Показано с 1 по 9 из 9.

Поймал вирус от KMS (заявка № 221417)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2019
    Сообщений
    8
    Вес репутации
    1

    Thumbs up Поймал вирус от KMS

    Доброго времени, последний раз ловил вирус лет 5 назад и вот опять((
    Закончился период активации Винды, скачал КМС активатор вроде как с проверенного источника, запустил установку и всё - половина рабочего стола завалило каким-то гадским софтом, Хром про поиске в гугле переадресовывает на майл.ру(гореть ему в аду), а некоторые сайты сами переходят на какие-то левые.
    Стандартный защитник Винды всё находит и удаляет, но после перезагрузки всё начинается заново.
    Заранее спасибо за помощь!
    CollectionLog-2019.01.09-15.25.zip

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,310
    Вес репутации
    350
    Уважаемый(ая) DosDmitry, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

    information

    Информация

    Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.





    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,689
    Вес репутации
    908
    Удалите программу TablacusApp.
    Запустите HijackThis, расположенный в папке Autologger (в Windows Vista/7/8/10 необходимо запускать через правую кнопку мыши Запуск от имени администратора)пофиксите только эти строки:
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvux2G6nSRX_0Ltth2f9jwPOF6sduqtFM8DHnVcDF8dV8YJGHWwKMxYlp-iZ20ytvJMwPg_KfOeUF5jgSxmekzHF-k03A,,
    R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms}
    R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBLoO-BhLymRVyoiO2t6mfQOt8TKsjoR8UVcuAqkYpndthc1M0iMIm74TkmlsOxGF_S__rgUe2487s2gF6eupm-UzL2XLZo0TnjZQvizijN_T77lt8TgJOnkU8Jx_B9KJ8AsoDjzBJM6ezLssqavUf7g9F9y41MvwvCJMAdq4UYYqS-yp_Cly93eX9-5IgFfg,,&q={searchTerms} - Search the web
    O4 - HKCU\..\Run: [YoutubeDownloader] = C:\Users\DOS\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
    O4 - HKCU\..\Run: [YoutubeDownloader_upd] = C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
    O22 - Task: GoogleUpdateTaskMachineCore - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c (file missing)
    O22 - Task: GoogleUpdateTaskMachineUA - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler (file missing)
    O22 - Task: YoutubeDownloader - C:\Users\DOS\AppData\Roaming\YoutubeDownloader\python\pythonw.exe "start.pyc" ml3
    O22 - Task: YoutubeDownloader_upd - C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd\python\pythonw.exe "start.pyc" ml3
    O22 - Task: \Apple\AppleSoftwareUpdate - C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe -task
    O22 - Task: {BF0ED9B0-4D91-BCF4-D242-0676D1281A75} - C:\Program Files (x86)\yYObpsy.exe -package https://refreshnerer711rb.info/S3jWd9UC107.jOZ /q
    O22 - Task: {BF8B2936-1723-A746-7C67-CD9B0C299398} - C:\Program Files (x86)\FiWV.exe /q -package https://refreshnerer711.info/oD00nrQK70j3.3eG
    Сделайте лог Malwarebytes AdwCleaner.
    WBR,
    Vadim

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    09.01.2019
    Сообщений
    8
    Вес репутации
    1
    Большое спасибо за ответ, всё сделал, лог во вложении.

    - - - - -Добавлено - - - - -

    И ещё днём делал полное сканирование. Вот результаты. Соответственно все угрозы появились сегодня((

    Сканирование.png
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,689
    Вес репутации
    908
    Удалите всё найденное в AdwCleaner, кроме строк, относящихся к Ace Stream Media (.acestream, .acemedia и т. п. - если нужна эта программа), дождитесь окончания удаления и перезагрузите систему по требованию программы.
    После входа в систему откроется отчёт AdwCleaner - файл AdwCleaner[C0].txt, прикрепите к своему следующему сообщению.

    Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
    Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Нажмите кнопку Scan.
    После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
    Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
    WBR,
    Vadim

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    09.01.2019
    Сообщений
    8
    Вес репутации
    1
    Всё сделано, отчёт и архив во вложении.
    Спасибо!

    AdwCleaner[C01].txt
    Virusinfo.rar

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,689
    Вес репутации
    908
    Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
    Код:
    CreateRestorePoint:
    HKU\S-1-5-21-444263185-3391885796-2127729054-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://ovgorskiy.ru/
    FF HKU\S-1-5-21-444263185-3391885796-2127729054-1001\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\DOS\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    FF Plugin HKU\S-1-5-21-444263185-3391885796-2127729054-1001: @acestream.net/acestreamplugin,version=3.1.32 -> C:\Users\DOS\AppData\Roaming\ACEStream\player\npace_plugin.dll [No File]
    CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3MFFm7cT1rWoLzfcXXZ_XmknCESxaQTWUKuQr2gaxo_JwqjjNN8W1R9Y790yq5KNJ2qKSs-BwFhOK91TtJ_Yb-3T45xOtQ3frtbjV-kcdrpZXI59z1HYkzkkGxKBfwfke-oYYAk_MzYaULZLZYnyitPfwKOPpTy-K-ALfpDbR98,
    CHR Profile: C:\Users\DOS\AppData\Local\Google\Chrome\User Data\System Profile [2019-01-09]
    CHR HKU\S-1-5-21-444263185-3391885796-2127729054-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    Virustotal: Openamis.exe
    2019-01-09 13:53 - 2019-01-09 13:53 - 000000000 ____D C:\Users\DOS\AppData\Local\cache
    2019-01-09 13:51 - 2019-01-09 13:51 - 000000000 ____D C:\Users\DOS\AppData\Roaming\Mozilla
    2019-01-09 13:50 - 2019-01-09 14:05 - 000000000 ____D C:\Users\DOS\AppData\Roaming\YoutubeDownloader_upd
    2019-01-09 13:50 - 2019-01-09 14:05 - 000000000 ____D C:\Users\DOS\AppData\Roaming\YoutubeDownloader
    2019-01-09 13:50 - 2019-01-09 13:56 - 000000000 ____D C:\Users\DOS\AppData\Local\WhiteClick LLC
    2019-01-09 13:50 - 2019-01-09 13:54 - 000722944 _____ C:\Users\DOS\AppData\Local\sham.db
    2019-01-09 13:50 - 2019-01-09 13:53 - 000000000 ____D C:\Program Files (x86)\Parent Protection
    2019-01-09 13:50 - 2019-01-09 13:50 - 007858688 _____ C:\Users\DOS\AppData\Local\agent.dat
    2019-01-09 13:50 - 2019-01-09 13:50 - 002036399 _____ C:\Users\DOS\AppData\Local\Openamis.tst
    2019-01-09 13:50 - 2019-01-09 13:50 - 001997312 _____ (TODO: <Company name>) C:\Users\DOS\AppData\Local\Openamis.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 000140800 _____ C:\Users\DOS\AppData\Local\installer.dat
    2019-01-09 13:50 - 2019-01-09 13:50 - 000126464 _____ C:\Users\DOS\AppData\Local\noah.dat
    2019-01-09 13:50 - 2019-01-09 13:50 - 000070896 _____ C:\Users\DOS\AppData\Local\Config.xml
    2019-01-09 13:50 - 2019-01-09 13:50 - 000005568 _____ C:\Users\DOS\AppData\Local\md.xml
    2019-01-09 13:50 - 2019-01-09 13:50 - 000002668 __RSH C:\Users\Все пользователи\ntuser.pol
    2019-01-09 13:50 - 2019-01-09 13:50 - 000002668 __RSH C:\ProgramData\ntuser.pol
    2019-01-09 13:50 - 2019-01-09 13:50 - 000000004 _____ C:\Users\Все пользователи\ext.dat
    2019-01-09 13:50 - 2019-01-09 13:50 - 000000004 _____ C:\ProgramData\ext.dat
    2019-01-09 13:50 - 2019-01-09 13:50 - 000000003 _____ C:\Users\DOS\AppData\Local\wbem.ini
    2019-01-09 13:50 - 2019-01-09 13:50 - 000000000 ____D C:\Program Files (x86)\foldershare
    1601-01-03 21:26 - 1601-01-03 21:26 - 000060416 _____ (Microsoft Corporation) C:\Program Files (x86)\FiWV.exe
    1601-01-03 21:26 - 1601-01-03 21:26 - 000060416 _____ (Microsoft Corporation) C:\Program Files (x86)\yYObpsy.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 013205167 _____ (MAL                                                         ) C:\Users\DOS\AppData\Local\Temp\51qtrmygexq.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 007870448 _____ () C:\Users\DOS\AppData\Local\Temp\ic_installer.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 001596216 _____ (sbvzil) C:\Users\DOS\AppData\Local\Temp\installer_campaign_19354.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 001997312 _____ (TODO: <Company name>) C:\Users\DOS\AppData\Local\Temp\setup.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 001197006 _____ (                                                            ) C:\Users\DOS\AppData\Local\Temp\speedycar.exe
    2019-01-09 13:50 - 2019-01-09 13:50 - 000944976 _____ (                                                            ) C:\Users\DOS\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe
    FirewallRules: [{B7164D5A-0DBE-4AF0-956B-CDA75B57A2E3}] => (Allow) C:\Program Files (x86)\Zaxar\zaxarloader.exe No File
    FirewallRules: [{7CE78149-70E4-4179-ABE4-D90D517F21EC}] => (Allow) C:\Users\DOS\AppData\Local\Temp\ZaxarSetup.4.001.1961.exe\zaxarloader.exe No File
    FirewallRules: [{6108E1D3-8CFE-478B-A6C4-1A696161282D}] => (Allow) C:\Users\DOS\AppData\Roaming\SchedTaskSetup\sched.exe No File
    FirewallRules: [{B1E212B9-ACF1-43C5-978C-CA96DDE1DCB1}] => (Allow) C:\WINDOWS\SysWOW64\msiexec.exe (Microsoft Corporation)
    FirewallRules: [{804DA7BE-3FE7-4673-BCE3-B5F2FF41B48C}] => (Allow) C:\Program Files (x86)\yYObpsy.exe (Microsoft Corporation)
    FirewallRules: [{154C7F9B-B510-4DD4-BA73-DBD598DC393D}] => (Allow) C:\Program Files (x86)\FiWV.exe (Microsoft Corporation)
    Reboot:
    и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
    Отключите до перезагрузки антивирус, закройте все браузеры,
    Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
    Компьютер будет перезагружен автоматически.

    Очистите кеш и cookie в Хроме и сообщите, что с проблемой.
    WBR,
    Vadim

  11. Это понравилось:


  12. #8
    Junior Member Репутация
    Регистрация
    09.01.2019
    Сообщений
    8
    Вес репутации
    1
    Всё сделано, Хром ещё после вчерашних манипуляций ожил и пока, вроде как, ведёт себя стабильно.
    Левые переходы, подмена поисковика, зависания и долгая загрузка страниц исчезли.
    Спасибо!
    Лог во вложении.

    Fixlog.txt

  13. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.05.2008
    Адрес
    Тула
    Сообщений
    29,689
    Вес репутации
    908
    Запустите AdwCleaner, меню Настройки - Удалить AdwCleaner - выберите Удалить.

    Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
    Компьютер перезагрузится.

  14. Это понравилось:


  • Уважаемый(ая) DosDmitry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. KMS
      От Вадим Усичев в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 09.02.2017, 01:04
    2. Карантин C443D5A416463BCBE94DD48DEB3DB1AA [not-a-virus:AdWare.Win32.Neobar.r, not-a-virus:HEUR:RiskTool.MSIL.Hack= KMS.gen]
      От CyberHelper в разделе VirusDetector - Бесплатный онлайн-сервис проверки компьютера
      Ответов: 1
      Последнее сообщение: 15.12.2015, 01:17
    3. Ответов: 1
      Последнее сообщение: 19.07.2013, 05:08
    4. Беcсигнатурная защита от смс-троянов с помощью KMS
      От apq в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 02.11.2010, 18:46
    5. тех.релиз KMS 8
      От SDA в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 26.05.2009, 13:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00298 seconds with 20 queries