[QUOTE] написал:
Скажите, исходя из каких соображений вы не выложили в открытый доступ утилиту по удалению клиента?[/QUOTE]

При определенных условиях (незакрытые уязвимости в системе, открытые "наружу" порты, легко подбираемые пароли и т.д.) есть риски взлома корпоративной сети со стороны злоумышленников, довольно много кейсов про шифрование документов на рабочих станциях или серверах начинается именно со взлома банальным брутфорсом и удаленного доступа в систему с последующим удалением антивируса и запуска вредоносного ПО. Утилита для удаления антивируса в открытом доступе, гипотетически, упростила бы такую задачу. Конечно, у нас нет задачи усложнить жизнь простым пользователям, но иногда излишняя осторожность не помешает.

[QUOTE] написал:
Что и требовалось доказать: такой антивирус нам не нужен.[/QUOTE]

Простите, такой - это какой? Пароль на архив с журналами нужен для того, чтобы если кто-то решит опубликовать свой журнал, к примеру, на том же самом форуме, его не смогли бы открыть посторонние люди. Не понимаю, что в этом плохого. Мы готовы предоставить вам пароль как нашему клиенту в индивидуальном порядке в личной переписке.

Николай, спасибо, сделайте контрольный лог FRST - cкачайте и запустите [URL=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/URL] (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите Подробнее - Выполнить в любом случае. И нажмите Scan/Сканировать. После окончания сканирования в папке, откуда запускалась программа, появятся файлы логов FRST.txt и Addition.txt, прикрепите их сюда.

И уточните, после выполнения последнего скрипта, продолжают ли в защитнике Windows появляться новые сообщения о вирусе? В списке угроз посмотрите по дате, когда было последнее обнаружение (оно должно быть в самом верху списка).

По дальнейшему лечению системы - выполните новый скрипт в FRST:

Запустите FRST.exe от имени Администратора. Скопируйте [B]новый файл[/B] скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, согласитесь перезаписать файл, закройте браузеры. Нажмите в FRST кнопку "Исправить". Скрипт автоматически внесёт необходимые изменения, система снова перезагрузится. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST.

[QUOTE] написал:
нет доступа к папкам "Мои видеозаписи" "Мои рисунки" "Моя музыка"[/QUOTE]

Под "Нет доступа" вы подразумеваете, что не можете удалить папки или они не открываются? Можете прислать скриншот, пожалуйста?

[QUOTE] написал:
На диске C есть ярлык "Documents and Setings" доступа у меня к нему нет. System Volume Information тоже не могу зайти. На диске С есть папка ProgramData в ней есть ярлык Application Data он тоже мне не доступен. [/QUOTE]

Это нормально, удалять их не нужно, в Windows 10 на смену этим папкам, которые имели место в Windows 7, пришли новые системные расположения. То что вы видите - системные ярлыки, необходимые для обратной совместимости. Удалять их не нужно, они есть на любом компьютере под управлением Windows 8 и старше.

[QUOTE] написал:
Троян, судя по заявлению defendera все еще в системе. [/QUOTE]

Здесь важно понаблюдать, появляются ли новые записи или только остались старые. Можете также прислать новый скриншот.

[QUOTE] написал:
Вашей команде было бы не плохо организовать онлайн курсы по правильной защите, что такое вирус, как проникает, как действует. Я бы на такие курсы с удовольствием записался бы (если цена будет приемлемая). И да конечно же я имею ввиду платные курсы. [/QUOTE]

Спасибо за идею, возможно, рано или поздно что-то подобное появится.

Здравствуйте! Спасибо за обратную связь, мы постараемся учесть ваши замечания по процессу активации. Что касается проблемы с кодировкой - иногда это случается на некоторых системах, мы работаем над глобальным решением. Чтобы исправить ошибку, проделайте, пожалуйста, инструкции из этой темы: https://forum.pro32.com/forum6/topic15/ Приносим извинения за доставленные неудобства.

[QUOTE] написал:
Fixlog.txt  (27.54 КБ)[/QUOTE]
Судя по логу, очистка прошла успешно. Проверьте, пожалуйста, будут ли появляться новые записи об угрозе.

[QUOTE] написал:
На рабочем столе есть две скрытые паки AutoLogger и AV_block_remover. Это паки PRO32?[/QUOTE]
Это было последствием заражения майнером Microsofthost. Майнер умышленно создает эти папки, делает скрытыми, и блокирует их для записи, чтобы пользователь не мог загрузить эти программы в папку загрузок и на рабочий стол. Они должны были очиститься скриптом FRST.

По логу uVS - VMMEM это, скорее всего, легальный элемент защиты системы от утечки данных.

По очистке в FRST:

Запустите FRST.exe от имени Администратора (если не запущен). Скопируйте файл скрипта fixlist.txt из вложения в папку, откуда запускается FRST.exe, браузер закройте. Нажмите в FRST кнопку "Исправить". Скрипт автоматически очистит систему, и перезагрузит ее. После перезагрузки системы добавьте файл Fixlog.txt из папки откуда запускали FRST.

AutoLogger и AV_block_remove не относятся к PRO32. Это каталоги программ для сбора логов соответственно программами AutoLogger и AVBR (видимо, вы скачивали их самостоятельно ранее).

[QUOTE] написал:
p.s. Вопрос: программа UVS блокируется pro32. Почему?  [/QUOTE]
Если при распаковке архива оставить имя целевой папки по умолчанию (uvs_v415), то детекта не должно быть.

[QUOTE] написал:
Угроз стало 13.[/QUOTE]
Вероятно, это одна и та же угроза, которая определяется по кругу.

Николай, наберитесь немного терпения, пожалуйста. Мы уже проделали бОльшую часть работы. Это ещё не окончательный скрипт лечения, а промежуточный этап, нужно было проверить, восстановится ли один из подозрительных элементов после выгрузки из памяти после перезагрузки компьютера, чтобы произвести очистку избирательно. После выполнения скрипта и перезагрузки нужен новый журнал uVS, как я писали ранее.

В скрипте была ошибка, только что обновил файл в предыдущем сообщении.

Выполните приложенный скрипт. Для этого повторно запустите uVS через start.exe, нажмите "Запустить под текущим пользователем", "Скрипт" - "Выполнить скрипт из файла" и укажите путь к приложенному файлу. После выполнения скрипта компьютер перезагрузится, соберите новый лог файл uVS и приложите здесь.

[QUOTE] написал:
После перезагрузки системы, еще раз запустите start,exe (от имени Администратора), текущий пользователь. Далее, меню "Файл" / Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Новый файл архива с образом автозапуска прикрепите сюда.[/QUOTE]
Николай, добрый день, нам не хватает журнала, собранного новой версией uVS (4.15.1)[I] [/I]после перезагрузки компьютера, как я писал выше. Добавьте, пожалуйста.

[QUOTE] написал:
В старой версии UVS выполнение скрипта не к чему не привело.[/QUOTE]
То есть компьютер не перезагрузился после выполнения скрипта?[QUOTE] написал:
p.s. UVS скачал.[/QUOTE]
Получается, скачать новую версию uVS всё же удалось? Попробуйте выполнить скрипт в ней, компьютер должен перезагрузиться. Затем снова запустите uVS и сохраните новый образ автозапуска.

Николай, спасибо, я не намекал на это, просто хотелось убедиться, что вы выполнили сканирование PRO32 с актуальными базами. По проблеме:

1. Пришлите лог сканирования PRO32, [U]из под обоих систем[/U] (проверим на всякий случай, не был ли файл уже ранее обнаружен и вылечен им): C:\ProgramData\K7 Computing\K7TSecurity\K7AntiVirus\K7Avlog.dat

2. Судя по логу uVS с зараженной системы, в ней ранее был майнер "micfosofthost", но сейчас от него остались лишь следы, сами вредоносные файлы очищены. Также подозрительным выглядит объект VMMEM (pid = 11932), но пока неясно, вредоносный он или нет. В момент сбора лога была ли запущена виртуальная машина?

3. Скачайте архив [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0]uVS новой версии 4.15.1[/URL] и распакуйте данный архив не меняя его имя, запустите файл Start.exe с правами администратора. В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора). Скопируйте скрипт (ниже) из браузера в буфер обмена, далее, в главном меню uVS выберите режим: "Скрипт-выполнить скрипт из буфера обмена"

Скрипт:

[I];uVS v4.15.1 [[/I][URL=http://dsrt.dyndns.org:8888][I]http://dsrt.dyndns.org:8888[/I][/URL][I]][/I]
[I];Target OS: NTv10.0[/I]
[I]v400c[/I]
[I]OFFSGNSAVE[/I]
[I]regt 39[/I]
[I]restart[/I]

После перезагрузки системы, еще раз запустите start,exe (от имени Администратора), текущий пользователь. Далее, меню "Файл" / Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar. Новый файл архива с образом автозапуска прикрепите сюда.

4. Скачайте и запустите [URL=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/]Farbar Recovery Scan Tool[/URL] (выберите программу для своей разрядности системы: 32-битную или 64-битную). Если появится предупреждение о запуске - нажмите Подробнее - Выполнить в любом случае. И нажмите Scan/Сканировать. После окончания сканирования в папке, откуда запускалась программа, появятся файлы логов FRST.txt и Addition.txt, прикрепите их сюда.

Николай, прежде всего, судя по присланному журналу, антивирус PRO32 не активирован и не обновляет базы данных модулей обнаружения. Не могли бы вы, пожалуйста, выполнить активацию, дождаться обновления, и запустить вручную полное сканирование компьютера при помощи PRO32? Рекомендации по результатам анализа журнала uVS отправим дополнительно. Спасибо.

[QUOTE] написал:
UVS не скачивается.[/QUOTE]
Попробуйте, пожалуйста, в другом браузере, к примеру в Microsoft Edge. Только что проверил - удалось скачать в нём архив. Заранее спасибо!

Елена Склярова, здравствуйте, мы уже выпустили обновление, которое должно исправить проблему автоматически. Речь шла не об отключении защиты, а о сбоях в работе одного из модулей у некоторых пользователей. В любом случае, приносим извинения за доставленные неудобства!

[QUOTE] написал:
Там в течении 5 минут отвечают![/QUOTE]
Техническую поддержку по продуктам ESET на территории России по-прежнему оказывает наша команда, не смотря на уход вендора с российского рынка. Другими словами, обратившись в техничкескую поддержку ESET вы попали бы к нам же. Купить новые лицензии на ESET в РФ больше невозможно, и сейчас мы развиваем и также поддерживаем наш новый продукт PRO32. Форум не является самым быстрым каналом связи, для оперативной консультации вы можете связаться с нами по телефону или по почте, контакты указаны здесь: [URL=https://pro32.com/ru/support/]https://pro32.com/ru/support/[/URL] Надеюсь на ваше понимание.

Николай Демтиров, добрый день!

1. На изображении с вашего скриншота есть надпись "Показать подробности", нажмите на неё и пришлите новый скриншот, пожалуйста.

2. Скачайте утилиту по ссылке: [URL=https://apps1.k7computing.com/Tools/dl/free-tools/K7DTL.exe]https://apps1.k7computing.com/Tools/dl/free-tools/K7DTL.exe[/URL]
После загрузки утилиты нажмите по файлу правой кнопкой мыши и выберите "Запуск от имени администратора". В открывшемся окне в поле "Enter Token ID" введите номер вашего обращения в техподдержку. После сбора журналов архив сохранится на рабочем столе. Пришлите его нам на анализ.

3. Щёлкните правой клавишей мышки по значку антивируса PRO32 в области системных уведомлений и выберите "Временно отключить защиту", к примеру, на 15 минут. Скачайте утилиту uVS по ссылке: [URL=http://dsrt.dyndns.org:8888/files/uvs_v414.zip]http://dsrt.dyndns.org:8888/files/uvs_v414.zip[/URL]

Распакуйте архив (щёлкните по скаченному файлу в браузере правой клавишей мышки и выберите "Показать в папке", затем щёлкните по архиву в списке скаченных файлов в папке загрузок и выберите "Извлечь всё"). Имя распакованной папки обязательно должно остаться по умолчанию - uvs_v414. Откройте распакованную папку и запустите файл Start.exe (согласитесь на запуск от имени администратора).

В стартовом окне программы - нажмите "запустить под текущим пользователем" (если текущий пользователь с правами администратора).

Выберите меню "Файл" - Сохранить Полный образ автозапуска. Дождитесь, пока процесс создания файла образа завершится. Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.

Файл архива с образом автозапуска также отправьте нам в ответном письме.

Юрий Лужков, здравствуйте! Проблема известна и возникает при определенных условиях у некоторых пользователей, скорее всего, дело в конфликте с другим ПО, установленным на компьютере. Мы работаем над устранением ошибки и в ближайшее время выпустим обновление. Приносим извинения за доставленные неудобства!

Ольга Балак, здравствуйте! Имя пользователя - это имя, которое вы задаете вручную при активации лицензии на каждом из компьютеров. К сожалению, если указать русскоязычные символы, то вместо них отобразятся знаки вопроса. Мы уже работаем над этим. Если при активации задать имя в английской раскладке, то на портале всё будет отображаться корректно.

Sergoonja, в разделе Стартовый экран - Файервол - Настройки - Приложения проверьте внизу наличие опции "Разрешить автоматически в течение следующих 7 дней". При выборе этого параметра для приложений автоматически разрешается доступ в Интернет. При выборе этого параметра файервол будет находиться в режиме обучения.

Smart Telecom, добрый день, напишите, пожалуйста, на электронный адрес техподдержки [URL=mailto:support@pro32.com]support@pro32.com[/URL] с описанием проблемы и указанием почты, на который вы регистрировали аккаунт.

Sergoonja, здравствуйте! Возможность установить режим обучения доступна в дополнительных настройках Файервола в первые дни после установки антивируса,  далее возможность выбрать эту опцию становится недоступной. У вас возникли проблемы, связанные с блокировкой сетевой активности приложений?

[QUOTE] написал:
А нету там такого подключения.[/QUOTE]
Зайдите во вкладку "Исключения" и нажмите "Добавить". Попробуйте создать разрешающее правило для протокола UDP в любом направлении без записи в журнал для диапазона удаленных адресов 192.168.0.0-192.168.255.255.

Степан Федоров, здравствуйте!

1. Откройте главное окно PRO32.
2. С левой стороны нажмите на пункт меню "Стартовый экран" далее справа  в пункте "Устройство защищено" выберите "Настройка защиты".
3. Далее спуститесь ниже до пункта "Файервол" и нажмите "Настройки"
4. В настройках файервола выберите вкладку  "Соединения". Нажмите по надписи "Публичная сеть", в открывшемся окне выберите "Домашняя сеть", нажмите "Oк". Сообщите о результате.

DeBob Bobby, здравствуйте, мы не можем публиковать его в открытом доступе. Обратитесь, пожалуйста, в техническую поддержку с указанием лицензионного ключа по адресу [URL=mailto:support@pro32.com]support@pro32.com[/URL]