xSmashQQQ 0 Опубликовано вчера в 11:35 Share Опубликовано вчера в 11:35 Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано вчера в 11:50 Share Опубликовано вчера в 11:50 Здравствуйте! Прочтите и выполните Порядок оформления запроса о помощи Новую тему создавать не нужно, продолжайте здесь. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано вчера в 12:08 Автор Share Опубликовано вчера в 12:08 извините, я не очень понял что мне нужно делать когда я проверился антивирусом др веб куреит. Мне предоставить скрины или что? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано вчера в 12:13 Share Опубликовано вчера в 12:13 Нужен результат по второму пункту инструкции. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано вчера в 12:54 Автор Share Опубликовано вчера в 12:54 CollectionLog-2024.10.31-15.51.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано вчера в 13:16 Share Опубликовано вчера в 13:16 При сборе логов и выполнении скриптов старайтесь по максимуму закрывать все работающие программы (в т.ч. CureIt). Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО: Цитата Email extract 1.0.0.0 TorrentPro 8.2.5 wisdom-trouser Кнопки сервисов Яндекса на панели задач Какие не сможете удалить стандартно, удалите принудительно с помощью Geek Uninstaller Если некоторых не видно в перечне установленных, пропустите. Удалим позже. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); QuarantineFile('C:\Nurik\csrss.exe', ''); QuarantineFile('C:\Nurik\fJPjJ.exe', ''); QuarantineFile('C:\ProgramData\drochka.exe', ''); QuarantineFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', ''); QuarantineFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', ''); QuarantineFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', ''); DeleteSchedulerTask('armsvca'); DeleteSchedulerTask('csrssc'); DeleteSchedulerTask('Driver Booster Scheduler'); DeleteSchedulerTask('Driver Booster SkipUAC (xSmash)'); DeleteSchedulerTask('Driver Booster Update'); DeleteSchedulerTask('drochka'); DeleteSchedulerTask('email-extract-S-1-5-21-1068880179-1081913013-1811295482-1001'); DeleteSchedulerTask('fJPjJf'); DeleteSchedulerTask('LivelyL'); DeleteSchedulerTask('WindowsDefender'); DeleteFile('C:\Nurik\csrss.exe', '64'); DeleteFile('C:\Nurik\fJPjJ.exe', '64'); DeleteFile('C:\ProgramData\drochka.exe', '32'); DeleteFile('C:\ProgramData\drochka.exe', '64'); DeleteFile('C:\ProgramData\htsdqitpnkda\zrgqfbcavrkx.exe', '64'); DeleteFile('C:\Users\Admin\AppData\Local\Programs\fce20aecb3\53bff7091d.msi', '64'); DeleteFile('C:\Users\Admin\AppData\Roaming\WindowsDefender.exe', '64'); DeleteService('cpuz154'); DeleteService('RLNALEWN'); RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Run', 'drochka', '32'); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Дополнительно: Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Да для соглашения с предупреждением. Нажмите кнопку Сканировать (Scan). После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано вчера в 15:24 Автор Share Опубликовано вчера в 15:24 сделал все как вы сказали. Addition.txt FRST.txt извините, вроде я не закрывал программы во время сканирования. Это что то даст? а так же у меня не получилось удалить Email extract 1.0.0.0, он не показывался в программах установленных. Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано 13 часов назад Share Опубликовано 13 часов назад 14 часов назад, xSmashQQQ сказал: не закрывал программы во время сканирования. Это что то даст? Просто нам труднее анализировать логи из-за лишних записей. Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CloseProcesses: SystemRestore: On CreateRestorePoint: RemoveProxy: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ HKLM\Software\Policies\...\system: [EnableSmartScreen] 0 GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ Task: {F0D8B933-B4B7-4F30-8161-10125B0805B5} - \GoogleUpdateTaskMachineQC -> Нет файла <==== ВНИМАНИЕ ProxyServer: [S-1-5-21-1068880179-1081913013-1811295482-1001] => hxxp://127.0.0.1:2334 C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\iohheodafnokpjmkkpifecpllnhbdpea C:\Users\Admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\kgbeghoeakofgohilmplnmopkfhnlcem C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejecpjcajdpbjbmlcojcohgenjngflac CHR HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ejecpjcajdpbjbmlcojcohgenjngflac] YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms} YAN DefaultSearchKeyword: Default -> find-it.pro YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms} C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\hlngekecphbhobhodpcnenoclflhfoel C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\ifgomnadojkkjfohojgbfcbiphdlmegd C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne C:\Users\Admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\odbmjgikedenicicookngdckhkjbebpd S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-05-26] (Microsoft Windows -> Microsoft Corporation) U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-06-13] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-21] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-07-10] (Microsoft Windows -> Microsoft Corporation) 2024-10-25 18:23 - 2024-10-25 18:24 - 000000000 __SHD C:\ProgramData\SwiftEditor-718d6cae-c80b-419d-a59a-3cb460614ca1 2024-10-25 18:22 - 2024-10-25 18:22 - 001220830 _____ C:\Windows\SysWOW64\dote398.dat 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\WindowsTask 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\Setup 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\ProgramData\RDP Wrapper 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 _RSHD C:\Program Files\RDP Wrapper 2024-10-25 06:23 - 2024-10-25 06:23 - 000000000 ____D C:\Program Files (x86)\Daltfan Email extract 1.0.0.0 (HKU\S-1-5-21-1068880179-1081913013-1811295482-1001\...\{8958d2cd-4c4a-4965-a0f1-e946bb3fd759}) (Version: 1.0.0.0 - Email extract) Hidden FirewallRules: [{29BD3303-4B38-4D8F-B1C1-1D6F3F82612F}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯牜剔䱄攮數 => Нет файла FirewallRules: [{C4671C79-3818-454D-8012-5DA56F33CA1E}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{8D2FD331-158D-4703-B3B9-21C954E8AFF7}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{E0ED66A6-42C6-45F9-9042-2DE4C474C9CE}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯桜䱔⹌硥e => Нет файла FirewallRules: [{8AC30F15-1002-4409-B7C9-3CCA138EAA0A}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯晜偊䩪攮數 => Нет файла FirewallRules: [{FB23A787-51EC-4C7A-B553-565F08579AB0}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯捜牨浯摥楲敶硥e => Нет файла FirewallRules: [{FFD3B599-0EAD-45BA-996D-9E3C4A602C68}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯䍜牨浯履灁汰捩瑡潩屮桃潲敭攮數 => Нет файла FirewallRules: [{5A0B7475-08F9-48CC-82D8-63D3B8241BAC}] => (Allow) 㩃啜敳獲䅜浤湩䅜灰慄慴剜慯業杮瑜捯浜䕊⹇硥e => Нет файла ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Подробнее читайте в этом руководстве. 14 часов назад, xSmashQQQ сказал: он не показывался в программах установленных Теперь должен быть виден. Удалите. Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь. После этого перезагрузите компьютер. Сделайте дополнительно: Скачайте Farbar Service Scanner Запустите. Убедитесь, что отмечены пункты: Internet ServicesWindows FirewallSystem RestoreSecurity Center/Action CenterWindows UpdateWindows Defender Нажмите кнопку "Scan" Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита. Прикрепите этот файл к своему ответу. Также соберите новые логи FRST.txt и Addition.txt для контроля. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано 9 часов назад Автор Share Опубликовано 9 часов назад Вы сказали запустить FRST64, и сказали скопировать код. Но вы не указали для чего я его копировал, нужно ли куда либо вставлять или просто так нажать исправить Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано 9 часов назад Share Опубликовано 9 часов назад Выделить, скопировать и просто так нажать. Скрипт будет взят прямо из буфера обмена. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано 9 часов назад Автор Share Опубликовано 9 часов назад Fixlog.txt FSS.txt FRST.txt Addition.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано 8 часов назад Share Опубликовано 8 часов назад Прошу прощения, не добавил ссылку: 4 часа назад, Sandor сказал: Скачайте этот архив, извлеките из него все файлы и последовательно запустите каждый. С внесением изменений в реестр соглашайтесь. После этого перезагрузите компьютер. В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д. Удалите лишние. Сообщите что сейчас с проблемой. Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано 7 часов назад Автор Share Опубликовано 7 часов назад 49 минут назад, Sandor сказал: В настройках Защитника у вас слишком много задано исключений - на все исполняемые файлы, на диски C и D полностью и т.д. обязательно это делать если я полностью отключил Windows Defender и буду пользоваться утилитой dr web, malwarebytes, т.к этот защитник почти ничего не защищает и нагружает систему? а так же я могу вернуть ярлык яндекса на панель задач? Ссылка на сообщение Поделиться на другие сайты
Sandor 1 302 Опубликовано 7 часов назад Share Опубликовано 7 часов назад 2 минуты назад, xSmashQQQ сказал: этот защитник почти ничего не защищает и нагружает систему Это спорный вопрос, но мы сейчас не об этом. Тем более удалите лишние исключения. Мало ли по какой причине может отключиться ваш антивирус и система останется совсем без защиты. Жду: 56 минут назад, Sandor сказал: Сообщите что сейчас с проблемой Ссылка на сообщение Поделиться на другие сайты
xSmashQQQ 0 Опубликовано 7 часов назад Автор Share Опубликовано 7 часов назад проблема решена, спасибо огромное все работает, и подскажите пожалуйста можно ли установить обновление? Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения