Решена Решение проблемы с wuauserv_bkp

  • Автор темы Автор темы han70
  • Дата начала Дата начала

han70

Новый пользователь
Сообщения
31
Реакции
4
День добрый! Прошу помощи знатоков.
Установил Автокад и разлочил его кряком судя по всему с Майнером. Симптомы: почувствовал что увеличилась скорость кулеров на процессореи темпер подрос обычно 37* а сейчас тянет к 60*, при том что комп работает в фоном режиме, центр обновления windows пустой, в центре обновления windows через службу переименована из wuauserv в wuauserv_bkp, системник стал долго отключаться, раньше через за 2-3 секунд, теперь крутит еще секунд 15, после набора команды msconfig она включается на секунду и гаснет сразу, с включенным диспетчером задач нагрузка сразу падает как будто ничего и нет.

Вопрос с wuauserv_bkp решил с помощью удаления этой учетки через командную строку “sc delete wuauserv_bkp” из реестра она пропала вместе с самим центром обновления windows хотел восстановить через редактор реестра но он так же запускается и сразу гаснет

Установил FRST при том что после установки он так же вылетал сразу после запуска, обошел просто переименовав в рандомный набор символов + .exe

Теперь получил две выгрузки а вот дальше встал в тупик не пойму как его разобрать и что писать в блокноте дальше, подскажите пожалуйста 🙏
 

Вложения

Последнее редактирование:

прверил через Dr.Web CureIt! нашел 4 угрозы, попробовал через него пофиксить, перезагрузил ПК, вроде стало лучше, msconfig открываться стал и редактор реестра но вот обновление виндоус через параметры так пустой и остался​

сделал сканирование через SecurityCheck ну там тоже черт ногу сломит, может кто подскажет что тут с ним дальше делать
после повторонйо проверки Dr. Web ничего уже не нашел.
 

Вложения

  • SecurityCheck.txt
    SecurityCheck.txt
    12.5 KB · Просмотры: 0
  • photo_2024-11-12_11-41-56.webp
    photo_2024-11-12_11-41-56.webp
    77.7 KB · Просмотры: 11
Последнее редактирование:
так же еще раз прогнал через FRST
 

Вложения

так же в мониторе ресурсов остались два процесса которые при включении диспетчера задач приостанавливаются
 

Вложения

  • Безымянный.webp
    Безымянный.webp
    7.2 KB · Просмотры: 9
Последнее редактирование:

Вложения

Последнее редактирование:
Спасибо!
Не цитируйте полностью предыдущее сообщение без необходимости. Пишите в нижнем поле быстрого ответа.

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:
Bonjour
Кнопки сервисов Яндекса на панели задач

Программу
StopUpdates10, версия 4.6.2024.0403
ставили самостоятельно?



Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableConfig] Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR] Ограничение <==== ВНИМАНИЕ
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    S3 dosvc; C:\Windows\System32\svchost.exe [57528 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 dosvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 dosvc_bkp; C:\Windows\system32\dosvc.dll [1533952 2024-08-26] (Microsoft Windows -> Microsoft Corporation)
    S3 UsoSvc; C:\Windows\system32\svchost.exe [57528 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 UsoSvc; C:\Windows\SysWOW64\svchost.exe [47040 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [573952 2024-10-08] (Microsoft Windows -> Microsoft Corporation)
    S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [427520 2024-10-08] (Microsoft Windows -> Microsoft Corporation)
    S2 wuauserv_bkp; C:\Windows\system32\svchost.exe [57528 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S2 wuauserv_bkp; C:\Windows\SysWOW64\svchost.exe [47040 2024-06-15] (Microsoft Windows Publisher -> Microsoft Corporation) <==== ВНИМАНИЕ (отсутствует ServiceDLL)
    S3 HWiNFO_190; C:\Users\User\AppData\Local\Temp\HWiNFO64A_190.SYS [57936 2024-08-10] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
    S3 HWiNFO_191; C:\Users\User\AppData\Local\Temp\HWiNFO64A_191.SYS [57936 2024-10-17] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
    S3 HWiNFO_202; C:\Users\User\AppData\Local\Temp\HWiNFO_x64_202.sys [58024 2024-11-05] (Microsoft Windows Hardware Compatibility Publisher -> REALiX) <==== ВНИМАНИЕ
    File: C:\Users\User\main.exe
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"pers\"",Filter="__EventFilter.Name=\"pers\"::
    WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"nut\"",Filter="__EventFilter.Name=\"nut\"::
    WMI:subscription\__EventFilter->nut::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 180 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\__EventFilter->pers::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 900 WHERE TargetInstance ISA 'Win32_PerfFormattedData_PerfOS_System']
    WMI:subscription\CommandLineEventConsumer->nut::[CommandLineTemplate => C:\ProgramData\NUL..\StartMenuExperienceHost.exe --ssl gamesjumpers.com 5555 -e cmd.exe]
    WMI:subscription\CommandLineEventConsumer->pers::[CommandLineTemplate => C:\ProgramData\AUX..\ShellExt.dll C:\ProgramData\AUX..\DeviceId.dll]
    AlternateDataStreams: C:\Windows:CM_be7995bdfc8d8ab791fbfefa187c3875a89ccddaea42f3929155d8af0adee7c6 [26]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте вложенный архив, распакуйте и запустите последовательно каждый файл. С внесением изменений в реестр соглашайтесь.
Перезагрузите компьютер.

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 

Вложения

1)Кнопки сервисов Яндекса на панели задач - удалил
2)StopUpdates10, версия 4.6.2024.0403 - не знаю от куда это и что это такое, сам не помню что бы устанавливал
3)скрипта - принял в работу, отпишусь что как получилось
 
после исправления FRST (Fix) перезагрузился и при запуске вылетел синий экран смерти,еще раз перезагрузился и вроде теперь работает стабильно, t процессора упала на 36*, вентиляторы стали работать тише как и было раньше, центр обновления Windows заработал, имя в службе центра обновления виндоус стало как и должно быть wuauserv
 

Вложения

Последнее редактирование:
что то все равно нашел:Dash1:

66c667463499abc126185544d79fac77437e400a0bce08077c71f93f36eb8b3c
 
Спасибо.
Правда я просил ссылку, а не хэш. Но уже увидел:

Если не знаете откуда этот файл, просто удалите.

Если проблема решена, в завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Последнее редактирование:
1)StopUpdates10 - кикнул
2)FRST удалил
3) файл прикрепил
 

Вложения

Последнее редактирование:
Исправьте по возможности:

Контроль учётных записей пользователя включен
Запрос на повышение прав для администраторов отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^

Так ли страшен контроль учетных записей (UAC)?

Microsoft Office LTSC профессиональный плюс 2021 - ru-ru v.16.0.14332.20791 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
Среда выполнения Microsoft Edge WebView2 Runtime v.130.0.2849.56 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.38.33130 v.14.38.33130.0 Внимание! Скачать обновления
Geeks3D FurMark 1.33.0.0 v.1.33.0.0 Внимание! Скачать обновления
Microsoft Visual C++ 2015-2022 Redistributable (x86) - 14.40.33810 v.14.40.33810.0 Внимание! Скачать обновления
WinRAR 7.00 (64-разрядная) v.7.00.0 Внимание! Скачать обновления
Discord v.1.0.9037 Внимание! Скачать обновления
Zona Внимание! Клиент сети P2P с рекламным модулем!.
Java 8 Update 51 (64-bit) v.8.0.510 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u431-windows-x64.exe - Windows Offline (64-bit))^
Yandex (All Users) v.24.7.0.2432 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^

---------------------------- [ UnwantedApps ] -----------------------------
Bonjour v.3.1.0.1 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
(про неё я ещё в самом начале говорил).

Читайте Рекомендации после удаления вредоносного ПО
 
@han70, ещё несколько мусорных папок нужно удалить (моё упущение).
Можете это сделать вручную или скачайте ещё раз Farbar Recovery Scan Tool и выполните следующий скрипт:
Код:
Start::
2024-11-11 20:14 - 2024-11-12 11:25 - 000000000 _RSHD C:\ProgramData\Classic.{BB64F8A7-BEE7-4E1A-AB8D-7D8273F7FDB6}
2024-11-11 20:14 - 2024-11-11 20:14 - 000000000 ____D C:\ProgramData\Vedist
2024-11-11 20:14 - 2024-11-11 20:14 - 000000000 ____D C:\ProgramData\NUL..
2024-11-11 20:14 - 2024-11-11 20:14 - 000000000 ____D C:\ProgramData\AUX..
End::
Полученный в результате выполнения скрипта файл Fixlog.txt прикрепите к следующему сообщению. Спасибо!
 
День добрый! Сейчас на выезде вернусь вечером обязательно сделаю, отчет скину, спасибо
 
Вечер добрый! все сдела🫡
 

Вложения

Назад
Сверху Снизу