Перейти к содержанию
Правила раздела

[РЕШЕНО] Проблема с центром обновления переименовались службы в конце bkp

LowBe

Автор LowBe
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

LowBe

LowBe

Опубликовано
Опубликовано (изменено)

Добрый день! Проблема с центром обновления виндовс, не скачиваются файлы, проверил службы, у некоторых из них в конце добавилось bkp , нашел похожу тему, сделал как там , скидываю логи 

Addition.txt FRST.txtCollectionLog-2025.11.24-09.14.zip

Изменено пользователем LowBe
  • Ответов 115
  • Создана
  • Последний ответ

Топ авторов темы

  • Sandor

    59

  • LowBe

    57

Топ авторов темы

Популярные посты

LowBe
LowBe

Все рекомендации сделал.  Спасибо большое вам за помощь!!!

Изображения в теме

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Скачайте AV block remover (или с зеркала).
Распакуйте, запустите и следуйте инструкциям. Если не запускается, переименуйте файл AVbr.exe в, например, AV-br.exe (или любое другое имя). Можно также воспользоваться версией со случайным именем.

Если и так не сработает, запускайте программу из любой папки кроме папок Рабочий стол (Desktop) и Загрузки (Downloads).

В результате работы утилиты появится отчёт AV_block_remove_дата-время.log, прикрепите его к следующему сообщению.

После перезагрузки системы соберите новый CollectionLog Автологером.
 

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Теперь удалите старые и соберите новые логи FRST.txt и Addition.txt

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
Task: {0F9F0CBD-0592-415B-A0EC-25DDD1D3056E} - \Microsoft\Windows\WindowsBackup\DataRecovery -> Нет файла <==== ВНИМАНИЕ
Task: {6AD52D0E-4D6B-4711-BEE2-5D41817AF6DC} - \Microsoft\Windows\WindowsBackup\RecoveryData -> Нет файла <==== ВНИМАНИЕ
Task: {8B442AAE-A5AF-499F-B0BA-095A7F57737E} - \Microsoft\Windows\WindowsBackup\CleanCash -> Нет файла <==== ВНИМАНИЕ
Task: {92F1A2EE-866C-46C9-BB2E-83D2CEE64546} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {C7A21266-814B-4326-B868-03F72479387C} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
C:\Users\Asus\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mmchdkdcnkebapenmookjkhckmagdmkp
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87
CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87","hxxp://rusearch.co"
C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffeoiklegmgmbnhiakdaphcbkbgaadgh
S2 UsoSvc; %systemroot%\system32\usocore.dll [X]
U3 Sense; отсутствует ImagePath
2025-11-23 14:12 - 2025-11-23 14:12 - 000000970 _____ C:\Users\Asus\setup.dat
StartPowerShell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\Asus"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{870FC4B8-68EE-4243-8156-BAA9EB0C8E82}] => (Allow) LPort=1688
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
EndBatch:
StartRegedit:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc]
"DelayedAutoStart"=dword:00000001
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\usosvc.dll,-102"
"DisplayName"="@%systemroot%\\system32\\usosvc.dll,-101"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"PreshutdownTimeout"=dword:0036ee80
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,53,00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,\
  00,6e,00,76,00,69,00,72,00,6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,\
  00,61,00,74,00,65,00,53,00,79,00,6d,00,62,00,6f,00,6c,00,69,00,63,00,4c,00,\
  69,00,6e,00,6b,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,42,00,61,00,\
  73,00,65,00,50,00,72,00,69,00,6f,00,72,00,69,00,74,00,79,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  75,00,73,00,6f,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="ServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UsoSvc\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

EndRegedit:
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

LowBe

LowBe

Опубликовано
  • Автор
Опубликовано

После нажатия на кнопку исправить, произошло цифровое искажение экрана с зависанием и моментальной перезагрузкой. 

Fixlog.txt

Sandor

Sandor

Опубликовано
Опубликовано

Внешне что произошло, тоже моментальная перезагрузка?

LowBe

LowBe

Опубликовано
  • Автор
Опубликовано

Черный экран с процентом выполнение, от 0 до 100% за 1 секунду и сразу перезагрузка 

Sandor

Sandor

Опубликовано
Опубликовано

В нормальном режиме загрузки убедитесь, что закрыты все запущенные программы (в системном трее проверьте) и временно отключен Защитник Windows. Пробуйте запустить выполнение скрипта.

LowBe

LowBe

Опубликовано
  • Автор
Опубликовано

Произошло То же самое как в первый раз 

Sandor

Sandor

Опубликовано
Опубликовано

Пробуем такой скрипт:

 

Отключите до перезагрузки антивирус.

  • Выделите следующий код: 
    Start::
CloseProcesses:
HKLM\...\Run: [Realtek HD Audio] => C:\ProgramData\RealtekHD\taskhostw.exe (Нет файла) <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
HKLM\SYSTEM\...\Terminal Server: [fDenyTSConnections] = 0 <==== ВНИМАНИЕ
Task: {0F9F0CBD-0592-415B-A0EC-25DDD1D3056E} - \Microsoft\Windows\WindowsBackup\DataRecovery -> Нет файла <==== ВНИМАНИЕ
Task: {6AD52D0E-4D6B-4711-BEE2-5D41817AF6DC} - \Microsoft\Windows\WindowsBackup\RecoveryData -> Нет файла <==== ВНИМАНИЕ
Task: {8B442AAE-A5AF-499F-B0BA-095A7F57737E} - \Microsoft\Windows\WindowsBackup\CleanCash -> Нет файла <==== ВНИМАНИЕ
Task: {92F1A2EE-866C-46C9-BB2E-83D2CEE64546} - \Microsoft\Windows\WindowsBackup\WinlogonCheck -> Нет файла <==== ВНИМАНИЕ
Task: {C7A21266-814B-4326-B868-03F72479387C} - \Microsoft\Windows\WindowsBackup\OnlogonCheck -> Нет файла <==== ВНИМАНИЕ
C:\Users\Asus\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\mmchdkdcnkebapenmookjkhckmagdmkp
CHR HomePage: Default -> hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87
CHR StartupUrls: Default -> "hxxp://www.oursurfing.com/?type=hp&ts=1445367944&z=fcf68ab1df3500eea44e4acg2z3zfw6cdq8mctfccb&from=wscy2&uid=KINGSTONXSV300S37A120G_50026B7255026B87","hxxp://rusearch.co"
C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\Extensions\ffeoiklegmgmbnhiakdaphcbkbgaadgh
S2 UsoSvc; %systemroot%\system32\usocore.dll [X]
U3 Sense; отсутствует ImagePath
2025-11-23 14:12 - 2025-11-23 14:12 - 000000970 _____ C:\Users\Asus\setup.dat
StartPowerShell:
Remove-MpPreference -ExclusionExtension ".exe"
Remove-MpPreference -ExclusionPath "C:\Users\Asus"
Remove-MpPreference -ExclusionPath "C:\Windows\system32\config\systemprofile"
Remove-MpPreference -ExclusionPath "C:\ProgramData"
EndPowerShell:
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
FirewallRules: [{870FC4B8-68EE-4243-8156-BAA9EB0C8E82}] => (Allow) LPort=1688
StartBatch:
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Code Cache\Js\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Code Cache\Js\*.*"
EndBatch:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

LowBe

LowBe

Опубликовано
  • Автор
Опубликовано

В обычном режиме тоже самое, в безопасном создал файл, но так же было как до этого в безопасном. 

Fixlog.txt

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • serenka103
      [РЕШЕНО] Переименовались службы из за вирусов!
      Автор serenka103
      Здравствуйте! Возникла проблема, у меня из за вирусов не работает центр обновления Windows, также переименовались службы: wuauserv_bkp, BITS_bkp, dosvc.bkp UsoSvc.bkp и WasSMedicSvc_bkp. Что мне делать?
      CollectionLog-2025.10.10-12.31.zip
    • Ekaterinaa
      Повреждены/переименованы системные службы
      Автор Ekaterinaa
      Добрый день!
      Некоторое время назад появилась проблема - стали долго запускаться значки на панели задач при запуске компьютера, через пару минут появлялись. Также стал долго грузиться профиль.
      Вчера в какой-то момент стали все программы тормозить. Отключила из автозагрузки все ненужные программы, оставила только Razer Synapse 3 (для работы макросов на мышке) и 7+ Taskbar Tweaker для разделения иконок на панели задач.
      После проверки Kaspersky Free нашел какой-то вирус, вылечил с перезагрузкой компьютера, но проблема не исчезла. 
      Полезла в журнал событий, там показывались ошибки с UsoSvc, BITS, wuauserv_bkp. Центр обновления не работал
      Скачала службы BITS, UsoSvc, wuauserv, dosvc. Заработал цент обновления (по крайней мере он теперь загружается и хоть что-то показывает), значки на панели задач запускаются сразу при включении пк, в журнале событий ошибок нет. Но профиль также грузится небыстро. И в службах остались висеть с названием _bkp.

      Kaspersky Free ничего не нашел, Kaspersky Virus Removal Tool также только указывает на запрет (используется для работы дискорда и ютуба, проблем ранее не возникало с ним). 

       
      Также есть службы, которые после перезапуска пк меняют приписку в названии в конце, пример ниже (не все службы, их с припиской больше), что кажется странным.

       
      Прикрепляю логи с FRST и с AutoLogger.
      Addition.txt
      FRST.txt
      CollectionLog-2025.07.26-11.58.zip
       
      Помогите, пожалуйста, удалить поврежденные службы и все следы после вируса.
       
    • AbzalRai
      Вирус переименовал службы. очередной майнер
      Автор AbzalRai
      Добрый день. Прошу помощи, переименовались файлы в службах, wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. недавно подцепил майнер (система нагружался) удалил утилитой Доктор Паутиной. но к сожалению оставил след. теперь не могу запускать обновление системы и майкрософт магазин. прошу помочь в решение этой проблемы. В инете не нашел общего решение. у всех по разному как я вижу. 
      Вроде собрал для вас все виды логов. надеюсь все правильно сделал. 
       
      Logs.rar
    • Greengo
      Проблема с центром обновления windows, возможно связанная с вирусами
      Автор Greengo
      Здравствуйте. У меня перестал работать центр обновлений windows. При попытке в него зайти либо просто закрывается окно, либо идёт очень долгая загрузка и выдаёт ошибку "что-то пошло не так". Также заметил, что в службах появились подозрительные дубликаты с припиской _bkp у той службы которая отвечает за центр обновления windows и ещё у нескольких: wuauserv_bkp, UsoSvc_bkp, BITS_bkp, WaaSMedicSvc_bkp, dosvc_bkp. При этом ни одна из этих служб не запускается выдавая ошибку. Сканировал пк через kvrt, тот обнаружил несколько троянских угроз которые он вылечил/удалил, но проблема осталась.
      CollectionLog-2025.06.20-14.17.zip
    • Klaurs
      Многие службы поменяли своё название с обычной службы, на службу_bkp
      Автор Klaurs
      К примеру:

      wuauserv_bkp
      WaaSMedicSvc_bkp
      UsoSvc_bkp
      dosvc_bkp
      BITS_bkp

      Остальных не нашёл. Я смотрел у других, с похожей проблемой, сказали скачать Farbar Recovery Scan Tool, и следовать инструкции. (Thyrex рассчитываю на вас)

      FRST.txt и Addition.txt прикреплю снизу.

      Ожидаю дальнейшей помощи и указаний.
      Addition.txt FRST.txt
      Там надо было заархивировать, вот с вин рара:FRST папка.rar
×
×
  • Создать...