Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[РЕШЕНО] Повреждены некоторые системные службы и вирусы.

Friend

Автор Friend
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Friend Корифей

Friend

Опубликовано
Опубликовано

Добрый вечер,
Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы.

Спойлер

image.thumb.png.865cf01491ad27e7ecd04692433571bc.png

CollectionLog-2025.01.16-17.04.zipsfcdoc.logCBS.LOG

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следующие твики для исправления поврежденных служб:

BITS

dosvc

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Потом для проверки лучше добавить логи FRST

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Friend сказал:

А данную службу тоже скачивать: wuauserv ?

Можно скачать заодно и обновить - хуже не будет +UsoSvc, возможно они вообще повреждены или удалены из списка служб

Я здесь смотрел:

S2 BITS_bkp;@%SystemRoot%\system32\qmgr.dll,-1000; %SystemRoot%\System32\svchost.exe -k netsvcs -p;"ServiceDll" = %SystemRoot%\System32\qmgr.dll
S2 dosvc_bkp;@%systemroot%\system32\dosvc.dll,-100; %SystemRoot%\System32\svchost.exe -k NetworkService -p;"ServiceDll" =

 

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано
20 минут назад, Friend сказал:

Сейчас пока так:  2 BITS отображается.

Лишние потом зачистим, через FRST, после того как установите все скаченные твики, и перегрузите систему.

Но нужны логи FRST сейчас.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Похоже есть источник заражения:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {7433E1BD-1D7F-486F-AD91-2B1867A6A7C5} - System32\Tasks\Wuk\yutfkvly => "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe"  -> "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

(докачать те, которые еще не скачали)

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Проверьте состояние служб.

-------

Новые логи смогу посмотреть только завтра.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В Планировщике задач

 

Цитата

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm

проверьте на virustotal.com и пришлите ссылки на результат анализа

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
  • Автор
Опубликовано
14 минут назад, thyrex сказал:

проверьте на virustotal.com и пришлите ссылки на результат анализа

Увы, уже все удалено из этой папки.

Новые логи:

Addition.txtFRST.txtFixlog.txt

 

23 минуты назад, safety сказал:

Проверьте состояние служб

Еще бы название служб  нормальном виде увидеть )

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
16 минут назад, Friend сказал:

Еще бы название служб  нормальном виде увидеть

Фоновая интеллектуальная служба передачи (BITS)

Оптимизация доставки

Служба оркестратора обновлений

Служба Medic центра обновления Windows

Центр обновления Windows

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, Friend сказал:

Новые логи:

еще небольшой скрипт для FRST без перезагрузки системы

  

Start::
Task: {B6014EEA-35B0-4678-BC99-31637A61F6CD} - System32\Tasks\plastics-preparation => C:\ProgramData\pork-prefers\bin.exe  /H (Нет файла)
End::

+

проверяем статус проблемных служб.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • mallorik9
      здраствуйте не могу убрать ошибку в событиях Произошла ошибка DCOM "1068 и Служба "Системное приложение COM+" является зависимой от службы
      Автор mallorik9
      Здраствуйте не могу убрать ошибку в событиях заметил сегодня ПК начал тормозить долго грузится когда включаю в Просмотре событий ошибки 2 есть это так должно бить я не пойму помогите пожалуйста уже более 17к событий как это по исправлять 


    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      Автор Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Kirillizator
      Лицензия для Системное администрирование
      Автор Kirillizator
      Добрый день,
       
      Куплена лицензия Total Security для Бизнеса (в которую входит Системное администрирование), но при попытке одобрить обновления программ появляется сообщение "...Для этой операции требуется лицензия для Системное администрирование". К тому же во вкладке "Лицензии лаборатории касперского", в свойствах лицензии, указан статус не используется (в свойствах всех лицензий). При этом сам сервер и клиенты работают исправно и лицензии не требуют. Это произошло после покупки новых лицензий и добавления их на сервер. Был сервер 12й, обновлен до 14го, ситуация не изменилась.



    • Klaurs
      Многие службы поменяли своё название с обычной службы, на службу_bkp
      Автор Klaurs
      К примеру:

      wuauserv_bkp
      WaaSMedicSvc_bkp
      UsoSvc_bkp
      dosvc_bkp
      BITS_bkp

      Остальных не нашёл. Я смотрел у других, с похожей проблемой, сказали скачать Farbar Recovery Scan Tool, и следовать инструкции. (Thyrex рассчитываю на вас)

      FRST.txt и Addition.txt прикреплю снизу.

      Ожидаю дальнейшей помощи и указаний.
      Addition.txt FRST.txt
      Там надо было заархивировать, вот с вин рара:FRST папка.rar
×
×
  • Создать...