Вирус переименовал службы. очередной майнер

[AbzalRai]

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 

Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 

 

Logs.rar

Изменено 23 июля, 2025 пользователем AbzalRai

[thyrex]

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.
 

[AbzalRai]

Вот отдельно

Logs.rar

[thyrex]

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. Читайте внимательно написанное по ссылке.

[AbzalRai]

Только что, thyrex сказал:

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. 

 

так я и сделал по вашему правилу. что не так не понимаю?!

[thyrex]

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

[AbzalRai]

7 минут назад, thyrex сказал:

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

Правильно?

CollectionLog-2025.07.23-16.03.zip

[thyrex]

5 минут назад, AbzalRai сказал:

Правильно?

теперь правильно.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [d15c15cf-2e20-4549-a430-d95870dff6a5] => "C:\Users\ysykl\AppData\Local\Temp\{8c391f52-3815-47a6-b7d2-19c4f75f39b8}\d15c15cf-2e20-4549-a430-d95870dff6a5.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [Synapse3] => C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (Нет файла)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-28] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
S3 tapnordvpn; \SystemRoot\System32\drivers\tapnordvpn.sys [X]
2025-07-17 12:38 - 2025-07-18 18:47 - 000000000 ____D C:\ProgramData\qhpxndiguijf
Folder: C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025
Folder: C:\ProgramData\Auto
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [264]
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.
  

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

[AbzalRai]

спасибо помогли. вроде все работает! 

Fixlog.txt

[thyrex]

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

• Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
• Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
• Прикрепите этот файл в своем следующем сообщении.

 

[AbzalRai]

SecurityCheck.txt

все заработала

[thyrex]

14 минут назад, thyrex сказал:

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

еще это сделайте.

[AbzalRai]

3 минуты назад, thyrex сказал:

еще это сделайте.

в этом нет необходимости. там полюбому найдется вирус. я давно этим утилитой пользуюсь. майнер не от него заразился! спасибо вы решили мою проблему. 

[thyrex]

Ок.

 

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
CrystalDiskInfo 9.6.2 v.9.6.2 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
Discord v.1.0.9198 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
iTunes v.12.5.5.5 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
CCleaner Update Helper v.1.8.1990.6 Браузер был установлен в составе другого ПО. Рекомендуется деинсталлировать его и использовать Google Chrome, Brave или Vivaldi.

 

На этом закончим.