Tap Provider V9 for Private Tunnel

[xanxan]

Вылезло окно об установке Tap Provider V9 for Private Tunnel, в интернете пишут что это от KMS сервера.
Я когда устанавливал его на вирус тотал, хотя было множество детектов но общие детекты на кряки.
Касперский детектировал его как Not-a-virus то есть потенциально опасное ПО но не зараженное.Если проблема в нем то почему сообщение вылезло только сейчас, устанавливал более месяца назад.

В логе показывается C:\ProgramData\KMSAuto\bin\driver\x64TAP1\devcon.e xe это оно?

[Info_bot]

Уважаемый(ая) xanxan, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[xanxan]

Я прошелся KVRT и потому дам новый лог на всякий случай.
kms2.jpg

Удалил только KMSAuto Net.exe
Исчезли 2 неопределенных устройства в разделе сетевых адаптеров и перекочевали в раздел другие устройства где их 3, исчезли также 4 процесса которых не удавалось кикнуть через диспетчер задач из за постоянного перезапуска.

[Vvvyg]

Итого: KMSEmulator и драйвер Tap Provider V9 не нужны?

Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('catchme');
 DeleteService('MBAMSwissArmy');
 ExecuteRepair(1);
ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора))и пофиксите только эти строки :

Код:

O4 - HKLM\..\Session Manager: [BootExecute] = (no file)
O4 - MSConfig\startupfolder: C:^Users^Администратор^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Отправка в OneNote.lnk [backup] => C:\Program Files (x86)\Microsoft Office\Office16\ONENOTEM.EXE /tsr (2016/11/19) (file missing)
O4 - MSConfig\startupreg: APSDaemon [command] = C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe (HKLM) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: Acrobat Assistant 8.0 [command] = C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\Acrotray.exe (HKLM) (2018/07/15) (file missing)
O4 - MSConfig\startupreg: AdobeAAMUpdater-1.0 [command] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe (HKLM) (2018/07/15) (file missing)
O4 - MSConfig\startupreg: AdobeGCInvoker-1.0 [command] = C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe (HKLM) (2018/10/12) (file missing)
O4 - MSConfig\startupreg: BCSSync [command] = C:\Program Files\Microsoft Office\Office14\BCSSync.exe /DelayServices (HKLM) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: DAEMON Tools Ultra Agent [command] = C:\Program Files (x86)\DAEMON Tools Ultra\DTAgent.exe -autorun (HKCU) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: FreeUVPN [command] = C:\Program Files (x86)\FreeUVPN\freeuVpnDesktop.exe (HKLM) (2017/08/05) (file missing)
O4 - MSConfig\startupreg: Gyazo [command] = C:\Program Files (x86)\Screenshot\ScreenStation.exe (HKCU) (2018/07/23) (file missing)
O4 - MSConfig\startupreg: HFALoader [command] = C:\Program Files (x86)\Hamster Soft\Hamster Lite Archiver\HamsterArc.exe -loader (HKLM) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: Lingvo Launcher [command] = C:\Program Files (x86)\ABBYY Lingvo x5\LvAgent.exe /STARTUP (HKLM) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: QuickTime Task [command] = C:\Program Files (x86)\QuickTime\QTTask.exe -atboottime (HKLM) (2016/09/29) (file missing)
O4 - MSConfig\startupreg: Vivaldi Update Notifier [command] = C:\Users\Администратор\AppData\Local\Vivaldi\Application\update_notifier.exe (HKCU) (2018/04/26) (file missing)
O4 - MSConfig\startupreg: WinampAgent [command] = C:\Program Files (x86)\Winamp\winampa.exe (HKLM) (2016/09/29) (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Отправить в OneNote: (default) = C:\Program Files\Microsoft Office\Office16\ONBttnIE.dll (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\&Экспорт в Microsoft Excel: (default) = C:\Program Files\Microsoft Office\Office16\EXCEL.EXE (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\+ Offline &Explorer: Download the link: (default) = C:\Program Files (x86)\Offline Explorer\Add_UrlO.htm (file missing)
O8 - Context menu item: HKCU\..\Internet Explorer\MenuExt\+ Offline E&xplorer: Download the current page: (default) = C:\Program Files (x86)\Offline Explorer\Add_AllO.htm (file missing)
O22 - Task: (telemetry) \Microsoft\Office\Office 15 Subscription Heartbeat - C:\Program Files\Common Files\Microsoft Shared\Office16\OLicenseHeartbeat.exe (file missing)
O22 - Task: AdobeGCInvoker-1.0-sonypc-Администратор - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGCInvokerUtility.exe (file missing)
O22 - Task: \Microsoft\Windows\PMS\PMS - C:\Windows\System32\hale.exe /nolog (file missing)

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

[xanxan]

Итого: KMSEmulator и драйвер Tap Provider V9 не нужны?

Как сказать, Tap Provider точно не нужен. А насчет KMS, неактивированный Word переодически вылетал с критической ошибкой, после активации перестал, модератор на рутрекере уверял что хотя многие антивирусы на вирус тотал и детектируют его как Hacktool:Win32/AutoKMS это ложный детект и что выложенная программа официальная а уже под нее маскируются многие трояны.
Так что если это Adware был именно от KMS то удалять однозначно. А если эмулятор не скрывает в себе деструктивные действия то оставить.

[Vvvyg]

Hacktool:Win32/AutoKMS это корректный детект, Hacktool оно и есть.
Сделайте лог Malwarebytes AdwCleaner.

[xanxan]

Hacktool:Win32/AutoKMS это корректный детект, Hacktool оно и есть.

Перефразирую немного, первая ссылку в гугле дает такое описание.

Скрытый текст

Hacktool:Win32/AutoKMS: что это? Оговоримся сразу и бесповоротно: не стоит путать эту угрозу с известным приложением KMSAuto Net (иногда его называют Auto KMS Activator), которое было разработано компанией MSFree Inc. для быстрой регистрации программных продуктов Microsoft. Конечно, со своей стороны и эта утилита является незаконной, поскольку способна генерировать ключи для регистрации Windows или MS Office (это обычное компьютерное пиратство). Но она не идет ни в какое сравнение с Hacktool:Win32/AutoKMS. Что это такое, сейчас и посмотрим.

Этот троян действует по типу вирусов, которые принято называть угонщиками браузеров. Как правило, первым симптомом заражения является изменение стартовой страницы во всех установленных в системе веб-браузерах, постоянное перенаправление на небезопасные или потенциально опасные сайты, а также невозможность использования поисковых систем вроде Google или Yahoo!. Но только этим вред, наносимый системе, не ограничивается. После проникновения в компьютер начинается внедрение не только на системном уровне. Происходит активное считывание пользовательских данных, где предпочтение отдается регистрационным логинам и паролям, которые хранятся в незашифрованном виде. Также могут пострадать и данные владельцев банковских карт и счетов.

Скрыть

Так вот модератор утверждал что это именно первое то есть официальное приложение от MSFree Inc а не маскирующиеся под него трояны

https://www.virustotal.com/ru/file/3c56387a047564ab68443d8c2f9f427933d5caa09354b60ebf 1879a3f3862ceb/analysis/1543966131/
drweb не детектирует
https://online10.drweb.com/cache/?i=...17ffa0ca68429b

Касперкий

Скрытый текст

Результат проверки
файл подозрителен
Найденные угрозы
HackTool.MSIL.KMSAuto.ba
Размер файла
8,20 МБ
Тип файла
PE32/EXE_MANAGED_ASSEMBLY
Дата проверки
2018 дек 05 02:30:03
Дата выпуска баз
2018 дек 04 22:41:55 UTC
MD5
b9d0b1c63d81a546c6cf6fb800f881ab
SHA1
5c9d2bf13d98e65cd3e5bcd9ef3eafabc7fdedd3
SHA256
3c56387a047564ab68443d8c2f9f427933d5caa09354b60ebf1879a3f3862ceb

Скрыть

На адвизоре определяется как
not-a-virus:HEUR:RiskTool.MSIL.HackKMS.gen
https://whitelisting.kaspersky.com/advisor-ru#search/0xB9D0B1C63D81A546C6CF6FB800F881AB

Общее описание семейства от касперского.
Программы этого семейства предназначены для активации незарегистрированного программного обеспечения продукции Microsoft. Такие программы могут быть использованы в связке с другими вредоносными или нежелательными ПО.

[Vvvyg]

AdwCleaner Adware не видит в этом активаторе.
Tap Provider вылезает, как драйвер для устройства, нужен он активатору, нет, мне сие неведомо.

[xanxan]

AdwCleaner Adware не видит в этом активаторе.

Как я написал во втором посте я его практически удалил, могу установить снова для проверки.

[Vvvyg]

Не надо устанавливать. И смысла в дальнейших проверках не вижу.