Помогите с лечением [HackTool.Win32.KMSAuto.gt, not-a-virus:RiskTool.Win32.HackKMS.gl]

Помогите с лечением

Уважаемый(ая) [B]Kaiman40[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Здравствуйте!

Хорошо бы больше подробностей - что именно беспокоит?

Доброго дня.
Подозрение на удаленное подключение и перехват управления компьютером.

Вижу, Reimage Repair сегодня установлена. Для какой цели? Относится к нежелательному ПО, поэтому деинсталлируйте.


[URL="http://virusinfo.info/showthread.php?t=130828"][b]Временно[/b] отключите защитное ПО[/URL].
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]:

[CODE]begin
ExecuteRepair(20);
RebootWindows(false);
end.
[/CODE]

Компьютер [U]перезагрузится[/U].


Затем:
[LIST][*]Скачайте [B][URL="https://toolslib.net/downloads/viewdownload/1-adwcleaner/"]AdwCleaner (by Malwarebytes)[/URL][/B] и сохраните его на [B]Рабочем столе[/B].[*]Запустите его (необходимо запускать через правую кн. мыши [B]от имени администратора[/B]), нажмите кнопку [B]"Scan"[/B] ([B]"Сканировать"[/B]) и дождитесь окончания сканирования.[*]Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[/LIST]

Прикрепляю лог сканера

1.[LIST][*]Запустите повторно [COLOR="Blue"][B]AdwCleaner (by Malwarebytes)[/B][/COLOR] (программу необходимо запускать через правую кн. мыши [B]от имени администратора[/B]).[*]В меню [b]Параметры[/b] включите дополнительно в разделе [b]Действия по базовому восстановлению[/b]:
[list][*]Сбросить политики IE[*]Сбросить политики Chrome[/list][*]В меню [B]Информационная панель[/B] нажмите [B]Сканировать[/B].[*]По окончании нажмите кнопку [B]Карантин[/B] и дождитесь окончания удаления.[*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: [B][COLOR="Blue"]C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt[/COLOR][/B] (где x - любая цифра).[*]Прикрепите отчет к своему следующему сообщению.[*](Обратите внимание - C и S - это разные буквы).[/LIST]
[B]Внимание: [COLOR="Red"]Для успешного удаления нужна [U]перезагрузка компьютера[/U]!!![/COLOR][/B].


2.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] (или с [url=http://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/]зеркала[/url]) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку [B]Scan[/B].
После окончания сканирования будут созданы отчеты [B]FRST.txt[/B] и [B]Addition.txt[/B] в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Логи сканирования

Файл AdwCleaner[C01].txt тоже покажите.

[B]Примите к сведению[/B] - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
[List][*] Отключите до перезагрузки антивирус.[*] Выделите следующий код:
[code]Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1488533549-4178916085-2426261035-1002\...\MountPoints2: D - D:\HiSuiteDownLoader.exe
HKU\S-1-5-21-1488533549-4178916085-2426261035-1002\...\MountPoints2: {9e1ada81-e538-11e9-8194-00f48d984cae} - F:\HiSuiteDownLoader.exe
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::[/code]
[*] Скопируйте выделенный текст (правой кнопкой - Копировать).[*] Запустите FRST (FRST64) от имени администратора.[*] Нажмите [B]Fix[/B] один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.[/List]
Компьютер будет перезагружен автоматически.

Прикрепляю логи

Программ удаленного управления в логах не замечено. Что ещё беспокоит?

Подскажите, а следы вообще были? Точно уверен что удаленное подключение и ограничивание учетной записи
было.

На чём основана ваша уверенность?


[quote="Kaiman40;1509533"]следы вообще были?[/quote]
Были следы [url=https://ru.wikipedia.org/wiki/Adware]адвари[/url].

очень смущает файл в папке C:\usr\snmp\persist snmpapp.conf с содержимым


#
# net-snmp (or ucd-snmp) persistent data file.
#
############################################################################
# STOP STOP STOP STOP STOP STOP STOP STOP STOP
#
# **** DO NOT EDIT THIS FILE ****
#
# STOP STOP STOP STOP STOP STOP STOP STOP STOP
############################################################################
#
# DO NOT STORE CONFIGURATION ENTRIES HERE.
# Please save normal configuration tokens for snmpapp in SNMPCONFPATH/snmpapp.conf.
# Only "createUser" tokens should be placed here by snmpapp administrators.
# (Did I mention: do not edit this file?)
#
engineBoots 256
oldEngineID 0x80001f8880ab040000f5bfbf5b00000000

Нет причин для беспокойства.

Для ещё бОльшей уверенности проделайте завершающие шаги:
1.[LIST][*]Пожалуйста, запустите adwcleaner.exe[*]В меню [B]Параметры[/B] прокрутите вниз и выберите [B]Удалить[/B].[/LIST]

Переименуйте FRST.exe (или FRST64.exe) в [B]uninstall.exe[/B] и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.[LIST][*]Загрузите [B][URL=https://www.comss.ru/page.php?id=1813]SecurityCheck by glax24 & Severnyj[/URL][/B], сохраните утилиту на [I]Рабочем столе[/I] и извлеките из архива.[*]Запустите двойным щелчком мыши (если Вы используете [I]Windows XP[/I]) или из меню по щелчку правой кнопки мыши [I]Запустить от имени администратора[/I] (если Вы используете [I]Windows Vista/7/8/8.1/10[/I])[*]Если увидите [U]предупреждение от вашего фаервола или SmartScreen[/U] относительно программы SecurityCheck, не блокируйте ее работу[*]Дождитесь окончания сканирования, откроется лог в блокноте с именем [B]SecurityCheck.txt[/B][*]Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем [I]SecurityCheck[/I], например [I][COLOR="Blue"]C:\SecurityCheck\SecurityCheck.txt[/COLOR][/I][*]Прикрепите этот файл к своему следующему сообщению.[/LIST]

Лог

------------------------------- [ Windows ] -------------------------------
[color=red][b]Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз[/b][/color]
Internet Explorer 11.0.9600.19180 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4537820]Скачать обновления[/url][/b][/color]
[color=red][b]Контроль учётных записей пользователя [b]отключен[/b][/b][/color]
[color=blue][b]^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^[/b][/color]
[color=red][b]Автоматическое обновление отключено[/b][/color]
Учетная запись гостя включена. Пароль не установлен.
------------------------------- [ HotFix ] --------------------------------
HotFix KB4012212 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4012212]Скачать обновления[/url][/b][/color]
HotFix KB4499175 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4474419]Скачать обновления[/url][/b][/color]
HotFix KB4490628 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4490628]Скачать обновления[/url][/b][/color]
HotFix KB4512486 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4512486]Скачать обновления[/url][/b][/color]
HotFix KB4474419 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=4474419]Скачать обновления[/url][/b][/color]
HotFix KB4539602 [color=red][b]Внимание! [url=https://www.catalog.update.microsoft.com/Search.aspx?q=KB4539602]Скачать обновления[/url][/b][/color]
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
[color=red][b]Отключен доменный профиль Брандмауэра Windows[/b][/color]
[color=red][b]Отключен общий профиль Брандмауэра Windows[/b][/color]
[color=red][b]Отключен частный профиль Брандмауэра Windows[/b][/color]
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft .NET Framework 4.7.2 v.4.7.03062 [color=red][b]Внимание! [url=https://dotnet.microsoft.com/download/dotnet-framework/net48]Скачать обновления[/url][/b][/color]
Microsoft Silverlight v.5.1.50907.0 [color=red][b]Внимание! [url=https://www.microsoft.com/getsilverlight/Get-Started/Install/Default.aspx]Скачать обновления[/url][/b][/color]
Foxit Reader v.9.3.0.10826 [color=red][b]Внимание! [url=https://www.foxitsoftware.com/ru/pdf-reader/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Локализованные версии могут обновляться позже англоязычных!^[/b][/color]
Microsoft Office профессиональный плюс 2010 v.14.0.6029.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
Microsoft Office Professional Plus 2010 v.14.0.6029.1000 [color=red][b]Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до [url=https://products.office.com/ru-ru/]последней версии[/url] или используйте [url=https://products.office.com/ru-RU/office-online/]Office Online[/url] или [url=https://ru.libreoffice.org/download/]LibreOffice[/url][/b][/color]
OpenOffice 4.1.6 v.4.16.9790 [color=red][b]Внимание! [url=https://www.openoffice.org/download/index.html]Скачать обновления[/url][/b][/color]
-------------------------------- [ Arch ] ---------------------------------
7-Zip 18.05 (x64) v.18.05 [color=red][b]Внимание! [url=https://www.7-zip.org/download.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию, скачайте и установите новую.^[/b][/color]
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.45505 [color=red][b]Внимание! Клиент сети P2P![/b][/color] Может содержать [color=blue]рекламные модули или использоваться для скачивания нежелательного контента[/color].
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 31 ActiveX & Plugins 64-bit v.31.0.0.153 [color=red][b]Внимание! [url=http://download.macromedia.com/pub/flashplayer/latest/help/install_flash_player_ax.exe]Скачать обновления[/url][/b][/color]
[color=blue][b]^[b][url=https://helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html]Удалите старую версию[/url][/b] и установите новые Flash Player ActiveX и Flash Player Plugin^[/b][/color]
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 69.0.2 (x64 ru) v.69.0.2 [color=red][b]Внимание! [url=https://www.mozilla.org/ru/firefox/all/]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Firefox!^[/b][/color]
Google Chrome v.71.0.3578.80 [color=red][b]Внимание! [url=https://www.google.ru/chrome/browser/desktop/index.html]Скачать обновления[/url][/b][/color]
[color=blue][b]^Проверьте обновления через меню Справка - О Google Chrome!^[/b][/color]
---------------------------- [ UnwantedApps ] -----------------------------
UmmyVideoDownloader v.1.10.3.1 [color=red][b]Внимание! Подозрение на Adware![/b][/color] Если данная программа Вам неизвестна, [color=blue][b]рекомендуется ее деинсталляция и сканирование ПК с помощью [url=https://www.malwarebytes.org/mwb-download/]Malwarebytes Anti-Malware[/url] и [URL=https://ru.malwarebytes.com/adwcleaner/]Malwarebytes AdwCleaner[/URL][/b][/color] [i]Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!![/i]


Всё перечисленное влияет на безопасность. Рекомендуется исправить/обновить.

Читайте [URL="http://virusinfo.info/showthread.php?t=121902"][b]Советы и рекомендации после лечения компьютера.[/b][/URL]

Огромнейшее спасибо, как я могу Вас отблагодарить? И еще , не подскажите, есть ли какие-нибудь методики на определение подменой виртуальной машины?

[quote="Kaiman40;1509546"]определение подменой виртуальной машины?[/quote]
Поясните.

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:
[LIST][*]=CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: [B]1[/B][*]=CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: [B]19[/B][*]=C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
=E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
[LIST=3D1][*] c:\windows\kmsauto.exe - [B]not-a-virus:RiskTool.Win32.HackKMS.g=
l[/B][*] c:\windows\kmsem\kmservice.exe - [B]HackTool.Win32.KMSAuto.gt[/=
B][/LIST][/LIST]