KMS активатор Вирусы

**normally** · 10.06.2024, 01:37

Здравствуйте. Виндовс корпоративная слетела и решил воспользоваться kms activatorom. Виндовс продлил, но вот Malwarebytes постоянно ругается на вирусы и они бесконечно появляются новые после удаления. Сделал всё по инструкции, через Autologger, но прикрепить архив не хватает места через Управление Вложенияеми
https://ru.files.me/u/tuvsgp9zts

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.06.2024, 01:38

Уважаемый(ая) normally, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 10.06.2024, 07:42

Удалите вложения, относящиеся к самым старым темам.

Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:

Код:

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 DeleteFile('C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe', '');
 DeleteService('ARWHVFRJ');
 DeleteFileMask('c:\programdata\dcxegsjhaybk', '*', true);
 DeleteDirectory('c:\programdata\dcxegsjhaybk');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 2, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**normally** · 10.06.2024, 13:41

В Управлении Приложения есть только Выделить всё, никаких удалить , del тоже не работает

**Vvvyg** · 10.06.2024, 18:42

Ели Malwarebytes до сих пор что-то находит, приложите лог ("Сохранить результаты - Текстовый файл (*.txt)").

**normally** · 10.06.2024, 19:08

Нашли вирусы

**Vvvyg** · 10.06.2024, 21:05

PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTOFFERTHRO UGHWUAU

Это сейчас поправим.

Malware.Sandbox.17, C:\USERS\GAMMYBE\DESKTOP\AUTOLOGGER\RSIT\RSIT.EXE,

А это ложное срабатывание на компонент Autologger.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{C30FB2F5-43D2-4D49-B907-64F35C1E3AEE}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{C9EEBB39-4A73-44CD-B151-68A0073CAF62}] => (Allow) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{80708C80-893D-4DD6-864F-2AC4CB0F62FF}] => (Block) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
FirewallRules: [{A05E9B5E-3873-4034-A157-F4353F2F2054}] => (Block) C:\Program Files (x86)\Overwolf\0.251.1.1\OverwolfBrowser.exe => Нет файла
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен.

**normally** · 10.06.2024, 21:41

Ошибка BEGIN expected в позиции 1:1
https://ru.files.me/u/7vsx9gd87c

**Vvvyg** · 10.06.2024, 21:46

Это не для AVZ, читайте внимательнее.

**normally** · 10.06.2024, 22:06

Никуда не вставлял, просто скопировал.
Далее:
Проверил Malwarebytes ругается только на

Файл: 1
Malware.Sandbox.17, C:\USERS\GAMMYBE\DESKTOP\AUTOLOGGER\RSIT\RSIT.EXE, Проигнорировано пользователем, 17, 0, 1.0.85685, 17, dds, 02862268, F890A05FB9A1E14BE1AE7A4157651FE9, 1E5742781DBA53EA7B583A8468C6BC496C1F1E52D80346092E 18D56CFE677032

**Vvvyg** · 11.06.2024, 07:39

Про это уже писал. ничего опасного.

Удалим исключения защитника. прописанные трояном.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
StartPowerShell:
Remove-MpPreference -ExclusionPath "C:\Users\GammyBe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
CreateRestorePoint:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

**normally** · 11.06.2024, 11:52

logfile прилагаю https://ru.files.me/u/htwumrjekv

**Vvvyg** · 11.06.2024, 13:15

Скриптом почему-то не удалось, удалите исключения, которые были в предыдущем сообщении, вручную:

Параметры> обновления и безопасности > защита от вирусов.
Выберите"Управление настройками".
Выберите "Добавить или удалить исключения".
В списке текущих исключений выберите упомянутые и - "Удалить".

**normally** · 11.06.2024, 13:33

https://ru.files.me/u/ze2aw6y289
Остались такие исключения.
KMSAuto "за что боролся на то и напоролся"...
Надо его удалять из исключений? я уже подумываю о новой системе.... Насколько пострадала система как то измерить можно?)
И как то теперь этот KMS вычистить реально, даже пускай если слетит лицензия виндовс...?

**Vvvyg** · 11.06.2024, 15:37

Оставьте, сам активатор не при чём, просто распространяют его "с нагрузкой" из майнепа. Всё, что было нехорошее, почистили.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**normally** · 11.06.2024, 20:02

https://ru.files.me/u/6he4zrrxq9
Сделано
Также проверил Malwarebytes угроз не обнаружил.

**Vvvyg** · 11.06.2024, 21:12

Автоматическое обновление отключено

Сами отключали?

WinRAR 6.11 (64-разрядная) v.6.11.0 Внимание! Скачать обновления

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

Java 8 Update 351 (64-bit) v.8.0.3510.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u411-windows-x64.exe - Windows Offline (64-bit))^

И всё на этом.

**normally** · 11.06.2024, 22:29

WinRar обновил
Java 8 установил взамен старой
MalwareBytes проверка 0 вирусов!
Огромнейшее спасибо, я Вам в личные сообщения отписал!!!

KMS активатор Вирусы (заявка № 228603)

Опции темы