Вирусы удалены, а записи wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp, BITS_bkp и Dosvc_bkp в реестре остались. Повредился Центр обновления Windows.

[Сергей Пивень]

Поймал вирусы типа:
VirTool:PowerShell/WDAVTamper
Trojan:Win32Vigof.A
были и ещё трояны не запомнил

 

Повредился Центр обновления Windows.
Постоянно висят кнопки: «Обновить и завершить работу» и «Обновить и перезагрузить» при перезагрузки установка не выполняется.
Также пустой экран в Центре обновлений Windows.

 

В реестре появились записи wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp, BITS_bkp и Dosvc_bkp, а старые (wuauserv, UsoSvс, WaaSMedicService и т.д.) с ошибками.
В сервисах/Службах записи сервисов wuauserv, UsoSvс, WaaSMedicService и т.д. дублируются с wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp и т.д..

 

Вирусы удалил с помощью Dr.Web CureIt!.
Потом ещё раз прошел Dr.Web CureIt!, Kaspersky Virus Removal Tool, MS Defender они сказали вирусов нет.  
Записи в реестре и в сервисах остались, кнопки также висят.

Подскажите как можно это исправить.

CollectionLog-2026.01.04-20.52.zip

[thyrex]

Здравствуйте.

 

Загрузитесь в безопасном режиме.

 

Запустите AVZ из папки Autologger от имени Администратора по правой кнопке мыши.

 

Выполните скрипт в AVZ (Файл – Выполнить скрипт – вставить текст скрипта из окна Код)

begin
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
SetServiceStart('GoogleUpdateTaskMachineQC', 4);
 QuarantineFile('C:\ProgramData\google\chrome\updater.exe','');
 QuarantineFile('C:\Users\Piven\AppData\Roaming\Sandboxie\sandboxie.exe','');
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe','');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe','64');
 DeleteFile('C:\Users\Piven\AppData\Roaming\Sandboxie\sandboxie.exe','64');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','GoogleUpdateTaskMachineQC','x64');
 DeleteService('GoogleUpdateTaskMachineQC');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

• Обратите внимание: будет выполнена перезагрузка компьютера.

 

Загрузитесь в нормальном режиме.

 

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

 

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.
 

[Сергей Пивень]

Большое спасибо за ответ.

Скрипт запустил, файл 7z отправил на почту quarantine@safezone.cc.

Лог файл после выполнения скрипта прилагаю.

CollectionLog-2026.01.05-12.31.zip

[thyrex]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).

• Будьте внимательны: при сканировании секции Другие области программа не зависает, а продолжает работать, нужно просто немного подождать.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.