KMSAuto вирус который не лечит ни один антивирус. ТОТАЛЬНЫЙ ВЗЛОМ ПК

[Aminu]

Подозреваю вирус KMSAuto.

На ноуте уже лет пять стоит KMS, который активирую, когда появляется сообщение от виндовс. Но при последней активации KMS повёл себя странно - появился запрос на установку TAP-адаптера, затем принудительная установка GVLK с ключами. До этого я никогда не получала этих сообщений, я не обновляла KMS, пользовалась в обычном режиме. Я отказалась от установки, но она всё равно произошла. После этого в ProgramData появилась вторая папка KMSAutoS, прямо под старой KMSAuto.

Изначально у меня был доступ к папке KMSAutoS, в ней был файл KMSSS.exe Я попыталась удалить папку, но не смогла. В диспетчере задач появился странный процесс из символов, букв и цифр. Я его отменила, после чего смогла удалить папку. Запустила Defender, который среагировал на kms_ini! и удалил. Но затем я обнаружила, что предупреждение появилось снова, несмотря ни на что папка восстановилась и теперь у меня нет к ней доступа.

Кроме того я обнаружила странности со смартфоном - почему-то исчезла двухфакторная аутентификация моего аккаунта, которая была у меня подключена а в браузере было открыто несколько страниц с попытками входа в мой аккаунт и одна страница справки google о Play-защите. 

Утилита Dr. Web при сканировании компьютера проигнорировала два последних пункта и завершила, ничего не обнаружив. Утилита Kaspersky, запущенная в безопасном режиме, не видит проблемы вообще.

Установила антивирус Kaspersky Premium, проблему не выявил. Ни одно из приложений не нашло вирус при сканировании указанной мной папки.

Kaspersky Premium заблокировал сайт платежей login.wmtransfer.com, на который я никогда не заходила.

Кроме того 3 приложениям был заблокирован доступ к камере и микрофону: ocsetuphlp.dll, run.bat и conexant audio message.

Что интересно, пока я писала папка KMSAutoS волшебным образом разблокировалась. Но там ерунда, на которую антивирус никак не может среагировать. До этого у папки было более пяти администраторов и мне в доступе было отказано. Иначе говоря злоумышленники полностью захватили устройство. 

Когда я создала эту тему  на заражённом ноутбуке отключился доступ к интернету вай фай и я не могу восстановить подключение стандартными методами.

[Aminu]

CollectionLog-2024.01.20-10.43.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

[Aminu]

Заражённый ноутбук зависает при попытке перенести папку с FRST с флешки в систему. Произвести операцию удалось только в безопасном режиме. Возможно на ноутбуке действует руткит.

Что меня действительно волнует, будет ли компьютер безопасен после установки новой системы. Кроме того Kaspersky сообщает, что на роутере открыт порт 22. При заблокированном трафике мониторинг сети показывает входящий и исходящий сигнал около 0,20 Кб/с.

FRST.zip

[thyrex]

Ничего вирусоподобного в логах. Чистим только мусор.

 

По поводу всего остального: используйте лицензионную систему с настоящим активатором и ничего из описанного Вами наверняка не будет.

 

Если пользуетесь Касперским, тогда удалите Comodo во избежание конфликтов.

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKU\S-1-5-19\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\83.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
HKU\S-1-5-20\...\Run: [GoogleDriveFS] => C:\Program Files\Google\Drive File Stream\83.0.2.0\GoogleDriveFS.exe --startup_mode (Нет файла)
Task: {1C39E91A-62A3-459E-BC17-5C2F8D83CC7D} - \Microsoft\Windows\UNP\RunCampaignManager -> Нет файла <==== ВНИМАНИЕ
FirewallRules: [{6B5642FD-F69F-48ED-BD3B-2BF3F4901607}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{575C347B-3A9E-4C6D-A18A-58A72E3B3C28}] => (Allow) C:\Program Files\Mozilla Firefox\firefox.exe => Нет файла
FirewallRules: [{6D4B63EF-714F-4273-8169-F3DCCB58CE21}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\DAOriginsLauncher.exe => Нет файла
FirewallRules: [{AFA62A4E-06EA-4E6C-A4B0-6312F6156F71}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\DAOriginsLauncher.exe => Нет файла
FirewallRules: [{CFE01F89-997E-4172-9C12-80C97AE0A4F8}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\bin_ship\DAUpdaterSvc.Service.exe => Нет файла
FirewallRules: [{DABE0C5C-FFEC-48D9-AFCF-FD8984EDA833}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\bin_ship\DAUpdaterSvc.Service.exe => Нет файла
FirewallRules: [TCP Query User{D27C19EF-D2A3-46CF-B7DC-A1A4EB0579BA}D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe] => (Allow) D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe => Нет файла
FirewallRules: [UDP Query User{0938C9C8-549C-41AF-AFE4-E0F851B2EB1C}D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe] => (Allow) D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe => Нет файла
FirewallRules: [{1D9DB233-D44C-482A-A7BB-D9A3ADAA166A}] => (Block) D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe => Нет файла
FirewallRules: [{25AACBA4-9293-4205-B952-AD857F95B6D9}] => (Block) D:\steamlibrary\steamapps\common\dragon age ultimate edition\bin_ship\daorigins.exe => Нет файла
FirewallRules: [{9B79C179-994D-4FC0-987B-8123FBD9865C}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\DragonAgeToolset.exe => Нет файла
FirewallRules: [{3694AE0E-7DC3-4055-AB04-7F4937A19C52}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\DragonAgeToolset.exe => Нет файла
FirewallRules: [{41D330BC-7E18-474B-9395-B5DA100CEE01}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\RPU.exe => Нет файла
FirewallRules: [{62B1E907-02CC-4AE3-91A1-A30810B3223E}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\RPU.exe => Нет файла
FirewallRules: [{F7184AA4-0CA0-4E8E-8C72-C778E49FFFF7}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\lightmapper\eclipseRay.exe => Нет файла
FirewallRules: [{15C2FF72-CF02-4EE0-917F-812BB430385E}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\lightmapper\eclipseRay.exe => Нет файла
FirewallRules: [{C98D8D25-0BBE-4B21-85E2-996767E8494D}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\GffEditor.exe => Нет файла
FirewallRules: [{6984890D-F269-4CC9-8876-1535041B72BC}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\GffEditor.exe => Нет файла
FirewallRules: [{4F821E8A-B6D8-4583-B43D-A7A0D4E08AB0}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\ErfEditor.exe => Нет файла
FirewallRules: [{7AE1F8E8-0605-4973-9436-61D00CA1676C}] => (Allow) D:\SteamLibrary\steamapps\common\Dragon Age Ultimate Edition\tools\ErfEditor.exe => Нет файла
Unlock: C:\ProgramData\Kingsoft
Unlock: C:\Users\Большой Жираф\AppData\Roaming\Kingsoft
Unlock: C:\Users\Большой Жираф\AppData\Local\Kingsoft
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

После перезагрузки переделайте логи Farbar в обычном, а не безопасном, режиме загрузки.

[Aminu]

Кто-то удалённо меняет мне папку на компьютере и взламывает аккаунт на смартфоне, блокирует вай фай и запуск файлов с флешки, а вы уверенно заявляете что вируса нет?

Я точно знаю что вирус есть, но я не знаю куда и к кому я могу обратиться.

Кроме того я уже сказала что не могу использовать FRST в обычном режиме, всё зависает, только через безопасный режим.

Изменено 21 января, 2024 пользователем Aminu

[thyrex]

Зависает при сканировании?

[Aminu]

При сканировании в безопасном режиме запускается и не зависает. В обычном режиме не могу даже запустить приложение с флешки или скинуть папку с FRST на компьютер, всё зависает.

Раньше никогда таких проблем не было, компьютер хорошо считывал съемный диск и флешки. Проблемы начались как только я зарегистрировалась с заражённого ноутбука на форуме касперского и стала описывать ситуацию. Я не смогла отправить первое сообщение на форум, потому что в этот момент мне отрубили вай-фай. 

А папку KMSAutoS заменили прямо во время того, как я писала первое сообщение на форум. Она отказывала мне в доступе и там было много администраторов. Я проверяла её пока описывала проблему. Но спустя минуту она вдруг стала открываться и файлы в ней изменились в соответствии с моим описанием на какую-то безобидную ерунду. 

 

  

Изменено 21 января, 2024 пользователем Aminu

[thyrex]

После установки Kaspersky Premium Вы меняли какие-либо его настройки по умолчанию? По описанию из первого сообщения весьма похоже, что настройки выкручены до такой степени, что даже легитимные файлы ставятся в блокировки.

[Aminu]

Да. Я выкрутила настройки Kaspersky Premium, но он ничего не вылечил и никаких предупреждений не давал, в отличие от Windows Defender. Я надеялась что антивирус поможет вылечить мою систему, но толку никакого. 

Всё что сделал Kaspersky это заблокировал сайт платежей login.wmtransfer.com, на который я никогда не заходила и отследил три приложения с доступом к камере и микрофону ocsetuphlp.dll, run.bat и conexant audio message.

COMODO, который я устанавливала в систему перед Kaspersky, опознал небезопасный процесс от System run.bat, но когда я пробовала остановить процесс, он всё равно продолжался.

На взломанном смартфоне у меня было установлено приложение Яндекс Денег (ЮMoney), где была небольшая сумма около 180 рублей. Когда я попыталась оплатить пробную версию Kaspersky, то выяснила что на моём счёте 0 рублей. 

Сочетание всех факторов, в т.ч. указанных мною выше, заставляет меня верить в то, что некто имеет удалённый доступ к моим устройствам.

 

Кроме того я создала новый яндекс аккаунт с другого устройства, но вчера, когда меняла пароль, система сообщила, что я отозвала токены. Я не регистрировала никакие токены, я не нашла информации о том, что они формируются автоматически. 

Изменено 21 января, 2024 пользователем Aminu

[thyrex]

1 час назад, Aminu сказал:

Я выкрутила настройки Kaspersky Premium

Отсюда все Ваши проблемы и с запуском файлов, и с пропажей WiFi. Что касается неоригинального активатора, то Касперский, как и Защитник Windows, давно считает его опасным и старается удалить. Отсюда и возможное появление сообщений о необходимости установки TAP-адаптера.

 

Если планируете переустановить систему, то покупайте лицензионную, с оригинальным активатором и никаких проблем не будет.

 

[Aminu]

Я УЖЕ УДАЛИЛА ОРИГИНАЛЬНЫЙ KMSAuto, который был в моей системе пять лет и которым я каждый раз активировала её и Defender никогда не реагировал на него. За всё это время никакие ключи и окна при активации KMSAuto не появлялись никогда.

KMSAutoS появился в моей системе при последней активации, с ключами и всем остальным. В системе был только Defender на тот момент и сразу среагировал на вирус (ранее он никогда не обращал внимание на мой оригинальный KMS) и я УДАЛИЛА ЕГО в Defender. Но сообщение о вирусе kms_ini! появлялось снова, я снова его удалила и так по кругу.

Тогда я обратила внимание в какой папке лежит этот kms_ini! и обнаружила, что в ProgramData появилась новая папка KMSAutoS. Там всегда была только одна папка KMSAuto и всё. А при последней активации появилась KMSAutoS. Я не обновляла KMS, не трогала его, не меняла настройки и т.п.

Это папка, после первого её удачного удаления появилась на моём ноуте снова! И в этот раз доступ к ней стал для меня заблокирован! Я зашла в свойства файла и обнаружила там несколько администраторов, а мне в доступе было отказано. После этого я стала устанавливать другие антивирусы, сканировала с помощью утилит с флешки систему и эту папку отдельно, но ни один антивирус на неё не среагировал, в том числе и Касперский!

Я была бы рада, если ба антивирусы удалили этот KMSAutoS, непонятно как появившийся, но они этого не сделали! 

 

Кроме того при активации KMSAuto я нажала в сплывающих окнах "отменить" и "отказаться", потому что никогда раньше не видела таких окон при использовании KMS, но установка всё равно произошла. 

 

Kaspersky Premium у меня установлен уже два месяца, настройки я выкрутила сразу же и никаких проблем не испытывала. 

Но вай фай отключился только вчера, когда я написала сообщение на форум и нажала кнопку "отправить". 

Не сомневаюсь что злоумышленники заходят на этот форум посмеяться.

[thyrex]

Еще раз: оригинальный KMS идет к лицензионной системе, и антивирус на него ругаться не будет. А у Вас явно не этот случай.

 

К слову проверил сейчас у себя: ровно 2 папки, отличающиеся одной буквой S. Из защитного ПО - родной встроенный Защитник Windows. Меня, видимо, просто ломать не хотят )

[Aminu]

Я рада за вас.  

Почему же тогда антивирус не может удалить простой KMS и папка восстанавливается?

И почему к папке нет доступа?

 

Что вы привязались ко мне лицензия, не лицензия, "оригинальный" не "оригинальный"? Когда я пишу "оригинальный" KMS я имею в виду свой хакнутый KMS, которым пользуюсь пять лет и который я знаю, как ведёт себя. 

 

Изменено 21 января, 2024 пользователем Aminu