[QUOTE] написал:
Решения данные выше не помогают[/QUOTE]
Отправьте, пожалуйста, запрос на адрес техподдержки, в описании проблемы опишите действия, которые уже пробовали выполнить. Как правило, для русскоязычных систем, всегда помогает самое первое сообщение в этой ветке, если не помогло - убедитесь, что всё выполнили в точности как описано, и отправьте запрос на адрес [URL=mailto:support@pro32.com]support@pro32.com[/URL]. Будем разбираться более детально. В запросе также уточните версию и название дистрибутива, который используете.

Попробуйте сделать обычное полное сканирование, пожалуйста, этого должно быть достаточно для оценки результата. Тот факт, что угрозы остались только за предыдущие даты уже говорит о том, что угроза более не актуальна, но чтобы убедиться наверняка, полного сканирования из под работающей системы будет достаточно.

[QUOTE] написал:
правда на винде в английском языке системы[/QUOTE]

Здравствуйте, Михаил. Попробуйте следующую инструкцию:

1. Откройте Region and Language.
Start → Control Panel → Region and Language;
2. В ниспадающем списке под словом Format : выберите любое значение отличающееся
от вашего (Например: English (Belize)) и нажмите кнопку Apply;
3. В ниспадающем списке под словом Format : выберите значение Russian (Russia) и
нажмите кнопку Apply;
4. Перейдите на вкладку Keyboards and Languages и нажмите на кнопку Change keyboards;
5. Выделите раскладку клавиатуры, соответствующую языку, выбранному Вами на втором
шаге (например: English (Belize)) и нажмите кнопку Remove;
6. Нажмите кнопку ОК и еще раз кнопку ОК для применения настроек.

Сообщите о результате, пожалуйста.

[QUOTE] написал:
при установке на удаленную машину по vnc соединение обрывается и связь[/QUOTE]

Если по требованиям к удаленной установке встроенными средствами консоли удаленного администрирования есть технические ограничения, опишите подробнее процесс установки Ultimate Security, на каком этапе возникает ошибка, и другие детали. Мы постараемся помочь обойти ошибку.

Удаленная установка возможна и входит в стандартный функционал продукта PRO32 Endpoint Security Standard:
[URL=https://pro32.com/ru/business/pro32-antivirus/endpoint-security/]https://pro32.com/ru/business/pro32-antivirus/endpoint-security/[/URL]

[QUOTE] написал:
Полное сканирование он сделал. А вот автономное не хочет делать.[/QUOTE]

Из справки: "Этот параметр позволяет перезапустить Windows и выполнить сканирование до полной загрузки операционной системы". Я не уверен, что это вам необходимо, но сканирование такого типа запускается при перезагрузке компьютера.

[QUOTE] написал:
А где Difender сохраняет отчеты сканирования?[/QUOTE]

Вероятно, в разделе "Параметры сканирования - Журнал защиты".

Попробуйте запустить полное сканирование вот так:

Здравствуйте, давайте для начала проверим, разрешен ли доступ в сеть для приложения в настройках файервола. Нажмите "Стартовый экран" - "Настройки защиты". Рядом с пунктом "Файервол" нажмите "Настройки", выберите вкладку "Приложения", найдите Moonlight и установите для него значение "Разрешить".

Добрый день! Сколько у вас компьютеров, которые вы хотели бы защитить антивирусом? Возможно, вам подошла бы корпоративная версия продукта с консолью удаленного администрирования и возможностью штатной удалённой установки?

[QUOTE] написал:
Но если допускается, можно еще раз выполнить скрипт? [/QUOTE]

Давайте выполним на всякий случай повторно, чтобы быть уверенным наверняка. Чтобы не запутаться, повторно прикладываю актуальный скрипт.

[QUOTE] написал:
После перезагрузки началась настройка WINDOWS.[/QUOTE]

Кроме того, вы не прикрепили файл Fixlog.txt из папки откуда запускали FRST после перезагрузки системы. Приложите, пожалуйста.

Посмотрите подписи к обнаружениям, самые последние датируются 23 января. Вероятно, эти записи уже не актуальны. Как я вижу по скриншоту, новых записей за последние дни не появляется? Для теста можете запустить вручную полное сканирование Защитником Windows, чтобы проверить, есть ли активные угрозы на текущий момент.

Поняли, в чем была ошибка - неверная кодировка, поэтому скрипт не отрабатывал полностью. Прикладываю новый скрипт для разблокировки папок, с последующей перезагрузкой. После перезагрузки необходимы новые логи FRST и Fixlog.txt для контрольной проверки.

[QUOTE] написал:
как возможность пользоваться утилитой только в безопасном режиме влияет на ее размещение в открытом доступе?[/QUOTE]

В приведенном мной примере про удаленный взлом сервера - удалить ESET утилитой при условии наличия пароля было бы затруднительно, так как для этого потребовалось бы загружать систему в безопасном режиме. Возможно, со временем мы также перейдём к похожей схеме, если разработчики сочтут её более удобной и безопасной. Сказать наверняка пока затрудняюсь.

[QUOTE] написал:
Ни времени, ни возможностей вести переписку с саппортом у меня не было.[/QUOTE]

В переписке выше мы также указали вам наш бесплатный номер, как раз для такого рода ситуаций, когда нет времени ждать ответа по электронной почте.

[QUOTE] написал:
Я открою страшную тайну: в нормальных сетях пользователи, включая IT отдел, не работают с правами администратора.[/QUOTE]

Разумеется, это правильный подход. Я не спорю с вами.

[QUOTE] написал:
Я слабо представляю, как это можно взломать, кроме как с применением терморектального криптоанализа.[/QUOTE]

Имелись в виду инциденты, подобные этому: [URL=https://sts.kz/2022/04/11/hakery-trebujut-vykup-kriptovaljutoj/]https://sts.kz/2022/04/11/hakery-trebujut-vykup-kriptovaljutoj/[/URL] В вашей организации, такой сценарий, надеюсь, неосуществим. Но это не значит, что подобное не может произойти с нашими другими пользователя.

[QUOTE] написал:
А мчаться в офис 50 км, чтобы отправить запрос в ваш саппорт..[/QUOTE]

Вы уже пробовали связаться с нами, для отправки утилиты сотрудники потребовали указать лицензионный ключ? Мы можем также идентифицировать вас по электронному адресу, на мой взгляд, если нет возможности предоставить лицензионный ключ, мы смогли бы найти вас по базе таким образом.

[QUOTE] написал:
И я слабо понимаю, чем утилита от ESET страшнее и хужее и опаснее вашей утилиты, которая позволила удалить клиента?[/QUOTE]

Не совсем понял ваш вопрос, но по поводу отличия утилиты, повторюсь - зачастую ей удается воспользоваться только в безопасном режиме. Поэтому, её публикация в открытом доступе несет меньше рисков.

[QUOTE] написал:
Кстати, MS Windows достаточно сурово разграничивает права пользователей.И пользователь без прав локального администратора не сможет удалить ПО в принципе.[/QUOTE]

В приведенном мной примере речь идёт как про взлом учётной записи администратора со всеми последствиями.


[QUOTE] написал:
Чтобы не загружать своими запросами с указанием лицензионного ключа ваш саппорт[/QUOTE]

По электронной почте мы отвечаем довольно оперативно, опять же, не понимаю, зачем рисковать и скачивать утилиту из неофициальных источников если есть официальный канал связи - техподдержка.

[QUOTE] написал:
То есть, внедрить защиту паролем на функции удаления\настройки, как это сделано в ESET, вам в голову не пришло?[/QUOTE]

На примере ESET - их утилита для удаления позволяет деинсталировать, в том числе, запароленный антивирус. Да, при определенных настройках программы это можно сделать только в безопасном режиме, но, тем не менее.

[QUOTE] написал:
Скажите, исходя из каких соображений вы не выложили в открытый доступ утилиту по удалению клиента?[/QUOTE]

При определенных условиях (незакрытые уязвимости в системе, открытые "наружу" порты, легко подбираемые пароли и т.д.) есть риски взлома корпоративной сети со стороны злоумышленников, довольно много кейсов про шифрование документов на рабочих станциях или серверах начинается именно со взлома банальным брутфорсом и удаленного доступа в систему с последующим удалением антивируса и запуска вредоносного ПО. Утилита для удаления антивируса в открытом доступе, гипотетически, упростила бы такую задачу. Конечно, у нас нет задачи усложнить жизнь простым пользователям, но иногда излишняя осторожность не помешает.

[QUOTE] написал:
Что и требовалось доказать: такой антивирус нам не нужен.[/QUOTE]

Простите, такой - это какой? Пароль на архив с журналами нужен для того, чтобы если кто-то решит опубликовать свой журнал, к примеру, на том же самом форуме, его не смогли бы открыть посторонние люди. Не понимаю, что в этом плохого. Мы готовы предоставить вам пароль как нашему клиенту в индивидуальном порядке в личной переписке.

Николай, спасибо, сделайте контрольный лог FRST - cкачайте и запустите [URL=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/URL] (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите Подробнее - Выполнить в любом случае. И нажмите Scan/Сканировать. После окончания сканирования в папке, откуда запускалась программа, появятся файлы логов FRST.txt и Addition.txt, прикрепите их сюда.

И уточните, после выполнения последнего скрипта, продолжают ли в защитнике Windows появляться новые сообщения о вирусе? В списке угроз посмотрите по дате, когда было последнее обнаружение (оно должно быть в самом верху списка).

По дальнейшему лечению системы - выполните новый скрипт в FRST:

Запустите FRST.exe от имени Администратора. Скопируйте [B]новый файл[/B] скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, согласитесь перезаписать файл, закройте браузеры. Нажмите в FRST кнопку "Исправить". Скрипт автоматически внесёт необходимые изменения, система снова перезагрузится. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST.

[QUOTE] написал:
нет доступа к папкам "Мои видеозаписи" "Мои рисунки" "Моя музыка"[/QUOTE]

Под "Нет доступа" вы подразумеваете, что не можете удалить папки или они не открываются? Можете прислать скриншот, пожалуйста?

[QUOTE] написал:
На диске C есть ярлык "Documents and Setings" доступа у меня к нему нет. System Volume Information тоже не могу зайти. На диске С есть папка ProgramData в ней есть ярлык Application Data он тоже мне не доступен. [/QUOTE]

Это нормально, удалять их не нужно, в Windows 10 на смену этим папкам, которые имели место в Windows 7, пришли новые системные расположения. То что вы видите - системные ярлыки, необходимые для обратной совместимости. Удалять их не нужно, они есть на любом компьютере под управлением Windows 8 и старше.

[QUOTE] написал:
Троян, судя по заявлению defendera все еще в системе. [/QUOTE]

Здесь важно понаблюдать, появляются ли новые записи или только остались старые. Можете также прислать новый скриншот.

[QUOTE] написал:
Вашей команде было бы не плохо организовать онлайн курсы по правильной защите, что такое вирус, как проникает, как действует. Я бы на такие курсы с удовольствием записался бы (если цена будет приемлемая). И да конечно же я имею ввиду платные курсы. [/QUOTE]

Спасибо за идею, возможно, рано или поздно что-то подобное появится.

Здравствуйте! Спасибо за обратную связь, мы постараемся учесть ваши замечания по процессу активации. Что касается проблемы с кодировкой - иногда это случается на некоторых системах, мы работаем над глобальным решением. Чтобы исправить ошибку, проделайте, пожалуйста, инструкции из этой темы: https://forum.pro32.com/forum6/topic15/ Приносим извинения за доставленные неудобства.

[QUOTE] написал:
Fixlog.txt  (27.54 КБ)[/QUOTE]
Судя по логу, очистка прошла успешно. Проверьте, пожалуйста, будут ли появляться новые записи об угрозе.

[QUOTE] написал:
На рабочем столе есть две скрытые паки AutoLogger и AV_block_remover. Это паки PRO32?[/QUOTE]
Это было последствием заражения майнером Microsofthost. Майнер умышленно создает эти папки, делает скрытыми, и блокирует их для записи, чтобы пользователь не мог загрузить эти программы в папку загрузок и на рабочий стол. Они должны были очиститься скриптом FRST.

По логу uVS - VMMEM это, скорее всего, легальный элемент защиты системы от утечки данных.

По очистке в FRST:

Запустите FRST.exe от имени Администратора (если не запущен). Скопируйте файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, браузер закройте. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST.

AutoLogger и AV_block_remove не относятся к PRO32. Это каталоги программ для сбора логов соответственно программами AutoLogger и AVBR (видимо, вы скачивали их самостоятельно ранее).

[QUOTE] написал:
p.s. Вопрос: программа UVS блокируется pro32. Почему?  [/QUOTE]
Если при распаковке архива оставить имя целевой папки по умолчанию (uvs_v415), то детекта не должно быть.

[QUOTE] написал:
Угроз стало 13.[/QUOTE]
Вероятно, это одна и та же угроза, которая определяется по кругу.

Николай, наберитесь немного терпения, пожалуйста. Мы уже проделали бОльшую часть работы. Это ещё не окончательный скрипт лечения, а промежуточный этап, нужно было проверить, восстановится ли один из подозрительных элементов после выгрузки из памяти после перезагрузки компьютера, чтобы произвести очистку избирательно. После выполнения скрипта и перезагрузки нужен новый журнал uVS, как я писали ранее.

В скрипте была ошибка, только что обновил файл в предыдущем сообщении.

Выполните приложенный скрипт. Для этого повторно запустите uVS через start.exe, нажмите "Запустить под текущим пользователем", "Скрипт" - "Выполнить скрипт из файла" и укажите путь к приложенному файлу. После выполнения скрипта компьютер перезагрузится, соберите новый лог файл uVS и приложите здесь.