Friend Опубликовано 16 января Share Опубликовано 16 января Добрый вечер, Повреждены некоторые системные службы (по логам должно быть видно) - обновления, bits и еще одна служба, было бы отлично, если их получится восстановить, также проверить на вирусы. Показать контент CollectionLog-2025.01.16-17.04.zipПолучение информации... sfcdoc.logПолучение информации... CBS.LOGПолучение информации... Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 16 января Share Опубликовано 16 января скачайте с данной страницы https://download.bleepingcomputer.com/win-services/windows-10-22H2/ следующие твики для исправления поврежденных служб: BITS dosvc Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему, Потом для проверки лучше добавить логи FRST 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января (изменено) А данную службу тоже скачивать: wuauserv ? И данная служба: UsoSvc Логи: Addition.txtFRST.txt Изменено 16 января пользователем Friend Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 16 января Share Опубликовано 16 января судя по логам, только две службы замещены, BITS dosvc остальные посмотрим что будет по логам FRST 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января Сейчас пока так: 2 BITS отображается. Показать контент Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 16 января Share Опубликовано 16 января (изменено) 16.01.2025 в 14:26, Friend сказал: А данную службу тоже скачивать: wuauserv ? Expand Можно скачать заодно и обновить - хуже не будет +UsoSvc, возможно они вообще повреждены или удалены из списка служб Я здесь смотрел: S2 BITS_bkp;@%SystemRoot%\system32\qmgr.dll,-1000; %SystemRoot%\System32\svchost.exe -k netsvcs -p;"ServiceDll" = %SystemRoot%\System32\qmgr.dll S2 dosvc_bkp;@%systemroot%\system32\dosvc.dll,-100; %SystemRoot%\System32\svchost.exe -k NetworkService -p;"ServiceDll" = Изменено 16 января пользователем safety 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 16 января Share Опубликовано 16 января 16.01.2025 в 14:31, Friend сказал: Сейчас пока так: 2 BITS отображается. Expand Лишние потом зачистим, через FRST, после того как установите все скаченные твики, и перегрузите систему. Но нужны логи FRST сейчас. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января 16.01.2025 в 14:53, safety сказал: Но нужны логи FRST сейчас. Expand Новые логи.Addition.txtFRST.txt Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 16 января Share Опубликовано 16 января Похоже есть источник заражения: Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ Task: {7433E1BD-1D7F-486F-AD91-2B1867A6A7C5} - System32\Tasks\Wuk\yutfkvly => "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe" -> "C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm" <==== ВНИМАНИЕ Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Далее, скачайте с данной страницы https://download.bleepingcomputer.com/win-services/windows-10-22H2/ следу.ющие твики для исправления поврежденных служб: BITS dosvc UsoSvc WaaSMedicSvc wuauserv (докачать те, которые еще не скачали) Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр Перезагружаем систему, далее, Выполните скрипт очистки в FRST Запускаем FRST.exe от имени Администратора (если не запущен) Копируем скрипт из браузера в буфер обмена, браузер закрываем. Ждем, когда будет готов к работе, Нажимаем в FRST кнопку "исправить". Скрипт очистит систему, и завершит работу c перезагрузкой системы Start:: S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-15] (Microsoft Windows -> Microsoft Corporation) S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-01-16] (Microsoft Windows -> Microsoft Corporation) S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2025-01-16] (Microsoft Windows -> Microsoft Corporation) S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-01-16] (Microsoft Windows -> Microsoft Corporation) S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-01-16] (Microsoft Windows -> Microsoft Corporation) Reboot:: End:: После перезагрузки: Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение Сделайте новые логи FRST для контроля. Проверьте состояние служб. ------- Новые логи смогу посмотреть только завтра. 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января 16.01.2025 в 15:41, safety сказал: Похоже есть источник заражения: Expand Это где? Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 января Share Опубликовано 16 января В Планировщике задач Цитата C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm Expand проверьте на virustotal.com и пришлите ссылки на результат анализа Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января 16.01.2025 в 15:49, thyrex сказал: проверьте на virustotal.com и пришлите ссылки на результат анализа Expand Увы, уже все удалено из этой папки. Новые логи: Addition.txtПолучение информации... FRST.txtПолучение информации... Fixlog.txtПолучение информации... 16.01.2025 в 15:41, safety сказал: Проверьте состояние служб Expand Еще бы название служб нормальном виде увидеть ) Ссылка на комментарий Поделиться на другие сайты More sharing options...
thyrex Опубликовано 16 января Share Опубликовано 16 января 16.01.2025 в 15:52, Friend сказал: Еще бы название служб нормальном виде увидеть Expand Фоновая интеллектуальная служба передачи (BITS) Оптимизация доставки Служба оркестратора обновлений Служба Medic центра обновления Windows Центр обновления Windows 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Friend Опубликовано 16 января Автор Share Опубликовано 16 января Показать контент 16.01.2025 в 15:49, thyrex сказал: C:\Users\111\AppData\Roaming\yvflfmmj\sartst.exe C:\Users\111\AppData\Roaming\yvflfmmj\sartst.chm Expand Нашел описание: https://vms.drweb.ru/virus/?i=25829542 Ссылка на комментарий Поделиться на другие сайты More sharing options...
safety Опубликовано 17 января Share Опубликовано 17 января (изменено) 16.01.2025 в 15:52, Friend сказал: Новые логи: Expand еще небольшой скрипт для FRST без перезагрузки системы Start:: Task: {B6014EEA-35B0-4678-BC99-31637A61F6CD} - System32\Tasks\plastics-preparation => C:\ProgramData\pork-prefers\bin.exe /H (Нет файла) End:: + проверяем статус проблемных служб. Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива. Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. Изменено 17 января пользователем safety 1 Ссылка на комментарий Поделиться на другие сайты More sharing options...
Рекомендуемые сообщения