Перейти к содержанию

[РЕШЕНО] Поймал вирусы, переименовались службы.


Рекомендуемые сообщения

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Прочтите и выполните Порядок оформления запроса о помощи

Новую тему создавать не нужно, продолжайте здесь.

Ссылка на сообщение
Поделиться на другие сайты

извините, я не очень понял что мне нужно делать когда я проверился антивирусом др веб куреит. Мне предоставить скрины или что?

Ссылка на сообщение
Поделиться на другие сайты

При сборе логов и выполнении скриптов старайтесь по максимуму закрывать все работающие программы (в т.ч. CureIt).


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

 

Email extract 1.0.0.0

TorrentPro 8.2.5

wisdom-trouser

Кнопки сервисов Яндекса на панели задач

 

Какие не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller

 

Если некоторых не видно в перечне установленных, пропустите. Удалим позже.

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Nurik\csrss.exe', '');
 QuarantineFile('C:\Nurik\fJPjJ.exe', '');
 QuarantineFile('C:\ProgramData\drochka.exe', '');
 QuarantineFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '');
 QuarantineFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '');
 QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '');
 DeleteSchedulerTask('armsvca');
 DeleteSchedulerTask('csrssc');
 DeleteSchedulerTask('Driver Booster Scheduler');
 DeleteSchedulerTask('Driver Booster SkipUAC (xSmash)');
 DeleteSchedulerTask('Driver Booster Update');
 DeleteSchedulerTask('drochka');
 DeleteSchedulerTask('email-extract-S-1-5-21-1068880179-1081913013-1811295482-1001');
 DeleteSchedulerTask('fJPjJf');
 DeleteSchedulerTask('LivelyL');
 DeleteSchedulerTask('WindowsDefender');
 DeleteFile('C:\Nurik\csrss.exe', '64');
 DeleteFile('C:\Nurik\fJPjJ.exe', '64');
 DeleteFile('C:\ProgramData\drochka.exe', '32');
 DeleteFile('C:\ProgramData\drochka.exe', '64');
 DeleteFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '64');
 DeleteFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '64');
 DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '64');
 DeleteService('cpuz154');
 DeleteService('RLNALEWN');
 RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'drochka', '32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

сделал все как вы сказали.

Addition.txt FRST.txt

извините, вроде я не закрывал программы во время сканирования. Это что то даст?

 

а так же у меня не получилось удалить Email extract 1.0.0.0, он не показывался в программах установленных.

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, xSmashQQQ сказал:

не закрывал программы во время сканирования. Это что то даст?

Просто нам труднее анализировать логи из-за лишних записей.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
    HKLM\Software\Policies\...\system: [EnableSmartScreen] 0
    GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
    Task: {F0D8B933-B4B7-4F30-8161-10125B0805B5} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ
    ProxyServer: [S-1-5-21-1068880179-1081913013-1811295482-1001] => hxxp://127.0.0.1:2334
    C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iohheodafnokpjmkkpifecpllnhbdpea
    C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kgbeghoeakofgohilmplnmopkfhnlcem
    C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejecpjcajdpbjbmlcojcohgenjngflac
    CHR HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejecpjcajdpbjbmlcojcohgenjngflac]
    YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
    YAN DefaultSearchKeyword: Default -> find-it.pro
    YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hlngekecphbhobhodpcnenoclflhfoel
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ifgomnadojkkjfohojgbfcbiphdlmegd
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
    C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd
    S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-26] (Microsoft Windows -> Microsoft Corporation)
    U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-13] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-21] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation)
    2024-10-25 18:23 - 2024-10-25 18:24 - 000000000 __SHD C:\ProgramData\SwiftEditor-718d6cae-c80b-419d-a59a-3cb460614ca1
    2024-10-25 18:22 - 2024-10-25 18:22 - 001220830 _____ C:\Windows\SysWOW64\dote398.dat
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\WindowsTask
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Setup
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\Program Files\RDP Wrapper
    2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 ____D C:\Program Files (x86)\Daltfan
    Email extract 1.0.0.0 (HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\...\{8958d2cd-4c4a-4965-a0f1-e946bb3fd759}) (Version: 1.0.0.0 - Email extract) Hidden
    FirewallRules: [{29BD3303-4B38-4D8F-B1C1-1D6F3F82612F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜剔䱄攮數 => Нет файла
    FirewallRules: [{C4671C79-3818-454D-8012-5DA56F33CA1E}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{8D2FD331-158D-4703-B3B9-21C954E8AFF7}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{E0ED66A6-42C6-45F9-9042-2DE4C474C9CE}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯桜䱔⹌硥e => Нет файла
    FirewallRules: [{8AC30F15-1002-4409-B7C9-3CCA138EAA0A}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯晜偊䩪攮數 => Нет файла
    FirewallRules: [{FB23A787-51EC-4C7A-B553-565F08579AB0}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶⹲硥e => Нет файла
    FirewallRules: [{FFD3B599-0EAD-45BA-996D-9E3C4A602C68}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла
    FirewallRules: [{5A0B7475-08F9-48CC-82D8-63D3B8241BAC}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯浜䕊⹇硥e => Нет файла
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

14 часов назад, xSmashQQQ сказал:

он не показывался в программах установленных

Теперь должен быть виден. Удалите.

 

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер. Сделайте дополнительно:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender


Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

Также соберите новые логи FRST.txt и Addition.txt для контроля.

Ссылка на сообщение
Поделиться на другие сайты

Вы сказали запустить FRST64, и сказали скопировать код. Но вы не указали для чего я его копировал, нужно ли куда либо вставлять или просто так нажать исправить

 

Ссылка на сообщение
Поделиться на другие сайты

Прошу прощения, не добавил ссылку:

4 часа назад, Sandor сказал:

Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь.

После этого перезагрузите компьютер.

 

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

Удалите лишние.

 

Сообщите что сейчас с проблемой.

Ссылка на сообщение
Поделиться на другие сайты
49 минут назад, Sandor сказал:

В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д.

обязательно это делать если я полностью отключил Windows Defender и буду пользоваться утилитой dr web, malwarebytes, т.к этот защитник почти ничего не защищает и нагружает систему?

а так же я могу вернуть ярлык яндекса на панель задач?

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, xSmashQQQ сказал:

этот защитник почти ничего не защищает и нагружает систему

Это спорный вопрос, но мы сейчас не об этом.

Тем более удалите лишние исключения. Мало ли по какой причине может отключиться ваш антивирус и система останется совсем без защиты.

 

Жду:

56 минут назад, Sandor сказал:

Сообщите что сейчас с проблемой

 

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...