Решена KMSAuto Lite спустя месяц. Подозрение на слежку.

MateZ220 · 20 Июл 2019

Доброго времени суток, опишу свою проблему приблизительно чуть больше месяца назад я заменил в компьютере жесткий диск и тем самым у меня слетела активация виндоус, решил я это дело исправить при помощи первого активатора что предложит сеть, и этим активатором оказался KMSAuto Lite копии которого у меня сейчас нет. Так вот, первые две недели, все было хорошо, дальше компьютер начал перезагружаться сам по себе, я думал причина в перегреве комплектующих компьютера (процессор, видеокарта) но после полной чистки, замены т/п ничего не изменилось. Так длилось до тех пор, пока у меня на компьютере не началась твориться какая то вакханалия, у системных приложений таких как One Drive, Microsoft Edge, не появился как я понимаю id после своего названия (Скриншот прикреплен) с драйверами устройств такая же беда. Появляются учетные данные (Скриншот прикреплен). Вообщем меня это не радавало, и я решил переустановить Windows и заодно перейти с Pro версии на Home, скачал, установил, первым делом захожу в диспетчер задач и замечаю работу якобы (KMS Activator) в недоумени захожу в журнал событий и вижу ошибку от файла slui.exe. В информации о системе и вижу то что система активирована ключем Pro версии и в показывает типо что у меня до сих пор стоит Windows 10 Pro. Есть подозрение что либо ко мне подключаются через локальную сеть, либо выгружают данные через локальную сеть, Не думаю что проблема решиться одним лишь антивирусом, так что решил написать вам.

akok · 20 Июл 2019

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:

  begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RebootWindows(false);
end.

Компьютер перезагрузится.

MateZ220 написал(а):
slui.exe

Это легитимный файл ОС, а не часть активатора.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

MateZ220 · 20 Июл 2019

MateZ220 · 20 Июл 2019

akok написал(а):
Это легитимный файл ОС, а не часть активатора.

Отчеты прикрепляю, на счет slui.exe я знаю, я его не удалял и даже не пытался если что.

akok · 20 Июл 2019

Гостя зачем включали?
Гость (S-1-5-21-3228202724-2840365463-2825180584-501 - Limited - Enabled)
Образ откуда качали?

По логам, не вижу ничего вредоносного.

MateZ220 · 20 Июл 2019

Гостя не включал, профиль у меня один. Да и бывает всё данные выкидывает будто на локальный сервер, хотя такого нет.
Образ оригинал, осталась установочная флешка.

akok · 20 Июл 2019

Гостя отключите

Как отключить "Гостя"?

После обновления Windows 10 ( полагаю) при входе в Windows 10 стал появляться логин с 2 учетками - моей основной и левой ( имя и фамилия мои). Сейчас , ну никак не могу отключить этот экран с паролем!

answers.microsoft.com

MateZ220 · 20 Июл 2019

Сделано, вопрос такой тогда, почему у меня системные приложения заимели какой-то ID после своего названия, не только системные приложения, но и драйвера для устройств.

akok · 20 Июл 2019

По первому скриншоту, у меня такая же ситуация с эталонной виртуальной и рабочей машиной (обе лицензионные). По второму, зачем вы в точку восстановления полезли?

MateZ220 · 20 Июл 2019

akok написал(а):
По первому скриншоту, у меня такая же ситуация с эталонной виртуальной и рабочей машиной (обе лицензионные). По второму, зачем вы в точку восстановления полезли?

На счет точки восстановления, да не туда залез, но и так же на счет неё, точек восстановления на моём компьютере нет.
Раз уж я написал, тогда ко всему спрошу как можно удалить автоматическую активацию винды, ибо даже после переустановки Windows он выдает что лиц. активирована а я даже в аккаунт mcsoft не успел зайти

akok · 20 Июл 2019

А она у вас и не активирована. При установке выбирали какую версию нужно установить или ввели ключ?

MateZ220 · 20 Июл 2019

Ключ вводил вот этот "VK7JG-NPHTM-C97JM-9MPGT-3V66T" (ключ взят из интернета) а нормальная лицензия у меня за тестирование win

akok · 20 Июл 2019

Если не ошибаюсь, это ключ от про версии.

akok · 20 Июл 2019

Да и для Win 10 есть возможность установить ее без указания ключа.

MateZ220 · 21 Июл 2019

Переустановил win с удалением старых файлов, немного успел полазить в интернете, ничего не качал, на подозрительные не переходил, сделал на всякий случай лог, посмотрите изменилось ли что? Просто в прошлый раз у меня проблема тоже была, я там натворил своими ручками тоже много, так что...

MateZ220 · 21 Июл 2019

MateZ220 написал(а):
Переустановил win с удалением старых файлов, немного успел полазить в интернете, ничего не качал, на подозрительные не переходил, сделал на всякий случай лог, посмотрите изменилось ли что? Просто в прошлый раз у меня проблема тоже была, я там натворил своими ручками тоже много, так что...

После перезапуска системы при помощи данного вами кода. + collection log

akok · 21 Июл 2019

Чисто.
Подготовьте лог SecurityCheck by glax24

MateZ220 · 25 Июл 2019

Заметил такие вещи в настройках wifi адаптера, проверил телефон. Заметил такую вещь что и на телефонах, что и на компьютере стало много сертификатов безопасности... Драйвера на компьютере даже после переустановки винды всё равно тоже сохраняются (При том всё, раньше если приходилось через диспетчер устройств делать поиск драйверов в интернете, сейчас же, все делается автоматом)
Обновление для IE установить не смог, выбило данную ошибку(см. скриншот)
Отстойное чувство того что, что-то сидит в системных файлах, или заменило собой системный файл или отредактировало его как то, и влияет на систему так что даёт компу, полный доступ к локальной сети и через локальную сеть творит всё что хочешь...
Я не знаю как это объяснить. Но до этого всё было нормально. Вообщем я в недоумении, попробую ещё раз переустановить систему, с полным удалением, хочу запечатлить как нибудь с чего всё начинается, но пока не удачно.

akok · 25 Июл 2019

Кроме крайне устаревшей сборки нет ничего интересного (актуальная версия 10.0.18860.1000). Если боитесь слежки, переходите на linux... ну и используйте лицензионное ПО.

MateZ220 · 25 Июл 2019

akok написал(а):
Кроме крайне устаревшей сборки нет ничего интересного (актуальная версия 10.0.18860.1000). Если боитесь слежки, переходите на linux... ну и используйте лицензионное ПО.

Ну вообщем я думаю тогда можно закрывать тему, если моя паранойя подтвердится дам знать. Спасибо

Решена KMSAuto Lite спустя месяц. Подозрение на слежку.

MateZ220

Новый пользователь

Вложения

akok

MateZ220

Новый пользователь

MateZ220

Новый пользователь

Вложения

akok

MateZ220

Новый пользователь

Вложения

akok

Как отключить "Гостя"?

MateZ220

Новый пользователь

akok

MateZ220

Новый пользователь

akok

MateZ220

Новый пользователь

akok

akok

MateZ220

Новый пользователь

Вложения

MateZ220

Новый пользователь

Вложения

akok

MateZ220

Новый пользователь

Вложения

akok

MateZ220

Новый пользователь

Похожие темы