Перейти к содержанию
Правила раздела

Вирус переименовывает службы

SonG

Автор SonG
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

SonG

SonG

Опубликовано
Опубликовано

Добрый день!  На Server 2022 (Standart) появились вирусы.

1. Сначала был Trojan.Win32.SEPEH, но после 3-4 проверок Kaspersky Endpoint Security, пропал. В это время уже центр обновлений не работал

2. Дальше полез в реестр и слкжбы службы. На службах wuauserv, usosvc, BITS, WaaSMedicSvc, DoSvc, wuaserv, был постфикс "_bak" (оригиналы при этом были). Удалил из под безопасного режима, прогнал антивирусом и перезапустился. Вроде больше не появлялись.

 

Теперь центр обновлений так и не работает, но на глаз попались другие службы, где уже другие названия: 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CaptureService_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cbdhsvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CDPUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ConsentUxUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CredentialEnrollmentManagerUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DeviceAssociationBrokerSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicePickerUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DevicesFlowUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PimIndexMaintenanceSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PrintWorkflowUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UdkUserSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UnistoreSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UserDataSvc_b1e5e
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WpnUserService_b1e5e

 

Что делать, куда "копать" ?) 

Физический доступ к серверу бывает раз в день (99% операций провожу под RDP)

CollectionLog-2025.06.01-16.59.zip FRST.txt Addition.txt

thyrex

thyrex

Опубликовано
Опубликовано
1 час назад, SonG сказал:

на глаз попались другие службы, где уже другие названия

это нормальная ситуация

 

А вот три пользователя с правами администратора (включая, видимо, встроенного) - это ненормально.

 

Вирусов у Вас нет.

 

SonG

SonG

Опубликовано
  • Автор
Опубликовано

Спасибо. 
Проблему центра обновлений, решил перезаписью реестра служб wuauserv и BITS (взял с другого сервера) 

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • XromoV1K
      [РЕШЕНО] Переименовались файлы в службах.
      Автор XromoV1K
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. Некоторые удалить получилось, остальные не поддаются
      CollectionLog-2025.07.19-22.17.zipAddition.txt 
      FRST.txt
       
      в центре обновления windows пишет: что-то пошло не так.
      устранение неполадок не грузит постоянно пишет: проверка наличие отложенного перезапуска и так бесконечно 
    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • -AdviZzzor-
      [РЕШЕНО] Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
×
×
  • Создать...