Решена Предположительно вредоносное по блокирует службу центра обновления windows 10

  • Автор темы Автор темы Doom3d
  • Дата начала Дата начала

Переводчик Google

Doom3d

Новый пользователь
Сообщения
9
Реакции
1
При старте системы не загружаются службы usosvc, wuauserv
Заметил случайно при перезагрузке, не загружается программы которые стоят в автозапуске, часть значков, такие как какой язык сейчас активный
После опр времени все загружается
Прилагаю файлы проверки
 

Вложения

Да механизм поврежден
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKLM\...\RunOnce: [00df686c-16cf-435c-921c-6f7824c86ce7] => "C:\Users\Nick\AppData\Local\Temp\{f0bd41d9-015c-40e6-93d9-b2fd61d7f541}\00df686c-16cf-435c-921c-6f7824c86ce7.cmd" (Нет файла) <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
    HKU\S-1-5-21-1034638344-94332162-1785197991-1001\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    Task: {23963AC9-E5BA-4D17-8804-A8E3433FDF19} - System32\Tasks\HWiNFO => "C:\Users\Nick\Downloads\hwi_762\HWiNFO64.exe"  (Нет файла)
    S2 WindowsUpdate; C:\ProgramData\Windows11\Updater.exe [X] <==== ВНИМАНИЕ
    AlternateDataStreams: C:\Windows\tracing:? [16]
    AlternateDataStreams: C:\ProgramData\AMDAutoUpdate.log:24629E69DD [4290]
    AlternateDataStreams: C:\ProgramData\AMDAutoUpdate.log:5AFFBDE7FB [5138]
    AlternateDataStreams: C:\ProgramData\mntemp:8EAD8B3507 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\desktop.ini:B1DA6C571C [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIDA64 Extreme.lnk:0DFC0AB819 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AmneziaVPN.lnk:D19B7375C9 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\desktop.ini:41964AA945 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dolphin Anty.lnk:610E443866 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Epic Games Launcher.lnk:BE32D07BC5 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Excel.lnk:B96E9B8455 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FACEIT AC.lnk:550995E265 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefox.lnk:980850BA8A [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rainmeter.lnk:1219A9EFD8 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visio.lnk:8113B7619D [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Visual Studio Installer.lnk:C2E9D79AC5 [5138]
    AlternateDataStreams: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Word.lnk:7AD7FA8AB1 [5138]
    AlternateDataStreams: C:\Users\Nick\Application Data:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    AlternateDataStreams: C:\Users\Nick\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [394]
    FirewallRules: [TCP Query User{EFB845D6-D3B7-414B-B34F-F58F7DBDDB30}D:\indiana.jones.and.the.great.circle.premium.edition-insaneramzes\thegreatcircle.exe] => (Allow) D:\indiana.jones.and.the.great.circle.premium.edition-insaneramzes\thegreatcircle.exe => Нет файла
    FirewallRules: [UDP Query User{BD7B5D2E-D3AF-4B20-9F1B-1F2EE42CD335}D:\indiana.jones.and.the.great.circle.premium.edition-insaneramzes\thegreatcircle.exe] => (Allow) D:\indiana.jones.and.the.great.circle.premium.edition-insaneramzes\thegreatcircle.exe => Нет файла
    FirewallRules: [TCP Query User{5D822DE3-1660-446E-A5FB-488C91C02102}E:\video\warhammer 40000 space marine 2\client_pc\root\bin\pc\warhammer 40000 space marine 2 - retail.exe] => (Allow) E:\video\warhammer 40000 space marine 2\client_pc\root\bin\pc\warhammer 40000 space marine 2 - retail.exe => Нет файла
    FirewallRules: [UDP Query User{9A84370F-866B-4B1F-8A6A-90C8704B6001}E:\video\warhammer 40000 space marine 2\client_pc\root\bin\pc\warhammer 40000 space marine 2 - retail.exe] => (Allow) E:\video\warhammer 40000 space marine 2\client_pc\root\bin\pc\warhammer 40000 space marine 2 - retail.exe => Нет файла
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

После проведем эксперимент ( по желанию). Попробуйте восстановить работу обновления системы при помощи этой темы, блок с PSWindowsUpdate. Если не поможет, или решите пропустить шаг, то выполните твики из вложения. В любом случае отпишитесь о результатах.

После подготовьте новые логи FRST
 

Вложения

Проблема сохранилась
 

Вложения

Применил фикс реестра из архива и вроде как помогло.
Сейчас добавлю новые логи
 

Вложения

Последнее редактирование:
Тогда чистим остатки
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1481728 2024-05-16] (Microsoft Windows -> Microsoft Corporation)
    S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-14] (Microsoft Windows -> Microsoft Corporation)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-09-13] (Microsoft Windows -> Microsoft Corporation)
    S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [3431936 2024-08-14] (Microsoft Windows -> Microsoft Corporation)
    12-08 13:50 - 2024-12-08 14:22 - 000000000 ____D C:\ProgramData\Windows11
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

1. Скачайте утилиту на рабочий стол.
2. Запустите KVRT и подтвердите согласие с условиями использования
3. Дождитесь завершения инициализации и в открывшемся окне нажмите на кнопку "Изменить параметры"
4. В открывшемся меню, поставьте галочку напротив "Системный раздел" и нажмите "Ок"
5. Нажмите кнопку "Начать проверку" для начала сканирования и пролечите все найденое.
6. Дождитесь завершения сканирования и зайдите в папку C:\KVRT_Data\ (C:\ это обычно раздел, где установлена работающая версия Windows) и упакуйте папку Reports в архив и прикрепите к теме
 
Сейчас сделаю, единственное при запуске BITS.reg была ошибка
1733663745538.webp
 
Так и должно быть, не у всех записей есть права на изменение. В логе службы смотрятся исправно, и если нет проблем с обновлением, то значит все хорошо.
 
C:\Program Files\PotPlayer\Extension\Data\yt-dlp_win\pipe with yt-dlp (youtube).bat и подобное - ваше?

И пока завершаем
Подготовьте лог лог SecurityCheck by glax24

Чтобы автоматически удалить все файлы и папки, созданные FRST, в том числе сам инструмент, переименуйте FRST/FRST64.exe в uninstall.exe и запустите его. Процедура требует перезагрузки системы.

Ознакомьтесь: Рекомендации после лечения
 
Да, это мое, я так понял это батник для скачивания видео с ютуба.
я его посмотрел ничего криминального вроде как нет
 
Если ваше, то проблем нет. Назвать вредоносный файл можно по разному, поэтому стоит уточнять.
 
SecurityCheck by glax24 & Severnyj v.1.4.0.58 [15.08.24]
WebSite: www.safezone.cc
DateLog: 08.12.2024 16:35:18
Path starting: C:\Users\Nick\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Nick
VersionXML: 12.98is-07.12.2024
___________________________________________________________________________

Windows 10 IoTEnterpriseS (x64) Версия: 21H2 (10.0.19044.5131) Язык: Russian(0419)
Дата установки ОС: 02.10.2023 16:09:04
Статус лицензии: Office 21, Office21ProPlus2021VL_MAK_AE1 edition Windows находится в режиме уведомления
Статус лицензии: Office 16, Office16VisioProR_Grace edition Windows находится в режиме уведомления
Статус лицензии: Windows(R), IoTEnterpriseS edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [930.6 Гб] Занято: [102.9 Гб] Свободно: [827.7 Гб]
------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^
Контроль учётных записей пользователя включен (Уровень 3)
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
---------------------------- [ Antivirus_WMI ] ----------------------------
Windows Defender (отключен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Защитника Windows (mpssvc) - Служба работает
--------------------------- [ OtherUtilities ] ----------------------------
Notepad++ (64-bit x64) v.8.7.1 Внимание! Скачать обновления
Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20791 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
PuTTY release 0.81 (64-bit) v.0.81.0.0 Внимание! Скачать обновления
Python 3.12.0 (64-bit) v.3.12.150.0 Внимание! Скачать обновления
AIDA64 Extreme v7.30 v.7.30
Среда выполнения Microsoft Edge WebView2 Runtime v.131.0.2903.86
Steam v.2.10.91.91
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33816 v.14.40.33816.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.42.34430 v.14.42.34430.0 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 24.08 (x64) v.24.08 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Far Manager 3 (x64) v.3.0.6364
-------------------------- [ IMAndCollaborate ] ---------------------------
Discord v.1.0.9153 Внимание! Скачать обновления
---------------------------- [ ProxyAndVPNs ] -----------------------------
AmneziaVPN v.4.7.0.0 Внимание! Скачать обновления
--------------------------------- [ P2P ] ---------------------------------
qBittorrent v.5.0.2
-------------------------------- [ Java ] ---------------------------------
Java 8 Update 431 v.8.0.4310.10
-------------------------------- [ Media ] --------------------------------
AIMP v.5.30.2563
PotPlayer 1.7.22318 (64-bit) v.RePack Внимание! Скачать обновления
K-Lite Mega Codec Pack 18.7.0 v.18.7.0
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader MUI v.24.004.20220 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
------------------------------- [ Browser ] -------------------------------
Dolphin Anty 2024.183.80 v.2024.183.80 Антидетект браузер.
Mozilla Firefox (x64 ru) v.133.0
Google Chrome v.131.0.6778.109
Microsoft Edge v.131.0.2903.86
Opera GX Stable 114.0.5282.233 v.114.0.5282.233 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
------------------ [ AntivirusFirewallProcessServices ] -------------------
AmneziaVPN-service (AmneziaVPN-service) - Служба работает
C:\ProgramData\Microsoft\Windows Defender\Platform\4.18.24090.11-0\MsMpEng.exe v.4.18.24090.11
Служба антивирусной программы Microsoft Defender (WinDefend) - Служба работает
Служба проверки сети антивирусной программы Microsoft Defender (WdNisSvc) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
 
Обновите, по возможности, найденное ПО и удачи!
 
В логах были следы только майнера, но, что пришло в нагрузку неизвестно. Лучше перебдеть и сменить финансовые пароли.
 
Назад
Сверху Снизу