Перейти к содержанию
Правила раздела

[РЕШЕНО] Переименовались службы из за вирусов!

serenka103

Автор serenka103
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

serenka103

serenka103

Опубликовано
Опубликовано

Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?

CollectionLog-2025.10.10-12.31.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

Driver Booster 13

DriverPack

resume-southward

uFiler

Кнопки сервисов Яндекса на панели задач

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '');
 DeleteSchedulerTask('kIcTmBftZcXrpb');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [AdGuardVpn] => "C:\Program Files\AdGuardVpn\AdGuardVpn.exe" /nosplash (Нет файла)
HKLM\...\Run: [Connectify Hotspot] => C:\Program Files (x86)\Connectify\Connectify.exe autorun (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [MediaGet2] => "C:\Users\admin\MediaGet2\mediaget.exe" --minimized (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Voicemod] => "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Arizona Games Launcher] => "C:\Users\admin\AppData\Local\Programs\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1BE90DFA-8866-4208-8062-7CDEB265CF6F} - \FQNzQgsDZdglobCyiTm2 -> Нет файла <==== ВНИМАНИЕ
Task: {333CB496-B8EA-4CFE-A83C-47DED0435D10} - \tmTytgrOditDEYEwM2 -> Нет файла <==== ВНИМАНИЕ
Task: {4CDB1812-8368-4EB9-90EA-394FCEE3313C} - \MAnrEVOPXhcbgmY2 -> Нет файла <==== ВНИМАНИЕ
Task: {8C1828BF-80BE-4F88-B211-37366A70A804} - System32\Tasks\SoundBot => "C:\Program Files (x86)\WooTechy SoundBot\SoundBot.exe"  (Нет файла)
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpmkmcamoacddcnjkobopobelfpopih
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibelonnacmgoaladeghmbimpakocfpdi
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR HKU\S-1-5-21-3664989130-564431745-468995213-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gkkmabhigonoldnhaegcehdlolfeldfe
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-08-30] (Microsoft Windows -> Корпорация Майкрософт)
S3 AtiDCM; \??\C:\Users\admin\AppData\Local\Temp\atdcm64a.sys [X] <==== ВНИМАНИЕ
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\WindowsTask
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Setup
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files (x86)\360
2025-06-07 09:54 - 2025-07-25 12:45 - 000000599 _____ () C:\Users\admin\setup.dat
2025-08-05 12:03 C:\Program Files\RDP Wrapper
2025-08-05 12:03 C:\Program Files (x86)\360
2025-08-05 12:03 C:\ProgramData\RDP Wrapper
2025-08-05 12:03 C:\ProgramData\ReaItekHD
2025-08-05 12:03 C:\ProgramData\Setup
2025-08-05 12:03 C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 C:\ProgramData\WindowsTask
pheasant tell 5.9.98.566 (HKLM-x32\...\{0228f8dc-3cb8-4fba-bc91-f71265d6efef}) (Version: 5.9.98.566 - Coppola SPA SPA) Hidden
AlternateDataStreams: C:\ProgramData:1826335c [1198]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\Users\All Users:1826335c [1198]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:1826335c [1198]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\admin\Application Data:1826335c [1198]
AlternateDataStreams: C:\Users\admin\Application Data:DNS [40]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:1826335c [1198]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\admin\Documents\GTA San Andreas User Files:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:1826335c [1198]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5356]
FirewallRules: [{4C7DAEC7-E05B-4E22-B4FA-6CE6DB2463ED}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{49CD62EF-45EA-41C1-B95A-0B1D0ED7750B}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{9A07DC71-22F0-4CBF-A92E-959865C00CB8}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0BA9DDD4-28E1-46A5-89DE-CFA92EB4CCC4}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A4997928-382E-4779-B18E-58753C1DC911}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{3A900BBA-B983-4EBB-92EE-662D35729CC6}] => (Allow) C:\Users\admin\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
FirewallRules: [TCP Query User{B6C32156-72CA-4D85-B09B-8AF19E060934}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
FirewallRules: [UDP Query User{D221D020-6EE7-4826-897D-02B44808A647}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ должна появиться скрытая ранее

Цитата

pheasant tell 5.9.98.566

Деинсталлируйте.

 

Скачайте архив с твиками реестра, извлеките их и последовательно запустите каждый, соглашаясь с внесением изменений.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

нету кнопки удалить у  программы pheasant tell в панеле управления

Sandor

Sandor

Опубликовано
Опубликовано

Для верности выполните следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Sandor

Sandor

Опубликовано
Опубликовано

Включите защиту от подделки в Защитнике Windows по этой инструкции.

В остальном - порядок. Как себя сейчас ведёт система?

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Node.js v.16.16.0 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
Telegram Desktop v.6.1.3 Внимание! Скачать обновления
AdGuardVPN v.2.6.1782.0 Внимание! Скачать обновления
Outline 1.10.1 v.1.10.1 Внимание! Скачать обновления
µTorrent v.3.6.0.47222 Внимание! Клиент сети P2P с рекламным модулем!
Spotify v.1.2.73.474.g7b30bb2b Внимание! Скачать обновления
Opera Stable 120.0.5543.93 v.120.0.5543.93 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.140.0.7339.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
VideoAdsBlocker v.2.0.0.3661 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Последнюю просто удалите, дополнительные сканирования не нужны.

 

Читайте Рекомендации после удаления вредоносного ПО

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

все сделал, обновил, даже некоторые программы ненужные удалил

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • 666makson666
      Подцепил троян
      Автор 666makson666
      Скачал запрет для дискорда и подцепил троян. Прикрепил архив с FRST и ADDITION
      1234.rar
    • u66ivashka
      Файлы зашифрованы
      Автор u66ivashka
      В общем, вот что у меня на рабочем столе, файлов на нём нет, только эти два txt. Также на фото видно, что находится в дисках. К самим файлам я могу попасть через их расположение, они живые. Можно ли как нибудь все расшифровать? Антивирусом все почистил 



    • Akira
      Не получается удалить NET:MINERS.URL
      Автор Akira
      Здравствуйте! не получается удалить майнер NET:MINERS.URL. Dr.web так же не смог удалить
    • Vyatka
      [РЕШЕНО] Майнер и возможно руткит
      Автор Vyatka
      Добрый день. На ноутбуке заметил просадку фпс в играх.  Заметил нагрузку на процессор (спадает спустя секунду), вентиляторы вообще не крутились.
      Переустановил систему. После переустановки нагрузка на процессор осталась и вентиляторы начали крутить в отсечку.
      Также судя по всему в системе прописан скрытый администратор.
      После неудачных попыток вернуть контроль над ноутбуком, решил проверить рабочий пк (пишу с него). На рабочем пк обнаружилась та же проблема.
      Логи прикрепляю.
      CollectionLog-2025.10.03-15.40.zip
    • troja
      [РЕШЕНО] Трояны и майнеры
      Автор troja
      Здравствуйте! Недавно пришла мысля проверить пк на наличие вирусов через Dr.Web Cureit, нашло вот это (фото прикрепил ниже), незнаю где что и когда подцепил. Надеюсь вы поможете мне их нейтрализовать.
      CollectionLog-2025.09.28-10.27.zip
×
×
  • Создать...