Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

[РЕШЕНО] Переименнованные службы. Нерабочий центр обновлений

Lana121

Автор Lana121
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Lana121

Lana121

Опубликовано
Опубликовано

Здравствуйте! Прошу о помощи. Словила вирус, удалила его через KVRT, но остались переименнованные службы wuauserv_bkp, bits_bkp, dosvc_bkp, UsoSvc_bkp, WaaSMedicSvc_bkp. Вследствие чего: не работают центр обновлений и Microsoft Store. Пожалуйста, помогите🙏CollectionLog-2025.08.09-19.55.zip

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Здравствуйте.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

 

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

1. Выделите следующий код и скопируйте в буфер обмена (правая кнопка мышиКопировать) 

Start::
CreateRestorePoint:
HKU\S-1-5-21-811123096-1001903547-4221428207-1002\...\RunOnce: [Delete Cached Standalone Update Binary] => C:\Windows\system32\cmd.exe /q /c del /q "C:\Users\Ulyana_Kut\AppData\Local\Microsoft\OneDrive\StandaloneUpdater\OneDriveSetup.exe" (Нет файла)
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-05-15] (Microsoft Windows -> Microsoft Corporation)
S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534976 2025-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-05-15] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [434176 2025-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3441152 2025-07-10] (Microsoft Windows -> Microsoft Corporation)
S2 TunMirror; "C:\ProgramData\KMSAuto\bin\TunMirror.exe" [X]
FirewallRules: [TCP Query User{7DE4AADB-A290-454B-8C1A-B43981F8EDB9}C:\games\pathologic 2\pathologic.exe] => (Allow) C:\games\pathologic 2\pathologic.exe => Нет файла
FirewallRules: [UDP Query User{3DA05D0D-F244-4AB2-BFBC-F05398ABA153}C:\games\pathologic 2\pathologic.exe] => (Allow) C:\games\pathologic 2\pathologic.exe => Нет файла
FirewallRules: [TCP Query User{DD607025-B0E7-4D34-8C2A-5CFF2C6F3C09}C:\aplications\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\aplications\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [UDP Query User{E984CA43-99FE-4BA9-8624-2E107B49151A}C:\aplications\steam\steamapps\common\7 days to die\7daystodie.exe] => (Allow) C:\aplications\steam\steamapps\common\7 days to die\7daystodie.exe => Нет файла
FirewallRules: [TCP Query User{E819ED7C-AFDA-4AA8-AD4B-288BDC765652}C:\aplications\igamecenter\igamecenter.exe] => (Allow) C:\aplications\igamecenter\igamecenter.exe => Нет файла
FirewallRules: [UDP Query User{0A122DCA-1353-40A9-88F4-3BD47CECBA37}C:\aplications\igamecenter\igamecenter.exe] => (Allow) C:\aplications\igamecenter\igamecenter.exe => Нет файла
FirewallRules: [TCP Query User{B4A2C232-4452-4FDF-B689-B93205FEDCE4}C:\games\the last of us part i\tlou-i.exe] => (Allow) C:\games\the last of us part i\tlou-i.exe => Нет файла
FirewallRules: [UDP Query User{6022EF6B-D414-4790-B4D5-01FD6F7D36AE}C:\games\the last of us part i\tlou-i.exe] => (Allow) C:\games\the last of us part i\tlou-i.exe => Нет файла
FirewallRules: [TCP Query User{253E4BAC-5526-4543-87CA-165A9FD2B76F}C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{0A835B9D-B290-4CB9-AFD1-2A53AC003451}C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{2B7F3843-CDED-436E-9468-A6A273E76EF4}C:\users\Ulyana\downloads\magicka 2\engine\magicka2.exe] => (Allow) C:\users\Ulyana\downloads\magicka 2\engine\magicka2.exe => Нет файла
FirewallRules: [UDP Query User{A2213B35-17DC-49CE-B169-6A61B0F18F6B}C:\users\Ulyana\downloads\magicka 2\engine\magicka2.exe] => (Allow) C:\users\Ulyana\downloads\magicka 2\engine\magicka2.exe => Нет файла
FirewallRules: [TCP Query User{61114EA6-7FAB-4BEA-85EE-8E5DA90D05F1}C:\games\portal\hl2.exe] => (Block) C:\games\portal\hl2.exe => Нет файла
FirewallRules: [UDP Query User{875C793E-E570-4322-929E-BBADB71330EF}C:\games\portal\hl2.exe] => (Block) C:\games\portal\hl2.exe => Нет файла
FirewallRules: [TCP Query User{96061869-F249-43A6-A819-9048159E425E}C:\games\portal 2\portal2.exe] => (Allow) C:\games\portal 2\portal2.exe => Нет файла
FirewallRules: [UDP Query User{94CDF7EE-1CC8-4C51-A5AC-F91E1B22DB2B}C:\games\portal 2\portal2.exe] => (Allow) C:\games\portal 2\portal2.exe => Нет файла
FirewallRules: [TCP Query User{AD4D51EC-FADB-4DEF-885A-99BAC8E8D6BD}C:\games\portal 2\portal2.exe] => (Allow) C:\games\portal 2\portal2.exe => Нет файла
FirewallRules: [UDP Query User{E15D02F9-F63B-4F05-BB08-FEEACF941A5C}C:\games\portal 2\portal2.exe] => (Allow) C:\games\portal 2\portal2.exe => Нет файла
FirewallRules: [{6A8EFC5E-C67C-4E8E-96EF-A3DC2CDA5FAE}] => (Allow) C:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [{5B8C3280-E0C7-46B5-8401-EC9E75957D72}] => (Allow) C:\Games\Red Dead Redemption 2\RDR2.exe => Нет файла
FirewallRules: [TCP Query User{EF2FA210-6C6A-4981-882C-D6AFFE05DFD8}C:\users\ulyana\downloads\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe] => (Allow) C:\users\ulyana\downloads\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [UDP Query User{64D2BB13-04A4-46A5-B69E-BF22428ED33A}C:\users\ulyana\downloads\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe] => (Allow) C:\users\ulyana\downloads\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [TCP Query User{B373F2B5-AE0A-4BC7-AD53-0CA8495E87A5}C:\games\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe] => (Allow) C:\games\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [UDP Query User{5E93D807-CA3D-46CA-AD73-5329B2DB1B83}C:\games\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe] => (Allow) C:\games\viscera-cleanup-detail-v1.14-plus-all-dlc\binaries\win64\udk.exe => Нет файла
FirewallRules: [TCP Query User{E4A16EBA-0F59-47F6-B119-53DE81385328}C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [UDP Query User{EA9D83F9-F5D2-494C-9F03-0183CBB9B065}C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe] => (Allow) C:\games\grounded\maine\binaries\win64\maine-win64-shipping.exe => Нет файла
FirewallRules: [TCP Query User{6AFEC6B9-1FB1-4007-A057-8B8DDB9B9A48}C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe] => (Allow) C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe => Нет файла
FirewallRules: [UDP Query User{D1483568-CE40-4654-B450-BA76741674B0}C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe] => (Allow) C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe => Нет файла
FirewallRules: [{10589627-34F2-4AC2-83E8-CF05D64212E2}] => (Block) C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe => Нет файла
FirewallRules: [{06A9E525-72CA-4A2E-AAEE-05E59B387CE5}] => (Block) C:\games\kingdom come deliverance ii\bin\win64mastermastersteampgo\kingdomcome.exe => Нет файла
FirewallRules: [TCP Query User{2D4171BD-E466-4C6A-8000-450258E4AEC9}C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe] => (Allow) C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe => Нет файла
FirewallRules: [UDP Query User{606A60BA-650E-4829-9D48-C7A6F2A93311}C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe] => (Allow) C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe => Нет файла
FirewallRules: [{34523BE5-5F10-44AE-9F12-E2E3408DA8EE}] => (Block) C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe => Нет файла
FirewallRules: [{735B613D-6413-4B83-87C7-B1901A06932F}] => (Block) C:\users\ulyana\downloads\parallel experiment\parallel experiment.exe => Нет файла
Reboot:
End::

2. Запустите Farbar Recovery Scan Tool от имени Администратора по правой кнопке мыши.
3. Нажмите один раз на кнопку Fix (Исправить) и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

  • Обратите внимание: будет выполнена перезагрузка компьютера.


 

Скачайте по ссылке https://download.bleepingcomputer.com/win-services/windows-10-22H2/ reg-файлы для служб BITS, dosvc, UsoSvc, WaaSMedicSvc, wuauserv. Запустите каждый из файлов и подтвердите внесение информации в реестр.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Загрузите SecurityCheck by glax24 & Severnyj и сохраните архив на Рабочем столе.

  • Разархивируйте, запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
  • Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
  • Прикрепите этот файл в своем следующем сообщении.


 
Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

По возможности исправьте:

 

GIGABYTE Control Center 24.03.25.01 v.24.03.25.01 Внимание! Скачать обновления
Ghostscript GPL 10.01.2 (Msi Setup) v.10.01.2 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Приложение NVIDIA 11.0.3.241 v.11.0.3.241 Внимание! Скачать обновления
Среда выполнения Microsoft Edge WebView2 Runtime v.138.0.3351.121 Внимание! Скачать обновления
^При ошибках обновления, удалите старую версию, скачайте и установите новую. Или переустановите браузер Microsoft Edge.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.34.31938 v.14.34.31938.0 Внимание! Скачать обновления
WinRAR 7.01 (64-разрядная) v.7.01.0 Внимание! Скачать обновления
Telegram Desktop v.5.16.4 Внимание! Скачать обновления
Java 8 Update 401 (64-bit) v.8.0.4010.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u461-windows-x64.exe - Windows Offline (64-bit))^
iTunes v.12.4.3.1 Внимание! Скачать обновления
^Для проверки новой версии используйте приложение Apple Software Update^
Google Chrome v.138.0.7204.185 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
Microsoft Edge v.138.0.3351.121 Внимание! Скачать обновления
^Проверьте обновления через меню Справка и отзывы - О программе Microsoft Edge!^

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

На этом закончим.

Ссылка на комментарий
Поделиться на другие сайты
thyrex

thyrex

Опубликовано
Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Ссылка на комментарий
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • -AdviZzzor-
      [РЕШЕНО] Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
      Автор -AdviZzzor-
      Здравствуйте!
      Вероятно поймал вирус. KTS ругнулся на какой-то файл, связанный с хромом (ещё показалось это странным - я им редко пользуюсь), сказал что удалит с перезагрузкой. ОК.
      Но при перезагрузке быстро вылезли 2-3 окна с ошибкой - даже не успел прочитать. KTS потом написал что всё норм, но я уже не поверил. И довольно быстро нашёл что в Центре обновления Windows практически отсутствует текст и она не работает. Полез искать службу, она оказалась выключенной и переименованной в wuauserv_bkp. При попытке запуска ошибка 1053 служба не ответила на запрос своевременно. В инете нашёл ссылку на ваш форум, где описываются близкие симптомы. Ещё в темах писали, что кроме wuauserv_bkp, изменялись другие службы UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp - посмотрел, у меня тоже самое. Полез в реестр и там удалял _bkp. Вроде всё переименовал кроме BITS_bkp (там две ветки, ещё нормальный BITS), его не переменовть ни удалить нельзя. Перезагрузился и вроде Центре обновления Windows заработал (всё там появилось как надо), служба стала wuauserv. Вот только полностью я вирус точно не удалил. KTS и kaspersky virus removal tool ничего такго не находят.
      Помогите избавиться от него. 
      CollectionLog-2025.07.10-08.10.zip
    • Greengo
      Проблема с центром обновления windows, возможно связанная с вирусами
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
    • Ярослав1_1
      Кажется поймал вирус переименовавший мне некоторые службы из за чего не работает ццентр обновления виндовс
      Автор Ярослав1_1
      CollectionLog-2025.07.16-13.18.zipВот лог, надеюсь чир сможете помочь
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
      Похожая проблема 
      Вирус удалил Центр обновления Windows, переименовал службу в wuauserv_bkp
       
    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
×
×
  • Создать...