Перейти к содержанию
Правила раздела

Повреждены/переименованы системные службы

Ekaterinaa

Автор Ekaterinaa
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Ekaterinaa

Ekaterinaa

Опубликовано
Опубликовано

Добрый день!
Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.

Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.

После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 

Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал

Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

image.thumb.png.463248180365e2ca58b04db2f0d56d16.png

Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

image.thumb.png.846096499fe8cd804448e1f75f3ae81d.png

 

Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

image.thumb.png.2ce404bce021d3f589304dbee556006f.png

 

Прикрепляю логи с FRST и с AutoLogger.

Addition.txt

FRST.txt

CollectionLog-2025.07.26-11.58.zip

 

Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.

 

thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

26 минут назад, Ekaterinaa сказал:

Также есть службы, которые после перезапуска пк меняют приписку в названии в конце

это нормально.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (ФайлВыполнить скрипт – вставить текст скрипта из окна Код) 

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(false);
end.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Пофиксите в HiJackThis из папки Autologger (запускать HiJackThis от имени Администратора по правой кнопке мыши) 

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{00446CF1-8668-472D-BEDD-D0BB88DBA009} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{00446CF1-8668-472D-BEDD-D0BB88DBA009} - \Microsoft\Windows\Registry\RegIdleBackup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{008539BF-83F9-4483-9E0A-EEEE6EAC0A08} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{008539BF-83F9-4483-9E0A-EEEE6EAC0A08} - \Microsoft\Windows\Shell\UpdateUserPictureTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{117E2D01-1275-4560-90E9-A34BB4EE69A3} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{117E2D01-1275-4560-90E9-A34BB4EE69A3} - \Microsoft\Windows\DiskFootprint\StorageSense (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{12DF3F8A-9612-48CA-AE38-2818FA70CA73} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{12DF3F8A-9612-48CA-AE38-2818FA70CA73} - \Microsoft\Windows\HelloFace\FODCleanupTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1FDAEDB1-C8AA-43FA-B046-3CDDDA12661E} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1FDAEDB1-C8AA-43FA-B046-3CDDDA12661E} - \Microsoft\Windows\Time Synchronization\SynchronizeTime (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{21BC5CBD-E20B-4A45-B84C-39C4E785D4E6} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{21BC5CBD-E20B-4A45-B84C-39C4E785D4E6} - \Microsoft\Windows\Shell\FamilySafetyRefresh (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36A78C3E-A142-4F86-903E-AE26291F646C} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{36A78C3E-A142-4F86-903E-AE26291F646C} - \Microsoft\Windows\Autochk\Proxy (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3913A440-CAB7-479F-9F46-4820CD917351} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3913A440-CAB7-479F-9F46-4820CD917351} - \Microsoft\Windows\Application Experience\MareBackup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A4032F6-6063-4D54-BAE3-F8A4A5110CDA} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticResolver (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A6DB6F9-A355-420A-B6E0-7C54D12F4033} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3A6DB6F9-A355-420A-B6E0-7C54D12F4033} - \Microsoft\Windows\NetTrace\GatherNetworkInfo (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D363385-64B8-4207-AC46-3EE180DD87F2} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3D363385-64B8-4207-AC46-3EE180DD87F2} - \Microsoft\Windows\Application Experience\StartupAppTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3E51A991-10E2-4B16-B5B4-A2F051544BB9} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3E51A991-10E2-4B16-B5B4-A2F051544BB9} - \Microsoft\Windows\User Profile Service\HiveUploadTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{3FE45B23-0798-4354-9F00-A773A38DAD2A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4680A8DF-7B63-403E-ABB1-3FA7B77DE631} - \Microsoft\Windows\Windows Defender\Windows Defender Scheduled Scan (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4D595DA6-BC59-47AE-A527-EC01FCE2E615} - \Microsoft\Windows\Speech\SpeechModelDownloadTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53FE559C-30AB-4515-B492-C8B30F409C83} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{54D4D29C-744B-42E7-AD2C-11F44FB5A509} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{54D4D29C-744B-42E7-AD2C-11F44FB5A509} - \Microsoft\Windows\Customer Experience Improvement Program\KernelCeipTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{559B0F92-63C4-4001-AE5E-A650091C71B8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{559B0F92-63C4-4001-AE5E-A650091C71B8} - \Microsoft\Windows\Windows Defender\Windows Defender Cache Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6F063424-E8AD-40FA-92B9-CD047EC2A92A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6F063424-E8AD-40FA-92B9-CD047EC2A92A} - \Microsoft\Windows\Maintenance\WinSAT (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{701473A3-4C61-4063-AAC6-871E22A29FE7} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{701473A3-4C61-4063-AAC6-871E22A29FE7} - \Microsoft\Windows\Maps\MapsToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7243C920-9DF2-498E-A75E-2D6BE764DFB8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7243C920-9DF2-498E-A75E-2D6BE764DFB8} - \Microsoft\Windows\Shell\ThemesSyncedImageDownload (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{73469C3A-0B60-4A11-AD8A-FC67A901B741} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{73469C3A-0B60-4A11-AD8A-FC67A901B741} - \Microsoft\Windows\Application Experience\ProgramDataUpdater (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7572B7F9-BE9D-43BF-9A4E-F82023EDBD33} - \Microsoft\Windows\Customer Experience Improvement Program\UsbCeip (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75A35C91-670A-4071-BB93-066651438E14} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{75A35C91-670A-4071-BB93-066651438E14} - \Microsoft\Windows\Windows Error Reporting\QueueReporting (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7617E03F-109E-435B-9B4C-0282CD5BE4A9} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7617E03F-109E-435B-9B4C-0282CD5BE4A9} - \Microsoft\Windows\Feedback\Siuf\DmClientOnScenarioDownload (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A5AFDB2-56EC-4352-AB44-069E7BF253A8} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A90DECC-539E-4DD9-BA7A-5D40072E1BC4} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7A90DECC-539E-4DD9-BA7A-5D40072E1BC4} - \Microsoft\Windows\Registry\OOBE-Maintenance (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{86158314-60CF-4F3F-85B5-2399327EA496} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{86158314-60CF-4F3F-85B5-2399327EA496} - \Microsoft\Windows\Windows Filtering Platform\BfeOnServiceStartTypeChange (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92FFE795-C628-4324-AB97-06F804352DB6} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{92FFE795-C628-4324-AB97-06F804352DB6} - \Microsoft\Windows\Feedback\Siuf\DmClient (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A7D66BF3-2DF3-41DC-83BC-6E12B871414B} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A7D66BF3-2DF3-41DC-83BC-6E12B871414B} - \Microsoft\Windows\Flighting\FeatureConfig\ReconcileFeatures (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B11BDA6F-0D93-455B-A6DC-8955BA80DC9B} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B11BDA6F-0D93-455B-A6DC-8955BA80DC9B} - \Microsoft\Windows\Live\Roaming\MaintenanceTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B97C7632-DD50-4F07-8E4E-F1450795BF78} - \Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-DiskDiagnosticDataCollector (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAEB8762-68E5-400B-B0F5-0C4A00F18093} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{BAEB8762-68E5-400B-B0F5-0C4A00F18093} - \Microsoft\Windows\Offline Files\Logon Synchronization (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C0E197F6-2E40-46FD-83DA-BE8704EF2CE5} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C0E197F6-2E40-46FD-83DA-BE8704EF2CE5} - \Microsoft\Windows\Ras\MobilityManager (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C3944556-15CF-467E-89E2-29D4BFD3EC5A} - \Microsoft\Windows\Diagnosis\Scheduled (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4C11C95-C597-4541-B0FF-0FB2C761FC92} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4C11C95-C597-4541-B0FF-0FB2C761FC92} - \Microsoft\Windows\Time Zone\SynchronizeTimeZone (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9ABE41C-5E65-4E52-8BAD-4F1BCA3B5715} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9ABE41C-5E65-4E52-8BAD-4F1BCA3B5715} - \Microsoft\Windows\AppxDeploymentClient\Pre-staged app cleanup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C9EC268B-1D36-4AF0-A1EB-2C1BC3B455D9} - \Microsoft\Windows\DiskFootprint\Diagnostics (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CD0446AF-D5F6-4616-85CE-058C20FCE9EC} - \Microsoft\Windows\Shell\FamilySafetyRefreshTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFF53BF5-3FFB-4F7C-B7FF-68A8D7F37F1D} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CFF53BF5-3FFB-4F7C-B7FF-68A8D7F37F1D} - \Microsoft\Windows\Live\Roaming\SynchronizeWithStorage (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D2A0B012-7555-48BE-9345-641EAF585E9F} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D2A0B012-7555-48BE-9345-641EAF585E9F} - \Microsoft\Windows\Offline Files\Background Synchronization (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3D6D97F-64D2-4D6C-B561-3B2C3CE242D5} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3D6D97F-64D2-4D6C-B561-3B2C3CE242D5} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataFlushing (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D9353C30-D505-4F11-8F95-55F3DDA1E214} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D9353C30-D505-4F11-8F95-55F3DDA1E214} - \Microsoft\Windows\Power Efficiency Diagnostics\AnalyzeSystem (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB1218E6-F693-4F20-BC36-E62D6CB63AB4} - \Microsoft\Windows\Windows Defender\Windows Defender Cleanup (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DFDC1B83-7FD3-4C77-8CD1-7391D1680ACA} - \Microsoft\Windows\Shell\FamilySafetyMonitor (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E32B86AB-ABAA-45A7-9BE7-9BB2E6B7837D} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E32B86AB-ABAA-45A7-9BE7-9BB2E6B7837D} - \Microsoft\Windows\Location\WindowsActionDialog (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E54A7424-1F2E-4747-9F35-FBE90FD63860} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E54A7424-1F2E-4747-9F35-FBE90FD63860} - \Microsoft\Windows\Flighting\OneSettings\RefreshCache (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E559FBB0-7370-4985-90DD-5D6B10DFC5F1} - \Microsoft\Windows\Windows Defender\Windows Defender Verification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E577C99D-E5DD-43E8-9E9F-2D291B431572} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E577C99D-E5DD-43E8-9E9F-2D291B431572} - \Microsoft\Windows\Maps\MapsUpdateTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E88D9B2C-DDEA-47B2-9582-085153004DB5} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E88D9B2C-DDEA-47B2-9582-085153004DB5} - \Microsoft\Windows\Location\Notifications (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED77AEE0-EAFB-4133-B544-9E7C5632D902} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ED77AEE0-EAFB-4133-B544-9E7C5632D902} - \Microsoft\Windows\Customer Experience Improvement Program\Consolidator (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1C22845-80D0-45DB-9032-7846669A486A} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F1C22845-80D0-45DB-9032-7846669A486A} - \Microsoft\Windows\Flighting\FeatureConfig\UsageDataReporting (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F5E862B9-98AE-458E-BC87-3ED25EFBB4D3} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F5E862B9-98AE-458E-BC87-3ED25EFBB4D3} - \Microsoft\Windows\Time Synchronization\ForceSynchronizeTime (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7E3F131-D979-4587-9B58-5BE90DA18545} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F7E3F131-D979-4587-9B58-5BE90DA18545} - \Microsoft\Windows\Diagnosis\RecommendedTroubleshootingScanner (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F8AB1EA1-17AC-45DF-A65D-1AFF7FF49203} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F8AB1EA1-17AC-45DF-A65D-1AFF7FF49203} - \Microsoft\Windows\AppxDeploymentClient\UCPD velocity (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F8FEDA28-6261-4385-844A-684E6C988577} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F8FEDA28-6261-4385-844A-684E6C988577} - \Microsoft\Windows\ExploitGuard\ExploitGuard MDM policy Refresh (no xml)
O26 - Office Addin: HKLM\..\MicrosoftDataStreamerforExcel - (Microsoft Data Streamer for Excel) -> C:\Program Files\Microsoft Office\root\Office16\ADDINS\EduWorks Data Streamer Add-In\MicrosoftDataStreamerforExcel.vsto (file missing)
O26 - Office Addin: HKLM\..\NativeShim - (Inquire) -> (no file)


1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKLM\...\RunOnce: [688b740b-98e1-4504-9098-852eee8eb751] => "C:\Temp\{9a3a773b-dc25-4f65-8bf0-338fa0af311b}\688b740b-98e1-4504-9098-852eee8eb751.cmd" (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
GroupPolicy: Ограничение - Edge <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение - Edge <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\BraveSoftware\Brave: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Vivaldi: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\YandexBrowser: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\2: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3: <==== ВНИМАНИЕ (Ограничение - Zones)
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-19\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-20\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3371878452-2272467348-523351370-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ограничение <==== ВНИМАНИЕ
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-06-30] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1526272 2025-06-30] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-06-30] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2025-06-30] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3438080 2025-06-30] (Microsoft Windows -> Microsoft Corporation)
FirewallRules: [{AF871F05-113E-475A-AFA5-D4CAEF428932}] => (Block) C:\Windows\system32\hh.exe => Нет файла
FirewallRules: [{5BA3A7A5-2572-4AA3-A400-C12A3B5C1B90}] => (Block) C:\windows\system32\CompatTelRunner.exe => Нет файла
FirewallRules: [{E328A71F-7386-429F-AA54-0C5BC5DDFEC0}] => (Block) C:\windows\system32\CompatTelRunner.exe => Нет файла
FirewallRules: [{46C8F0FE-326B-4604-A2F0-A606DB3346D0}] => (Block) C:\Windows\System32\smartscreen.exe => Нет файла
FirewallRules: [{6DDDD8B9-2938-49D4-B9B1-10EFB6A5DAD1}] => (Block) C:\Windows\System32\smartscreen.exe => Нет файла
FirewallRules: [{50043C15-43DE-4CB6-81AF-2BE943A34C1F}] => (Block) C:\windows\system32\CompatTelRunner.exe => Нет файла
FirewallRules: [{BFAE771E-94E4-4840-9462-0AA5A336F40D}] => (Block) C:\windows\system32\CompatTelRunner.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Ekaterinaa

Ekaterinaa

Опубликовано
  • Автор
Опубликовано

 Службы с _bkp удалены были, да, спасибо!

Отправила пк на завершение работы, пока надпись Подготовка Windows, не включайте компьютер. Жду вот. Посмотрю ещё раз всё как включится

Ekaterinaa

Ekaterinaa

Опубликовано
  • Автор
Опубликовано (изменено)

Обновления Windows поставились. Но профиль все равно как-то дольше чем раньше прогружается, и программы запускаются дольше.. Была мысль, что это связано с найденным вирусом и его последствиями, больше идей не возникло, по нагрузке цп и памяти вроде все норм.
Благодарю за помощь!

 

 

Изменено пользователем Ekaterinaa
добавила пояснения
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.

thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

Kaspersky v.21.21.7.384 Внимание! Скачать обновления
GIGABYTE Control Center 25.04.09.01 v.25.04.09.01 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20857 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
NVIDIA App 11.0.4.159 v.11.0.4.159 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.44.35112 v.14.44.35112.1 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35112 v.14.44.35112.1 Внимание! Скачать обновления
Discord v.1.0.9199 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.140.0.4 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Microsoft Edge v.92.0.902.67 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^
 

На этом закончим.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (старый ноутбук)
      Автор Александр Багет
      Я решил проверить просмотр событий, а конкретно PowerShell, и увидел там очень много событий с кодом 4104. Поиски в интернете выдали мне информацию о том что такое событие может появляться из-за вредоносного кода или ПО. Такие события начали появляться оказывается еще аж с 2024 года.
      Проверки ноутбука Windows Defender никаких проблем не выявили, тогда я скачал Malwarebytes и сделал проверку им, в первый раз мне показало 54 нежелательных файла, в числе которых был torrent, yandex и mediaget, все они были помещены в карантин. Через время была сделана еще одна проверка которая нашла 4 нежелательных файла. Через проводник я удалил все связанное с torrent, yandex и mediaget. После всех чисток и проверок event id 4104 все равно появляется. Также почему-то когда я распаковывал архивы с помощью winrar антивирус Malwarebytes жаловался на подозрительный сайт и трояны которые исходили от winrar, архиватор я переустановил и такие предупреждения пропали.
      Проверки я проводил с выключенным и включенным интернетом, но больше они ничего подозрительного не находили. Единственное что меня смутило, проверки Malwarebytes длились от 2 до 3 часов.
      Изменений в работе пк я пока не замечал. Но в папке Users есть какой-то странный пользователь со знаками вопроса в названии папки.
       
      Подскажите как мне почистить ноутбук от вирусов или убедится что их нет? Буду очень рад помощи.


      Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 083207.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084341.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 084435.txt Malwarebytes Отчет о заблокированных веб-сайтах 2026-01-29 164019.txt Malwarebytes Отчет о проверке 2026-01-24 145534.txt Malwarebytes Отчет о проверке 2026-01-30 035639.txt CollectionLog-2026.02.01-13.21.zip
    • Александр Багет
      [РЕШЕНО] есть подозрение на вирус, но пока не знаю какой именно (новый ноутбук)
      Автор Александр Багет
      Началось все с того, что я решил залезть в "Просмотр событий" а конкретно в PowerShell. Там я обнаружил некоторое количество событий с кодом 4104 и решил проверить в интернете что это событие из себя представляет и стоит ли мне беспокоиться о нем. Какое-то количество информации об этом event id я нашел, и в основном там говорилось о подозрительной активности или вредоносном коде/ПО. Подобное событие генерируется стабильно от 2 до 10 раз за месяц.
      Помимо PowerShell я также зашел в журнал "Безопасность" там тоже одно событие которое меня напрягло, это event id 4688. Я снова залез в гугл проверить что это может быть, и в нескольких статьях указывалось на подозрительную активность либо на хакера который делает дамп памяти при помощи LSASS.
      Я до этого ни разу не сталкивался с вирусами и понятия не имею что делать, но несколько дней назад я попробовал зайти на своем ноутбуке в безопасный режим, никакой полезной информации я не получил из этого, но после выхода из режима и проверки журнала "Безопасность" я увидел приличное количество событий 4688. Через некоторое время после выхода из безопасного режима в журнале "Безопасность" появилось 3 события с неудачной попыткой сетевого входа в систему.
      Windows Defender ничего подозрительного не нашел. Проверка Malwarebytes обнаружила 8 нежелательных файлов, но 7 из них были связанны с торернтом и еще один с впном которым я давно не пользовался, все было помещено в карантин. После проверки я через проводник удалил все файлы связанные с торрентом. Далее я еще какое-то время проверял свой пк на вирусы, пробовал это делать с выключенным интернетом и с включенным, но больше Malwarebytes ничего не находил. Хотя сообщения в PowerShell об event id 4104 продолжали появляться.
      Информация из просмотра событий пока является единственным аргументом в пользу наличия вирусов, ибо изменений в работе пк вообще не было. Единственное что меня беспокоит, время от времени мой ноутбук отключается от домашнего интернета, происходит это либо когда пк переходит в спящий режим, либо само по себе. Отключения бывают по несколько раз за день, но может и вообще не быть, какого-то паттерна я не смог увидеть. И еще в диспетчере задач в автозагрузке есть 4 приложения которые никак не открываются и у них нет иконок, но я думаю это какие-то остатки файлов от удаления нерабочих впн, вряд ли это какое-то вредоносное по.
      У меня есть скриншоты из журналов "Безопасность" и "PowerShell" если нужно то могу прислать некоторые из них.
      Подскажите как мне найти вирус или убедиться что его нет?
      И еще, в порядке оформления запроса о помощи первым пунктом сказано, что нужно установить Kaspersky Virus Removal Tool или Dr.Web CureIt и провести проверку, но у меня уже стоит Malwarebytes. Мне нужно еще один антивирус скачивать или надо удалить Malwarebytes и установить нужный? Или ничего не делать пока?
      Буду безумно рад помощи! 
      CollectionLog-2026.01.31-19.07.zip Malwarebytes Отчет о проверке 2026-01-24 050309.txt
    • DexterVron
      [РЕШЕНО] Tool.BtcMine.2828 (просто удалить не выходит)
      Автор DexterVron
      Всем привет. Словил Tool.BtcMine.2828, антивирусом удалять не выходит.
    • Salieri
      Словил ратник без доступа к чему - либо, новый администратор
      Автор Salieri
      Приветствую, словил ратник, антивирусы не работают, сайты , ничего, пишу с другого пк дабы подать на помощь. Ниже логи
      CollectionLog-2026.01.30-14.37.zipShortcut.txtFRST.txtAddition.txt
    • Meiras
      Появился вирус Trojan:PowerShell/Boxter.HBZ!MTB
      Автор Meiras
×
×
  • Создать...