Решена Найден вирус PUABundler:Win32/VkDJ_BundleInstaller

[ivan@SE]

Здраствуйте, вчера жена пожаловалась что на ее компьютере не запускается центр обновления windows. Мною было замечено что не работает служба обновления. Попытался ее запустить, не запускается ошибка 1053. Так же заметил что она имеет странное название wuauserv_bkp. При полной проверки стандартной антивирусной утилитой был обнаружен вирус.

Антивирус его удалил, но при следующем сканировании он появляется снова.

 

[ivan@SE]

вот еще скин что обнаружил

 

[Sandor]

Здравствуйте!

1. Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите нежелательное ПО:

Bonjour

2. Файл Check_Browser_Lnk.log
из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.


3. Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Program Files\Google\Chrome\update.exe', '');
 DeleteSchedulerTask('GoogleUpdaterMachin');
 DeleteFile('C:\Program Files\Google\Chrome\update.exe', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки, выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Файл quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.



4. Для повторной диагностики запустите снова AutoLogger.
Прикрепите к следующему сообщению свежий CollectionLog.

 

[ivan@SE]

Здраствуйте, были пошагово проведены действия описанные Вами.

 

[ivan@SE]

Центр обновлений также пока не запускается

 

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[ivan@SE]

Прикладываю файлы

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Скачайте вложенный архив и извлеките из него файл fixlist.txt
• Программу
  

  C:\Users\Victo\OneDrive\Рабочий стол\AutoLogger\FRST64.exe

  вместе с файлом fixlist.txt переместите во вновь созданную папку на диске С, например, C:\fix
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[ivan@SE]

Здраствуйте, сделал все ваши рекомендации

 

[Sandor]

Сделайте, пожалуйста, такой лог:

Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:

• Internet Services
• Windows Firewall
• System Restore
• Security Center/Action Center
• Windows Update
• Windows Defender

Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.

 

[ivan@SE]

Прикрепляю файл

 

[Sandor]

Удалите старые и соберите новые логи FRST.txt и Addition.txt

 

[ivan@SE]

прилепляю файлы

 

[Sandor]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1536000 2023-09-29] (Microsoft Windows -> Microsoft Corporation)
  S2 GoogleUpdaterInternalService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S2 GoogleUpdaterService123.0.6288.0; C:\Program Files (x86)\Google\GoogleUpdater\123.0.6288.0\updater.exe [4682528 2024-02-08] (Google LLC -> Google LLC) <==== ВНИМАНИЕ
  S3 WaaSMedicSvc_bkp; C:\WINDOWS\System32\WaaSMedicSvc.dll [427520 2023-07-13] (Microsoft Windows -> Microsoft Corporation)
  S3 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3447296 2023-06-24] (Microsoft Windows -> Microsoft Corporation)
  S3 UsoSvc_bkp; %systemroot%\system32\usocore.dll [X]
  Reboot:
  End::
• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Далее, скачайте вложенный архив, извлеките из него четыре reg файла.
В безопасном режиме (!) каждый из них запустите и согласитесь с внесением изменений в реестр.

Перезагрузите компьютер и соберите новый лог FSS.txt

 

[ivan@SE]

прилепляю файлы

 

[ivan@SE]

При установке служб заметил что у некоторых служб есть повторения с префиксом _49a0b

 

[thyrex]

Это нормальная ситуация

 

[Sandor]

Проделайте ещё одну такую же процедуру и тоже в безопасном режиме.
Новый файл FSS.txt прикрепите.

 

[ivan@SE]

Приклепляю

 

[Sandor]

Теперь в логах порядок. Что с проблемой?