Перейти к содержанию
Правила раздела
20 лет клубу! Куда отправится Kaspersky Club? Нажми, чтобы узнать локацию! ;)

[РЕШЕНО] Не обновляется windows 10, синий экран смерти

Александра_

Автор Александра_
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Александра_

Александра_

Опубликовано
Опубликовано

Добрый день! Столкнулась с ошибкой обновления windows 10, при обновлении выходит синий экран смерти

В параметрах "Центр обновления windows ошибка "Что-то пошло не так. Попытайтесь повторно открыть параметры позже"

В системе Службы "Центр обновления windows" не запускается, выходит ошибка "Не удалось запустить службу центра обновления windows 10. Ошибка 1053...". Почему так, в чем причина?

CollectionLog-2024.11.10-12.18.zip

safety

safety

Опубликовано
Опубликовано (изменено)

Выполните очистку системы в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"per\"",Filter="__EventFilter.Name=\"per\"::
WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->per::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 600 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
WMI:subscription\CommandLineEventConsumer->per::[CommandLineTemplate => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat][ExecutablePath => C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat]
WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId.dll]
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
FirewallRules: [TCP Query User{92319A1A-3FDC-4253-9EE3-B184A819F37B}D:\sdi_rus\sdi_x64_r2309.exe] => (Allow) D:\sdi_rus\sdi_x64_r2309.exe => Нет файла
FirewallRules: [UDP Query User{BEE0EAA0-0F9B-421C-BA64-2E0F74A17829}D:\sdi_rus\sdi_x64_r2309.exe] => (Allow) D:\sdi_rus\sdi_x64_r2309.exe => Нет файла
FirewallRules: [{1A500A68-F5A4-442D-8169-BCEAF783D64D}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{FAAF67DB-5E8C-47A5-A592-4E700AED5DF5}] => (Allow) C:\Program Files (x86)\Steam\steamapps\common\wallpaper_engine\launcher.exe => Нет файла
FirewallRules: [{3B842FF3-8021-4490-B37F-7885E35F3DF9}] => (Allow) D:\x64\Setup.exe => Нет файла
FirewallRules: [{1DE0110E-32C3-41AE-A2BC-0376F0DB8F49}] => (Allow) D:\x64\Setup.exe => Нет файла
FirewallRules: [{6CB5C873-1681-4F17-85B4-F15E235D3D85}] => (Allow) D:\x64\Setup.exe => Нет файла
FirewallRules: [{29A77AC3-AE87-412C-B4B5-4194BF0C04E1}] => (Allow) D:\x64\Setup.exe => Нет файла
FirewallRules: [{9A0D4433-4184-4341-A10E-CE6E23B3B1A6}] => (Allow) D:\x64\SetupARP.exe => Нет файла
FirewallRules: [{5270AB5D-3947-4F2A-86AA-1BC9ABB8AEC5}] => (Allow) D:\x64\SetupARP.exe => Нет файла
FirewallRules: [{85AD2927-23D9-4DA9-9800-F67091B98C67}] => (Allow) D:\x64\SetupARP.exe => Нет файла
FirewallRules: [{CDE9F494-1B99-4446-A0F7-C4348CB279C3}] => (Allow) D:\x64\SetupARP.exe => Нет файла
IFEO\svchost.exe: [GlobalFlag] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\...\SilentProcessExit\svchost.exe: [MonitorProcess] C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}\nun.bat
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

Скачайте и сохраните на диск отсюда

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

твики для исправления служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

Файлы *.reg запускаем от имени Администратора и соглашаемся добавить изменение в реестр.

Затем перегружаем систему.

 

После перезагрузки:

 

Выполнить новый скрипт очистки в FRST

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-11-08] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-11-08] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-11-08] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-11-08] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3431936 2024-11-08] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

+

Сделайте новые логи FRST для контроля очистки системы.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

Судя по логам очистка прошла успешно,

Выполните небольшой скрипт очистки в FRST без перезагрузки системы.

  

Start::
2024-11-09 11:36 - 2024-11-13 00:42 - 000000000 ____D C:\ProgramData\AUX..
2024-11-09 11:36 - 2024-11-09 14:41 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-11-09 11:36 - 2024-11-09 11:36 - 000000000 ____D C:\ProgramData\NUL..
End::

Добавьте новый файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Проверьте, пожалуйста, решились ли проблемы с обновлением системы, BSOD, и другие.

Напишите об этом.

 

Если проблемы решены,

 

завершающие шаги:

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано

Хорошо,

по возможности, обновите данное ПО:

 

Ghostscript GPL 10.03.1 (Msi Setup) v.10.03.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^

Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления

Yandex v.24.10.2.706 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.

safety

safety

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • oklick_a
      Троян зашифровал файлы
      Автор oklick_a
      Здравствуйте, по электронной почте пришло сообщение-обманка. Открыли файл, в результате чего были зашифрованы все документы и фотографии. Файлы переименовались в набор символов с расширением *.windows10. Результаты сканирования AutoLogger-ом прилагаем. Если будет необходимо, имеются сами файлы-вредители и текстовый файл о вымогательстве.
      CollectionLog-2016.07.02-11.31.zip
    • evsenia
      шифровальщик Shade
      Автор evsenia
      Буквально позавчера, коллега получила из "бухгалтерии" письмо, не трудясь размышлением, что бухгалтерия ей отродясь ни одного письма не отправила, она его открыла. В результате - все фалы зашифрованы с длинным названием и расширением window10 . Дальше как обычно, просьба в течении 48 часов выслать сообщение на почту и тд.
       имя файла стало носить примерно такой характер -1k79551qknldlo3Fp2UT0FUcCCSk7MeeWo9Bl5EEgVQ=.45009A396E5F2FD1CB85.windows10
      прикрепить файл не получается - в тотале вообще пишет, что файл не найден, а при попытке прикрепить его сюда пишет - Загрузка пропущена (Вы не выбрали файл для загрузки)
      - сам вирус удален, логи не сохранились. Удалила на работе, дома еще раз проверила и KIS 16.0.1 и скачала KVRT с вашего сайта. Поиски дешифратора результата не дали, ну и судя по форуму, такая проблема не у меня одной. Есть смысл ждать решения проблемы или смириться с потерей информации? Говорят, к прошлому варианту shade тоже не было дешифратора? 
       
    • Иван5
      Заразил компьютер вирусом
      Автор Иван5
      Компьютер просканировал Kaspersky Virus Removal Tool, логи в Autologger создал. Система у меня windows 10 версии 22H2.
      Мне втерлись в доверие и скинули архив под видом игры. В нем нужно было активировать installer.bat для запуска вируса. После этого запуска перепутались кнопки ПКМ и ЛКМ, а также шалил регистр букв и писал текст "заборчиком". Кроме того, в телеграм(где мне и скинули архив) в группах в которых я состою и оставляю комментарии стал отвечать один и тот же человек, представившись уже в личных сообщениях хакером. Потребовал доступ к моему тг каналу в замен на "таблетку от вируса". Заявил, что вирус прописался глубоко в UEFI, что использует учетную запись администратора и автозапуск нужных ему процессов. ( в диспетчере задач действительно появился странный процесс и несколько процессов без названия от системы с пометкой "null". Я отключил интернет от компьютера, чтобы злоумышленник не рылся в компьютере. Я просканировал компьютер сначала сканером от DR web, потом от Касперского(указал в начале поста).
      Я не знаю, действительно ли вирус прописался в UEFI, в инсталлере был следующий текст:
         
      CollectionLog-2026.04.12-17.48.zip
      Извините, текст вируса копировал из диалога с нейросетью, поэтому там кусочек промта.
      Нейросеть считает что UEFI не был заражен, но допускает что код для заражения сог уже подкачиваться из интернета и в том случае могло такое произойти
    • Waranchiks
      После удаления вирусов с помощью Касперского чёрный экран
      Автор Waranchiks
      После удаления вирусов с помощью Касперского, я ввожу пароль и потом только чёрный экран и мышка. Если зайти в безопасный режим тоже самое. Сносить винду не вариант из-за важных файлов на компьютере. 
    • BReDD
      Trojan:PowerShell/Bynoco. RR!amc
      Автор BReDD
      Подскажите плз, активатором KMS запустил майнера и этого гада (Trojan:PowerShell/Bynoco.RR!ams) на свой ПК с ОС Win 10х64. C помощью KRD вычистил зловредов, нашел кучу исключений в Windows Defender, удалил все. Так же капитально вычистил планировщик и автозапуск. Не трогал лишь службы, но там ничего криминального не заметил. Вроде все норм, проверка показывает, что ничего нет, но комп стал медленнее грузиться и значки на панели и в трее стали выходить с задержкой 3-5 минут. Чувствую, что где тоеще хвосты есть, возможно в реестре, но не могу найти. Создание нового юзера тоже ничего не дало. Есть ли средство, как убрать последствия за этим трояном?
       
      Сообщение от модератора thyrex Перенесено из темы
×
×
  • Создать...