Приветствую. Современное ПО может стоить денег, особенно используемое для работы. Разумеется не все хотят платить и применяют незаконные способы активации, опасность которых — в заражении ПК вирусами. Действие которых может начаться не сразу, а например через месяц.
KMSSS.exe — что это такое?
Применяется для незаконной активации популярного софта.
Антивирусы определяют угрозу как Win32/HackKMS, HackTool:Win32/AutoKMS. Угрозу способен находить даже защитник Windows.
Название KMSSS.exe расшифровывается как KMS Server Service.
Папка запуска:
C:WindowsSetupSCRIPTSdatabin
Либо:
C:Program FilesProgramDataKMSAutobin
Папка driver — видимо для работы драйвера, чтобы обойти защиту лицензирования софта. В папке также могут быть другие компоненты — TunMirror.exe, файл лога (KMSSS.log).
Может устанавливать собственную службу KMSEmulator, запускающая вирус. Также могут быть задания в планировщике.
Trojan.MulDrop8.26137
В базу Dr.Web 2018-06-12 был добавлен вирус, в списке процессов которого — присутствует KMSSS.exe:
Троян — тип вируса, который живет на ПК и может получать команды из командного центра. Трояны могут образовать сеть ПК, которые выполняют команду из центра управления (ботнет). Команды могут посылаться автоматически либо вручную.
Даже Malwarebytes (утилита против рекламного ПО) находит в KMSSS.exe угрозу — RiskWare.IStealer (опасное ПО):
Что делать?
- Просканировать ПК тремя лучшими утилитами: Dr.Web CureIt!, AdwCleaner, HitmanPro. Первая — против опасных угроз, две следующие — против рекламного и шпионского ПО.
- Проверить список служб на наличие KMSEmulator. Если присутствует — нажать два раза по службе, остановить работу и отключить. Желательно попробовать удалить. Чтобы открыть список: зажмите Win + R > команда services.msc. Чтобы попробовать удалить: в свойствах скопируйте Имя службы > запустите командную строку от администратора > ввести команду sc delete имя_службы. Если название состоит из нескольких слов, тогда возьмите название в кавычки.
- Проверить планировщик — при наличии заданий, в которых упоминается KMSSS.exe — удалить. Запуск планировщика: зажмите Win + R > команда taskschd.msc. Задания ищите в библиотеке планировщика задач.
Не стоит использовать хакерские инструменты активации софта. Никто не даст гарантии отсутствия вирусного кода. Активатор может работать нормально, а через месяц например запустит скрытую функцию отправки паролей злоумышленнику.
Если файл удалить, а службу нет — возможна такая ошибка:
Заключение
- KMSSS.exe — хакерский инструмент активации популярного ПО.
- Потенциально опасный процесс, может отправлять в сеть пароли и прочую ценную информацию.
Удачи.
На главную!
27.02.2020
Содержание
- KMSSS.exe — что это за процесс?
- KMSSS.exe — что это такое?
- Trojan.MulDrop8.26137
- Что делать?
- TunMirror.exe что это за процесс? (KMSSS.exe)
- Удаление
- Что такое KMService.exe?
- Что такое KMService.exe?
- Не пропустите похожие интересные посты!
- Как разархивировать файл
- Красивые часы на рабочий стол
- Автоматический переключатель клавиатуры Punto Switcher
- Конвертер электронных книг
- Об авторе Смотреть все записи
- Светлана Слободенюк
- Комментариев Оставить комментарий
- filecheck .ru
- Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
- Информация о файле KMSSS.exe
- Комментарий пользователя
- Лучшие практики для исправления проблем с KMSSS
- KMSSS сканер
KMSSS.exe — что это за процесс?
Приветствую. Современное ПО может стоить денег, особенно используемое для работы. Разумеется не все хотят платить и применяют незаконные способы активации, опасность которых — в заражении ПК вирусами. Действие которых может начаться не сразу, а например через месяц.
KMSSS.exe — что это такое?
Применяется для незаконной активации популярного софта.
Антивирусы определяют угрозу как Win32/HackKMS, HackTool:Win32/AutoKMS. Угрозу способен находить даже защитник Windows.
Название KMSSS.exe расшифровывается как KMS Server Service.
Папка driver — видимо для работы драйвера, чтобы обойти защиту лицензирования софта. В папке также могут быть другие компоненты — TunMirror.exe, файл лога (KMSSS.log).
Может устанавливать собственную службу KMSEmulator, запускающая вирус. Также могут быть задания в планировщике.
Trojan.MulDrop8.26137
В базу Dr.Web 2018-06-12 был добавлен вирус, в списке процессов которого — присутствует KMSSS.exe:
Троян — тип вируса, который живет на ПК и может получать команды из командного центра. Трояны могут образовать сеть ПК, которые выполняют команду из центра управления (ботнет). Команды могут посылаться автоматически либо вручную.
Даже Malwarebytes (утилита против рекламного ПО) находит в KMSSS.exe угрозу — RiskWare.IStealer (опасное ПО):
Что делать?
- Просканировать ПК тремя лучшими утилитами: Dr.Web CureIt!, AdwCleaner, HitmanPro. Первая — против опасных угроз, две следующие — против рекламного и шпионского ПО.
- Проверить список служб на наличие KMSEmulator. Если присутствует — нажать два раза по службе, остановить работу и отключить. Желательно попробовать удалить. Чтобы открыть список: зажмите Win + R > команда services.msc. Чтобы попробовать удалить: в свойствах скопируйте Имя службы > запустите командную строку от администратора > ввести команду sc delete имя_службы. Если название состоит из нескольких слов, тогда возьмите название в кавычки.
- Проверить планировщик — при наличии заданий, в которых упоминается KMSSS.exe — удалить. Запуск планировщика: зажмите Win + R > команда taskschd.msc. Задания ищите в библиотеке планировщика задач.
Не стоит использовать хакерские инструменты активации софта. Никто не даст гарантии отсутствия вирусного кода. Активатор может работать нормально, а через месяц например запустит скрытую функцию отправки паролей злоумышленнику.
Если файл удалить, а службу нет — возможна такая ошибка:
TunMirror.exe что это за процесс? (KMSSS.exe)
TunMirror.exe — вирус, предположительно троян. Попадает на ПК при установке взломанных программ, либо при использовании инструментов обхода активации ПО.
Предположительно имеет отношение к KMSAutoS.
Антивирусом может быть определена как угроза MSIL/HackTool.TunMirror либо HackTool.TunMirroe.MSIL.
По отзывам, даже после удаления TunMirror.exe, в будущем вирус может снова появиться на диске. Данное поведение свидетельствует об использовании защиты от обнаружения/удаления. Некоторые вирусы способы постоянно изменять собственный код, такая особенность называется полиморфизм.
Процесс TunMirror.exe в диспетчере задач:
Располагаться вирус может в данной папке:
Где USERNAME — имя учетной записи, 3a34.tmp — конечная папка расположения, предположительно имя выбирается случайно.
Второй вариант расположения:
Теоритически файл имеет отношение к потенциально опасной программе KMSAutoS. На сайте Microsoft присутствует информация, подтверждающая опасность AutoKMS:
Китайская утилита AhnLab V3 Lite определяет TunMirror.exe как угрозу Unwanted/Win32.HackTool.R170046:
Помимо файла TunMirror.exe, потенциально опасным считается и KMSSS.exe, который расположен в той же папке.
Удаление
Необходимо просканировать ПК бесплатными утилитами. Если не установлен антивирус — поставить любой известный. Подойдет в том числе и бесплатный. Например Касперский, Аваст.
Рекомендуемые утилиты для сканирования ПК:
- Dr.Web CureIt!. Лучшая утилита по поиску и удалению опасных вирусов — троянов, червей, руткитов, ботнетов и других, в том числе и полиморфных. Продвинутый механизм работы позволяет находить вирусы с защитой от обнаружения. Утилита загружается с уникальным именем и содержит в себе антивирусные базы. Длительность проверки зависит от обьема диска, количества файлов, работающих программ во время проверки.
- AdwCleaner. Утилита признана одной из лучших в плане поиска рекламных вирусов, рекламных программ/модулей, программ-шпионов и прочего. Удаляет и чистит ПК, сканируя ярлыки, реестр, автозагрузку, планировщик задач.
- HitmanPro. Похожа на предыдущую, однако использует другой принцип работы, уровень поиска более тщательный. Например способна искать угрозы в файлах Cookie. Также проверяет ярлыки, расширения, реестр и остальное.
Использование строго трех утилит максимально гарантирует очистку Windows от вирусов и потенциально опасных программ.
Бесплатный антивирус Касперского обладает минимальным, но основным функционалом для защиты ПК от вирусов. В настройках доступен выбор повышенного уровня безопасности, а также фирменные технологии — iSwift Technology, iChecker Technology. Внешний вид:
Аваст имеет больше дополнительных функций:
Проверяйте регулярно антивирусом ПК, не используйте сомнительные сайты для загрузки ПО. Используйте только лицензионные программы.
Что такое KMService.exe?
KMService.exe — это процесс, который пользователи с удивлением обнаруживают запущеным у себя на компьютере, и который вызывает очень много вопросов.
Работу компьютера и программ обеспечивает масса различных процессов и служб. Среди них есть такой процесс как KMService.exe, который многие пользователи принимают за вирус. Даже если на процесс ругается Ваш антивирус.. Без паники! Это Не Вирус! Однако…
Вот если антивирус пишет, что в этом файле сидит троян, значит он просто заражен вирусом, который нужно либо вылечить, либо скачать без вируса
Что такое KMService.exe?
У Вас на компьютере установлен MS Office 2010 (Word, Еxel 2010)? Если да, то Вы, наверняка, пользовались специальной программой — активатором офиса.
Если Вы не приобрели лицензию, то без активации офиса Вы не сможете им пользоваться более 30 дней.
Вот как раз эта программа при активации офиса и устанавливает на компьютер kmservice exe, который запускается srvany.exe, и находится в папке C:WINDOWSKMService.exe.
После установки на компьютер KMService.exe будет постоянно «висеть» среди других служб, а Вы сможете неограниченное время пользоваться MS Office 2010 (надеюсь, Вы понимаете, что это незаконно…)
Конечно, если Вы очень хотите удалить данный процесс, Вы можете легко это сделать при помощи той же программы — активатора.
Для этого нужно просто нажать на кнопку «Удаление KMService».
Вот и вся проблема.
Пользуйтесь лицензионным софтом или его бесплатными аналогами и будет все ОК!
Теперь Вы знаете что такое KMService. Естественно, никаких ссылок для скачивания такой программы — установщика KMService.exe Вы на моем сайте не найдете…
И, напоследок, смотрите как два русских парня со стальными …нервами забрались на второе по высоте здание в мире:
Не пропустите похожие интересные посты!
Как разархивировать файл
Красивые часы на рабочий стол
Автоматический переключатель клавиатуры Punto Switcher
Конвертер электронных книг
Об авторе Смотреть все записи
Светлана Слободенюк
Я автор данного блога. Все статьи, которые вы найдете на моем блоге авторские, написанные исходя из личного опыта и «набитых шишек»)
Комментариев Оставить комментарий
А у меня антивирусник пишет,что там сидит trojan mayachok1,это тоже нормально?
Нет! trojan mayachok1 — ЭТО ВИРУС, который просто заразил процесс KMService.exe. Он (вирус) блокирует доступ в Интернет, вместо запрашиваемых сайтов в окне браузера появляется сообщение типа: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если при этом ввести свой телефонный номер в соответствующую форму, и ответить СМС, со счета спишутся деньги.
Вот неполный список сайтов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.
Больше информации об этом вирусе смотрите здесь
К самой службе (файлу KMService.exe) это не имеет отношения. Если на вашем компьютере Антивирусная программа «ругается» на наличие трояна в этом файле, то, вероятно этот троян есть и у других файлов/программах. Значит ваш компьютер заражен и требует лечения.
А то, что именно KMService.exe инфицирован — просто совпадение.
Но, есть большая вероятность, если вы скачивали активатор MS Office/Windows и этот файл уже был заражен, но, повторяю, это внешнее воздействие, сам изначально этот файл не содержит «трояна»
добрый день,а можно удалить KMService,просто я не пользуюсь MS Office 2010 я его удалил.или он(KMService) еще для чего то нужен?
Конечно, Вы можете удалить KMService при помощи того же активатора, который использовался для активации офиса, там должна быть кнопка удаления. Он нужен для того чтобы работал нелицензионный офис.
стоит ли пускать этого kmservice в интернет? То что он часть ломалки Office это понятно, на него ругается мой Dr.Web, блокируя попытку ломиться в инет сразу при загрузке системы. Пытался не давать связи с нэтом, не уверен совпадение это или нет, но у Офиса слетела активация (что могло случиться ещё до войны kmservice с Вебом)
Если kmservice не заражен никаким трояном, то пускать его в сеть можно, во всяком случае я пускала и все было при этом нормально. А DrWeb будет ругаться, работа у него такая ) У меня, кстати DrWeb с kmservice нормально сотрудничали, главное ему команду дать: «это свои, не трогать» )
filecheck .ru
Подлинный файл является одним из компонентов программного обеспечения KMS Server Emulator Service (XP), разработанного Daily2k.com .
KMSSS.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли KMSSS.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу KMS Server Emulator Service. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы KMSSS.exe.
Информация о файле KMSSS.exe
Описание: KMSSS.exe не является важным для Windows и часто вызывает проблемы. KMSSS.exe находится в подпапках «C:Program Files» или иногда в подпапках «C:UsersUSERNAME» или в подпапках Windows для хранения временных файлов. Известны следующие размеры файла для Windows 10/8/7/XP 301,056 байт (25% всех случаев), 35,504 байт и еще 11 варианта .
Название сервиса — KMSEmulator.
Это не файл Windows. У процесса нет видимого окна. Процесс использует порт, чтобы присоединится к сети или интернету. Поэтому технический рейтинг надежности 80% опасности.
Издатель программного обеспечения Ru-board обеспечивает прямую поддержку (forum.ru-board.com). В случае проблем с KMSSS.exe, Вы можете удалить всю программу KMSSS (Ratiborus, MSFree Inc.) или Utility Common Driver, используя Панель управления Windows, или проверьте существует ли более новая версия.
- Если KMSSS.exe находится в подпапках C:Windows, тогда рейтинг надежности 65% опасности. Размер файла 297,472 байт (25% всех случаев), 301,056 байт и еще 6 варианта . Это не системный процесс Windows. У процесса нет видимого окна. Процесс использует порт, чтобы присоединится к сети или интернету. Находится в папке Windows, но это не файл ядра Windows.
Издатель программного обеспечения Ru-board обеспечивает прямую поддержку (forum.ru-board.com). В случае проблем с KMSSS.exe, Вы можете удалить всю программу KMSSS (Ratiborus, MSFree Inc.), используя Панель управления Windows, или проверьте существует ли более новая версия.
Важно: Некоторые вредоносные программы используют такое же имя файла KMSSS.exe, например RDN/Generic PUP.z (определяется антивирусом McAfee), и HackTool:Win32/AutoKMS (определяется антивирусом Microsoft). Таким образом, вы должны проверить файл KMSSS.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с KMSSS
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с KMSSS. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса KMSSS.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
KMSSS сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
Содержание
- filecheck .ru
- Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
- Информация о файле KMSSS.exe
- Комментарий пользователя
- Лучшие практики для исправления проблем с KMSSS
- KMSSS сканер
- Что такое KMService.exe?
- Что такое KMService.exe?
- Не пропустите похожие интересные посты!
- Интернет радио на компьютере
- Конвертер электронных книг
- Как скачать и установить скайп
- Где скачать мультибар
- Об авторе Смотреть все записи
- Светлана Слободенюк
- Комментариев Оставить комментарий
- KMSSS.exe — что это за процесс?
- KMSSS.exe — что это такое?
- Trojan.MulDrop8.26137
- Что делать?
- Пиратские будни. KMS. ч.1
filecheck .ru
Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
Информация о файле KMSSS.exe
Важно: Некоторые вредоносные программы используют такое же имя файла KMSSS.exe, например RDN/Generic PUP.z (определяется антивирусом McAfee), и HackTool:Win32/AutoKMS (определяется антивирусом Microsoft). Таким образом, вы должны проверить файл KMSSS.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с KMSSS
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
KMSSS сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
Источник
Что такое KMService.exe?
KMService.exe — это процесс, который пользователи с удивлением обнаруживают запущеным у себя на компьютере, и который вызывает очень много вопросов.
Работу компьютера и программ обеспечивает масса различных процессов и служб. Среди них есть такой процесс как KMService.exe, который многие пользователи принимают за вирус. Даже если на процесс ругается Ваш антивирус.. Без паники! Это Не Вирус! Однако…
Вот если антивирус пишет, что в этом файле сидит троян, значит он просто заражен вирусом, который нужно либо вылечить, либо скачать без вируса
Что такое KMService.exe?
У Вас на компьютере установлен MS Office 2010 (Word, Еxel 2010)? Если да, то Вы, наверняка, пользовались специальной программой — активатором офиса.
Если Вы не приобрели лицензию, то без активации офиса Вы не сможете им пользоваться более 30 дней.
Вот как раз эта программа при активации офиса и устанавливает на компьютер kmservice exe, который запускается srvany.exe, и находится в папке C:WINDOWSKMService.exe.
После установки на компьютер KMService.exe будет постоянно «висеть» среди других служб, а Вы сможете неограниченное время пользоваться MS Office 2010 (надеюсь, Вы понимаете, что это незаконно…)
Конечно, если Вы очень хотите удалить данный процесс, Вы можете легко это сделать при помощи той же программы — активатора.
Для этого нужно просто нажать на кнопку «Удаление KMService».
Вот и вся проблема.
Пользуйтесь лицензионным софтом или его бесплатными аналогами и будет все ОК!
Теперь Вы знаете что такое KMService. Естественно, никаких ссылок для скачивания такой программы — установщика KMService.exe Вы на моем сайте не найдете…
И, напоследок, смотрите как два русских парня со стальными …нервами забрались на второе по высоте здание в мире:
Не пропустите похожие интересные посты!
Интернет радио на компьютере
Конвертер электронных книг
Как скачать и установить скайп
Где скачать мультибар
Об авторе Смотреть все записи
Светлана Слободенюк
Я автор данного блога. Все статьи, которые вы найдете на моем блоге авторские, написанные исходя из личного опыта и «набитых шишек»)
Комментариев Оставить комментарий
А у меня антивирусник пишет,что там сидит trojan mayachok1,это тоже нормально?
Нет! trojan mayachok1 — ЭТО ВИРУС, который просто заразил процесс KMService.exe. Он (вирус) блокирует доступ в Интернет, вместо запрашиваемых сайтов в окне браузера появляется сообщение типа: «Канал вашего района перегружен, и мы вынуждены ограничить загрузку некоторых сайтов на время, пока канал не будет разгружен. […] Если работа в сети Интернет на текущий момент для вас критична, вы можете подключить резервный канал вашего района. Чтобы подтвердить намерение и крайнюю необходимость перейти на резервный канал, ответьте на входящее СМС-сообщение». Если при этом ввести свой телефонный номер в соответствующую форму, и ответить СМС, со счета спишутся деньги.
Вот неполный список сайтов, страницы которых может подменить этот троянец: youtube.com, vkontakte.ru, odnoklassniki.ru, rostelecom.ru, support.akado.ru, my.mail.ru. Во всех случаях при попытке открыть в браузере какой-либо сайт Trojan.Mayachok.1 перенаправляет пользователя на заранее определенный URL, демонстрируя в окне браузера веб-страницу, предлагающую «активировать» или «подтвердить» аккаунт, указав свой номер телефона и ответив на входящее СМС-сообщение.
Больше информации об этом вирусе смотрите здесь
К самой службе (файлу KMService.exe) это не имеет отношения. Если на вашем компьютере Антивирусная программа «ругается» на наличие трояна в этом файле, то, вероятно этот троян есть и у других файлов/программах. Значит ваш компьютер заражен и требует лечения.
А то, что именно KMService.exe инфицирован — просто совпадение.
Но, есть большая вероятность, если вы скачивали активатор MS Office/Windows и этот файл уже был заражен, но, повторяю, это внешнее воздействие, сам изначально этот файл не содержит «трояна»
добрый день,а можно удалить KMService,просто я не пользуюсь MS Office 2010 я его удалил.или он(KMService) еще для чего то нужен?
Конечно, Вы можете удалить KMService при помощи того же активатора, который использовался для активации офиса, там должна быть кнопка удаления. Он нужен для того чтобы работал нелицензионный офис.
стоит ли пускать этого kmservice в интернет? То что он часть ломалки Office это понятно, на него ругается мой Dr.Web, блокируя попытку ломиться в инет сразу при загрузке системы. Пытался не давать связи с нэтом, не уверен совпадение это или нет, но у Офиса слетела активация (что могло случиться ещё до войны kmservice с Вебом)
Если kmservice не заражен никаким трояном, то пускать его в сеть можно, во всяком случае я пускала и все было при этом нормально. А DrWeb будет ругаться, работа у него такая ) У меня, кстати DrWeb с kmservice нормально сотрудничали, главное ему команду дать: «это свои, не трогать» )
Источник
KMSSS.exe — что это за процесс?
Приветствую. Современное ПО может стоить денег, особенно используемое для работы. Разумеется не все хотят платить и применяют незаконные способы активации, опасность которых — в заражении ПК вирусами. Действие которых может начаться не сразу, а например через месяц.
KMSSS.exe — что это такое?
Применяется для незаконной активации популярного софта.
Антивирусы определяют угрозу как Win32/HackKMS, HackTool:Win32/AutoKMS. Угрозу способен находить даже защитник Windows.
Название KMSSS.exe расшифровывается как KMS Server Service.
Папка driver — видимо для работы драйвера, чтобы обойти защиту лицензирования софта. В папке также могут быть другие компоненты — TunMirror.exe, файл лога (KMSSS.log).
Может устанавливать собственную службу KMSEmulator, запускающая вирус. Также могут быть задания в планировщике.
Trojan.MulDrop8.26137
В базу Dr.Web 2018-06-12 был добавлен вирус, в списке процессов которого — присутствует KMSSS.exe:
Троян — тип вируса, который живет на ПК и может получать команды из командного центра. Трояны могут образовать сеть ПК, которые выполняют команду из центра управления (ботнет). Команды могут посылаться автоматически либо вручную.
Даже Malwarebytes (утилита против рекламного ПО) находит в KMSSS.exe угрозу — RiskWare.IStealer (опасное ПО):
Что делать?
Не стоит использовать хакерские инструменты активации софта. Никто не даст гарантии отсутствия вирусного кода. Активатор может работать нормально, а через месяц например запустит скрытую функцию отправки паролей злоумышленнику.
Если файл удалить, а службу нет — возможна такая ошибка:
Источник
Пиратские будни. KMS. ч.1
Йо-хо-хо, админы! Эта статья в бОльшей степени рассчитана на Вас, ибо мы живем в России и не в идеальном мире и остались еще компании, которые экономят на ПО и мучают своих админов.
Статья будет состоять из двух частей, вторую выложу при одобрении идеи первой.
Долго ли, много ли пришлось мне мучиться с постоянной слетевшей активацией Windows и Office история умалчивает. А так как лень – двигатель прогресса, попала в мой орешек мысль все это дело завязать на полную автоматизацию(с авторазвертыванием, авто-активацией и последующим мониторингом результатапроцесса). Сразу опишу, что нам для этого будет необходимо, дабы Вам дальше было (не)интересно читать: локальный KMS-сервер, GPO, Bat-ники, Zabbix(без него не торт будет). Собсна усе.
Для поднятия собственного KMS-сервера развернем виртуалку на Windows Server(2008, 2012) и заведем в его в нашу доменную структуру.
Следом воспользуемся изобретением, которое можно найти в любом уголке интернета, KMS-Auto(рекомендую использоваться послед. версию). Вся соль этой программы в том, что во вкладочке «О программе» мы можем найти «Расширенный режим», а коль мы админы жадные и любопытные, то после во вкладке «Настройки» тыкаешь еще и кнопочку «Мне мало настроек». И вы почти бог!
Но не совсем. Перейдем к «тонкой настройке» нашего будущего KMS-сервера. Итак, подробней и попорядку:
1. Переходим на вкладку Система. Здесь мы можем установить или удалить сервис (пока не устанавливаем, сначала надо всё настроить), выбрать ручной или автоматический и другие методы установки сервиса, включить введение лога, создать задачу в планировщике или установить GVLK ключ продукта, а также сбросить настройки по умолчанию. В режиме WinDivert программа устанавливает сервис вместе со специальным драйвером. В режиме Hook, устанавливается сервис и происходит подмена некоторых системных файлов. В режиме TAP, сервис устанавливается с дополнительной виртуальной сетевой картой. В режиме Auto, программа установит сервис с одним из перечисленных вариантов или в ручном режиме, всё зависит от того какая у вас система. В режиме NoAuto, сервис просто установится без каких либо дополнительных внесений и изменений в систему. Выбираем в режиме «NoAuto», с ним будет проще работать на Windows 7. Здесь же можно включить логи, для того чтобы иметь информацию об активации. Там содержится информация следующего типа: время запуска KMS-сервиса (UTC и время по вашему часовому поясу); имя компьютера клиентского ПК; название продукта; идентификатор продукта; идентификатор лицензии; идентификатор KMS сервера; статус лицензии; IP-адрес клиентского ПК (включается опционально). Кому конечно требуется активировать всего один домашний компьютер, эта функция не потребуется.
2. Далее переходим на вкладку Настройки, для более тонкой настройки эмулятора на вашем будущем KMS-сервере. Здесь находятся настройки привязки IP-адреса, заставка, звуки, сохранения настроек программы непосредственно в папке с программой, настройка порта и IP адреса сервиса, PID KMS-сервера, интервал активации и обновления и другие функции. В поле «Настройки», убираем галочку Удалить IP KMS-Service, иначе в дальнейшем автоматическая переактивация работать не будет, так как этот параметр удаляет IP-адрес KMS-сервера с ваших клиентских ПК включая ПК на котором вы подняли KMS-сервер. Остальные параметры в поле «Настройки», можете настроить на свое усмотрение.
В поле «Настройки KMS-Service», вы можете установить порт и IP адрес для вашего KMS-сервера. По умолчанию порт стоит 1688, его я так и оставил (вы можете поставить любой какой вам захочется). В панеле «Host», оставляем Auto-host(ежели вы хотите пускать свой KMS-сервер в интернет, выбираете адрес своего моста)
Теперь, после всех настроек, нам необходимо установить KMS-сервис и ваша виртуалка станет полноценным KMS-сервером. Возвращаемся на вкладку Система и нажимаем Установить KMS-Service. О завершение установки, вы узнаете в информационном сообщении «В системе установлен KMS-Service».
Как проверить? Да просто!
На Вашей неактивирванной тачке в CMD от имени админа прописываем:
cscript «%windir%system32slmgr.vbs» /ipk %KEY%
cscript «%windir%system32slmgr.vbs» /skms servername.domain
cscript «%windir%system32slmgr.vbs» /ato
servername.domain – локальное имя сервера KMS или его IP (если возникает проблема с DNS-именем Вашего сервера, гуглим «Как добавить в DNS SRV запись службы»)
На этом, пожалуй, закончим. Далее – Активация Office, мониторинг активации Win & Off с помощью Zabbix, авто-активация продуктов на основе полученных данных)
Если у Вас уже это получилось или понравилась сама идея, жду Вашего одобрения на продолжение статьи.
Статья имеет ознакомительный характер и никого не призывает использовать столь подлый способ.
Источник
KMSS.exe is known as KMS Server Emulator (XP), it also has the following name KMS emulator by Ratiborus or TeamViewer or Java Platform SE Auto Updater or Google Update or Microsoft OneDrive and it is developed by MDL Forum, mod by Ratiborus , it is also developed by MSfree Inc. TeamViewer GmbH Oracle Corporation Google LLC Microsoft Corporation. We have seen about 100 different instances of KMSS.exe in different location. So far we haven’t seen any alert about this product. If you think there is a virus or malware with this product, please submit your feedback at the bottom.
Is KMSS.exe using too much CPU or memory ? It’s probably your file has been infected with a virus. Let try the program named DriverIdentifier to see if it helps.
If you encounter difficulties with KMSS.exe , you can uninstall the associated program (Start > Control Panel > Add/Remove programs
Let try to run a system scan with Speed Up My PC to see any error, then you can do some other troubleshooting steps.
If you think this is a driver issue, please try DriverDouble.com
————————————————————————————————————————————————————-
By dave goff 2019-07-05 07:52:59
hi my computer keeps telling these are very high viruses and i’m not sure what it is that is trying to get into my computer please advise on what to do it says its a hacktool?? HackTool:Win32/AutoKMS
:WindowsfilesbinKMSS.exe
:Windowsfilesbinx86WDVFakeClient.exe
what should I do
————————————————————————————————————————————————————-
By Marko 2019-11-06 15:52:34
KMSS.EXE zeigt dass das eine Virus ist.
————————————————————————————————————————————————————-
By LP 2020-02-06 17:31:05
Avast Premium Security just detected a threat. The threat name was IDP.Generic, the file infected was KMSS.exe and the original location in my computer was C:Windowsfilesbin
Содержание
- 1 KMService.exe: что за процесс?
- 2 KMService.exe: что это с точки зрения программного обеспечения?
- 3 Виды файлов и варианты их расположения после запуска
- 4 Почему срабатывает антивирус?
- 5 Насколько законно применение программы?
- 6 Новая версия активатора
- 7 Заключение
- 8 Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
- 9 Информация о файле KMSSS.exe
- 10 Комментарий пользователя
- 11 Лучшие практики для исправления проблем с KMSSS
- 12 KMSSS сканер
- 13 Удаление
- 13.1 Добавить комментарий Отменить ответ
Пользователи, которые приобретают стационарные компьютерные терминалы или ноутбуки с уже установленной системой и сопутствующими программными продуктами, нередко сталкиваются с тем, что в «Диспетчере задач» постоянно виден активный работающий процесс KMService.exe. Что это за служба? Об этом знают далеко не все, а большинство людей и вовсе считает ее вирусом. На самом деле так это только отчасти.
KMService.exe: что за процесс?
Сам процесс, который всех так удивляет своим присутствием, вирусом не является. Он представляет собой службу, которая изначально появляется в системных процессах после активации нелицензионного MS Office 2010.
Ситуация такова, что многие пользователи (если не абсолютное большинство) выкладывать деньги за офисный пакет не хотят (или не могут). В свою очередь, установленный «Офис» по истечении определенного времени начинает требовать активации пакета. Вот тут на помощь и приходит специальное приложение, результатом работы которого является появление фонового процесса KMService.exe. Что это за программное обеспечение? Все просто!
KMService.exe: что это с точки зрения программного обеспечения?
Поскольку кода активации для «Офиса» у пользователя нет, то для его нормальной работы встроенное средство защиты от использования нелицензионных копий нужно как-то обмануть.
Для этого и применяется утилита mini-KMS Activator, позволяющая произвести активацию Office 2010 VL, установить ключи или сбросить статус пробной версии (Trial). Иными словами, активатор сообщает системе защиты офисного пакета, что за него заплачены деньги, и генерирует лицензию. Как правило, после запуска утилиты в ее портативном виде файл приложения и сопутствующие компоненты сохраняются по пути C:WindowsKMService.exe или в одноименной с файлом папке корневой директории системы (хотя возможны и другие варианты).
Виды файлов и варианты их расположения после запуска
Если говорить о сохранении элементов утилиты вместе с исполняемым файлом после старта или установки основного приложения, то не всегда они могут находиться именно в основной папке системы.
Так, например, иногда можно встретить вариант сохранения по пути C:WindowsactofvlKMService.exe (в обновленной версии утилиты).
И именно основной EXE-файл отвечает за постоянное слежение за состоянием лицензии «Офиса» в течение определенного срока, производя ее реактивацию без участия пользователя. При этом, несмотря на размещение файла по пути C:WindowsactofvlKMService.exe, многие пользователи совершенно не обращают внимания на то, что запуск одноименного процесса можно увидеть еще и в так называемом «Планировщике заданий».
Другое дело – когда пользователь встречает такой исполняемый файл в директории System32 при включенном отображении скрытых объектов. Это уже говорит о том, что данный файл является вирусом, который маскируется под активатор. Как правило, сама программа в эту системную папку никогда и ничего не сохраняет. По всей видимости, удалить такой объект вручную не получится — придется использовать антивирусный сканер.
Почему срабатывает антивирус?
Часто еще на стадии первого запуска портативной версии штатные антивирусы (Windows Defender в том числе) выдают предупреждение о возможной угрозе.
В системном трее появляется сообщение о том, что запускаемый апплет содержит модифицированный HackTool:Win32/AutoKMS (или KeyGen). Это нормально, поскольку практически все антивирусы (за редким исключением) настроены таким образом, чтобы не пропускать в систему генераторы ключей (кейгены), устанавливая для них атрибуты потенциально опасного или нежелательного ПО, хотя на самом деле в теле программы (в программном коде) никой вирусной угрозы нет.
Тут срабатывает защита лицензирования (особенно, если запускается процесс для KMService Srvany.exe, который действительно может являться вирусом).
Но есть и другие разновидности вредоносных кодов и программ. Самая известная угроза, способная маскироваться под процесс KMService.exe, – печально известный вирус HKTL_KEYGEN. Но определить, вирус ли это, можно самому даже по размеру файла. Существует несколько модификаций с размерами 151,522 байт, 151,622 байт, 151,606 байт, 155,648 байт и 77,824 байт.
Насколько законно применение программы?
Продолжаем рассматривать процесс KMService.exe. Что это такое, мы уже разобрались. Посмотрим теперь на некоторые правовые аспекты.
С точки зрения международного законодательства, поскольку программный продукт MS Office 2010 защищен авторскими и правами интеллектуальной собственности, не говоря уже о множестве других правовых документов и норм, применять данную утилиту, разумеется, противозаконно. Использовать ее можно только на свой страх и риск. Но когда это нашего пользователя останавливало? Тем более что проверить действительную активацию офисного пакета онлайн невозможно даже при всех имеющихся в распоряжении корпорации Microsoft ресурсах.
Новая версия активатора
Рассматриваемая утилита является несколько устаревшей. Сегодня можно встретить более расширенную версию программы под названием KMSAuto Net.
Обновленная версия может активировать не только «Офис», но и генерировать лицензии всех известных модификаций самих Windows-систем. Кроме того, приложение построено таким образом, что ни антивирус, ни встроенный брэндмауэр уже не реагируют, а утилита запускается без проблем. И выпускается она исключительно в виде портативной версии, что полностью исключает реакцию со стороны защиты при попытке инсталляции.
Заключение
Как уже понятно, ситуация при появлении такого процесса среди системных служб катастрофичной не является. Правда, в зависимости от места расположения самого исполняемого файла, которое пользователь может отследить совершенно элементарно, придется принимать решение об удалении угрозы, особенно, если офисный пакет он устанавливал сам и не активировал при помощи одной из версий утилиты KMS.
Подлинный файл является одним из компонентов программного обеспечения KMS Server Emulator Service (XP), разработанного Daily2k.com.
KMSSS.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли KMSSS.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.
Вот так, вы сможете исправить ошибки, связанные с KMSSS.exe
- Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
- Обновите программу KMS Server Emulator Service. Обновление можно найти на сайте производителя (ссылка приведена ниже).
- В следующих пунктах предоставлено описание работы KMSSS.exe.
Информация о файле KMSSS.exe
Описание: KMSSS.exe не является необходимым для Windows. KMSSS.exe находится в подпапках «C:Program Files» или иногда в подпапках Windows для хранения временных файлов. Известны следующие размеры файла для Windows 10/8/7/XP 301,056 байт (23% всех случаев), 303,104 байт и еще 7 варианта .
Название сервиса — KMSEmulator.
Приложение не видно пользователям. Это не системный процесс Windows. Процесс слушает или шлет данные на открытые порты в сети или по интернету. Поэтому технический рейтинг надежности 77% опасности.
- Если KMSSS.exe находится в подпапках C:Windows, тогда рейтинг надежности 63% опасности. Размер файла 297,472 байт (48% всех случаев), 301,056 байт, 304,760 байт или 35,504 байт. Приложение не видно пользователям. Это не системный процесс Windows. Это неизвестный файл в папке Windows. Процесс слушает или шлет данные на открытые порты в сети или по интернету.
- Если KMSSS.exe находится в подпапках «C:UsersUSERNAME», тогда рейтинг надежности 77% опасности. Размер файла 297,472 байт (50% всех случаев) или 301,056 байт. У процесса нет видимого окна. Это не системный файл Windows.
Важно: Некоторые вредоносные программы используют такое же имя файла KMSSS.exe, например Application.Hacktool.SU или Trojan.GenericKD.3626259 (определяется антивирусом BitDefender), и Hacktool.Kms или Trojan.Gen.2 (определяется антивирусом Symantec). Таким образом, вы должны проверить файл KMSSS.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.
Комментарий пользователя
Лучшие практики для исправления проблем с KMSSS
Аккуратный и опрятный компьютер — это главное требование для избежания проблем с KMSSS. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.
Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.
Следующие программы могут вам помочь для анализа процесса KMSSS.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.
KMSSS сканер
Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.
Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.
Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.
TunMirror.exe — вирус, предположительно троян. Попадает на ПК при установке взломанных программ, либо при использовании инструментов обхода активации ПО.
Предположительно имеет отношение к KMSAutoS.
Антивирусом может быть определена как угроза MSIL/HackTool.TunMirror либо HackTool.TunMirroe.MSIL.
По отзывам, даже после удаления TunMirror.exe, в будущем вирус может снова появиться на диске. Данное поведение свидетельствует об использовании защиты от обнаружения/удаления. Некоторые вирусы способы постоянно изменять собственный код, такая особенность называется полиморфизм.
Процесс TunMirror.exe в диспетчере задач:
Располагаться вирус может в данной папке:
Где USERNAME — имя учетной записи, 3a34.tmp — конечная папка расположения, предположительно имя выбирается случайно.
Второй вариант расположения:
Теоритически файл имеет отношение к потенциально опасной программе KMSAutoS. На сайте Microsoft присутствует информация, подтверждающая опасность AutoKMS:
Китайская утилита AhnLab V3 Lite определяет TunMirror.exe как угрозу Unwanted/Win32.HackTool.R170046:
Помимо файла TunMirror.exe, потенциально опасным считается и KMSSS.exe, который расположен в той же папке.
Удаление
Необходимо просканировать ПК бесплатными утилитами. Если не установлен антивирус — поставить любой известный. Подойдет в том числе и бесплатный. Например Касперский, Аваст.
Рекомендуемые утилиты для сканирования ПК:
- Dr.Web CureIt!. Лучшая утилита по поиску и удалению опасных вирусов — троянов, червей, руткитов, ботнетов и других, в том числе и полиморфных. Продвинутый механизм работы позволяет находить вирусы с защитой от обнаружения. Утилита загружается с уникальным именем и содержит в себе антивирусные базы. Длительность проверки зависит от обьема диска, количества файлов, работающих программ во время проверки.
- AdwCleaner. Утилита признана одной из лучших в плане поиска рекламных вирусов, рекламных программ/модулей, программ-шпионов и прочего. Удаляет и чистит ПК, сканируя ярлыки, реестр, автозагрузку, планировщик задач.
- HitmanPro. Похожа на предыдущую, однако использует другой принцип работы, уровень поиска более тщательный. Например способна искать угрозы в файлах Cookie. Также проверяет ярлыки, расширения, реестр и остальное.
Использование строго трех утилит максимально гарантирует очистку Windows от вирусов и потенциально опасных программ.
Бесплатный антивирус Касперского обладает минимальным, но основным функционалом для защиты ПК от вирусов. В настройках доступен выбор повышенного уровня безопасности, а также фирменные технологии — iSwift Technology, iChecker Technology. Внешний вид:
Аваст имеет больше дополнительных функций:
Проверяйте регулярно антивирусом ПК, не используйте сомнительные сайты для загрузки ПО. Используйте только лицензионные программы.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Пользователи, которые приобретают стационарные компьютерные терминалы или ноутбуки с уже установленной системой и сопутствующими программными продуктами, нередко сталкиваются с тем, что в «Диспетчере задач» постоянно виден активный работающий процесс KMService.exe. Что это за служба? Об этом знают далеко не все, а большинство людей и вовсе считает ее вирусом. На самом деле так это только отчасти.
KMService.exe: что за процесс?
Сам процесс, который всех так удивляет своим присутствием, вирусом не является. Он представляет собой службу, которая изначально появляется в системных процессах после активации нелицензионного MS Office 2010.
Ситуация такова, что многие пользователи (если не абсолютное большинство) выкладывать деньги за офисный пакет не хотят (или не могут). В свою очередь, установленный «Офис» по истечении определенного времени начинает требовать активации пакета. Вот тут на помощь и приходит специальное приложение, результатом работы которого является появление фонового процесса KMService.exe. Что это за программное обеспечение? Все просто!
KMService.exe: что это с точки зрения программного обеспечения?
Поскольку кода активации для «Офиса» у пользователя нет, то для его нормальной работы встроенное средство защиты от использования нелицензионных копий нужно как-то обмануть.
Для этого и применяется утилита mini-KMS Activator, позволяющая произвести активацию Office 2010 VL, установить ключи или сбросить статус пробной версии (Trial). Иными словами, активатор сообщает системе защиты офисного пакета, что за него заплачены деньги, и генерирует лицензию. Как правило, после запуска утилиты в ее портативном виде файл приложения и сопутствующие компоненты сохраняются по пути C:WindowsKMService.exe или в одноименной с файлом папке корневой директории системы (хотя возможны и другие варианты).
Виды файлов и варианты их расположения после запуска
Если говорить о сохранении элементов утилиты вместе с исполняемым файлом после старта или установки основного приложения, то не всегда они могут находиться именно в основной папке системы.
Так, например, иногда можно встретить вариант сохранения по пути C:WindowsactofvlKMService.exe (в обновленной версии утилиты).
И именно основной EXE-файл отвечает за постоянное слежение за состоянием лицензии «Офиса» в течение определенного срока, производя ее реактивацию без участия пользователя. При этом, несмотря на размещение файла по пути C:WindowsactofvlKMService.exe, многие пользователи совершенно не обращают внимания на то, что запуск одноименного процесса можно увидеть еще и в так называемом «Планировщике заданий».
Другое дело – когда пользователь встречает такой исполняемый файл в директории System32 при включенном отображении скрытых объектов. Это уже говорит о том, что данный файл является вирусом, который маскируется под активатор. Как правило, сама программа в эту системную папку никогда и ничего не сохраняет. По всей видимости, удалить такой объект вручную не получится — придется использовать антивирусный сканер.
Почему срабатывает антивирус?
Часто еще на стадии первого запуска портативной версии штатные антивирусы (Windows Defender в том числе) выдают предупреждение о возможной угрозе.
В системном трее появляется сообщение о том, что запускаемый апплет содержит модифицированный HackTool:Win32/AutoKMS (или KeyGen). Это нормально, поскольку практически все антивирусы (за редким исключением) настроены таким образом, чтобы не пропускать в систему генераторы ключей (кейгены), устанавливая для них атрибуты потенциально опасного или нежелательного ПО, хотя на самом деле в теле программы (в программном коде) никой вирусной угрозы нет.
Тут срабатывает защита лицензирования (особенно, если запускается процесс для KMService Srvany.exe, который действительно может являться вирусом).
Но есть и другие разновидности вредоносных кодов и программ. Самая известная угроза, способная маскироваться под процесс KMService.exe, – печально известный вирус HKTL_KEYGEN. Но определить, вирус ли это, можно самому даже по размеру файла. Существует несколько модификаций с размерами 151,522 байт, 151,622 байт, 151,606 байт, 155,648 байт и 77,824 байт.
Насколько законно применение программы?
Продолжаем рассматривать процесс KMService.exe. Что это такое, мы уже разобрались. Посмотрим теперь на некоторые правовые аспекты.
С точки зрения международного законодательства, поскольку программный продукт MS Office 2010 защищен авторскими и правами интеллектуальной собственности, не говоря уже о множестве других правовых документов и норм, применять данную утилиту, разумеется, противозаконно. Использовать ее можно только на свой страх и риск. Но когда это нашего пользователя останавливало? Тем более что проверить действительную активацию офисного пакета онлайн невозможно даже при всех имеющихся в распоряжении корпорации Microsoft ресурсах.
Новая версия активатора
Рассматриваемая утилита является несколько устаревшей. Сегодня можно встретить более расширенную версию программы под названием KMSAuto Net.
Обновленная версия может активировать не только «Офис», но и генерировать лицензии всех известных модификаций самих Windows-систем. Кроме того, приложение построено таким образом, что ни антивирус, ни встроенный брэндмауэр уже не реагируют, а утилита запускается без проблем. И выпускается она исключительно в виде портативной версии, что полностью исключает реакцию со стороны защиты при попытке инсталляции.
Заключение
Как уже понятно, ситуация при появлении такого процесса среди системных служб катастрофичной не является. Правда, в зависимости от места расположения самого исполняемого файла, которое пользователь может отследить совершенно элементарно, придется принимать решение об удалении угрозы, особенно, если офисный пакет он устанавливал сам и не активировал при помощи одной из версий утилиты KMS.
Уважаемые кибер-полисмены. Молю о помощи, словил майнер по своей глупости, скачал игру с непроверенного торрента. В папке ProgramData поселились указанные в названии темы файлы + еще разные другие. Догадался, что попал, когда сайты антивирусов начали закрываться. Диспетчер задач тоже закрывается. в файле hosts куча всего прописано, изменить его не получается, даже через сторонний просмоторщик. В итоге его просто удалил. Dr. web Cure It скачал через телефон, он нашел источник трояна (ту самую игру — уже удалена) и MicrosoftHost.exe в папке C:ProgramData, удалил, но это не помогло, другие файлы зараженные файлы не видит.
Другие антивирусы (каспер, майлвейрбайтс) не устанавливает, блокирует их работу и установку. Безопасный режим с CureIT не помог.
ОС Win 11 x64 лицензия последние обновления, встроенный Defender даже не пикнул, хотя прогонял им и установщик и саму программу до запуска (в которой и сидел троян)
Логи прилагаю, готов следовать вашим указаниям. FRST64 скачан
Насколько все печально? Не хотелось бы оставлять следов этой заразы, а то не смогу спать спокойно. Может лучше сразу снесни винду и по новой поставить? («но это не наш метод» — говорил мой друг сисадмин )
__________________
Помощь в написании контрольных, курсовых и дипломных работ, диссертаций здесь