Перейти к содержанию

[РЕШЕНО] Поймал вирусы, переименовались службы.


xSmashQQQ

Рекомендуемые сообщения

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.

Ссылка на комментарий
Поделиться на другие сайты

извините, я не очень понял что мне нужно делать когда я проверился антивирусом др веб куреит. Мне предоставить скрины или что?

Ссылка на комментарий
Поделиться на другие сайты

При сборе логов и выполнении скриптов старайтесь по максимуму закрывать все работающие программы (в т.ч. CureIt).


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

  Цитата

 

Email extract 1.0.0.0

TorrentPro 8.2.5

wisdom-trouser

Кнопки сервисов Яндекса на панели задач

 

Expand  

Какие не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Если некоторых не видно в перечне установленных, пропустите. Удалим позже.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Nurik\csrss.exe', '');
 QuarantineFile('C:\Nurik\fJPjJ.exe', '');
 QuarantineFile('C:\ProgramData\drochka.exe', '');
 QuarantineFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '');
 DeleteSchedulerTask('armsvca');
 DeleteSchedulerTask('csrssc');
 DeleteSchedulerTask('Driver Booster Scheduler');
 DeleteSchedulerTask('Driver Booster SkipUAC (xSmash)');
 DeleteSchedulerTask('Driver Booster Update');
 DeleteSchedulerTask('drochka');
 DeleteSchedulerTask('email-extract-S-1-5-21-1068880179-1081913013-1811295482-1001');
 DeleteSchedulerTask('fJPjJf');
 DeleteSchedulerTask('LivelyL');
 DeleteSchedulerTask('WindowsDefender');
 DeleteFile('C:\Nurik\csrss.exe', '64');
 DeleteFile('C:\Nurik\fJPjJ.exe', '64');
 DeleteFile('C:\ProgramData\drochka.exe', '32');
 DeleteFile('C:\ProgramData\drochka.exe', '64');
 DeleteFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '64');
 DeleteFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '64');
 DeleteService('cpuz154');
 DeleteService('RLNALEWN');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'drochka', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

сделал все как вы сказали.

Addition.txtПолучение информации... FRST.txtПолучение информации...

извините, вроде я не закрывал программы во время сканирования. Это что то даст?

 

а так же у меня не получилось удалить Email extract 1.0.0.0, он не показывался в программах установленных.

Ссылка на комментарий
Поделиться на другие сайты

  31.10.2024 в 15:24, xSmashQQQ сказал:

не закрывал программы во время сканирования. Это что то даст?

Expand  

Просто нам труднее анализировать логи из-за лишних записей.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
    GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {F0D8B933-B4B7-4F30-8161-10125B0805B5} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ
    ProxyServer: [S-1-5-21-1068880179-1081913013-1811295482-1001] => hxxp://127.0.0.1:2334
    C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iohheodafnokpjmkkpifecpllnhbdpea
    C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kgbeghoeakofgohilmplnmopkfhnlcem
    C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejecpjcajdpbjbmlcojcohgenjngflac
    CHR HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejecpjcajdpbjbmlcojcohgenjngflac]
    YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hlngekecphbhobhodpcnenoclflhfoel
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ifgomnadojkkjfohojgbfcbiphdlmegd
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd
    S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-26] (Microsoft Windows -> Microsoft Corporation)
    U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-13] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-21] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
    2024-10-25 18:23 - 2024-10-25 18:24 - 000000000 __SHD C:\ProgramData\SwiftEditor-718d6cae-c80b-419d-a59a-3cb460614ca1
    2024-10-25 18:22 - 2024-10-25 18:22 - 001220830 _____ C:\Windows\SysWOW64\dote398.dat
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\WindowsTask
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Setup
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\Program Files\RDP Wrapper
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 ____D C:\Program Files (x86)\Daltfan
    Email extract 1.0.0.0 (HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\...\{8958d2cd-4c4a-4965-a0f1-e946bb3fd759}) (Version: 1.0.0.0 - Email extract) Hidden
    FirewallRules: [{29BD3303-4B38-4D8F-B1C1-1D6F3F82612F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜剔䱄攮數 => Нет файла
    FirewallRules: [{C4671C79-3818-454D-8012-5DA56F33CA1E}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{8D2FD331-158D-4703-B3B9-21C954E8AFF7}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{E0ED66A6-42C6-45F9-9042-2DE4C474C9CE}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯桜䱔⹌硥e => Нет файла
    FirewallRules: [{8AC30F15-1002-4409-B7C9-3CCA138EAA0A}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯晜偊䩪攮數 => Нет файла
    FirewallRules: [{FB23A787-51EC-4C7A-B553-565F08579AB0}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{FFD3B599-0EAD-45BA-996D-9E3C4A602C68}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{5A0B7475-08F9-48CC-82D8-63D3B8241BAC}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯浜䕊⹇硥e => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

  31.10.2024 в 15:24, xSmashQQQ сказал:

он не показывался в программах установленных

Expand  

Теперь должен быть виден. Удалите.

 

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер. Сделайте дополнительно:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

Также соберите новые логи FRST.txt и Addition.txt для контроля.

Ссылка на комментарий
Поделиться на другие сайты

Вы сказали запустить FRST64, и сказали скопировать код. Но вы не указали для чего я его копировал, нужно ли куда либо вставлять или просто так нажать исправить

 

Ссылка на комментарий
Поделиться на другие сайты

Прошу прощения, не добавил ссылку:

  01.11.2024 в 06:01, Sandor сказал:

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер.

Expand  

 

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

Удалите лишние.

 

Сообщите что сейчас с проблемой.

Ссылка на комментарий
Поделиться на другие сайты

  01.11.2024 в 10:26, Sandor сказал:

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

Expand  

обязательно это делать если я полностью отключил Windows Defender и буду пользоваться утилитой dr web, malwarebytes, т.к этот защитник почти ничего не защищает и нагружает систему?

а так же я могу вернуть ярлык яндекса на панель задач?

Ссылка на комментарий
Поделиться на другие сайты

  01.11.2024 в 11:18, xSmashQQQ сказал:

этот защитник почти ничего не защищает и нагружает систему

Expand  

Это спорный вопрос, но мы сейчас не об этом.

Тем более удалите лишние исключения. Мало ли по какой причине может отключиться ваш антивирус и система останется совсем без защиты.

 

Жду:

  01.11.2024 в 10:26, Sandor сказал:

Сообщите что сейчас с проблемой

Expand  

 

Ссылка на комментарий
Поделиться на другие сайты

проблема решена, спасибо огромное все работает, и подскажите пожалуйста можно ли установить обновление?

Снимок экрана 2024-11-01 142419.png

Ссылка на комментарий
Поделиться на другие сайты

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • vasili_rb
      От vasili_rb
      Добрый день.
      Прошу помощи.
      Споймал на сервере вирусы.
      Переименовались службы:
       wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp.
      Проверил kaspersky office small security.
      Заранее спасибо!
      computerservice.txt computerservice1.txt
    • Freeman80S
      От Freeman80S
      Пока катался по городу, сотрудница умудрилась поймать вирус, после этого слились данные "подключение к удаленному рабочему столу", я так понял далее тело из-за бугра залезо на сервер и переименовал все расширения файлов на окончание *.Sauron.
      Запустил все известные анти-вирусы, как итог ничего не находят. В файле требований два адреса: почта adm.helproot@gmail.com, телеграмм канал @adm_helproot, и предложение обменять деньги на биткоины и связаться с этими телами! Во вложении оценка системы и зашифрованные файлы. Буду благодарен! (пароль от архива virus)
      FRST.txt шифр файлы и требование.rar
    • Gagik
      От Gagik
      Поймал вирус не знаю из за чего и ни чем не определяется почти,вроде как dwm процесс называется,при открытии диспетчера задач,не отображается и нагрузка сразу спадает,в простое нагревает процессор до 90 градусов
    • Helixx
      От Helixx
      Здравствуйте, недавно думал что поймал майнер, начал копаться. В итоге откопал вот такой троян MEM:Trojan.Win32.SEPEH.gen который Касперским не удаляется. Он пытается, вроде показывает что удаляет, но это если без перезагрузки, с перезагрузкой же, вирус при сканировании отображается каждый раз заново, попыток так его удалить было порядка 6, в итоге пришёл сюда ибо то что я увидел в интернете по этому поводу, довольно... Страшно)
    • ipostnov
      От ipostnov
      Добрый день. Поймал Trojan.Win32.SEPEH.gen и никак не могу удалить.

       
      CollectionLog-2024.11.11-14.29.zip
×
×
  • Создать...