Решена Не работает центр обновления из-за наличия вредоносного ПО

[alenyashka]

Добрый день!

Поймал вирус. Центр обновления Windows не открывается, при загрузке ПК стал долго отображать информацию на панели задач (обычно это происходило за несколько секунд), перестали работать кнопки "Перезагрузка", "Завершение работы" в меню "Пуск".

Обнаружил, что служба wuauserv переименовалась в wuauserv_bkp. А обычная wuauserv это уже новая служба и без описания.

Такое произошло и с другими службами:
bits
dosvc
usosvc
waasmedicsvc

Пытался решить проблему самостоятельно: в безопасном режиме в реестре удалил ветки новых служб (HKLM\System\CurrentControlSet\Services\<service_name>) и переименовал <service_name>_bkp в <service_name>.
После этих манипуляций при загрузке на панели задач информация стала отображать быстро, перезагрузка / завершение работы заработало.
Центр обновления по-прежнему не работает.

Прошу помощи. Логи прилагаю.

 

[Sandor]

Здравствуйте!

Первую рекомендацию выполните в безопасном режиме (ВАЖНО!!!).

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\ProgramData\Google\Chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\google\chrome\updater.exe', '');
 DeleteFile('C:\ProgramData\Google\Chrome\updater.exe', '64');
 DeleteService('GoogleUpdateTaskMachineQC');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteRepair(22);
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

После перезагрузки в нормальном режиме выполните такой скрипт:

begin
 DeleteFile(GetAVZDirectory+'quarantine.7z');
 ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine .\Quarantine\*', 1, 300000, false);
end.

Полученный архив quarantine.7z из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.


Далее:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[alenyashka]

1. quarantine.7z отправил на почту
2. После выполнения скриптов при старте системы зависает проводник. FRST запускал через диспетчер задач

 

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CloseProcesses:
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
  CHR DefaultSearchURL: Default -> hxxps://startpage.com/do/search?b=chrome&q={searchTerms}&ch=Default&idate=082720&iweek=082320&segment=startpage.avanquest
  CHR DefaultSearchKeyword: Default -> startpage!
  CHR DefaultSuggestURL: Default -> hxxps://www.startpage.com/suggestions?segment=startpage.avanquest&partner=avanquest&format=opensearch&q={searchTerms}
  C:\Users\а\AppData\Local\Google\Chrome\User Data\Default\Extensions\ibknafobnmndicojahlppolcaaibngjf
  CHR HKU\S-1-5-21-1661605395-3045382368-173483390-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ibknafobnmndicojahlppolcaaibngjf]
  S2 BITS_bkp; C:\WINDOWS\System32\qmgr.dll [1481728 2025-07-15] (Microsoft Windows -> Microsoft Corporation)
  S2 dosvc_bkp; C:\WINDOWS\system32\dosvc.dll [1534976 2025-07-15] (Microsoft Windows -> Microsoft Corporation)
  S2 UsoSvc_bkp; C:\WINDOWS\system32\usosvc.dll [583168 2025-07-15] (Microsoft Windows -> Microsoft Corporation)
  S2 wuauserv_bkp; C:\WINDOWS\system32\wuaueng.dll [3441152 2025-07-15] (Microsoft Windows -> Microsoft Corporation)
  S3 dosvc_bak; 1.exe (Нет файла)
  S3 WaaSMedicSvc_bkp; 1.exe (Нет файла)
  StartPowerShell:
  Remove-MpPreference -ExclusionExtension ".exe"
  Remove-MpPreference -ExclusionPath "C:\Users\а"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS"
  Remove-MpPreference -ExclusionPath "C:\ProgramData"
  Remove-MpPreference -ExclusionPath "C:\WINDOWS\system32\config\systemprofile"
  EndPowerShell:
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора (если уже его закрыли).
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.


Далее:
Скачайте этот архив. Извлеките из него твики реестра и последовательно запустите каждый, соглашаясь с внесением изменений.

Проверьте и сообщите о наличии/отсутствии проблемы.

 

[alenyashka]

После данных действий из служб пропали службы с bkp, центр обновления заработал корректно.

Огромное спасибо за помощь!

 

[Sandor]

Отлично!

В завершение, пожалуйста:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj (или с зеркала), сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[alenyashka]

Готово

 

[Sandor]

Подумайте о переходе на актуальную версию системы, так как:
Расширенная поддержка закончилась Внимание! Скачать обновления
^Корпоративные версии обновляются установкой с DVD или Flash-носителя соответствующей редакции. На устройстве может отсутствовать возможность получать обновления, если его оборудование несовместимо, на нем нет актуальных драйверов или истек срок его поддержки, предоставляемой поставщиком вычислительной техники (OEM).^

Исправьте по возможности:
Ghostscript GPL 10.03.1 (Msi Setup) v.10.03.1 Внимание! Скачать обновления
^Удалите старую версию, скачайте и установите новую.^
Foxit Reader v.9.7.1.29511 Внимание! Скачать обновления
^Локализованные версии могут обновляться позже англоязычных!^
Microsoft Visual C++ 2015-2022 Redistributable (x64) - 14.44.35211 v.14.44.35211.0 Внимание! Скачать обновления
Total Commander 64-bit (Remove or Repair) v.10.00 Внимание! Скачать обновления
Архиватор WinRAR Данная версия программы больше не поддерживается разработчиком. Удалите старую версию, скачайте и установите новую.
Zoom v.5.15.3 (18551) Внимание! Скачать обновления
Telegram Desktop v.6.7.2 Внимание! Скачать обновления
Viber v.15.9.0.1 Внимание! Скачать обновления
Skype, версия 8.78 v.8.78 Данная программа больше не поддерживается разработчиком. Рекомендуется использовать Microsoft Teams.
OpenVPN 2.4.8-I602-Win10 v.2.4.8-I602-Win10 Внимание! Скачать обновления
OpenVPN 2.5.7-I602 amd64 v.2.5.036 Внимание! Скачать обновления
RustDesk v.1.4.1 Внимание! Программа удаленного доступа!
K-Lite Mega Codec Pack 15.3.8 v.15.3.8 Внимание! Скачать обновления
Mozilla Firefox (x64 ru) v.148.0.2 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^

---------------------------- [ UnwantedApps ] -----------------------------
Кнопки сервисов Яндекса на панели задач v.3.7.9.0 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.


Читайте Рекомендации после удаления вредоносного ПО

 

[alenyashka]

Спасибо!

 

[Sandor]

Удачи и не болейте!