Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp

[-AdviZzzor-]

Здравствуйте!

Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.

Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.

Помогите избавиться от него. 

CollectionLog-2025.07.10-08.10.zip

[Sandor]

Здравствуйте!

 

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[-AdviZzzor-]

Мне бы очень не хотелось удалять Bonjour, она одна из редких программ для обмена файлами между ПК на Windows и айфоном. Пользуюсь редко и это точно не из-за неё.

Обнаружил ещё в автозагрузке неизвестную прогу под названием GY5o0XtF ? Могу только включить/отключить, остальное серое. Отключил, но что это в инете не нашёл. Когда появилась тоже неизвестно.

Addition.txt FRST.txt

[Sandor]

Эта программа предназначена для AppleTV (вовсе не для обмена файлами) и на Windows системах даже для этого можно без неё обойтись. А вот проблемы с сетью может вызвать легко.

Но если не хотите, можете не удалять.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {20a88eee-b056-11ef-af60-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {2822defd-572c-11ec-a8fe-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {2822df17-572c-11ec-a8fe-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {3d8b1bd0-1102-11ee-ac45-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {71c60c5c-1b36-11ef-ae3e-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {cb426d7f-f8a1-11ec-aa42-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {d0957561-85ae-11eb-a794-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {d0957571-85ae-11eb-a794-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {d2254522-a745-11eb-a7cf-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {df1c5ee5-1f37-11ed-aa95-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {f434761c-8ec3-11ed-ab47-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  HKU\S-1-5-21-940805898-3483162691-1442448994-1000\...\MountPoints2: {f4347660-8ec3-11ed-ab47-b42e9931318e} - "G:\OnePlus_setup.exe" /s
  Startup: C:\Users\Unica1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MEFPower_test.lnk [2025-06-19] <==== ВНИМАНИЕ
  ShortcutTarget: MEFPower_test.lnk -> C:\Users\Unica1\AppData\Local\Temp\Rar$EXa5404.40237.rartemp\data\.temp\GY5o0XtF.exe (Нет файла) <==== ВНИМАНИЕ
  AutoConfigURL: [{160F85FF-060C-441B-832C-9A561012CAA7}] => hxxps://antizapret.prostovpn.org:8443/proxy.pac <==== ВНИМАНИЕ
  AutoConfigURL: [{7ED29DC6-66BB-4206-9C3C-982AE95BCF1A}] => hxxps://gateway.pinata.cloud/ipfs/QmNNEJkTAvtppJ5nV3TTywHYoJtzhAydqWLVaaAs4stAyy/proxy-ssl.js <==== ВНИМАНИЕ
  AutoConfigURL: [{A6583FF7-41FE-489F-BE79-CBE76A2BE993}] => hxxps://p.thenewone.lol:8443/proxy.pac <==== ВНИМАНИЕ
  RemoveProxy:
  S3 46e58f007becff09; \??\C:\Users\Unica1\AppData\Local\Temp\29cdb8cfe.sys [X] <==== ВНИМАНИЕ
  S3 cpuz154; \??\C:\WINDOWS\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
  S3 GPUZ-v2; \??\C:\Users\Unica1\AppData\Local\Temp\GPUZ-v2.sys [X] <==== ВНИМАНИЕ
  AlternateDataStreams: C:\Users\Unica1\AppData\Local\Temp:$DATA [16]
  Toolbar: HKU\S-1-5-21-940805898-3483162691-1442448994-1000 -> Нет имени - {C500C267-63BF-451F-8797-4D720C9A2ED9} -  Нет файла
  Toolbar: HKU\S-1-5-21-940805898-3483162691-1442448994-1000 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  FirewallRules: [{D24CD19B-CA60-4A87-AC1A-50D17C250025}] => (Allow) LPort=27015
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

+

Скачайте этот архив, извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений в реестр.

Перезагрузите компьютер и дополнительно:

 

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Изменено Четверг в 09:45 пользователем Sandor

[-AdviZzzor-]

57 минут назад, Sandor сказал:

Эта программа предназначена для AppleTV (вовсе не для обмена файлами) и на Windows системах даже для этого можно без неё обойтись. А вот проблемы с сетью может вызвать легко.

Но если не хотите, можете не удалять

Ну я же ей пользуюсь, там даже операционку на смартфоне обновлять можно, не говоря о фото, видео, музыке.  Сервис Bonjour от Apple позволяет обмениваться файлами между ПК и iPhone в локальной сети. Это реализация технологии нулевой конфигурации (zeroconf), которая позволяет устройствам с разными операционными системами (Windows, macOS, iOS) взаимодействовать без специальной настройки. 

Проделал операцию с FRST (я пока на этом этапе). После перезагрузки вообще не мог зайти сюда? Везде захожу, на этот форум никак. Посмотрел что с Центром обновления Windows, работает ли? И он начал что-то скачивать и устанавливать, но непонятно получилось ли - перезагрузки (как обычно не потребовал)? 

Их положительного - вроде исчезла из автозагрузки та непонятная прога.

Fixlog.txt

[Sandor]

6 минут назад, -AdviZzzor- сказал:

Везде захожу, на этот форум никак

В итоге, как понимаю, вошли, верно?

 

Бывает, что обновления устанавливаются без перезагрузки.

 

1 час назад, Sandor сказал:

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

Этот отчёт тоже покажите, пожалуйста.

[-AdviZzzor-]

Зашёл раза с десятого, непонятно что не пускало. Всё сделал, а для WaaSMedicSvc_bkp такого твика реестра нет? Он ведь тоже изменён был.

 

FSS.txt

[Sandor]

Видны некоторые неполадки с Защитником. Попробуем исправить и заодно добавить значения указанной службы.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  StartRegedit:
  Windows Registry Editor Version 5.00
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc]
  "DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
  "Description"="@WaaSMedicSvc.dll,-101"
  "DisplayName"="@WaaSMedicSvc.dll,-100"
  "ErrorControl"=dword:00000001
  "FailureActions"=hex:84,03,00,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
    00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
  "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
    74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
    00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
    6b,00,20,00,77,00,75,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,00
  "LaunchProtected"=dword:00000002
  "ObjectName"="LocalSystem"
  "RequiredPrivileges"=hex(7):53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,\
    00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,\
    67,00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,\
    00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,\
    73,00,6f,00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,00,65,00,4f,00,77,00,6e,00,\
    65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
    00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,\
    79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
    00,52,00,65,00,73,00,74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,\
    6c,00,65,00,67,00,65,00,00,00,00,00
  "ServiceSidType"=dword:00000001
  "Start"=dword:00000003
  "Type"=dword:00000020
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Parameters]
  "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
    00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
    57,00,61,00,61,00,53,00,4d,00,65,00,64,00,69,00,63,00,53,00,76,00,63,00,2e,\
    00,64,00,6c,00,6c,00,00,00
  "ServiceDllUnloadOnStop"=dword:00000001
  "ServiceMain"="ServiceMain"
  
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WaaSMedicSvc\Security]
  "Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
    00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
    00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
    05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
    20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
    01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
  EndRegedit:
  
  StartPowershell:
  # 10-26-2022 M. Naggar
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiVirus" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "DisableAntiSpyware" -Type DWORD -Value 0 –Force
  Set-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender" -Name "PUAProtection" -Type DWORD -Value 1 –Force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableBehaviorMonitoring" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableOnAccessProtection" -force
  Remove-ItemProperty -Path "HKLM:\SOFTWARE\Policies\Microsoft\Windows Defender\Real-Time Protection" -Name "DisableScanOnRealtimeEnable" -force
  Set-Service -Name windefend -StartupType Automatic -force
  Get-Service windefend | Select-Object -Property Name, StartType, Status
  Set-Service -Name securityhealthservice -StartupType manual -force
  Get-Service securityhealthservice | Select-Object -Property Name, StartType, Status
      Set-MpPreference -CheckForSignaturesBeforeRunningScan $true -Force
      Set-MpPreference -DisableArchiveScanning $false -Force
      Set-MpPreference -DisableBehaviorMonitoring $false -Force
      Set-MpPreference -DisableEmailScanning $False -Force
      Set-MpPreference -DisableIOAVProtection $false -Force
      Set-MpPreference -DisablePrivacyMode $true -Force
      Set-MpPreference -DisableRealtimeMonitoring $false -Force
      Set-MpPreference -MAPSReporting Advanced -Force
      Set-MpPreference -PUAProtection enabled -Force
      Set-MpPreference -SignatureScheduleDay Everyday -Force
      Set-MpPreference -DisableRemovableDriveScanning $false -Force
      Set-MpPreference -SubmitSamplesConsent SendSafeSamples
  # Reset and check Secure Health status
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers | Reset-AppxPackage
      Get-AppxPackage Microsoft.SecHealthUI -AllUsers|select Name, Status
  # Check if these services are running
  Get-Service mbamservice, Windefend, SecurityHealthService, wscsvc, mpsdrv, mpssvc, bfe, WdNisSvc, WdNisDrv, sense, winmgmt, rpcss, RpcEptMapper, bits, cryptsvc, wuauserv, dcomlaunch | Select Name, DisplayName, Status, starttype
  EndPowerShell:
  
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Ещё раз сделайте и прикрепите новый лог FSS.txt

[-AdviZzzor-]

Так защитник по идее отключён, при установке KTS берёт на себя его функцию. 

Посмотрел, к сожалению 2 ветки реестра BITS_bkp и BITS остались. И эту заражённую BITS_bkp не переименовать ни удалить по-прежнему нельзя.  У остальных я сам, как писал выше правил название в реестре.

Мне нужно сейчас уехать, вечером поздно продолжу, то что Вы предложите сделать. Спасибо, что пытаетесь помочь!

 

[-AdviZzzor-]

Сделал

 

Fixlog.txt FSS.txt

[Sandor]

16 часов назад, -AdviZzzor- сказал:

2 ветки реестра BITS_bkp и BITS остались

Это так и есть? По логам не видно.

 

Что в целом с проблемой?

[-AdviZzzor-]

Нужно, конечно, вчера ещё было посмотреть - порылся в журнале KTS, вот с чего всё началось.

Оказывается серьёзный вирус, майнер? Но почему подобные вирусы антивирус не может вылечивать?

 

HEUR:Trojan.Win32.Miner.pef — вредоносная программа, которая относится к классу троянов. Она предназначена для электронного слежения за действиями пользователя: перехвата ввода с клавиатуры, создания скриншотов, захвата списка активных приложений и т. д.

Пока небыло времени запускать тяжёлые программы, как бы он не спал пока...

[Sandor]

Почему же не может, может и лечит. Но этот майнер кроме прочего ещё и ломает систему защиты и обновления (как вы сами заметили).

А такую поломку в автоматическом режиме исправить не легко.

 

Вы не ответили:

2 часа назад, Sandor сказал:

Что в целом с проблемой?

 

[-AdviZzzor-]

2 часа назад, Sandor сказал:

Это так и есть? По логам не видно.

 

Что в целом с проблемой?

2 там файла, я правда у изменённого пару папок удалил, остальное никак.

Ещё нашёл много подобных дублированных с припиской _8a64b  Это тоже наверно вирус наделал?

Посмотрите ниже скрин. А так пока непонятно что с проблемой, обновление вроде заработало, позже запущу тяжёлые проги может проявит себя. А может мы с вами частично его обезвредили.

[Sandor]

8 минут назад, -AdviZzzor- сказал:

дублированных с припиской _8a64b  Это тоже наверно вирус наделал?

Не страшно, нормальное явление.

 

8 минут назад, -AdviZzzor- сказал:

пока непонятно что с проблемой

Хорошо, последите и через некоторое время сообщите результат.

Изменено Пятница в 07:08 пользователем Sandor