Перейти к содержанию

Рекомендуемые сообщения

Александр Резник
Опубликовано

Добрый день! Достался в наследство сервер Win2016 Datacenter (контроллер домена, терминальный сервер, работает 7 человек).

Переставить его пока нет возможности, работают ежедневно с 9 до 21.

Отобрал у всех права администратора, починил центр обновления. Ранее там находили вирусы, сейчас установлен Dr.Web,

который ничего не находит. Но подозреваю, что остались следы. Файл с логами во вложении.

 

 

CollectionLog-2026.02.03-00.07.zip

Опубликовано

Добавьте дополнительно образ автозапуска в uVS без отслеживания процессов и задач.

 

Если антивирус будет блокировать запуск, или получение файла образа - временно отключите защиту антивируса.

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) или отсюда(2) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6.


4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

 

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)

Опубликовано (изменено)

Хорошо, чуть позже посмотрю.

update:

Вирусной активности не наблюдается, просто очистим немного систему от мусора, без перезагрузки системы.

(перегрузите самостоятельно, когда будет удобно)

 

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и завершит работу uVS без перезагрузкой системы

;uVS v5.0.3v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
hide %SystemDrive%\PROGRAM FILES\1CV8\8.3.27.1859\BIN\HTMLUI.DLL
;------------------------autoscript---------------------------

delref F:\FUNPLUS\STORMSHOT\LAUNCHER.EXE
delref WDE:\.EXE
delref HTTPS://CLIENTS2.GOOGLE.COM/CR/REPORT
delref %SystemDrive%\PROGRAMDATA
delref %Sys32%\CONFIG\SYSTEMPROFILE
delref %SystemDrive%\USERS\TECH
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-ONSBI9LTBPN
delref %SystemDrive%\PROGRAMDATA\VGODRQHYBANN\XOSCARFCYSRP.EXE
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&SRC=IE-SEARCHBOX&FORM=IESR02
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEFAIDNBMNNNIBPCAJPCGLCLEFINDMKAJ%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DFFOIDOIAECMIAMALJKHFHJACEMEFALEC%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DJABJBHGJAIDECAGECKILHONBGGAKPPME%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DPFHGBFNNJIAFKHFDKMPIFLACHEPDCJOD%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://EXTENSION-UPDATES.OPERA.COM/API/OMAHA/UPDATE/?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEPEBFCEHMDEDOGNDHLCACAFJAACKNBCM%26INSTALLSOURCE%3DONDEMAND%26UC
apply

regt 27
regt 28
regt 29
deltmp
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\KINGSOFT\WPS OFFICE/12.2.0.23196/OFFICE6\PROMECEFPLUGINHOST.EXE
delref %SystemDrive%\TEMP\7ZO4C960DDC\AVZ_SYSINFO.HTM
delref {35EF4182-F900-4632-B072-8639E4478A61}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {59EFE487-E5B8-4FAE-9D2C-FCDF0B70CE70}\[CLSID]
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.957\KDAXAPI-3.0.27.957.DLL
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.945\KDAXAPI-3.0.27.945.DLL
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref {767C8C5D-344E-471F-A334-93F9F20D6C0B}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {21E17C2F-AD3A-4B89-841F-09CFE02D16B7}\[CLSID]
delref %SystemDrive%\PROGRAMDATA\MICROSOFT\WINDOWS DEFENDER\PLATFORM\4.18.2001.10-0\DRIVERS\WDNISDRV.SYS
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.104\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.97\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.104\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.104\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\141.0.7390.55\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\142.0.7444.163\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\142.0.7444.163\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\142.0.7444.163\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\142.0.7444.163\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.184\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.184\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.184\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.120\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.120\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\137.0.7151.120\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.128\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.128\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\139.0.7258.128\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.169\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.169\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.169\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\141.0.7390.56\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.193\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.193\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.193\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\143.0.7499.193\RESOURCES\HANGOUT_SERVICES\GOOGLE HANGOUTS
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\WEB_STORE\ИНТЕРНЕТ-МАГАЗИН CHROME
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\138.0.7204.101\RESOURCES\NETWORK_SPEECH_SYNTHESIS/MV3\GOOGLE NETWORK SPEECH
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\PDF\CHROME PDF VIEWER
delref %SystemDrive%\PROGRAM FILES\GOOGLE\CHROME\APPLICATION\133.0.6943.60\RESOURCES\NETWORK_SPEECH_SYNTHESIS\GOOGLE NETWORK SPEECH
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.6.2.418\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.6.2.418\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.6.2.418\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\BUH2\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.6.2.418\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-ONSBI9LTBPN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\WEB_STORE\МАГАЗИН ПРИЛОЖЕНИЙ
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-ONSBI9LTBPN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\YANDEX\BOOK_READER\BOOKREADER
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-ONSBI9LTBPN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\OPERA_STORE\OPERA STORE
delref %SystemDrive%\USERS\АДМИНИСТРАТОР.WIN-ONSBI9LTBPN\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\25.4.4.543\RESOURCES\PDF\CHROMIUM PDF VIEWER
delref %SystemDrive%\USERS\BUH\APPDATA\LOCAL\SKBKONTUR\DIAGPLUGIN\3.0.27.923\KDAXAPI-3.0.27.923.DLL
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\UNINSTALL\HELPER.EXE
delref %SystemDrive%\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE
delref E:\COUNTER-STRIKE 1.6\CS.EXE
;-------------------------------------------------------------

QUIT

Далее:

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

 

+

добавьте логи FRST для контроля

Изменено пользователем safety
Опубликовано

Сейчас все в норме. Если вопросов и проблем в работе системы нет, то на этом и закончим.

Опубликовано

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в ТурциюАрмениюСочиКамбоджу можете быть и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • n1ke374
      Автор n1ke374
      Здраствуйте, аналагичная ситуация произашла, как мне востоновить службы обновления Windows 
      SecurityCheck.txt
       
      Сообщение от модератора thyrex Перенесено из темы
    • Сергей Пивень
      Автор Сергей Пивень
      Поймал вирусы типа:
      VirTool:PowerShell/WDAVTamper
      Trojan:Win32Vigof.A
      были и ещё трояны не запомнил
       
      Повредился Центр обновления Windows.
      Постоянно висят кнопки: «Обновить и завершить работу» и «Обновить и перезагрузить» при перезагрузки установка не выполняется.
      Также пустой экран в Центре обновлений Windows.
       
      В реестре появились записи wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp, BITS_bkp и Dosvc_bkp, а старые (wuauserv, UsoSvс, WaaSMedicService и т.д.) с ошибками.
      В сервисах/Службах записи сервисов wuauserv, UsoSvс, WaaSMedicService и т.д. дублируются с wuauserv_bkp, UsoSvc_bkp, WaaSMedicService_bkp и т.д..
       
      Вирусы удалил с помощью Dr.Web CureIt!.
      Потом ещё раз прошел Dr.Web CureIt!, Kaspersky Virus Removal Tool, MS Defender они сказали вирусов нет.  
      Записи в реестре и в сервисах остались, кнопки также висят.
      Подскажите как можно это исправить.
      CollectionLog-2026.01.04-20.52.zip
    • Xqretu
      Автор Xqretu
      Примерно неделю назад проверял ПК вирусы. Все удалил, по итогу Центр обновления Windows и microsoft store всё время выдавали ошибку в скачивании, зашёл в реестр и увидел что остались файлы bits_bkp и dosvc_bkp, пытался удалить, не получилось.
    • Nikita1815
      Автор Nikita1815
      Здравствуйте! Подсадил майнер на компьютер. Выполнил проверку через Kaspersky Virus Removal Tool, удалил/вылечил все угрозы.  Компьютер стал работать исправно, но центр обновления не работает. Службу центр обновления переименовать и удалить переименованную удалось, но BITS переименовалась и в редакторе реестра создалось два варината bits и bits_bkp. Логи прикладываю. Заранее спасибо за помощь!
        CollectionLog-2025.02.09-19.37.zip
×
×
  • Создать...