?

Вам нужно обратиться в службу технической поддержки ESET по адресу: [email protected]

Перейти

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 13.12.2020 13:27:13

[QUOTE]Подозрительный Человек написал:
ОС переустановить с полным форматированием всех дисков... наверное...[/QUOTE]

Нет, это не поможет.
BIOS\UEFI - информация записана на чип который встроен в материнскую плату.
На диске могут быть дополнительные компоненты вируса - которые вирус загрузит по сети - при форматировании диска они будут удалены ( но вирус их снова запросит по сети )
Но если преступников накроют - вирус не сможет загружать дополнительные компоненты, получать обновления и информация от вируса - её некуда будет передавать.

Перейти

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 12.12.2020 10:19:17

[QUOTE]Подозрительный Человек написал:
В общем касательно этого вируса - единственный вариант, менять материнку. [/QUOTE]
Это категоричное заявление :)
Если есть DUAL BIOS - то сброс настроек должен пройти нормально.
Сейчас риск выше чем раньше - BIOS\UEFI всё больше унифицированы и железо производят всего несколько компаний.
т.е. намного проще подобрать ключ.
Если пользователь не научиться решать эту проблему - то у него не будет денег на покупку нового железа ( всё сопрут )

[QUOTE]Подозрительный Человек написал:
А этот вирус не специально против простого смертного сделан.[/QUOTE]
Есть ещё промышленный шпионаж [URL=https://www.anti-malware.ru/threats/targeted-attacks]Таргетированные[/URL] (или целенаправленные) атаки - А есть на удачу - т.е. Одним махом семерых побивахом ...
Из 100 атакованных PC - хоть один да содержит нужную информацию... А это потенциально миллионы $...

[QUOTE]Подозрительный Человек написал:
Я конечно вообще поражаюсь, что к примеру могут просто пак с вирусами выложить, ведь это же вроде как уголовно наказуемо. [/QUOTE]
Есть сайты\ресурсы - где можно скачать вирус - для изучения.
они работают вполне легально.

Есть [URL=https://ru.wikipedia.org/wiki/%D0%94%D0%B0%D1%80%D0%BA%D0%BD%D0%B5%D1%82]Даркнет[/URL]
Купля\продажа\обмен кодом\зверями.

[QUOTE]Подозрительный Человек написал:
А то, что спад - так это хорошо.[/QUOTE]
Не уверен. Многие антивирусные компании откидывают копыта - протягивают ласты.
Нет смысла не выгодно создавать новые компании.

Будущее за машинным обучением искусственным интеллектом - квантовыми PC ( в плане отлова зверья )

Перейти

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 12.12.2020 08:02:10

Вначале вирусы под BIOS\UEFI были больше как научный эксперимент. т.е. случаи единичные и лабораторные.
Сейчас случаи заражения могут идти на тысячи.
т.е. ситуация похожа на первые компьютерные "вирусы".

Сейчас сложно прогнозировать что будет дальше.

По поводу заработка на Пупкиных - "Один Пупки рубль - Десять Пупкиных червонец"
Сейчас продаётся\перепродаётся любая информация.

Дорого стоит новый\оригинальный вирус - а потом его продают\перепродают со скидкой, или вообще выкладывают в свободный доступ и т.д.
т.е. в конце концов распространяют вирус люди к его созданию не имеющие никакого отношения.
Есть деньги есть, вирус - купили\заказали\модифицировали.

т.е. если данный метод заражения окажется эффективным и прибыльным... последуют новые заказы.

Сейчас наблюдается спад активности обычных вирусов\угроз и народ несколько расслабился...

Изменено: RP55 RP55 - 12.12.2020 08:04:09

Перейти

Несколько вопросов о HIPS, Пробую его изучать, но есть некоторые моменты

Сообщений: 6239

Баллов: 4991

Регистрация: 25.05.2010

Размещено 11.12.2020 21:09:29

[QUOTE]Подозрительный Человек написал:
если БИОС перепрошить например, проблема исчезнет?[/QUOTE]
А как ?
Из под Системы или с Live CD может и не дать - если есть механизм самозащиты.
Через сам BIOS\UEFI - через настройки + usb с прошивкой ? Этой функции вообще может и не быть.
https://www.youtube.com/watch?v=DDSBRgOlPA0
Если есть DUAL BIOS
https://youtu.be/s3anyXAN2Uo
и т.д.
-------
Это всё нужно проверять и тестировать.
Если нет опыта - то пользователь сам без вируса прикончит РС

Перейти