Решена Пропадает интернет на ноуте (из за KMSauto lite)

Переводчик Google
K

Ksenik

Новый пользователь
Сообщения
5
Реакции
0
Добрый день!
Родственники попросили помочь с ноутбуком.
После включения нет подключения к интернету (ни wi-fi, ни проводом). Варианты типа проблем с роутером и драйверами проверены.
Есть предположение что это связано с использованием программы KMSauto lite.
На данный момент она удалена.
Пробовал и Malwarebytes и adwcleaner. После запуска последнего появляется интернет, хотя он ничего не находит.
После перезагрузки ноута снова всё тоже самое .
Лог прикрепил.
 

Вложения

1) У вас была установлена зараженная рекламным кликером версия обхода блокировок типа Zapret, DiscordFix или прочего, службы нет - драйвер есть - сейчас я его зачищу и после по таким программам консультация только в ЛС.

2) Деинсталлируйте временно:

Proton VPN
Нажмите для раскрытия...

3) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 DeleteFile('C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\WinDivert64.sys', '64');
 DeleteFile('C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\goodbyedpi.exe', '64');
 DeleteFile('C:\Program Files (x86)\Microsoft\Edge\Application\90.0.818.66\msedge.dll', '64');
 DeleteService('WinDivert');
 DeleteService('GoodbyeDPI');
 DeleteFileMask('C:\Users\Larisa\AppData\Local\ProtectBrowser\', '*', true);
 DeleteDirectory('C:\Users\Larisa\AppData\Local\ProtectBrowser\');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1602606883');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.


Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf: [CLSID] = {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7272.0{9CCDECD0-5DBC-4A70-9DBE-0743BC5C24AC} - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --wake --system (sign: 'Google LLC')
O22 - Tasks: Opera scheduled assistant Autoupdate 1602606883 - C:\Users\Larisa\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Larisa\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O23 - Service S2: GoodbyeDPI - C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\goodbyedpi.exe -9 --dns-addr 77.88.8.8 --dns-port 1253 --dnsv6-addr 2a02:6b8::feed:0ff --dnsv6-port 1253 --blacklist C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\russia-youtube.txt" (not signed - no company - 478F336AB054623ABFA691F11F12BC3BE31DEABE)
O23 - Service S2: Внутренний сервис Google Updater (GoogleUpdaterInternalService140.0.7272.0) - (GoogleUpdaterInternalService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update-internal (sign: 'Google LLC')
O23 - Service S2: Сервис Google Updater (GoogleUpdaterService140.0.7272.0) - (GoogleUpdaterService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update (sign: 'Google LLC')
O26-32 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)



Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
 
Severnyj написал(а):
1) У вас была установлена зараженная рекламным кликером версия обхода блокировок типа Zapret, DiscordFix или прочего, службы нет - драйвер есть - сейчас я его зачищу и после по таким программам консультация только в ЛС.

2) Деинсталлируйте временно:



3) Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт) (..\AutoLogger\AV\avz.exe):

Код: 
begin
 DeleteFile('C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\WinDivert64.sys', '64');
 DeleteFile('C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\goodbyedpi.exe', '64');
 DeleteFile('C:\Program Files (x86)\Microsoft\Edge\Application\90.0.818.66\msedge.dll', '64');
 DeleteService('WinDivert');
 DeleteService('GoodbyeDPI');
 DeleteFileMask('C:\Users\Larisa\AppData\Local\ProtectBrowser\', '*', true);
 DeleteDirectory('C:\Users\Larisa\AppData\Local\ProtectBrowser\');
 DeleteSchedulerTask('Opera scheduled assistant Autoupdate 1602606883');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 3, true);
RebootWindows(true);
end.
Компьютер перезагрузится.


Пофиксите в HJT (некоторые строки могут отсутствовать):


Код: 
O18 - HKLM\Software\Classes\Protocols\Handler\ms-help: [CLSID] = {314111C7-A502-11D2-BBCA-00C04F8EC294} - (no file)
O18 - HKLM\Software\Classes\Protocols\Handler\osf: [CLSID] = {D924BDC6-C83A-4BD5-90D0-095128A113D1} - (no file)
O22 - Tasks: \GoogleSystem\GoogleUpdater\GoogleUpdaterTaskSystem140.0.7272.0{9CCDECD0-5DBC-4A70-9DBE-0743BC5C24AC} - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --wake --system (sign: 'Google LLC')
O22 - Tasks: Opera scheduled assistant Autoupdate 1602606883 - C:\Users\Larisa\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Larisa\AppData\Local\Programs\Opera\assistant" $(Arg0) (file missing)
O23 - Service S2: GoodbyeDPI - C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\goodbyedpi.exe -9 --dns-addr 77.88.8.8 --dns-port 1253 --dnsv6-addr 2a02:6b8::feed:0ff --dnsv6-port 1253 --blacklist C:\Users\Larisa\AppData\Local\ProtectBrowser\gbdpi\russia-youtube.txt" (not signed - no company - 478F336AB054623ABFA691F11F12BC3BE31DEABE)
O23 - Service S2: Внутренний сервис Google Updater (GoogleUpdaterInternalService140.0.7272.0) - (GoogleUpdaterInternalService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update-internal (sign: 'Google LLC')
O23 - Service S2: Сервис Google Updater (GoogleUpdaterService140.0.7272.0) - (GoogleUpdaterService140.0.7272.0) - C:\Program Files (x86)\Google\GoogleUpdater\140.0.7272.0\updater.exe --system --windows-service --service=update (sign: 'Google LLC')
O26-32 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)



Скачайте Farbar Recovery Scan Tool или с зеркала сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую по разрядности с Вашей операционной системой.
Как узнать разрядность моей системы?

  • Запустите программу. Когда программа запустится, нажмите Yes (Да) для соглашения с предупреждением об отказе от ответственности.
  • Убедитесь, что в разделе Optional Scan (Дополнительное Сканирование) отмечены галочки List BCD (Список BCD) и 90 Days Files (Файлы за 90 дней).
  • Нажмите кнопку Scan (Сканировать).

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Запакуйте отчеты в архив и прикрепите его к своему следующему сообщению.
Нажмите для раскрытия...
Всё вышеуказанное сделал. При перезагрузке интернет уже есть сразу.
Логи прикрепил.
 

Вложения

  • FRST.7z
    FRST.7z
    78.8 KB · Просмотры: 0
Последнее редактирование:
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\Larisa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilhjfdkfmlahclehgfglbnmmibmepfea
Folder: C:\Windows\SystemTemp
C:\Users\Larisa\AppData\Local\Browserupdphenix
C:\Users\Larisa\Downloads\KMSAuto_Lite_v1.3.1
C:\Users\Larisa\AppData\Local\ProtectBrowser
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\AppData\Local\Browserupdphenix"
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\Downloads\KMSAuto_Lite_v1.3.1"
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\AppData\Local\ProtectBrowser"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
 
Severnyj написал(а):
Примите к сведению - после выполнения скрипта временные файлы, корзина, история браузеров, куки и кэш будут очищены.
Отключите до перезагрузки антивирус.
Выделите следующий код:

Код: 
Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
Unlock: C:\FRST\
RemoveProxy:
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\Larisa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ilhjfdkfmlahclehgfglbnmmibmepfea
Folder: C:\Windows\SystemTemp
C:\Users\Larisa\AppData\Local\Browserupdphenix
C:\Users\Larisa\Downloads\KMSAuto_Lite_v1.3.1
C:\Users\Larisa\AppData\Local\ProtectBrowser
StartPowershell:
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\AppData\Local\Browserupdphenix"
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\Downloads\KMSAuto_Lite_v1.3.1"
Remove-MpPreference -ExclusionPath "C:\Users\Larisa\AppData\Local\ProtectBrowser"
Set-MpPreference -DisableAutoExclusions $true -Force
Set-MpPreference -Mapsreporting basic -Force
Set-MpPreference -DisableRealtimeMonitoring $false -Force
Set-MpPreference -DisablePrivacyMode $true -Force
Set-MpPreference -DisableIOAVProtection $false -Force
Set-MpPreference -UILockdown 0
Set-MpPreference -ScanPurgeItemsAfterDelay 1
Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
Set-MpPreference -PUAProtection enabled -Force
Update-MpSignature
Get-MpComputerStatus
Get-MpPreference
EndPowerShell:
Reg: reg export HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Defaults\FirewallPolicy\FirewallRules C:\Firewall.reg
C:\Firewall.reg
CMD: netsh advfirewall reset
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
Zip: C:\FRST\Quarantine
EmptyTemp:
Reboot:
End::
Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix (Исправить) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Вставлять код никуда не нужно - он будет выполнен из буфера обмена.
Компьютер будет перезагружен автоматически.
Нажмите для раскрытия...
выполнено
 

Вложения

Severnyj написал(а):
Включите защиту от подделки в Защитнике Windows.

Сообщите, что с проблемой?
Нажмите для раскрытия...
включил.
проблема ушла ещё после выполнения рекомендаций из первого собщения. сейчас всё нормально работает

Большое спасибо!!!

P.S Стандартного антивируса хватит для дельнейшего использования или дадите какие то рекомендации?
 
Сначала завершающие штрихи, потом рекомендации.

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
 
Severnyj написал(а):
Сначала завершающие штрихи, потом рекомендации.

Деинсталлируйте Farbar Recovery Scan Tool - переименуйте FRST.exe (FRST64.exe) в Uninstall.exe и запустите.
Компьютер будет перезагружен автоматически.

Подготовьте лог SecurityCheck by glax24:
Скачайте архив, распакуйте в любую папку и запустите.
Дождитесь окончания сканирования, прикрепите лог C:\SecurityCheck\SecurityCheck.txt к своему следующему сообщению.
Нажмите для раскрытия...
сделал
 

Вложения

Обновите ПО:

AMD Software v.20.9.1 Внимание! Скачать обновления
Microsoft Office Professional Plus 2013 v.15.0.4569.1506 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.10.5 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft OneDrive v.25.080.0427.0003 Внимание! Скачать обновления
7-Zip 19.00 (x64) v.19.00 Внимание! Скачать обновления
qBittorrent 4.2.5 v.4.2.5 Внимание! Скачать обновления
Opera Stable 119.0.5497.141 v.119.0.5497.141 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^

+++

Severnyj

Тема 'Рекомендации после удаления вредоносного ПО'

  1. Удалите инструменты, которые были использованы во время лечения:​

  2. Создайте новую точку восстановления и удалите старые точки.​

    1. Нажмите Пуск – Программы – Стандартные – Служебные – Восстановление системы. Выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
    2. Нажмите Пуск - Программы – Стандартные –...
  • Like
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу