xSmashQQQ Опубликовано 31 октября, 2024 Опубликовано 31 октября, 2024 Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
Sandor Опубликовано 31 октября, 2024 Опубликовано 31 октября, 2024 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Новую тему создавать не нужно, продолжайте здесь.
xSmashQQQ Опубликовано 31 октября, 2024 Автор Опубликовано 31 октября, 2024 извините, я не очень понял что мне нужно делать когда я проверился антивирусом др веб куреит. Мне предоставить скрины или что?
Sandor Опубликовано 31 октября, 2024 Опубликовано 31 октября, 2024 Нужен результат по второму пункту инструкции.
xSmashQQQ Опубликовано 31 октября, 2024 Автор Опубликовано 31 октября, 2024 CollectionLog-2024.10.31-15.51.zip
Sandor Опубликовано 31 октября, 2024 Опубликовано 31 октября, 2024 При сборе логов и выполнении скриптов старайтесь по максимуму закрывать все работающие программы (в т.ч. CureIt). Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Цитата Email extract 1.0.0.0 TorrentPro 8.2.5 wisdom-trouser Кнопки сервисов Яндекса на панели задач Какие не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller Если некоторых не видно в перечне установленных, пропустите. Удалим позже. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Nurik\csrss.exe', ''); QuarantineFile('C:\Nurik\fJPjJ.exe', ''); QuarantineFile('C:\ProgramData\drochka.exe', ''); QuarantineFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', ''); QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', ''); DeleteSchedulerTask('armsvca'); DeleteSchedulerTask('csrssc'); DeleteSchedulerTask('Driver Booster Scheduler'); DeleteSchedulerTask('Driver Booster SkipUAC (xSmash)'); DeleteSchedulerTask('Driver Booster Update'); DeleteSchedulerTask('drochka'); DeleteSchedulerTask('email-extract-S-1-5-21-1068880179-1081913013-1811295482-1001'); DeleteSchedulerTask('fJPjJf'); DeleteSchedulerTask('LivelyL'); DeleteSchedulerTask('WindowsDefender'); DeleteFile('C:\Nurik\csrss.exe', '64'); DeleteFile('C:\Nurik\fJPjJ.exe', '64'); DeleteFile('C:\ProgramData\drochka.exe', '32'); DeleteFile('C:\ProgramData\drochka.exe', '64'); DeleteFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '64'); DeleteFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '64'); DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '64'); DeleteService('cpuz154'); DeleteService('RLNALEWN'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'drochka', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
xSmashQQQ Опубликовано 31 октября, 2024 Автор Опубликовано 31 октября, 2024 сделал все как вы сказали. Addition.txt FRST.txt извините, вроде я не закрывал программы во время сканирования. Это что то даст? а так же у меня не получилось удалить Email extract 1.0.0.0, он не показывался в программах установленных.
Sandor Опубликовано 1 ноября, 2024 Опубликовано 1 ноября, 2024 14 часов назад, xSmashQQQ сказал: не закрывал программы во время сканирования. Это что то даст? Просто нам труднее анализировать логи из-за лишних записей. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: RemoveProxy: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {F0D8B933-B4B7-4F30-8161-10125B0805B5} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-1068880179-1081913013-1811295482-1001] => hxxp://127.0.0.1:2334 C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iohheodafnokpjmkkpifecpllnhbdpea C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kgbeghoeakofgohilmplnmopkfhnlcem C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejecpjcajdpbjbmlcojcohgenjngflac CHR HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejecpjcajdpbjbmlcojcohgenjngflac] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hlngekecphbhobhodpcnenoclflhfoel C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ifgomnadojkkjfohojgbfcbiphdlmegd C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-26] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-13] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-21] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation) 2024-10-25 18:23 - 2024-10-25 18:24 - 000000000 __SHD C:\ProgramData\SwiftEditor-718d6cae-c80b-419d-a59a-3cb460614ca1 2024-10-25 18:22 - 2024-10-25 18:22 - 001220830 _____ C:\Windows\SysWOW64\dote398.dat 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\WindowsTask 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Setup 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\Program Files\RDP Wrapper 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 ____D C:\Program Files (x86)\Daltfan Email extract 1.0.0.0 (HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\...\{8958d2cd-4c4a-4965-a0f1-e946bb3fd759}) (Version: 1.0.0.0 - Email extract) Hidden FirewallRules: [{29BD3303-4B38-4D8F-B1C1-1D6F3F82612F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜剔䱄攮數 => Нет файла FirewallRules: [{C4671C79-3818-454D-8012-5DA56F33CA1E}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{8D2FD331-158D-4703-B3B9-21C954E8AFF7}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{E0ED66A6-42C6-45F9-9042-2DE4C474C9CE}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯桜䱔⹌硥e => Нет файла FirewallRules: [{8AC30F15-1002-4409-B7C9-3CCA138EAA0A}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯晜偊䩪攮數 => Нет файла FirewallRules: [{FB23A787-51EC-4C7A-B553-565F08579AB0}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{FFD3B599-0EAD-45BA-996D-9E3C4A602C68}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{5A0B7475-08F9-48CC-82D8-63D3B8241BAC}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯浜䕊⹇硥e => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 14 часов назад, xSmashQQQ сказал: он не показывался в программах установленных Теперь должен быть виден. Удалите. Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь. После этого перезагрузите компьютер. Сделайте дополнительно: Скачайте Farbar Service Scanner Запустите. Убедитесь, что отмечены пункты: Internet ServicesWindows FirewallSystem RestoreSecurity Center/Action CenterWindows UpdateWindows Defender Нажмите кнопку "Scan" Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита. Прикрепите этот файл к своему ответу. Также соберите новые логи FRST.txt и Addition.txt для контроля.
xSmashQQQ Опубликовано 1 ноября, 2024 Автор Опубликовано 1 ноября, 2024 Вы сказали запустить FRST64, и сказали скопировать код. Но вы не указали для чего я его копировал, нужно ли куда либо вставлять или просто так нажать исправить
Sandor Опубликовано 1 ноября, 2024 Опубликовано 1 ноября, 2024 Выделить, скопировать и просто так нажать. Скрипт будет взят прямо из буфера обмена.
xSmashQQQ Опубликовано 1 ноября, 2024 Автор Опубликовано 1 ноября, 2024 Fixlog.txt FSS.txt FRST.txt Addition.txt
Sandor Опубликовано 1 ноября, 2024 Опубликовано 1 ноября, 2024 Прошу прощения, не добавил ссылку: 4 часа назад, Sandor сказал: Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь. После этого перезагрузите компьютер. В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д. Удалите лишние. Сообщите что сейчас с проблемой.
xSmashQQQ Опубликовано 1 ноября, 2024 Автор Опубликовано 1 ноября, 2024 49 минут назад, Sandor сказал: В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д. обязательно это делать если я полностью отключил Windows Defender и буду пользоваться утилитой dr web, malwarebytes, т.к этот защитник почти ничего не защищает и нагружает систему? а так же я могу вернуть ярлык яндекса на панель задач?
Sandor Опубликовано 1 ноября, 2024 Опубликовано 1 ноября, 2024 2 минуты назад, xSmashQQQ сказал: этот защитник почти ничего не защищает и нагружает систему Это спорный вопрос, но мы сейчас не об этом. Тем более удалите лишние исключения. Мало ли по какой причине может отключиться ваш антивирус и система останется совсем без защиты. Жду: 56 минут назад, Sandor сказал: Сообщите что сейчас с проблемой
xSmashQQQ Опубликовано 1 ноября, 2024 Автор Опубликовано 1 ноября, 2024 проблема решена, спасибо огромное все работает, и подскажите пожалуйста можно ли установить обновление?
Автор ruina
Рекомендуемые сообщения