Перейти к содержанию
Правила раздела

[РЕШЕНО] Переименовались службы из за вирусов!

serenka103

Автор serenka103
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

serenka103

serenka103

Опубликовано
Опубликовано

Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?

CollectionLog-2025.10.10-12.31.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

Driver Booster 13

DriverPack

resume-southward

uFiler

Кнопки сервисов Яндекса на панели задач

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '');
 DeleteSchedulerTask('kIcTmBftZcXrpb');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [AdGuardVpn] => "C:\Program Files\AdGuardVpn\AdGuardVpn.exe" /nosplash (Нет файла)
HKLM\...\Run: [Connectify Hotspot] => C:\Program Files (x86)\Connectify\Connectify.exe autorun (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [MediaGet2] => "C:\Users\admin\MediaGet2\mediaget.exe" --minimized (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Voicemod] => "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Arizona Games Launcher] => "C:\Users\admin\AppData\Local\Programs\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1BE90DFA-8866-4208-8062-7CDEB265CF6F} - \FQNzQgsDZdglobCyiTm2 -> Нет файла <==== ВНИМАНИЕ
Task: {333CB496-B8EA-4CFE-A83C-47DED0435D10} - \tmTytgrOditDEYEwM2 -> Нет файла <==== ВНИМАНИЕ
Task: {4CDB1812-8368-4EB9-90EA-394FCEE3313C} - \MAnrEVOPXhcbgmY2 -> Нет файла <==== ВНИМАНИЕ
Task: {8C1828BF-80BE-4F88-B211-37366A70A804} - System32\Tasks\SoundBot => "C:\Program Files (x86)\WooTechy SoundBot\SoundBot.exe"  (Нет файла)
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpmkmcamoacddcnjkobopobelfpopih
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibelonnacmgoaladeghmbimpakocfpdi
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR HKU\S-1-5-21-3664989130-564431745-468995213-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gkkmabhigonoldnhaegcehdlolfeldfe
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-08-30] (Microsoft Windows -> Корпорация Майкрософт)
S3 AtiDCM; \??\C:\Users\admin\AppData\Local\Temp\atdcm64a.sys [X] <==== ВНИМАНИЕ
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\WindowsTask
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Setup
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files (x86)\360
2025-06-07 09:54 - 2025-07-25 12:45 - 000000599 _____ () C:\Users\admin\setup.dat
2025-08-05 12:03 C:\Program Files\RDP Wrapper
2025-08-05 12:03 C:\Program Files (x86)\360
2025-08-05 12:03 C:\ProgramData\RDP Wrapper
2025-08-05 12:03 C:\ProgramData\ReaItekHD
2025-08-05 12:03 C:\ProgramData\Setup
2025-08-05 12:03 C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 C:\ProgramData\WindowsTask
pheasant tell 5.9.98.566 (HKLM-x32\...\{0228f8dc-3cb8-4fba-bc91-f71265d6efef}) (Version: 5.9.98.566 - Coppola SPA SPA) Hidden
AlternateDataStreams: C:\ProgramData:1826335c [1198]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\Users\All Users:1826335c [1198]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:1826335c [1198]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\admin\Application Data:1826335c [1198]
AlternateDataStreams: C:\Users\admin\Application Data:DNS [40]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:1826335c [1198]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\admin\Documents\GTA San Andreas User Files:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:1826335c [1198]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5356]
FirewallRules: [{4C7DAEC7-E05B-4E22-B4FA-6CE6DB2463ED}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{49CD62EF-45EA-41C1-B95A-0B1D0ED7750B}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{9A07DC71-22F0-4CBF-A92E-959865C00CB8}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0BA9DDD4-28E1-46A5-89DE-CFA92EB4CCC4}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A4997928-382E-4779-B18E-58753C1DC911}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{3A900BBA-B983-4EBB-92EE-662D35729CC6}] => (Allow) C:\Users\admin\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
FirewallRules: [TCP Query User{B6C32156-72CA-4D85-B09B-8AF19E060934}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
FirewallRules: [UDP Query User{D221D020-6EE7-4826-897D-02B44808A647}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ должна появиться скрытая ранее

Цитата

pheasant tell 5.9.98.566

Деинсталлируйте.

 

Скачайте архив с твиками реестра, извлеките их и последовательно запустите каждый, соглашаясь с внесением изменений.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

нету кнопки удалить у  программы pheasant tell в панеле управления

Sandor

Sandor

Опубликовано
Опубликовано

Для верности выполните следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Node.js v.16.16.0 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
Telegram Desktop v.6.1.3 Внимание! Скачать обновления
AdGuardVPN v.2.6.1782.0 Внимание! Скачать обновления
Outline 1.10.1 v.1.10.1 Внимание! Скачать обновления
µTorrent v.3.6.0.47222 Внимание! Клиент сети P2P с рекламным модулем!
Spotify v.1.2.73.474.g7b30bb2b Внимание! Скачать обновления
Opera Stable 120.0.5543.93 v.120.0.5543.93 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.140.0.7339.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
VideoAdsBlocker v.2.0.0.3661 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Последнюю просто удалите, дополнительные сканирования не нужны.

 

Читайте Рекомендации после удаления вредоносного ПО

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

все сделал, обновил, даже некоторые программы ненужные удалил

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • DEFFlorator
      Поймал друг на моем ноуте вирус CAAServises (он же под именем SQL Servises). Он постоянно висит в автозагрузках, при удалении появляется вновь. Сторонними прогами, Virus Total'ом удалить также не получилось.
      Автор DEFFlorator
      Обнаружил данный вирус, так как при подключении к Инету сильно нагружается и греется ЦП. Использование почти всегда 100 %, частоты выше 3,5 ГГц при штатной 2,3 ГГц. После поисков ответов в инете обнаружил связанный с вирусом файл explorer.exe, в разделе "Безопасность" которого имеется некий админ. Изменение разрешений невозможно (требуется разрешение этого самого левого админа), при удалении сразу появляется вновь.
      Сам вирус находится в папке Program Files.



      CollectionLog-2026.01.09-13.55.zip

    • ahahahxdd
      помощь в удалении Trojan[dropper]:Python/Wacatac.C9nj
      Автор ahahahxdd
      По дурости открыл данную вещь без виртуальной машины, через x64dbg:
      https://www.virustotal com/gui/file/e450b7efc8b429b618d2d22a074a3dd55c07b451eef315e0e20be7d9054ef18c
      https://cloud.mail ru/public/kbre/tjmmsWNDM

      CollectionLog-2026.01.06-20.25.zip
      Успел уже сделать откат в точку восстановления винды
      В сэндбоксе было подключение TCP 130.12.181.70:7000

       
    • Ogurtsovv_KZN
      [РЕШЕНО] Удаление вируса CAASevice.exe
      Автор Ogurtsovv_KZN
      Здравствуйте! Не так давно обнаружил на своем компьютере вирус, который отдельно запускал задачу "Microsoft Network Realtime Inspection Service". Эта задача нагружала видеокарту компьютера на 100% и стало понятно, что она вредоносная, т.к. есть аналогичная задача с точно таким же названием, но уже не использующая практически никаких ресурсов ПК. Ещё интересен тот факт, что на компьютере Windows 11 недавно полностью переустанавливалась и вот на, по сути, "чистой" системе появился вирус. 
      Файл CAAService.exe обнаружил по пути C:\ProgramFata\CAAService, там же были обнаружены "Microsoft Network Realtime Inspection Service" и ещё парочку dll-файлов. Попробовал вручную удалить всю папку и после перезагрузки компьютера папка снова вернулась на место, но уже только с файлом CAAService.exe, рядом с ним больше ничего нет. Также, до удаления папки я снял с автозагрузки в диспетчере задач файл CAAService.exe и после перезагрузки системы он сам не включался и больше не потреблял никаких ресурсов. Таким образом получается, что сам вирус как бы есть, но он ничего не делает и сам постоянно восстанавливается после удаления (более того, он добавляет себя в список исключений для антивируса Windows, вследствие чего сам по себе не блокируется и не удаляется). По крайней мере пока. Тем не менее, хотелось бы избавиться от него навсегда.
      Я видел, что вы уже помогали другим пользователям в решении подобной проблемы. Вы сможете мне помочь?
    • Ivee
      Вирус DWM.exe
      Автор Ivee
      DESKTOP-18JEN24_2025-12-30_16-58-34_v5.0.3v x64.7z
    • Николай212322122
      [РЕШЕНО] Вирус майнер realtek hd audio не удаляться до конца
      Автор Николай212322122
      Переустановили винду в сервизном центре. По приходу домой обнаружил вирус realtek hd audio, который включается по автозагрузке и не дает скачать антивирусы. Dr web cureit получилось перекинуть через месенжер и сделать проверку, он нашел большое количество угроз. Но не все смог вылечить, я скачал Kaspersky virus removal tool и он тоже нашел вирусы. Я запускал несколько раз эти утелиты и вроде бы угроз больше не обнаруживается. Но в автозагрузках я опять вижу realtek hd audio выключенным с автозагрузок , хотя после первого сканирование он был вообще удален.
       
      Сейчас Dr web cureit и Kaspersky virus removal tool ничего не находит и realtek hd audio выключен с автозагрузок и я могу вписывать антивирус в бразуер и он сразу не закрывается, так же могу зайти ProgramData. Но все равно realtek hd audio весит в автозагрузках и когда первый раз запускал Dr web cureit он написал что не все вылечил, так что есть подозрение что вирус еще на компьютере остался.
       
      Подскажите пж, что делать?
       
      Прикрепить логи от Dr web cureit не получаеться так как они больше 5 мб. Где получить логи от Kaspersky virus removal tool я не нашел. Подскажите как отправить логи
×
×
  • Создать...