Перейти к содержанию
Правила раздела

[РЕШЕНО] Переименовались службы из за вирусов!

serenka103

Автор serenka103
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

serenka103

serenka103

Опубликовано
Опубликовано

Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?

CollectionLog-2025.10.10-12.31.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Цитата

Bonjour

Driver Booster 13

DriverPack

resume-southward

uFiler

Кнопки сервисов Яндекса на панели задач

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт): 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '');
 QuarantineFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '');
 DeleteSchedulerTask('kIcTmBftZcXrpb');
 DeleteSchedulerTask('UpdateTorrent');
 DeleteFile('C:\Program Files (x86)\rHPotDbdxQEU2\jTTNhDpUAORZf.dll', '64');
 DeleteFile('C:\Users\admin\AppData\Roaming\utorrent\UtorrentWeb.exe', '64');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [AdGuardVpn] => "C:\Program Files\AdGuardVpn\AdGuardVpn.exe" /nosplash (Нет файла)
HKLM\...\Run: [Connectify Hotspot] => C:\Program Files (x86)\Connectify\Connectify.exe autorun (Нет файла)
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [MediaGet2] => "C:\Users\admin\MediaGet2\mediaget.exe" --minimized (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [uFiler] => "C:\Program Files (x86)\uFiler\uFiler.exe" -autorun (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Voicemod] => "C:\Program Files\Voicemod Desktop\VoicemodDesktop.exe" (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [EADM] => "C:\Program Files\Electronic Arts\EA Desktop\EA Desktop\EALauncher.exe" -silent (Нет файла)
HKU\S-1-5-21-3664989130-564431745-468995213-1000\...\Run: [Arizona Games Launcher] => "C:\Users\admin\AppData\Local\Programs\Arizona Games Launcher\Arizona Games Launcher.exe" (Нет файла)
GroupPolicy: Ограничение - Chrome <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {1BE90DFA-8866-4208-8062-7CDEB265CF6F} - \FQNzQgsDZdglobCyiTm2 -> Нет файла <==== ВНИМАНИЕ
Task: {333CB496-B8EA-4CFE-A83C-47DED0435D10} - \tmTytgrOditDEYEwM2 -> Нет файла <==== ВНИМАНИЕ
Task: {4CDB1812-8368-4EB9-90EA-394FCEE3313C} - \MAnrEVOPXhcbgmY2 -> Нет файла <==== ВНИМАНИЕ
Task: {8C1828BF-80BE-4F88-B211-37366A70A804} - System32\Tasks\SoundBot => "C:\Program Files (x86)\WooTechy SoundBot\SoundBot.exe"  (Нет файла)
Edge DefaultSearchURL: Default -> hxxps://xfinder.pro/q?q={searchTerms}
Edge DefaultSearchKeyword: Default -> xfinder.pro
Edge DefaultSuggestURL: Default -> hxxps://xfinder.pro/q/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\bnpmkmcamoacddcnjkobopobelfpopih
C:\Users\admin\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\oikgcnjambfooaigmdljblbaeelmekem
CHR DefaultSearchURL: Default -> hxxp://search-cdn.net/fip/?q={searchTerms}
CHR DefaultSearchKeyword: Default -> cdn
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibelonnacmgoaladeghmbimpakocfpdi
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iddmabhekhhonkmomaklnflhhgbfnioe
CHR HKU\S-1-5-21-3664989130-564431745-468995213-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
YAN DefaultSearchURL: Default -> hxxps://find-it.pro/search?utm_source=extension&q={searchTerms}
YAN DefaultSearchKeyword: Default -> find-it.pro
YAN DefaultSuggestURL: Default -> hxxps://find-it.pro/search/suggest.php?q={searchTerms}
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\gkkmabhigonoldnhaegcehdlolfeldfe
C:\Users\admin\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions\npiclhkkbgabhapklngkpahnaafkgpne
S3 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1474560 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [98304 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [114688 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [94208 2025-08-30] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [184720 2025-08-30] (Microsoft Windows -> Корпорация Майкрософт)
S3 AtiDCM; \??\C:\Users\admin\AppData\Local\Temp\atdcm64a.sys [X] <==== ВНИМАНИЕ
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\WindowsTask
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\Setup
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\ReaItekHD
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\ProgramData\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files\RDP Wrapper
2025-08-05 12:03 - 2025-08-05 12:03 - 000000000 _RSHD C:\Program Files (x86)\360
2025-06-07 09:54 - 2025-07-25 12:45 - 000000599 _____ () C:\Users\admin\setup.dat
2025-08-05 12:03 C:\Program Files\RDP Wrapper
2025-08-05 12:03 C:\Program Files (x86)\360
2025-08-05 12:03 C:\ProgramData\RDP Wrapper
2025-08-05 12:03 C:\ProgramData\ReaItekHD
2025-08-05 12:03 C:\ProgramData\Setup
2025-08-05 12:03 C:\ProgramData\Windows Tasks Service
2025-08-05 12:03 C:\ProgramData\WindowsTask
pheasant tell 5.9.98.566 (HKLM-x32\...\{0228f8dc-3cb8-4fba-bc91-f71265d6efef}) (Version: 5.9.98.566 - Coppola SPA SPA) Hidden
AlternateDataStreams: C:\ProgramData:1826335c [1198]
AlternateDataStreams: C:\ProgramData:DNS [40]
AlternateDataStreams: C:\Users\All Users:1826335c [1198]
AlternateDataStreams: C:\Users\All Users:DNS [40]
AlternateDataStreams: C:\Users\Все пользователи:1826335c [1198]
AlternateDataStreams: C:\Users\Все пользователи:DNS [40]
AlternateDataStreams: C:\Users\admin\Application Data:1826335c [1198]
AlternateDataStreams: C:\Users\admin\Application Data:DNS [40]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:1826335c [1198]
AlternateDataStreams: C:\Users\admin\AppData\Roaming:DNS [40]
AlternateDataStreams: C:\Users\admin\Documents\GTA San Andreas User Files:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:1826335c [1198]
AlternateDataStreams: C:\ProgramData\Application Data:DNS [40]
AlternateDataStreams: C:\ProgramData\MTA San Andreas All:1826335c [1198]
AlternateDataStreams: C:\Users\Public\Shared Files:VersionCache [5356]
FirewallRules: [{4C7DAEC7-E05B-4E22-B4FA-6CE6DB2463ED}] => (Allow) C:\Program Files (x86)\DriverPack\tools\aria2c.exe => Нет файла
FirewallRules: [{49CD62EF-45EA-41C1-B95A-0B1D0ED7750B}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{9A07DC71-22F0-4CBF-A92E-959865C00CB8}] => (Allow) C:\Users\admin\MediaGet2\mediaget.exe => Нет файла
FirewallRules: [{0BA9DDD4-28E1-46A5-89DE-CFA92EB4CCC4}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{A4997928-382E-4779-B18E-58753C1DC911}] => (Allow) C:\Users\admin\MediaGet2\QtWebEngineProcess.exe => Нет файла
FirewallRules: [{3A900BBA-B983-4EBB-92EE-662D35729CC6}] => (Allow) C:\Users\admin\AppData\Local\proxy-sdk\proxy-sdk.exe => Нет файла
FirewallRules: [TCP Query User{B6C32156-72CA-4D85-B09B-8AF19E060934}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
FirewallRules: [UDP Query User{D221D020-6EE7-4826-897D-02B44808A647}C:\program files (x86)\ufiler\ufiler.exe] => (Allow) C:\program files (x86)\ufiler\ufiler.exe => Нет файла
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

В перечне установленных программ должна появиться скрытая ранее

Цитата

pheasant tell 5.9.98.566

Деинсталлируйте.

 

Скачайте архив с твиками реестра, извлеките их и последовательно запустите каждый, соглашаясь с внесением изменений.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

нету кнопки удалить у  программы pheasant tell в панеле управления

Sandor

Sandor

Опубликовано
Опубликовано

Для верности выполните следующее:

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

 

Sandor

Sandor

Опубликовано
Опубликовано

Включите защиту от подделки в Защитнике Windows по этой инструкции.

В остальном - порядок. Как себя сейчас ведёт система?

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

Sandor

Sandor

Опубликовано
Опубликовано

Отлично!

В завершение, пожалуйста:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

включил, обновления снова работают))) системе сейчас намного лучше! Спасибо большое за помощь!)

SecurityCheck.txt

Sandor

Sandor

Опубликовано
Опубликовано

Исправьте по возможности:

 

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Node.js v.16.16.0 Внимание! Скачать обновления
AIDA64 Extreme v7.65 v.7.65 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.42.34438 v.14.42.34438.0 Внимание! Скачать обновления
7-Zip 24.09 (x64) v.24.09 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
WinRAR 7.11 (64-bit) v.7.11.0 Внимание! Скачать обновления
Discord v.1.0.9059 Внимание! Скачать обновления
Telegram Desktop v.6.1.3 Внимание! Скачать обновления
AdGuardVPN v.2.6.1782.0 Внимание! Скачать обновления
Outline 1.10.1 v.1.10.1 Внимание! Скачать обновления
µTorrent v.3.6.0.47222 Внимание! Клиент сети P2P с рекламным модулем!
Spotify v.1.2.73.474.g7b30bb2b Внимание! Скачать обновления
Opera Stable 120.0.5543.93 v.120.0.5543.93 Внимание! Скачать обновления
^Проверьте обновления через меню Обновление и восстановление!^
Google Chrome v.140.0.7339.208 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^
 

---------------------------- [ UnwantedApps ] -----------------------------
VideoAdsBlocker v.2.0.0.3661 Внимание! Подозрение на Adware! Если данная программа Вам неизвестна, рекомендуется ее деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Перед деинсталляцией и сканированием обязательно проконсультируйтесь в теме форума, где Вам оказывается помощь!!!
 

Последнюю просто удалите, дополнительные сканирования не нужны.

 

Читайте Рекомендации после удаления вредоносного ПО

serenka103

serenka103

Опубликовано
  • Автор
Опубликовано

все сделал, обновил, даже некоторые программы ненужные удалил

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • heathern
      Помогите удалить вирус!!
      Автор heathern
      К большому сожалению, я скачала какой-то zip файл на 2 с чем-то гб (это был мод) из вк по старой ссылке. Сначала, я ничего даже не заметила, но после того, как я его разархивировала и поместила в папку, в которой должен был быть сам мод, у меня открылась командная строка(Я проверила файл на вирус тотал и он показался трояном, а потом уже понеслось) "Хост Windows Shell Expenince" и в диспетчере задач она теперь там ПОСТОЯННО находится. При открытии диспетчера задач у меня диск загружен на 100% как и цп на 75%(может 71%, все равно много) и я вроде как удалила сам ярлык с игрой и этим модом, но теперь у меня так каждый раз (до того, пока я не удалила, диск не был нагружен на 100% и было всего 20-30 цп)  но нагружает не хост, а именно очень странные файлы как: System, Microsoft OneDrive и Power Toys.Run (я скачивала Power Toys до всего этого) меня очень смущает "System", ведь у него большое энергопотребление. Я сидела 2 часа (а то и так-то 3) смотрела какой-то тутор как его удалить, но все сходилось на том, что я не могла установить антивирус Касперский, нужна была перезагрузка, а я боялась, что у меня все слетит к чертям. Я старалась что-то искать, но ничего не нашла, я вообще не знаю что именно искать и как это убрать. Я пыталась найти что-то в resmon, делала mrt несколько раз, заходила в redget, но resmon люто лагал, а в поиске redget, я хотела найти сам троян, но он тоже тупил. Очень надеюсь, что мне хоть как-нибудь помогут тут ;(
      (Я уже заходила в безопасный режим и старалась вернуть права админа, чтобы удалить это, и после того как я хоть что-то удалила, стало только в разы хуже... Доктор веб не пробовала сканировать, у меня файл тупо не открывался, как и Касперский. На фотках ЦП мало, но после ещё очередной перезагрузки, он поднялся до 70%) И извиняюсь за мыльное качество


    • extmpl_
      Майнер маскирующийся под CMD.exe
      Автор extmpl_
      При открытии диспетчера пропадает, при закрытии ничего нету, в планировщик, пробовал др веб курейт, что то нашел но проблема осталась
      е задач тоже чисто
    • 3545firego
      Поймал майнер
      Автор 3545firego
      Словил майнер на компьютер. Использовал dr.web для обнаружения, но удалить майнер не получилось. Выдал ошибку cure error. Сейчас dr web перестал работать и не могу сканировать ничем. Нужна помощь
    • merzh
      Ошибка 0хс0000017
      Автор merzh
      Здравствуйте, при попытке открыть системные приложения Windows 11 вылезает ошибка 0хс0000017. Не могу ничего буквально открыть, даже regedit. Помогите пожалуйста.
      Также не могу установить некоторые приложения как Kaspersky remove tool
    • Tyumen
      Помогите удалите вирус , Dr.Curelt не может удалить или вылечить
      Автор Tyumen
      CollectionLog-2025.10.22-22.19.zip
×
×
  • Создать...