Перейти к содержанию
Правила раздела

Вирус переименовал службы. очередной майнер

AbzalRai

Автор AbzalRai
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

AbzalRai

AbzalRai

Опубликовано
Опубликовано (изменено)

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 

Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 

 

Logs.rar

Изменено пользователем AbzalRai
thyrex

thyrex

Опубликовано
Опубликовано

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. Читайте внимательно написанное по ссылке.

AbzalRai

AbzalRai

Опубликовано
  • Автор
Опубликовано
Только что, thyrex сказал:

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. 

image.thumb.png.cbc6f4e18b51a5d12f604137ccb1de6e.png 

так я и сделал по вашему правилу. что не так не понимаю?!

thyrex

thyrex

Опубликовано
Опубликовано

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

AbzalRai

AbzalRai

Опубликовано
  • Автор
Опубликовано
7 минут назад, thyrex сказал:

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

Правильно?

CollectionLog-2025.07.23-16.03.zip

thyrex

thyrex

Опубликовано
Опубликовано
5 минут назад, AbzalRai сказал:

Правильно?

теперь правильно.


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [d15c15cf-2e20-4549-a430-d95870dff6a5] => "C:\Users\ysykl\AppData\Local\Temp\{8c391f52-3815-47a6-b7d2-19c4f75f39b8}\d15c15cf-2e20-4549-a430-d95870dff6a5.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [Synapse3] => C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (Нет файла)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-28] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
S3 tapnordvpn; \SystemRoot\System32\drivers\tapnordvpn.sys [X]
2025-07-17 12:38 - 2025-07-18 18:47 - 000000000 ____D C:\ProgramData\qhpxndiguijf
Folder: C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025
Folder: C:\ProgramData\Auto
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [264]
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

thyrex

thyrex

Опубликовано
Опубликовано

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

 

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 

thyrex

thyrex

Опубликовано
Опубликовано
14 минут назад, thyrex сказал:

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

еще это сделайте.

AbzalRai

AbzalRai

Опубликовано
  • Автор
Опубликовано
3 минуты назад, thyrex сказал:

еще это сделайте.

в этом нет необходимости. там полюбому найдется вирус. я давно этим утилитой пользуюсь. майнер не от него заразился! спасибо вы решили мою проблему. 

thyrex

thyrex

Опубликовано
Опубликовано

Ок.

 

По возможности исправьте:

 

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
CrystalDiskInfo 9.6.2 v.9.6.2 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
Discord v.1.0.9198 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
iTunes v.12.5.5.5 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
CCleaner Update Helper v.1.8.1990.6 Браузер был установлен в составе другого ПО. Рекомендуется деинсталлировать его и использовать Google Chrome, Brave или Vivaldi.

 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (старый ноутбук)
      Автор Александр Багет
      Я решил проверить просмотр событий, а конкретно PowerShell, и увидел там очень много событий с кодом 4104. Поиски в интернете выдали мне информацию о том что такое событие может появляться из-за вредоносного кода или ПО. Такие события начали появляться оказывается еще аж с 2024 года.
      Проверки ноутбука Windows Defender никаких проблем не выявили, тогда я скачал Malwarebytes и сделал проверку им, в первый раз мне показало 54 нежелательных файла, в числе которых был torrent, yandex и mediaget, все они были помещены в карантин. Через время была сделана еще одна проверка которая нашла 4 нежелательных файла. Через проводник я удалил все связанное с torrent, yandex и mediaget. После всех чисток и проверок event id 4104 все равно появляется. Также почему-то когда я распаковывал архивы с помощью winrar антивирус Malwarebytes жаловался на подозрительный сайт и трояны которые исходили от winrar, архиватор я переустановил и такие предупреждения пропали.
      Проверки я проводил с выключенным и включенным интернетом, но больше они ничего подозрительного не находили. Единственное что меня смутило, проверки Malwarebytes длились от 2 до 3 часов.
      Изменений в работе пк я пока не замечал. Но в папке Users есть какой-то странный пользователь со знаками вопроса в названии папки.
       
      Подскажите как мне почистить ноутбук от вирусов или убедится что их нет? Буду очень рад помощи.


      Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 083207.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084341.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084435.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 164019.txt Malwarebytes Отчет о проверке 2026-01-24 145534.txt Malwarebytes Отчет о проверке 2026-01-30 035639.txt CollectionLog-2026.02.01-13.21.zip
    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (новый ноутбук)
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
×
×
  • Создать...