Перейти к содержанию
Правила раздела

[РЕШЕНО] Поймал вирусы, переименовались службы _bkp

ruina

Автор ruina
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety Гигант мысли

safety

Опубликовано
Опубликовано

По логу FRST:

 

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/win-10/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

далее,

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

  

Start::
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
IFEO\osppsvc.exe: [VerifierDlls] SppExtComObjHook.dll
IFEO\SppExtComObj.Exe: [VerifierDlls] SppExtComObjHook.dll
S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481216 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1535488 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [570368 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [433152 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3456512 2025-03-28] (Microsoft Windows -> Microsoft Corporation)
S3 cpuz158; C:\WINDOWS\temp\cpuz158\cpuz158_x64.sys [44592 2025-04-03] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
R3 cpuz159; C:\WINDOWS\temp\cpuz159\cpuz159_x64.sys [44680 2025-05-19] (Microsoft Windows Hardware Compatibility Publisher -> CPUID) <==== ВНИМАНИЕ
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

Проверяем работоспособность системы.

Напишите по результату.

Если обновление системы заработает, обновите систему до 22H2.

Напишите по результату.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано (изменено)

Пробуйте выполнить все наоборот.

Вначале выполнить скрипт FRST с перезагрузкой системы,

после перезагрузки применить твики+ перезагрузка системы.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

службы _bkp ушли,

но надо восстановить этот файл.

S3 UsoSvc; %systemroot%\system32\usocore.dll [X]

 

Пробуйте выполнить в запущенной от имени Администратора командной строке cmd.exe

команду:

Цитата

sfc /scannow

после завершения выполнения еще раз соберите логи FRST для контроля.

Ссылка на комментарий
Поделиться на другие сайты
safety Гигант мысли

safety

Опубликовано
Опубликовано

Сделайте это:

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Evgen001
      Поймал вирусы, переименовались службы
      Автор Evgen001
      Здравствуйте! С месяц назад качал ворд и поймал вирусы, через касперского вроде как удалил все, сегодня решил обновить виндовс, зашел, а службы все переименованы. UsoSvc_bkp, wuauserv_bkp стали вот в таком формате. Прикрепляю логи
      CollectionLog-2025.01.08-01.01.zip
    • Dmitriy_23
      [РЕШЕНО] Поймали вирусы, переименовались службы
      Автор Dmitriy_23
      Windows Server 2019, провели проверку утилитой KVRT. Утилита нашла в системе 2 угрозы: Trojan.Multi.BroSubsc.gen (System Memory), HEUR:Trojan.Multi.Agent.gen (C:\Windows\System32\Tasks\dialersvc64). Для первой угрозы предложено Лечить, для второй Удалить. Пока не выполняли действий над угрозами. Также в системе было обнаружено переименование служб:
      wuauserv_bkp
      UsoSvc_bkp
      BITS_bkp
      WaaSMedicSvc_bkp
      dosvc_bkp
      Файлы логов AutoLogger, FRST в вложении.
       
      FRST64.7z CollectionLog-2025.01.22-21.20.zip CollectionLog-2025.01.22-21.01.7z FRST64.7z
    • Albert2025
      [РЕШЕНО] Поймал вирус, но не лечится стандартно
      Автор Albert2025
      Добрый день.
      Подозреваю, что сегодня с флэшки случайно запустил вирус.
      Проверки файлов на флэшке через opentip.kaspersky.com выдает результаты HEUR:Trojan.Win64.Convagent.gen и Trojan.VBS.Starter.pl
      На компьютере при этом в Диспетчере задач есть какие-то неизвестные запущенные процессы.
      Но при этом проверка KVRT и DrWeb CureIt результатов не приносит, ничего не обнаруживается.
      Боюсь, что сидит какой-нибудь шифровальщик или троян, собирающий данные (пароли и т.д.).
        Прошу помочь разобраться, что делает этот вирус и как избавиться от него, во вложении архив с флэшки, пароль virus.
      Также в директории был еще файл *.dat, но он слишком большого размера, при помещении его в архив он превышает допустимый размер.
      P.S. Также приложил логи.
      rootdir1.rar
      CollectionLog-2025.05.20-11.45.zip
    • Константин174
      Поймали вирус
      Автор Константин174
      Всем Привет проблема поймали вирус [nullhexxx@gmail.com].EAE6F491 есть варианты как избавиться ??????
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
×
×
  • Создать...