Решена Предположительно вредоносное ПО блокирует службу центра обновления windows (11)

M

mapkejio

Новый пользователь
Сообщения
7
Реакции
1
Столкнулся с проблемой, служба "центр обновления windows" недоступна, также переименована из wuauserv в wuauserv_bkp, и запустить ее нельзя.
Это не дает ни установить обновления, ни сбросить систему.

1723932315089.webp


В последнее время устанавливал нелицензионное ПО так называемое, поэтому думаю что мог оттуда подцепить что-то.
Сканирование и лечение с помощью Dr.Web CureIt результатов не дало.

Логи прилагаются
 

Вложения

Здравствуйте!

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\MRT: Ограничение <==== ВНИМАНИЕ
Task: {BC4DB3B5-61DD-4F9E-8963-31FFE0F39353} - System32\Tasks\dialersvc64 => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe [450560 2024-08-12] (Microsoft Windows -> Microsoft Corporation) -> "function Local:stXDtFvAncpr{Param([OutputType([Type])][Parameter(Position=0)][Type[]]$ylTtCJiTPOggLD,[Parameter(Position=1)][Type]$cYAcinHvMY)$drzLLufPDxc=[AppDomain]::CurrentDomain.DefineDynamicAssembly((New-Object Reflection.AssemblyName('R'+[Char](101)+'fl'+'e'+'ct'+'e'+''+[Char](100)+''+[Char]( (запись имеет ещё 5022 символов). <==== ВНИМАНИЕ
S3 BITS_bkp; C:\Windows\System32\qmgr.dll [1388544 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
U2 dosvc_bkp; C:\Windows\system32\dosvc.dll [90112 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
S2 UsoSvc_bkp; C:\Windows\system32\usosvc.dll [77824 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
S3 WaaSMedicSvc_bkp; C:\Windows\System32\WaaSMedicSvc.dll [90112 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
S3 wuauserv_bkp; C:\Windows\system32\wuaueng.dll [138112 2024-08-12] (Microsoft Windows -> Microsoft Corporation)
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Скачайте вложенный архив. Извлеките из него пять файлов и последовательно запустите каждый.
С внесением изменений в реестр соглашайтесь.

После этого ещё раз перезагрузите компьютер. Сделайте дополнительно:
Скачайте Farbar Service Scanner

Запустите.
Убедитесь, что отмечены пункты:
  • Internet Services
  • Windows Firewall
  • System Restore
  • Security Center/Action Center
  • Windows Update
  • Windows Defender
Нажмите кнопку "Scan"

Будет создан отчёт (FSS.txt) в той же папке, откуда запущена утилита.
Прикрепите этот файл к своему ответу.
 

Вложения

Через комбинацию Win+R запустите
Код: 
services.msc
(Или через Диспетчер задач перейдите в Службы).

Проверьте запускаются ли службы wscsvc и UsoSvc
 
Хорошо. Что сейчас с первоначальной проблемой?
 
Все в порядке, больше пока ничего не беспокоит, спасибо вам за помощь
 
Отлично. В завершение:
1.
Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.
  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
 
Войдите или зарегистрируйтесь для ответа.

Похожие темы

S
  • Закрыта
Закрыто Словил майнер ( предположительно )
Ответы
19
Просмотры
437
Sandor
Sandor
C
  • Закрыта
Закрыто Майнер (предположительно так называемый JOHN)
2
Ответы
32
Просмотры
1K
Sandor
Sandor
K
  • Закрыта
Закрыто После программы KMS для Office Гугл хром нереально установить на пк. Предположительно майнер.
Ответы
3
Просмотры
547
Sandor
Sandor
Назад
Сверху Снизу