Здравейте. Понеже съм си патил от дистанционни вируси и т.н., профилактично правя проверка. Реално имам Про Аваст активиран. Но все пак. Ето двата файла и ако трябва да дадете още някоя програма, с която да сканирам за всеки случай. 

 

Addition.txt FRST.txt

Здравейте,

Утре ще проверя лог файловете обстойно, защото приключих вече за днес. Не ми харесаха няколко неща в лог файловете на бърз преглед. Може да са файлове от калпавия активатор, но в някои активатори си има реални заплахи:

Бих ви посъветвал да сканирате следните файлове на VirusTotal и да покажете линковете с резултатите. Файловете са със скрит атрибут обаче...За да ги видите трябва да направите скритите файлове видими от Folder Options:

2022-05-14 20:27 - 2022-05-14 20:27 - 017987504 ____H () C:\Users\qnkov\kmsauto++v1.6.4.exe
2022-05-14 20:27 - 2022-05-14 20:27 - 000102312 ____H (Microsoft Corporation) C:\Users\qnkov\service32.exe
2022-05-14 20:27 - 2022-05-14 20:27 - 000041896 ____H (Microsoft Corporation) C:\Users\qnkov\services32.exe
2022-05-14 20:27 - 2022-05-14 20:27 - 000291752 ____H (Microsoft Corporation) C:\Users\qnkov\system32.exe

https://pureinfotech.com/show-hidden-files-windows-11-file-explorer/

55 security vendors and no sandboxes flagged this file as malicious

Ето така ги дава. Не знам, да ги трия ли? Да не са от активатора. 

https://prnt.sc/ObrFP5igrgu6

Аз затова поисках да пуснете линковете с резултатите, а не да копирате резултатите.

https://www.virustotal.com/gui/file/793731bcfd6cc4faf4244e2353d6d068a0720c601117e464f28c6e6e88de5c46

https://www.virustotal.com/gui/file/793731bcfd6cc4faf4244e2353d6d068a0720c601117e464f28c6e6e88de5c46

https://www.virustotal.com/gui/file/6cf4fd07962aa1ca5df3f2b05462eb561a09f4419fbcdaaafbd9ff7e965e1ce4

https://www.virustotal.com/gui/file/c61bd6501b2dc2da24a78e07d5f80a05735a3e6494a6d84100fcf6f11acf6b84

Сканирали сте 2 пъти kmsauto++v1.6.4.exe, а липсват данните за C:\Users\qnkov\service32.exe

Като цяло са създадени по едно и също време с активатора и самия активатор се засича като такъв и според VirusTotal.

Дропнатите от него 3 файла обаче далеч не се засичат като KMS HackTool, както би трябвало за файлове на активатор.

Цялата дейност на тези файлове е повече от съмнителна. Известно е, че подобен активатор трябва да създаде планирана задача, която да се стартира на всеки 180 дни за реактивация, но тук поведението е по-скоро зловредно:

"%ComSpec%" /C REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v Startup /t REG_SZ /d %TEMP%\b3dcf4c296\
REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /f /v Startup /t REG_SZ /d %TEMP%\b3dcf4c296\
"%windir%\System32\rundll32.exe" %APPDATA%\a20732a67da3b4\cred.dll, Main
"%windir%\System32\schtasks.exe" /Create /SC MINUTE /MO 1 /TN ftewk.exe /TR "%TEMP%\b3dcf4c296\ftewk.exe" /F

Според коментарите на колегата struppigel (той работи за Gdata) става въпрос за троянеца Amadey.

За мен този активатор е калпав и е добре да изтриете тези 3 файла (дропнатите) дори и това да прецака активацията.

Ако това стане (изтрийте и самия активатор) и просто си намерете читав такъв или си купете ключ на промоция (дори и тези ключове отново да са в сивата зона, поне няма да съдържат бацили).

При вас се наблюдава активна зараза, точно от активатора предполагам или от друг кракнат софтуер в лицето на тази планирана задача:

Task: {0855E2C7-605B-4503-A574-B27B756B01AA} - System32\Tasks\Service\Diagnostic => C:\Users\qnkov\AppData\Roaming\ServiceGet\Nasavar.exe -> "C:\Users\qnkov\AppData\Roaming\ServiceGet\Nasavar.dat" <==== ATTENTION

Точно според блога на avast това е краден на информация:

https://blog.avast.com/fakecrack-campaign

Защо avast обаче не го е почистил (нито с тези дропнати от калпавия активатор файлове е загадка). Освен ако вие не сте му дали да ги игнорира и да ги сложи в изключенията:

Windows Defender също се е сборил със заразата преди да го замените с avast! според лог файловете:

Windows Defender:
================
Date: 2022-05-14 20:27:53
Description: 
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=Trojan:BAT/Killav.B&threatid=59119&enterprise=0
Name: Trojan:BAT/Killav.B
Severity: Много високо
Category: Троянски кон
Path: file:_C:\Users\qnkov\AppData\Local\Temp\F124.tmp\F125.tmp\F126.bat
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Users\qnkov\service32.exe
Security intelligence Version: AV: 1.321.69.0, AS: 1.321.69.0, NIS: 1.321.69.0
Engine Version: AM: 1.1.17300.4, NIS: 1.1.17300.4

Date: 2022-05-14 20:27:23
Description: 
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:MSIL/AutoKMS.I!MTB&threatid=2147743522&enterprise=0
Name: HackTool:MSIL/AutoKMS.I!MTB
Severity: Високо
Category: Инструмент
Path: containerfile:_C:\Users\qnkov\Downloads\KMSAuto++2022\KMSAuto++v1.6.4\KMSAuto++v1.6.4.exe; file:_C:\Users\qnkov\Downloads\KMSAuto++2022\KMSAuto++v1.6.4\KMSAuto++v1.6.4.exe->[RSRCEmb]->(UPX)
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Windows\explorer.exe
Security intelligence Version: AV: 1.321.69.0, AS: 1.321.69.0, NIS: 1.321.69.0
Engine Version: AM: 1.1.17300.4, NIS: 1.1.17300.4

Date: 2022-05-14 20:24:20
Description: 
Microsoft Defender Antivirus has detected malware or other potentially unwanted software.
For more information please see the following:
https://go.microsoft.com/fwlink/?linkid=37020&name=HackTool:Win32/AutoKMS&threatid=2147685180&enterprise=0
Name: HackTool:Win32/AutoKMS
Severity: Високо
Category: Инструмент
Path: containerfile:_C:\Users\qnkov\Downloads\KMSAuto++2022\KMSAuto++v1.6.4.exe; file:_C:\Users\qnkov\Downloads\KMSAuto++2022\KMSAuto++v1.6.4.exe->[RSRCEmb]
Detection Origin: Local machine
Detection Type: Concrete
Detection Source: Real-Time Protection
Process Name: C:\Windows\explorer.exe
Security intelligence Version: AV: 1.321.69.0, AS: 1.321.69.0, NIS: 1.321.69.0
Engine Version: AM: 1.1.17300.4, NIS: 1.1.17300.4

Моето предложение за скрипт е следното:

Свалете прикачения файл и го запазете в папката в която сте свалили FRST64.exe

Стартирайте FRST64.exe и изберете бутона FIX веднъж!

Ще поиска рестарт. Съгласете се.

След рестарта публикувайте лог файла, който ще се е създал в папката в която се намира FRST64.exe с името Fixlog.txt.

fixlist.txt

Нищо чудно да съм го разрешил, когато съм се опитвал да аквитирам уиндолса. 

Изтрих онези файлове и изпълних задачата. Ето го лога:

 

Fixlog.txt

Изпълнил се е коректно скрипта. Направете една последна проверка с FRST и прикачете новите резултати да видим как са нещата.

Поздрави!

Addition.txt FRST.txt

На мен вече ми изглеждат наред.

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

     =>    

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете KpRm от kernel-panik и го запишете на вашия работен плот. 

• Щракнете с десния бутон върху kprm_2.9.3.exe и изберете Run as administrator. 
• Когато инструментът се отвори сложете всички отметки без тази пред Delete in 7 days и натиснете бутона Run.

• След като приключите, щракнете върху OK. 
• В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

Ако има останали файлове, папки и т.н. от използваните от нас неща, то ги изтрийте ръчно.

Аз ще маркирам случая като решен.

Поздрави и спокойна седмица!

 

Супер, благодаря за помощта. 

 

# Run at 24.7.2022 'г.' 10:23:04
# KpRm (Kernel-panik) version 2.9.3
# Website https://kernel-panik.me/tool/kprm/
# Run by qnkov from C:\Users\qnkov\Downloads
# Computer Name: QNKOV
# OS: Windows 10 X64 (22000) 
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point
    ~ Delete Quarantines

- Create Registry Backup -

   ~ [OK] Hive C:\Windows\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\qnkov\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2022-07-24-10-23-04

- Delete Tools -

     [I] No tools found

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Scheduled Checkpoint created at 07/20/2022 19:01:22 deleted
   ~ [OK] RP named Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.32.31332 created at 07/23/2022 00:47:02 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ [I] RP named KpRm created at 07/24/2022 07:23:11

-- KPRM finished in 14.54s --

Малко след като реснах компа, ми удари син екран, докато бях в браузера и започна да отборява проценти. Не можах да снимам точно проблема, понеже бързо се изпълни.