Компьютер перезагружается [HackTool.Win32.KMSAuto.er]

[GreenJhon]

В режиме чистой загрузки проблема остается.
Если в службах отключить все службы (включая службы Microsoft) - перезагрузок не происходит, компьютер работает, но не дает установить антивирусные программы.

[SQ]

А какие службы Microsoft вы включаете?

[GreenJhon]

Отключал вообще все (оставалось работать Клиент групповой политики и Сопоставитель контрольных точек RPC)

[SQ]

А если отключить только службы Bits и Windows Update проблема воспроизводиться?

[GreenJhon]

Отключил только их. Перегружался, только время до перезагрузки увеличилось. Успел поставить Kaspersky Internet Security. Он снес активную угрозу. Поставил полную проверку. Пришел с обеда - на рабочем столе только заставка (ярлыков и кнопки пуск нет). На клавиатуре при нажатии клавиш Num Lock, Caps Lock светодиоды гаснут и зажигаются - значит не висит, но на Ctrl+Alt+Del реакции нет. Перезагрузил с кнопки - касперский пишет подготовка к запуску программы, но не запускается! Но и не перегружается...

[SQ]

Успел поставить Kaspersky Internet Security. Он снес активную угрозу. Поставил полную проверку.

Какую угрозу он снес, вы успели записать?

Могли бы в безопасном режиме просканировать ПК утилитой KVRT и сообщить результат сканирования?

- - - - -Добавлено - - - - -

- Покажите лог TDSSKiller
Файл C:\TDSSKiller.***_log.txt приложите в теме.
(где *** - версия программы, дата и время запуска.)

P.S. Пожалуйста только самостоятельно ничего не удаляйте, так как при удаление угрозы в случае ложного срабатывание ПК может не запуститься более.

[GreenJhon]

В безопасном режиме получил из касперского информацию об удаленных файлах:

20.11.2018 12.25.40 Обнаруженный объект (файл) удален C:\Windows\kmsem\Shadow.KMS Файл: C:\Windows\kmsem\Shadow.KMS Название объекта: HackTool.Win32.KMSAuto.en Тип объекта: Вредоносная утилита Время: 20.11.2018 12:25
20.11.2018 12.23.00 Обнаруженный объект (файл) удален C:\Windows\kmsem\KMService.exe Файл: C:\Windows\kmsem\KMService.exe Название объекта: not-a-virus:RiskTool.Win32.HackKMS.c Тип объекта: Легальная программа, которая может быть использована злоумышленниками для нанесения вреда компьютеру или данным пользователя Время: 20.11.2018 12:23

Утилита KVRT проверила 5020 объектов и ничего не нашла.
лог TDSSKiller во вложении

[SQ]

В безопасном режиме получил из касперского информацию об удаленных файлах:

20.11.2018 12.25.40 Обнаруженный объект (файл) удален C:\Windows\kmsem\Shadow.KMS Файл: C:\Windows\kmsem\Shadow.KMS Название объекта: HackTool.Win32.KMSAuto.en Тип объекта: Вредоносная утилита Время: 20.11.2018 12:25
20.11.2018 12.23.00 Обнаруженный объект (файл) удален C:\Windows\kmsem\KMService.exe Файл: C:\Windows\kmsem\KMService.exe Название объекта: not-a-virus:RiskTool.Win32.HackKMS.c Тип объекта: Легальная программа, которая может быть использована злоумышленниками

Это файлы активатора Windows или продуктов Microsoft. Скорее всего проблема не в вирусах, так как в логах ничего плохого не увидел.

[GreenJhon]

Хм.. Компьютер очень медленно определяет сеть. Была мысль накатить систему в режиме обновления, но на этапе проверки совместимости компьютер перегрузился. В какую сторону копать?

[SQ]

Проверьте целостность образа Windows:

Код:

Dism /Online /Cleanup-Image /ScanHealth

P.S. Обратите внимание, если у Вас ОС не лицензионное, то после восстановления образа может потребоваться его активация.

[GreenJhon]

Сделано.

[SQ]

Скачайте сторонную утилиту SFCFix.exe (by niemiro) и поместите на рабочей стол.
- Запустите программу.
- При запросах, нажмите "enter" (в общем должно получиться три раза).
- подождите завершения.
- по окончанию нажмите "enter", на рабочем столе сформируется файл SFCFix.txt приложите его к следующем сообщение.

[GreenJhon]

Сделано.

[SQ]

Важно: Следующее решение написано только для Вашего случая, не стоит его применять для других схожих случаев.
Перед начало убедитесь в том, что отсутствовал файл SFCFix.txt на рабочем столе.
----------------------------------------
Скачайте SFCFix.exe(by niemiro) и сохраните на рабочем столе.
Скачайте SFCFix.zip и сохраните на рабочем столе.
Убедитесь, чтобы название файла было SFCFix.zip - не в коем случае не меняте его. Сохраните и закройте все приложения.
Убедитесь, чтобы на рабочем столе было 2 файла: SFCFix.exe и SFCFix.zip.
нажмите мышкой на файл SFCFix.zip и переместите на SFCFix.exe и отпустите мышь.


SFCFix.exe начнет процесс исправления.
По окончанию создается файл: SFCFix.txt.
Приложите полученный отчет в следующем сообщение.
----------------------------------------

[GreenJhon]

Сделано.

[SQ]

Согласно логу, хранилище Windows восстановлена. проблема если выявляется при сканирование?

Код:

Dism /Online /Cleanup-Image /ScanHealth

[GreenJhon]

Выполнил сканирование еще раз. Логи прилогаю. Компьютер перезагружается примерно через 3-5 минут.При запуске планировщика заданий выдает окно с ошибкой задачи - скриншот во вложении.

[SQ]

Приложите новые логи FRST пожалуйста.

[GreenJhon]

Сделано.

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  
  Код:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  CustomCLSID: HKU\S-1-5-21-322435462-275576321-2995116527-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => No File
  CustomCLSID: HKU\S-1-5-21-322435462-275576321-2995116527-1000_Classes\CLSID\{A2DF06F9-A21A-44A8-8A99-8B9C84F29160}\localserver32 -> "C:\Users\User\AppData\Local\Yandex\YandexBrowser\Application\25.0.1364.22194\delegate_execute.exe" => No File
  ContextMenuHandlers1: [Kaspersky Anti-Virus 17.0.0] -> {39C9FA89-7012-4573-A92D-BFD1F8CA542D} => C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\shellex.dll -> No File
  ContextMenuHandlers2: [Kaspersky Anti-Virus 17.0.0] -> {39C9FA89-7012-4573-A92D-BFD1F8CA542D} => C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\shellex.dll -> No File
  ContextMenuHandlers4: [Kaspersky Anti-Virus 17.0.0] -> {39C9FA89-7012-4573-A92D-BFD1F8CA542D} => C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\shellex.dll -> No File
  ContextMenuHandlers6: [Kaspersky Anti-Virus 17.0.0] -> {39C9FA89-7012-4573-A92D-BFD1F8CA542D} => C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 17.0.0\shellex.dll -> No File
  CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
  S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
  S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
  S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
  S3 ZTEusbvoice; system32\DRIVERS\ZTEusbvoice.sys [X]
  Folder: C:\Windows\kmsem
  2018-11-23 12:05 - 2018-11-23 12:05 - 000000000 _____ () C:\Users\User\AppData\Local\{43ABD804-4D41-4B37-8B87-C45B0A441151}
  2018-11-20 11:49 - 2018-11-20 11:49 - 000000000 _____ () C:\Users\User\AppData\Local\{967F3B29-3A8A-408E-90D6-7804E69CFF45}
  2018-11-20 11:55 - 2018-11-20 11:55 - 000000000 _____ () C:\Users\User\AppData\Local\{9B7B038E-B930-4D98-943A-C84677A53528}
  2018-11-22 08:58 - 2018-11-22 08:58 - 000000000 _____ () C:\Users\User\AppData\Local\{CB307959-7118-413C-8C6A-8BF77B76184D}
  2018-11-20 11:38 - 2018-11-20 11:38 - 000000000 _____ () C:\Users\User\AppData\Local\{D1B9ACD6-5D44-4F90-B23C-BF6F70A00FA4}
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

По каким-то причинам отключена служба Cryptographic Service

Код:

ATTENTION: => Could not perform signature verification. Cryptographic Service is not running.