Printable View
Здравствуйте. Виндовс корпоративная слетела и решил воспользоваться kms activatorom. Виндовс продлил, но вот Malwarebytes постоянно ругается на вирусы и они бесконечно появляются новые после удаления. Сделал всё по инструкции, через Autologger, но прикрепить архив не хватает места через Управление Вложенияеми
[url]https://ru.files.me/u/tuvsgp9zts[/url]
Уважаемый(ая) [B]normally[/B], спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].
[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
[url=http://virusinfo.info/showthread.php?t=130567]Удалите вложения[/url], относящиеся к самым старым темам.
[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe[/url]:[code]begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
DeleteFile('C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe', '');
DeleteService('ARWHVFRJ');
DeleteFileMask('c:\programdata\dcxegsjhaybk', '*', true);
DeleteDirectory('c:\programdata\dcxegsjhaybk');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.[/code]Компьютер перезагрузится.
Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.
Нажмите кнопку [B]Сканировать[/B].
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
В Управлении Приложения есть только Выделить всё, никаких удалить , del тоже не работает
Ели Malwarebytes до сих пор что-то находит, приложите лог ("Сохранить результаты - Текстовый файл (*.txt)").
Нашли вирусы
[QUOTE]PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTOFFERTHROUGHWUAU[/QUOTE]Это сейчас поправим.
[QUOTE]Malware.Sandbox.17, C:\USERS\GAMMYBE\DESKTOP\AUTOLOGGER\RSIT\RSIT.EXE,[/QUOTE]А это ложное срабатывание на компонент Autologger.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{C30FB2F5-43D2-4D49-B907-64F35C1E3AEE}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C9EEBB39-4A73-44CD-B151-68A0073CAF62}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{80708C80-893D-4DD6-864F-2AC4CB0F62FF}] => (Block) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{A05E9B5E-3873-4034-A157-F4353F2F2054}] => (Block) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
Reboot:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз [B]Исправить[/B] и подождите. Программа создаст лог-файл ([B]Fixlog.txt[/B]). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.
Ошибка BEGIN expected в позиции 1:1
[url]https://ru.files.me/u/7vsx9gd87c[/url]
Это не для AVZ, читайте внимательнее.
Никуда не вставлял, просто скопировал.
Далее:
Проверил Malwarebytes ругается только на
Файл: 1
Malware.Sandbox.17, C:\USERS\GAMMYBE\DESKTOP\AUTOLOGGER\RSIT\RSIT.EXE, Проигнорировано пользователем, 17, 0, 1.0.85685, 17, dds, 02862268, F890A05FB9A1E14BE1AE7A4157651FE9, 1E5742781DBA53EA7B583A8468C6BC496C1F1E52D80346092E18D56CFE677032
Про это уже писал. ничего опасного.
Удалим исключения защитника. прописанные трояном.
Выделите и скопируйте в буфер обмена следующий код:[CODE]Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\GammyBe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CreateRestorePoint:
End::[/CODE]Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
logfile прилагаю [url]https://ru.files.me/u/htwumrjekv[/url]
Скриптом почему-то не удалось, удалите исключения, которые были в предыдущем сообщении, вручную:
Параметры> обновления и безопасности > защита от вирусов.
Выберите"Управление настройками".
Выберите "Добавить или удалить исключения".
В списке текущих исключений выберите упомянутые и - "Удалить".
[url]https://ru.files.me/u/ze2aw6y289[/url]
Остались такие исключения.
KMSAuto "за что боролся на то и напоролся"...
Надо его удалять из исключений? я уже подумываю о новой системе.... Насколько пострадала система как то измерить можно?)
И как то теперь этот KMS вычистить реально, даже пускай если слетит лицензия виндовс...?
Оставьте, сам активатор не при чём, просто распространяют его "с нагрузкой" из майнепа. Всё, что было нехорошее, почистили.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
Загрузите, распакуйте на Рабочий стол и запустите [URL="https://yadi.sk/d/xIUtpEqJq4wru"]SecurityCheck by glax24 & Severnyj[/URL].
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши [B]Запуск от имени администратора[/B] (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например [I]C:\SecurityCheck\SecurityCheck.txt[/I].
Приложите этот файл к своему следующему сообщению.
[url]https://ru.files.me/u/6he4zrrxq9[/url]
Сделано
Также проверил Malwarebytes угроз не обнаружил.
[QUOTE][color=red][b]Автоматическое обновление отключено[/b][/color][/QUOTE]Сами отключали?
[QUOTE]WinRAR 6.11 (64-разрядная) v.6.11.0 [color=red][b]Внимание! [url=https://www.rarlab.com/download.htm]Скачать обновления[/url][/b][/color][/QUOTE]Обновите WinRar: [URL="https://www.anti-malware.ru/news/2023-10-16-111332/42116"]Российские хакеры используют недавнюю уязвимость в WinRAR[/URL].
[QUOTE]Java 8 Update 351 (64-bit) v.8.0.3510.10 [color=red][b]Внимание! [url=https://java.com/download/manual.jsp]Скачать обновления[/url][/b][/color]
[color=blue][b]^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^[/b][/color][/QUOTE]
И всё на этом.
WinRar обновил
Java 8 установил взамен старой
MalwareBytes проверка 0 вирусов!
Огромнейшее спасибо, я Вам в личные сообщения отписал!!!