Перейти к содержанию
Правила раздела

[РЕШЕНО] Повреждены некоторые системные службы и вирусы.

Friend

Автор Friend
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Friend

Friend

Опубликовано
Опубликовано

Добрый вечер,
Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы.

Спойлер

image.thumb.png.865cf01491ad27e7ecd04692433571bc.png

CollectionLog-2025.01.16-17.04.zipsfcdoc.logCBS.LOG

safety

safety

Опубликовано
Опубликовано

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следующие твики для исправления поврежденных служб:

BITS

dosvc

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Потом для проверки лучше добавить логи FRST

  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано

судя по логам, только две службы замещены,

BITS

dosvc

остальные посмотрим что будет по логам FRST

  • Спасибо (+1) 1
Friend

Friend

Опубликовано
  • Автор
Опубликовано

Сейчас пока так:  2 BITS отображается.

Спойлер

image.thumb.png.2bf3d690116bc9083fa0c4b574c9e7c9.png

 

safety

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Friend сказал:

А данную службу тоже скачивать: wuauserv ?

Можно скачать заодно и обновить - хуже не будет +UsoSvc, возможно они вообще повреждены или удалены из списка служб

Я здесь смотрел:

S2 BITS_bkp;@%SystemRoot%\system32\qmgr.dll,-1000; %SystemRoot%\System32\svchost.exe -k netsvcs -p;"ServiceDll" = %SystemRoot%\System32\qmgr.dll
S2 dosvc_bkp;@%systemroot%\system32\dosvc.dll,-100; %SystemRoot%\System32\svchost.exe -k NetworkService -p;"ServiceDll" =

 

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано
20 минут назад, Friend сказал:

Сейчас пока так:  2 BITS отображается.

Лишние потом зачистим, через FRST, после того как установите все скаченные твики, и перегрузите систему.

Но нужны логи FRST сейчас.

  • Like (+1) 1
safety

safety

Опубликовано
Опубликовано

Похоже есть источник заражения:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {7433E1BD-1D7F-486F-AD91-2B1867A6A7C5} - System32\Tasks\Wuk\yutfkvly => "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe"  -> "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

(докачать те, которые еще не скачали)

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Проверьте состояние служб.

-------

Новые логи смогу посмотреть только завтра.

  • Like (+1) 1
Friend

Friend

Опубликовано
  • Автор
Опубликовано
5 минут назад, safety сказал:

Похоже есть источник заражения:

Это где?

thyrex

thyrex

Опубликовано
Опубликовано

В Планировщике задач

 

Цитата

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm

проверьте на virustotal.com и пришлите ссылки на результат анализа

Friend

Friend

Опубликовано
  • Автор
Опубликовано
14 минут назад, thyrex сказал:

проверьте на virustotal.com и пришлите ссылки на результат анализа

Увы, уже все удалено из этой папки.

Новые логи:

Addition.txtFRST.txtFixlog.txt

 

23 минуты назад, safety сказал:

Проверьте состояние служб

Еще бы название служб  нормальном виде увидеть )

thyrex

thyrex

Опубликовано
Опубликовано
16 минут назад, Friend сказал:

Еще бы название служб  нормальном виде увидеть

Фоновая интеллектуальная служба передачи (BITS)

Оптимизация доставки

Служба оркестратора обновлений

Служба Medic центра обновления Windows

Центр обновления Windows

  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, Friend сказал:

Новые логи:

еще небольшой скрипт для FRST без перезагрузки системы

  

Start::
Task: {B6014EEA-35B0-4678-BC99-31637A61F6CD} - System32\Tasks\plastics-preparation => C:\ProgramData\pork-prefers\bin.exe  /H (Нет файла)
End::

+

проверяем статус проблемных служб.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
  • Спасибо (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • bl1nchik2287
      Вирус после kms-auto
      Автор bl1nchik2287
      Вирус в папке ProgramData, создает папку ztbhbqffszlu. После удаления восстанавливается. Началось после активации офис через KMS Auto. Видел похожую тему, потому прилагаю результаты скана frst64. Пожалуйста, помогите.
      FRST.txt Addition.txt
    • admin123
      Проводник грузит процессор постоянно на 50 %
      Автор admin123
      1. Проверял через Dr.Web cureit - Ничего не найдено, пишет, что чисто
      2. Вчера захожу в диспетчер задач, а тут проводник грузит ЦП на  50 % постоянно, открываю Threads в Proccec Explorer, там какая то dll.
      Ещё заметил одну особенность, при отключение интернета эта нагрузка пропадает, подскажите что делать, винду не хочу переустанавливать.

      CollectionLog-2026.01.12-00.34.zip
    • Two2Face
      [РЕШЕНО] Подозрительный проводник в диспетчере задач и возможно нагруженная память
      Автор Two2Face
      Добрый день. Сегодня залез в диспетчер задач, а там я заметил, что один из процессоров нагружает 18% ЦП. Это - 'Проводник'. После я решил посмотреть в программе Process Explorer, там наш проводник уже высвечивается, как - 'explorer.exe', без иконки (внизу бегают разные explorer.exe, которые высвечиваются с иконками в виде жёлтой папки, как в диспетчере задач, а этот без иконки и под 18%, но возможно здесь я чего-то не понимаю). Ещё память нагружена под 29, но у меня открыт гугл (много вкладок), Дискорд, ВПН и протокол, поэтому не могу быть полностью уверен в том, что в этом пункте тоже вирус (не знаю, нужно ли это здесь, но 5090 и 9950x3d). Кстати, когда я пытаюсь завершить проводник в диспетчере задач, то у меня комп постоянно уходит в перезагрузку (хотел закрыть процесс, что бы потом запустить новую задачу, вдруг завис). 


      CollectionLog-2026.01.11-07.51.zip
    • Николай PO
      Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие)
      Автор Николай PO
      Добрый день! Помогите пожалуйста. Производительность ноутбука на windows 11, не устанавливаются определенные антивирусы (malwarebytes и другие).
      Данная проблема на двух ноутбуках:
      1.появились мелкие подлагивания в играх иногда в других программах;
      2.не устанавливается антивирус malwarebytes, при установки других антивирусов и запуске проверки появляется синий экран;
      3.инструмент smartfix не устанавливается полностью;
      4. переустановка операционной системы не помогла;
      5.установка на другой ssd не помогла;
      6. переустановка биос не помогла.
      Прикрепляю результаты сканирования в Farbar Recovery Scan ToolAddition.txtFRST.txt
    • DEFFlorator
      Поймал друг на моем ноуте вирус CAAServises (он же под именем SQL Servises). Он постоянно висит в автозагрузках, при удалении появляется вновь. Сторонними прогами, Virus Total'ом удалить также не получилось.
      Автор DEFFlorator
      Обнаружил данный вирус, так как при подключении к Инету сильно нагружается и греется ЦП. Использование почти всегда 100 %, частоты выше 3,5 ГГц при штатной 2,3 ГГц. После поисков ответов в инете обнаружил связанный с вирусом файл explorer.exe, в разделе "Безопасность" которого имеется некий админ. Изменение разрешений невозможно (требуется разрешение этого самого левого админа), при удалении сразу появляется вновь.
      Сам вирус находится в папке Program Files.



      CollectionLog-2026.01.09-13.55.zip

×
×
  • Создать...