Вирус переименовал службы. очередной майнер

23 июля, 2025

Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу.

Вроде собрал для вас все виды логов. надеюсь все правильно сделал.

Logs.rar

Изменено 23 июля, 2025 пользователем AbzalRai

23 июля, 2025

Здравствуйте.

Выполните Порядок оформления запроса о помощи.
Новую тему создавать не нужно, логи прикрепите к следующему сообщению в текущей теме.

23 июля, 2025

Вот отдельно

Logs.rar

23 июля, 2025

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили. Читайте внимательно написанное по ссылке.

23 июля, 2025

Только что, thyrex сказал:

Выполните написанное в моем предыдущем сообщении, а не делайте то, что Вас не просили.

так я и сделал по вашему правилу. что не так не понимаю?!

23 июля, 2025

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

23 июля, 2025

7 минут назад, thyrex сказал:

Вы сначала перечитайте и увидите, какой файл от Вас требуется и как его можно получить.

Правильно?

CollectionLog-2025.07.23-16.03.zip

23 июля, 2025

5 минут назад, AbzalRai сказал:

Правильно?

теперь правильно.

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мыши – Копировать)

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [d15c15cf-2e20-4549-a430-d95870dff6a5] => "C:\Users\ysykl\AppData\Local\Temp\{8c391f52-3815-47a6-b7d2-19c4f75f39b8}\d15c15cf-2e20-4549-a430-d95870dff6a5.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [Synapse3] => C:\Program Files (x86)\Razer\Synapse3\WPFUI\Framework\Razer Synapse 3 Host\Razer Synapse 3.exe /StartMinimized (Нет файла)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-05-20] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3433472 2025-03-28] (Microsoft Windows -> Microsoft Corporation) <==== ВНИМАНИЕ
S3 tapnordvpn; \SystemRoot\System32\drivers\tapnordvpn.sys [X]
2025-07-17 12:38 - 2025-07-18 18:47 - 000000000 ____D C:\ProgramData\qhpxndiguijf
Folder: C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025
Folder: C:\ProgramData\Auto
AlternateDataStreams: C:\ProgramData\TEMP:4FC01C57 [264]
StartPowershell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Обратите внимание: будет выполнена перезагрузка компьютера.

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

23 июля, 2025

спасибо помогли. вроде все работает!

Fixlog.txt

23 июля, 2025

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

23 июля, 2025

SecurityCheck.txt

все заработала

23 июля, 2025

14 минут назад, thyrex сказал:

C:\Users\ysykl\Desktop\KMSAuto++_1.8.7_x64_2024-2025\KMSAuto++ 1.8.7 x64.exe проверьте на virustotal.com и пришлите ссылку на результат анализа.

еще это сделайте.

23 июля, 2025

3 минуты назад, thyrex сказал:

еще это сделайте.

в этом нет необходимости. там полюбому найдется вирус. я давно этим утилитой пользуюсь. майнер не от него заразился! спасибо вы решили мою проблему.

23 июля, 2025

Ок.

По возможности исправьте:

Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
CrystalDiskInfo 9.6.2 v.9.6.2 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
WinRAR 5.00 (64-разрядная) v.5.00.0 Внимание! Скачать обновления
Discord v.1.0.9198 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
iTunes v.12.5.5.5 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
CCleaner Update Helper v.1.8.1990.6 Браузер был установлен в составе другого ПО. Рекомендуется деинсталлировать его и использовать Google Chrome, Brave или Vivaldi.

На этом закончим.

Вирус переименовал службы. очередной майнер

Рекомендуемые сообщения

AbzalRai

thyrex

AbzalRai

thyrex

AbzalRai

thyrex

AbzalRai

thyrex

AbzalRai

thyrex

AbzalRai

thyrex

AbzalRai

thyrex

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum