Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

После удаления майнера осталась служба с названием BITS_bkp.

Nikita1815

Автор Nikita1815
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Nikita1815 Новичок

Nikita1815

Опубликовано
Опубликовано

Здравствуйте! Подсадил майнер на компьютер. Выполнил проверку через Kaspersky Virus Removal Tool, удалил/вылечил все угрозы.  Компьютер стал работать исправно, но центр обновления не работает. Службу центр обновления переименовать и удалить переименованную удалось, но BITS переименовалась и в редакторе реестра создалось два варината bits и bits_bkp. Логи прикладываю. Заранее спасибо за помощь!

 

CollectionLog-2025.02.09-19.37.zipПолучение информации...

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.
 

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Скачайте AV block remover.
Распакуйте (только не на Рабочий стол (Desktop) и не в папку Загрузки (Downloads)), запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe, например, в AVbr123.exe (или любое другое имя).
Если и так не запускается, запустите его в безопасном режиме с поддержкой сети.

 

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.
 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-11-23H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

 

 

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-21-2348230709-1007484515-2684953211-1001\...\MountPoints2: {fcf50082-e5f9-11ef-9ed7-cc4740821a31} - "F:\autorun.exe" 
HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {A1A9F1D4-4A9C-4A68-91BF-DEE4E4C11127} - System32\Tasks\Microsoft\Windows\CheckGlobalD\RecoveryHosts => C:\ProgramData\Microsoft\MapData\D13HpE2wKDTRx06BJM\CheckGlobalD.bat  (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S0 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2023-10-22] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2023-09-25] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [102400 2023-09-25] (Microsoft Windows -> Microsoft Corporation)
S4 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2023-09-25] (Microsoft Windows -> Microsoft Corporation)
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex Мудрец

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
LibreOffice 24.8.4.2 v.24.8.4.2 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
Яндекс.Диск v.3.2.42.5054 Внимание! Скачать обновления
Telegram Desktop v.5.10.3 Внимание! Скачать обновления
Microsoft Edge v.132.0.2957.140 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^


MediaGet v.3.01.4333 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
Wise Registry Cleaner v.11.1.8 Внимание! Подозрение на демо-версию антивредоносной программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии. Компьютерные эксперты не рекомендуют использовать такие программы.

 

На этом закончим.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782
      Автор Антон321
      Приветствую, словил майнер по названием: tool.btcmine.2782, уже всем подрят пытался удалить и никак не выходит, касперский вообще не запускаеться, WEb находит говорит что удалил но через 2 минуты снова вылазит!! Помогите
      CollectionLog-2025.03.24-17.26.zip
    • Kosch
      После удаления трояна SEPEH осталось постоянное обращение к диску
      Автор Kosch
      После удаления трояна SEPEH осталось постоянное обращение к диску С:
      не особо интенсивное, но "лампочка" активности диска мигает непрерывно
      Причина не отлавливается никак ☹️
       
      Проверено sfc /scannow
      прописаны все твики реестра по указаниям хелперов
      FRST фиксы прописаны
      в безопасном режиме проблема остаётся
      загрузка с РЕ и проверка KRT ничего не находит
      ресурс-монитор никаких подозрительных процессов не показывает
       

       
      куда копать дальше?
    • Klaurs
      Многие службы поменяли своё название с обычной службы, на службу_bkp
      Автор Klaurs
      К примеру:

      wuauserv_bkp
      WaaSMedicSvc_bkp
      UsoSvc_bkp
      dosvc_bkp
      BITS_bkp

      Остальных не нашёл. Я смотрел у других, с похожей проблемой, сказали скачать Farbar Recovery Scan Tool, и следовать инструкции. (Thyrex рассчитываю на вас)

      FRST.txt и Addition.txt прикреплю снизу.

      Ожидаю дальнейшей помощи и указаний.
      Addition.txt FRST.txt
      Там надо было заархивировать, вот с вин рара:FRST папка.rar
    • Licueur
      [РЕШЕНО] Приветствую, словил майнер по названием: tool.btcmine.2782 .
      Автор Licueur
      Всех приветствую, на днях словил майнер tool.btcmine.2782, пытался удалить через dr.web, не получается, майнер все равно появляется. Просьба помочь удалить майнер, буду рад вашей помощи.
      CollectionLog-2025.03.20-22.01.zip
    • nDaDe
      Прошу помощи с удалением майнера
      Автор nDaDe
      Добрый день.
       
      При запуске возникает нагрузка на процессор 100%, при запуске taskmgr она пропадает, закрываешь и все заново.
      В системе установлен Касперский, но он не может найти вирус полностью.
      Утилитами проверял в безопасном режиме, они находили WmiPrvSF.exe, он удалялся и через непродолжительное время все повторялось.
      Логи собирал 19-01-25, уехал в командировку не успел создать тему. Компьютер с того времени еще не включался.
      Был бы признателен в помощи.
      CollectionLog-2025.01.19-20.37.zip FRST.txt
×
×
  • Создать...