[РЕШЕНО] Поймал вирусы, переименовались службы.

[xSmashQQQ]

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.

[Sandor]

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

[xSmashQQQ]

извините, я не очень понял что мне нужно делать когда я проверился антивирусом др веб куреит. Мне предоставить скрины или что?

[Sandor]

Нужен результат по второму пункту инструкции.

[xSmashQQQ]

CollectionLog-2024.10.31-15.51.zip

[Sandor]

При сборе логов и выполнении скриптов старайтесь по максимуму закрывать все работающие программы (в т.ч. CureIt).

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Email extract 1.0.0.0

TorrentPro 8.2.5

wisdom-trouser

Кнопки сервисов Яндекса на панели задач

 

Какие не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Если некоторых не видно в перечне установленных, пропустите. Удалим позже.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Nurik\csrss.exe', '');
 QuarantineFile('C:\Nurik\fJPjJ.exe', '');
 QuarantineFile('C:\ProgramData\drochka.exe', '');
 QuarantineFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '');
 DeleteSchedulerTask('armsvca');
 DeleteSchedulerTask('csrssc');
 DeleteSchedulerTask('Driver Booster Scheduler');
 DeleteSchedulerTask('Driver Booster SkipUAC (xSmash)');
 DeleteSchedulerTask('Driver Booster Update');
 DeleteSchedulerTask('drochka');
 DeleteSchedulerTask('email-extract-S-1-5-21-1068880179-1081913013-1811295482-1001');
 DeleteSchedulerTask('fJPjJf');
 DeleteSchedulerTask('LivelyL');
 DeleteSchedulerTask('WindowsDefender');
 DeleteFile('C:\Nurik\csrss.exe', '64');
 DeleteFile('C:\Nurik\fJPjJ.exe', '64');
 DeleteFile('C:\ProgramData\drochka.exe', '32');
 DeleteFile('C:\ProgramData\drochka.exe', '64');
 DeleteFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '64');
 DeleteFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '64');
 DeleteService('cpuz154');
 DeleteService('RLNALEWN');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'drochka', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[xSmashQQQ]

сделал все как вы сказали.

Addition.txt FRST.txt

извините, вроде я не закрывал программы во время сканирования. Это что то даст?

 

а так же у меня не получилось удалить Email extract 1.0.0.0, он не показывался в программах установленных.

[Sandor]

14 часов назад, xSmashQQQ сказал:

не закрывал программы во время сканирования. Это что то даст?

Просто нам труднее анализировать логи из-за лишних записей.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  RemoveProxy:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
  HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
  GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
  Task: {F0D8B933-B4B7-4F30-8161-10125B0805B5} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ
  ProxyServer: [S-1-5-21-1068880179-1081913013-1811295482-1001] => hxxp://127.0.0.1:2334
  C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iohheodafnokpjmkkpifecpllnhbdpea
  C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kgbeghoeakofgohilmplnmopkfhnlcem
  C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejecpjcajdpbjbmlcojcohgenjngflac
  CHR HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejecpjcajdpbjbmlcojcohgenjngflac]
  YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
  YAN DefaultSearchKeyword: Default -> find-it.pro
  YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
  C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hlngekecphbhobhodpcnenoclflhfoel
  C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ifgomnadojkkjfohojgbfcbiphdlmegd
  C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
  C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd
  S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-26] (Microsoft Windows -> Microsoft Corporation)
  U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-13] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-21] (Microsoft Windows -> Microsoft Corporation)
  S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
  2024-10-25 18:23 - 2024-10-25 18:24 - 000000000 __SHD C:\ProgramData\SwiftEditor-718d6cae-c80b-419d-a59a-3cb460614ca1
  2024-10-25 18:22 - 2024-10-25 18:22 - 001220830 _____ C:\Windows\SysWOW64\dote398.dat
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\WindowsTask
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Setup
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\Program Files\RDP Wrapper
  2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 ____D C:\Program Files (x86)\Daltfan
  Email extract 1.0.0.0 (HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\...\{8958d2cd-4c4a-4965-a0f1-e946bb3fd759}) (Version: 1.0.0.0 - Email extract) Hidden
  FirewallRules: [{29BD3303-4B38-4D8F-B1C1-1D6F3F82612F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜剔䱄攮數 => Нет файла
  FirewallRules: [{C4671C79-3818-454D-8012-5DA56F33CA1E}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{8D2FD331-158D-4703-B3B9-21C954E8AFF7}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{E0ED66A6-42C6-45F9-9042-2DE4C474C9CE}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯桜䱔⹌硥e => Нет файла
  FirewallRules: [{8AC30F15-1002-4409-B7C9-3CCA138EAA0A}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯晜偊䩪攮數 => Нет файла
  FirewallRules: [{FB23A787-51EC-4C7A-B553-565F08579AB0}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
  FirewallRules: [{FFD3B599-0EAD-45BA-996D-9E3C4A602C68}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
  FirewallRules: [{5A0B7475-08F9-48CC-82D8-63D3B8241BAC}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯浜䕊⹇硥e => Нет файла
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

14 часов назад, xSmashQQQ сказал:

он не показывался в программах установленных

Теперь должен быть виден. Удалите.

 

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер. Сделайте дополнительно:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender
  

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

Также соберите новые логи FRST.txt и Addition.txt для контроля.

[xSmashQQQ]

Вы сказали запустить FRST64, и сказали скопировать код. Но вы не указали для чего я его копировал, нужно ли куда либо вставлять или просто так нажать исправить

 

[Sandor]

Выделить, скопировать и просто так нажать. Скрипт будет взят прямо из буфера обмена.

[xSmashQQQ]

Fixlog.txt FSS.txt FRST.txt Addition.txt

[Sandor]

Прошу прощения, не добавил ссылку:

4 часа назад, Sandor сказал:

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер.

 

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

Удалите лишние.

 

Сообщите что сейчас с проблемой.

[xSmashQQQ]

49 минут назад, Sandor сказал:

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

обязательно это делать если я полностью отключил Windows Defender и буду пользоваться утилитой dr web, malwarebytes, т.к этот защитник почти ничего не защищает и нагружает систему?

а так же я могу вернуть ярлык яндекса на панель задач?

[Sandor]

2 минуты назад, xSmashQQQ сказал:

этот защитник почти ничего не защищает и нагружает систему

Это спорный вопрос, но мы сейчас не об этом.

Тем более удалите лишние исключения. Мало ли по какой причине может отключиться ваш антивирус и система останется совсем без защиты.

 

Жду:

56 минут назад, Sandor сказал:

Сообщите что сейчас с проблемой

 

[xSmashQQQ]

проблема решена, спасибо огромное все работает, и подскажите пожалуйста можно ли установить обновление?