Перейти к содержанию
Правила раздела

[РЕШЕНО] Повреждены некоторые системные службы и вирусы.

Friend

От Friend
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

Friend Корифей

Friend

Опубликовано
Опубликовано

Добрый вечер,
Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы.

Спойлер

image.thumb.png.865cf01491ad27e7ecd04692433571bc.png

CollectionLog-2025.01.16-17.04.zipsfcdoc.logCBS.LOG

Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следующие твики для исправления поврежденных служб:

BITS

dosvc

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Потом для проверки лучше добавить логи FRST

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
7 минут назад, Friend сказал:

А данную службу тоже скачивать: wuauserv ?

Можно скачать заодно и обновить - хуже не будет +UsoSvc, возможно они вообще повреждены или удалены из списка служб

Я здесь смотрел:

S2 BITS_bkp;@%SystemRoot%\system32\qmgr.dll,-1000; %SystemRoot%\System32\svchost.exe -k netsvcs -p;"ServiceDll" = %SystemRoot%\System32\qmgr.dll
S2 dosvc_bkp;@%systemroot%\system32\dosvc.dll,-100; %SystemRoot%\System32\svchost.exe -k NetworkService -p;"ServiceDll" =

 

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано
20 минут назад, Friend сказал:

Сейчас пока так:  2 BITS отображается.

Лишние потом зачистим, через FRST, после того как установите все скаченные твики, и перегрузите систему.

Но нужны логи FRST сейчас.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано

Похоже есть источник заражения:

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
Task: {7433E1BD-1D7F-486F-AD91-2B1867A6A7C5} - System32\Tasks\Wuk\yutfkvly => "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe"  -> "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm" <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Далее,

 

скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следу.ющие твики для исправления поврежденных служб:

BITS

dosvc

UsoSvc

WaaSMedicSvc

wuauserv

 

(докачать те, которые еще не скачали)

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы 

Start::
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-01-16] (Microsoft Windows -> Microsoft Corporation)
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Сделайте новые логи FRST для контроля.

Проверьте состояние служб.

-------

Новые логи смогу посмотреть только завтра.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

В Планировщике задач

 

Цитата

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe

C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm

проверьте на virustotal.com и пришлите ссылки на результат анализа

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
  • Автор
Опубликовано
14 минут назад, thyrex сказал:

проверьте на virustotal.com и пришлите ссылки на результат анализа

Увы, уже все удалено из этой папки.

Новые логи:

Addition.txtFRST.txtFixlog.txt

 

23 минуты назад, safety сказал:

Проверьте состояние служб

Еще бы название служб  нормальном виде увидеть )

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано
16 минут назад, Friend сказал:

Еще бы название служб  нормальном виде увидеть

Фоновая интеллектуальная служба передачи (BITS)

Оптимизация доставки

Служба оркестратора обновлений

Служба Medic центра обновления Windows

Центр обновления Windows

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
safety Ветеран

safety

Опубликовано
Опубликовано (изменено)
12 часов назад, Friend сказал:

Новые логи:

еще небольшой скрипт для FRST без перезагрузки системы

  

Start::
Task: {B6014EEA-35B0-4678-BC99-31637A61F6CD} - System32\Tasks\plastics-preparation => C:\ProgramData\pork-prefers\bin.exe  /H (Нет файла)
End::

+

проверяем статус проблемных служб.

 

Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

Изменено пользователем safety
  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Share
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      От Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Zero56621
      Не могу вылечить вирус в системной памяти.
      От Zero56621
      Меня уже долгое время мучает троян в системной памяти с названием MEM:Trojan.Win32.SEPEH.gen. Я уже попробовал много различных программ и от зависаний на короткое время мне помогла только программа Emsisoft Emerengecy Soft. При попытке вылечить данный троян, у меня просто появлялся черный экран, где я даже мышкой не мог двигать (это при попытке вылечить с помощью KVRT). Я не знаю где сохраняются отчеты, так что я решил сделать скрин. Так же прикрепил файл с программы EES.

      scan_250111-162811.txt
    • kiruxashafr
      не работает служба обновления
      От kiruxashafr
      CollectionLog-2024.12.30-20.03.zip
      винда 10 установлена не так давно около недели назад на нее поставит кмс и пакет офисов и программы по мелочи без левых сайтов. Беспокоит ситауция с центров обновлений, прогнал через др веб результат прикладываю
    • vishnevskiyy
      Некоторыми параметрами управляет ваша организация
      От vishnevskiyy
      Не могу избавиться от этой надписи: Некоторыми параметрами управляет ваша организация.
      Все решения подобной проблемы заблокированы в самих параметрах Windows.

    • xSmashQQQ
      [РЕШЕНО] Поймал вирусы, переименовались службы.
      От xSmashQQQ
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. wuauserv_bkp уже исправил с помощью 1 сайта, позже обнаружил UsoSvc_bkp. Я все проверил вчера на вирусы, а сейчас нашел вот это. Я начал исправлять ошибку с обновление виндовс в параметрах по видеороликам и вот наткнулся что у меня файлы переименованы в _bkp. Решил обратиться к вам за помощью.
×
×
  • Создать...