KMS активатор Вирус
Здравствуйте, после активировации Виндовс ,воспользовавшись kms activator, Malwarebytes постоянно ругается на вирус (snxixaqsteid.exe)и его нельзя удалить ,антивирус постоянно кидает его в карантин и он снова появляется,помогите пожалуйста решить проблему.
Последний раз редактировалось bfg; 31.07.2024 в 11:22.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) bfg, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Выполните скрипт в AVZ из папки Autologger\AV\av_z.exe:Компьютер перезагрузится.Код:begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); DeleteFile('C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe', '64'); DeleteService('ARWHVFRJ'); DeleteFileMask('c:\programdata\dcxegsjhaybk', '*', true); DeleteDirectory('c:\programdata\dcxegsjhaybk'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); DeleteSchedulerTask('ASUS\P508PowerAgent_sdk'); ExecuteSysClean; ExecuteWizard('SCU', 2, 2, true); RebootWindows(true); end.
Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.
Нажмите кнопку Сканировать.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
WBR,
Vadim
Результаты скана
Последний раз редактировалось bfg; 31.07.2024 в 11:19.
Есть ощущение, что KMS активатор и восстанавливает майнер. Посмотрим.
Выделите и скопируйте в буфер обмена следующий код:Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: (Microsoft Windows -> Microsoft Corporation) C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Parallels International GmbH -> ) [Файл не подписан] C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe CloseProcesses: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ S2 ARWHVFRJ; C:\ProgramData\dcxegsjhaybk\snxixaqsteid.exe [5268288 2024-07-31] (Parallels International GmbH -> ) [Файл не подписан] <==== ВНИМАНИЕ 2024-07-31 10:29 - 2024-07-31 10:29 - 000000000 ____D C:\ProgramData\dcxegsjhaybk FirewallRules: [{943A0296-51F5-4B92-87E8-45E39B0ED6E0}] => (Allow) D:\program files\asus\aacambienthal\aacambientlighting.exe => Нет файла File: C:\ProgramData\Auto\KMSAuto.exe ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions Reboot: End::
Компьютер будет перезагружен.
Отключите временно встроенный антивирус ("Защитник") - у него ложное срабатывание на компоненты используемой далее программы.
Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.
WBR,
Vadim
Результаты
Вроде избавились.
Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):Запустите файл start_x64.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.Код:;uVS v4.99.0v x64 [http://dsrt.dyndns.org:8888] ;Target OS: NTv11.0 v400c sreg delref WD_EXCLUSION:\.EXE delref %SystemDrive%\PROGRAMDATA delref %Sys32%\CONFIG\SYSTEMPROFILE apply areg deltmp restart
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
WBR,
Vadim
Результат скан-лог
Сделайте для контроля новые логи Farbar Recovery Scan Tool.
WBR,
Vadim
Сделал
Выделите и скопируйте в буфер обмена следующий код:Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.Код:Start:: StartPowerShell: Remove-MpPreference -ExclusionExtension ".exe" EndPowerShell: ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions End::
WBR,
Vadim
fixlog
Порядок.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.
WBR,
Vadim
Проблема решена ,благодарю Вас за помощь, отписал в ЛССообщение от Vvvyg
Уважаемый(ая) bfg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
