Не работает Центр обновления Windows, некоторые службы получили приставку _bkp, MEM:Trojan.Win32.SEPEH.gen

[booblick]

После замены жесткого диска лазил по параметрам и заметил что в Центре обновления Windows пусто. Решил зайти в службы и заметил что у Центра обновления Windows и других служб появилась приставка _bkp.

 

Скачал Kaspersky Virus Removal Tool и проверил ноутбук. В итоге он нашел 3 вредные программки среди которых был MEM:Trojan.Win32.SEPEH.gen, но вроде антивирус удалил его и после перезагрузки проведя повторную проверку этот троян не был обнаружен.

CollectionLog-2025.09.14-21.03.zip

[safety]

+

Добавьте, пожалуйста, отчет по обнаружениям и сканированию из Касперского

+

дополнительно сделайте образ автозапуска системы в uVS с ! отслеживанием процессов и задач !.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с ! отслеживанием процессов и задач !:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

[booblick]

Извините за долгий ответ, случились небольшие трудности)

KOMPUTER_2025-09-17_14-01-42_v5.0.1v x64.7z

[safety]

В автозапуске есть программа, которая классифицируется как потенциально нежелательная. возможно, что детект SEPEH связан с запуском этой программы.

 

Изменено 6 часов назад пользователем safety

[booblick]

3 минуты назад, safety сказал:

В автозапуске есть программа, которая классифицируется как потенциально нежелательная. возможно, что детект SEPEH связан с запуском этой программы.

 

то есть нужно удалить эту программу?

[safety]

Скриптом очистим задачу с запуском этой программы.

 

По очистке системы:

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу с перезагрузкой системы.

;uVS v5.0.1v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES (X86)\INFATICA P2B\INFATICA_AGENT.EXE
;------------------------autoscript---------------------------

delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://SETTING-SEARCH.CLICK
delall %SystemDrive%\PROGRAM FILES (X86)\INFATICA P2B\INFATICA_AGENT.EXE
apply

deltmp
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {6BF52A52-394A-11D3-B153-00C04F79FAA6}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\IGFXDTCM.DLL
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\REGIDLEBACKUP
delref {190BA3F6-0205-4F46-B589-95C6822899D2}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\CORRUPTIONDETECTOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WAASMEDIC\PERFORMREMEDIATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\STORAGESENSE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\RGNUPDT-CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\RUNFULLMEMORYDIAGNOSTIC
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\AUTOCHK\PROXY
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICRESOLVER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\NETTRACE\GATHERNETWORKINFO
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\STARTUPAPPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER SCHEDULED SCAN
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\KERNELCEIPTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CACHE MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\DECOMPRESSIONFAILUREDETECTOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAINTENANCE\WINSAT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSTOASTTASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\PROGRAMDATAUPDATER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\USBCEIP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS ERROR REPORTING\QUEUEREPORTING
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENTONSCENARIODOWNLOAD
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MICROSOFT COMPATIBILITY APPRAISER
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\PROCESSMEMORYDIAGNOSTICEVENTS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\APPLICATION EXPERIENCE\MAREBACKUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\FEEDBACK\SIUF\DMCLIENT
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\OOBE-MAINTENANCE
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKDIAGNOSTIC\MICROSOFT-WINDOWS-DISKDIAGNOSTICDATACOLLECTOR
delref {E7ED314F-2816-4C26-AEB5-54A34D02404C}\[CLSID]
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MEMORYDIAGNOSTIC\MEMUSAGETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\DISKFOOTPRINT\DIAGNOSTICS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\POWER EFFICIENCY DIAGNOSTICS\ANALYZESYSTEM
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER CLEANUP
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\WINDOWSACTIONDIALOG
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\WINDOWS DEFENDER\WINDOWS DEFENDER VERIFICATION
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\MAPS\MAPSUPDATETASK
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\LOCATION\NOTIFICATIONS
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\CUSTOMER EXPERIENCE IMPROVEMENT PROGRAM\CONSOLIDATOR
delref %Sys32%\TASKS\MICROSOFT\WINDOWS\REGISTRY\RGNUPDT-RUN
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\92.0.902.67\INSTALLER\SETUP.EXE
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\MICROSOFTEDGEUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.155\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\LENOVO\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\24.7.2.1100\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\CHROME.EXE
;-------------------------------------------------------------

regt 40
restart
czoo

После перезагрузки системы:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

+

добавьте новые логи FRST для контроля

Изменено 6 часов назад пользователем safety

[booblick]

2025-09-17_14-49-21_log.txt FRST.txt Addition.txt

[safety]

в системе остались поврежденные системные службы, которые надо исправить, и удалить службы созданные зловредом.

 

Скачайте с данной страницы

https://download.bleepingcomputer.com/win-services/windows-10-22H2/

следующие твики для исправления поврежденных служб:

BITS;
dosvc;
UsoSvc
WaaSMedicSvc
wuauserv

 

Запускаем каждый из загруженных файлов *.reg от имени Администратора, разрешаем внести изменения в реестр

Перезагружаем систему,

 

Далее,

 

Выполните скрипт очистки в FRST

Запускаем FRST.exe от имени Администратора (если не запущен)

Копируем скрипт из браузера в буфер обмена, браузер закрываем.

Ждем, когда будет готов к работе,

Нажимаем в FRST кнопку "исправить".

Скрипт очистит систему, и завершит работу c перезагрузкой системы

Start::
HKLM\...\Policies\Explorer: [SettingsPageVisibility] hide:windowsdefender;
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\WindowsFirewall: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-955767338-2801943798-4284099242-1001\...\Run: [YandexBrowserAutoLaunch_AB2A77906DF77906B832F78A98C4B448] =>
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {53FE559C-30AB-4515-B492-C8B30F409C83} - \Microsoft\Windows\Application Experience\AitAgent -> Нет файла <==== ВНИМАНИЕ
CHR DefaultSearchURL: Default -> hxxps://setting-search.click/?q={searchTerms}
S2 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2025-06-03] (Microsoft Windows -> Microsoft Corporation)
S3 dosvc_bkp; C:\Windows\system32\dosvc.dll [1534976 2025-07-01] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [583168 2025-06-03] (Microsoft Windows -> Microsoft Corporation)
S4 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [434176 2025-07-01] (Microsoft Windows -> Microsoft Corporation)
S2 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3441152 2025-07-09] (Microsoft Windows -> Microsoft Corporation)
2025-08-28 11:10 - 2025-09-14 20:28 - 000000000 ____D C:\ProgramData\yzksdkbakpnl
Reboot::
End::

После перезагрузки:

Добавьте файл Fixlog.txt из папки, откуда запускали FRST, в ваше сообщение

 

Сделайте новые логи FRST для контроля.

 

 

[booblick]

Fixlog.txt FRST.txt

[safety]

_bkp службы очищены.

Цитата

"HKLM\System\CurrentControlSet\Services\BITS_bkp" => успешно удалены
BITS_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\dosvc_bkp => успешно удалены
dosvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\UsoSvc_bkp => успешно удалены
UsoSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\WaaSMedicSvc_bkp => успешно удалены
WaaSMedicSvc_bkp => служба успешно удалены
HKLM\System\CurrentControlSet\Services\wuauserv_bkp => успешно удалены
wuauserv_bkp => служба успешно удалены

 

Если других вопросов нет по работе системы:

 

 

    Загрузите SecurityCheck by glax24 & Severnyj, https://safezone.cc/resources/security-check-by-glax24.25/ сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

 

 

Изменено 4 часа назад пользователем safety

[booblick]

Все заработало, спасибо вам большое!

SecurityCheck.txt