Премини към съдържанието
  • Добре дошли!

    Добре дошли в нашите форуми, пълни с полезна информация. Имате проблем с компютъра или телефона си? Публикувайте нова тема и ще намерите решение на всичките си проблеми. Общувайте свободно и открийте безброй нови приятели.

    Моля, регистрирайте се за да публикувате тема и да получите пълен достъп до всички функции.

     

Host Service x64.exe, winlogui.exe, winrmsrv.exe и куп други


Препоръчан отговор


Здравейте,

снощи пуснах тема в "Сигурност и антивирусна защита", където ми препоръчаха да пиша тук.
Копирам всичко написано от предходната тема + някои допълнения.

Машина:
Лаптоп ASUS F550V с Windows 10 Education (Платен).

Симптоми:

     Не мога да ъпдейта Windows-a.

    Windows Defender не работи.

    Troubleshooter-a не върши никаква работа.
  
    Kaspersky не се стартира.
     
    Host Service 64 е постоянно включен и понякога използва доста ресурси.

 *Подробности относно проблемите в предишната ми тема.

Допълнения:

Снощи вечер пуснах проверка с RogueKiller. Прикачвам снимка с резултата, както и с резултат от премахването, но Host services 64 вече не се вижда в task manager-a, но все още не мога да ъпдейтна windows.

sfc /scannow
DISM /Online /Cleanup-Image /RestoreHealth

Написах следните команди като администратор. Всичко беше поправено или наред.

Прикачвам резултатите от Farbar Recovery Scan Tool. Направих сканиратено след проверката с RogueKiller.

RogueKillerDeleteRes.jpg

Addition.txt FRST.txt

Линк към този отговор
Сподели в други сайтове

Може ли да прикачите лог файла от сканирането с RogieKiller, че скрийншотът е доста неясен. Ще го намерите в папката C:\ProgramData\RogueKiller\logs.

Лог файловете са чисти. Има няколко неактивни остатъка от евентуалната зараза. Проблема с Windows Defender най-вероятно се корени в това, че имате инсталиран (или поне частично) продукт на Kaspersky, който е регистриран в Security Center-a. Това автоматично забранява Windows Defender. Колкото до Windows Update това не е темата за този проблем, но можем да пробваме и за него няколко стъпки после.

Добре е да прикачите и лог файловете от командите, които сте извършили.

За да се появи рапорта от SFC /SCANNOW изпълнете командата за Command Prompt (CMD)

findstr /c:"[SR]" %windir%\Logs\CBS\CBS.log >"%userprofile%\Desktop\sfcdetails.txt"

и прикачете лог файла SFCDETAILS.TXT, който трябва да се е появил на десктопа.

За да се появи лог файла от проверката на chkdsk изпълнете командите за PowerShell:

get-winevent -FilterHashTable @{logname="Application"; id="1001"}| ?{$_.providername –match "wininit"} | fl timecreated, message | out-file C:\Users\iveli\Desktop\CHKDSK_SCAN.txt
get-winevent -FilterHashTable @{logname="Application"; id="26226"}| ?{$_.providername –match "Chkdsk"} | fl timecreated, message | out-file
C:\Users\iveli\Desktop\CHKDSK_SCAN2.txt

и прикачете лог файла CHKDSK_SCAN и CHKDSK_SCAN2.txt, които трябва да са се появили на десктопа.

Докато сте в PowerShell изпълнете и командата Repair-Volume -DriveLetter C и направете снимка на резултатите.

За да премахнете Kaspersky изтеглете следния инструмент и следвайте инструкциите:

http://media.kaspersky.com/utilities/ConsumerUtilities/kavremvr.exe

Стартирайте инструмента, съгласете се с лицензионното споразумение, от падащото меню на списъка изберете инсталираната от вас версия на програмата (в случая Kaspersky Security Cloud), въведете кода от картинката и натиснете Remove. И след това се съгласете, че трябва да рестартирате.

След това за да премахнем остатъците от заразата, Kaspersky и от забраната за стартиране на Windows Defender, направете следното:

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (D:\Programs\Virus Removal)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

Това е засега.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Прикачил съм лог файла от сканирането с RogieKiller, рапорта от SFC /SCANNOW и лог файла CHKDSK_SCAN.
Имах проблем с втората команда get-winevent -FilterHashTable @{logname="Application"; id="26226"}| ?{$_.providername –match "Chkdsk"} | fl timecreated, message | out-file C:\Users\iveli\Desktop\CHKDSK_SCAN2.txt

Резултатът е следният:

Цитат

get-winevent : No events were found that match the specified selection criteria.
At line:1 char:1
+ get-winevent -FilterHashTable @{logname="Application"; id="26226"}| ? ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ObjectNotFound: (:) [Get-WinEvent], Exception
    + FullyQualifiedErrorId : NoMatchingEventsFound,Microsoft.PowerShell.Commands.GetWinEventCommand

След командата Repair-Volume -DriveLetter C, резултатът бе:

Цитат

NoErrorsFound

Прикачил съм и fixlog.txt.

CHKDSK_SCAN.txt RogueKiller Custom Scan Report.txt RogueKiller Deleted Report.txt sfcdetails.txt Fixlog.txt

Линк към този отговор
Сподели в други сайтове

Няма проблеми относно втората команда за CHKDSK. Тя беше дадена за да създаде рапорт, ако е сканиран дял различен от системния. Тогава се появява в Event Viewer под друго име CHKDSK (вместо WinInit) и с друго ID (26226) вместо 1001. Можете да тествате и сами някой ден ако решите да сканирате дял различен от системен. :)

В лог файла на RogueKiller видях, че са намерени доста записи свързани с Bitcoin Miner копачи. Видях, че имате инсталиран и емулатора за виртуални машини QEMU. Имайте предвид, че той също може да се ползва от копачите и също присъства в рапорта на RogueKiller. Аз бих го деинсталирал както е описано в клипа - или с програма като Revo Uninstaller или ръчно. Вижте целия клип:

[Tr.Gen (Malicious)] Host Services x64.lnk -- %programdata%\Microsoft\Windows\Start Menu\Programs\StartUp\Host Services x64.lnk (lnk => C:\PROGRA~1\qemu\HOSTSE~2.EXE []) -> Deleted

[Tr.Gen (Malicious)] Host Services x64.exe -- %ProgramFiles%\qemu\Host Services x64.exe -> Deleted
 

Скрипта се е изпълнил коректно. Видях, че са се премахнали забраните за стартиране на Windows Defender, както и остатъците от заразата:

Цитат

HKLM\SOFTWARE\Policies\Microsoft\Windows Defender => removed successfully

Цитат

C:\WINDOWS\system32\WinUpdates105.dat => moved successfully
C:\WINDOWS\system32\wdbcache.tmp => moved successfully
C:\WINDOWS\system32\7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450 => moved successfully
C:\WINDOWS\system32\7B296FC0-376B-497d-B013-58F4D9633A22-5P-1.B5841A4C-A289-439d-8115-50AB69CD450B => moved successfully
C:\WINDOWS\system32\setup4.2.6.tmp => moved successfully

Видях обаче, че е имали проблеми с изпълнението на командата на bitsadmin

Цитат

BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

Unable to cancel {D846C90D-944A-48BD-B81C-C1A854A4A36F}.
Unable to cancel {D3B5BC2C-0B35-4735-8FBC-096BEA829543}.
0 out of 2 jobs canceled.

Затова изпълнете следния скрипт за FRST:

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (D:\Programs\Virus Removal)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Стартира ли се сега Windows Defender след като забраната е премахната и Kaspersky деинсталиран? Има ли проблеми още с Windows Update? Нека да видим какво е състоянието на услугите, защото понякога този вирус им изтрива важни настройки от регистрите:

 

Моля изтеглете Farbar Service Scanner и я стартирайте.

  • Сложете всички отметки.
  • Натиснете бутона Scan.
  • Ще се създаде лог файл с името (FSS.txt) в папката откъдето стартирате инструмента.
  • Копирайте съдържанието на лог файла в следващия си пост.
Линк към този отговор
Сподели в други сайтове

Qemu е деинсталиран.
Все още Windows Update и Windows Defender не се включва (а самият прозорец стой бял).
Прикачил съм Fixlog.txt и FSS.txt

windows defender security center.jpg

Fixlog.txt FSS.txt


Линк към този отговор
Сподели в други сайтове

Мда...както си и мислех.

Изтеглете следните файлове на десктопа:

wscsvc.reg

wuauserv.reg

WinDefend.reg

Кликнете с десен бутон на всеки един от тях и изберете Merge.

Съгласете се с YES.

Рестартирайте системата и направете нова проверка с FSS и прикачете новия лог файл.

Линк към този отговор
Сподели в други сайтове

Добра работа. Сега стартират ли Windows Defender и Windows Update? Ако не ще продължи така:

Обикновено белите полета в Windows Update са дело на нерегистрирани системни файлове. В CMD.exe стартиран с десен бутон и Run as administrator въведете командата и натиснете Enter:

For /F %s in ('dir /b *.dll') do regsvr32 /s %s

Изчакайте да се изпълни. Може да отнеме няколко минути. Игнорирайте грешките, които може да се появят при регистрацията на някои от файловете (потвърждавайки е Enter на прозорците с грешките).

Пишете после как е положението.

Линк към този отговор
Сподели в други сайтове

Все същото. 🙁
Забелязах единствено, че Defender-a се стартира за секунди в началото и после изчезва.
Относно Update-а виждам, че вече се появява нова грешка (0x80070006).

Линк към този отговор
Сподели в други сайтове

Изпълнете следния скрипт за FRST както преди (запазвате го в папката на FRST, стартирате FRST64.exe и натискате FIX) и след това прикачете лог файла.

fixlist.txt

Рестартирайте системата и пишете дали има някаква промяна.

Линк към този отговор
Сподели в други сайтове

Брей. Изтеглете следния файл и го запазете в папка по избор.

https://www.tenforums.com/tutorials/24742-reset-windows-update-windows-10-a.html

Стартирайте го с десен бутон и Run as administrator. Рестартирайте системата и вижте дали има промяна.

Можете да пробвате и с този:

https://gallery.technet.microsoft.com/scriptcenter/Reset-Windows-Update-Agent-d824badc

Линк към този отговор
Сподели в други сайтове

Има нещо такова. Досега вече трябваше да е всичко тип-топ, защото съм се срещал с тази гадина и стъпките са проверени.

Изтеглете fixlist.txt и го запазете в папката, където сте свалили FRST64.exe (D:\Programs\Virus Removal)

Стартирайте FRST64.exe и натиснете бутона Fix веднъж!

След като приключи, ако ви поиска рестарт - съгласете се. След рестарта публикувайте лог файла - fixlog.txt, който ще се създаде след работата на програмата.

Внимание: Скрипта е създаден за текущата система. Да не се ползва за други системи с подобни проблеми!

 

Ако това не помогне бих препоръчал да пробвате и със следния инструмент:

Интерфейса на програмата може вече да е различен, защото снимките в инструкциите са леко остарели, но мисля, че ще се ориентирате.

Изтеглете програмата Windows Repair (all in one) оттук.

Рестартирайте системата си в безопасен режим Safe Mode.

Разархивирайте архива в папка по избор и след това кликнете върху файла Repair_Windows.exe.

На диалоговия прозорец с лицензионното споразумение изберете 4YtWvjD.png

Отидете до менюто Backup Tools и създайте нова точка за възстановяване на системата и бекъп на текущото състояние на регистрите...
 
Под Registry Backup (Recommended) натиснете бутона Backup. След като приключи под System Restore натиснете бутона Create.

MiBNMrv.png

Сега вече изберете менюто Repairs - Main и натиснете Open Repairs.
 
ZiP7DS3.png
 
Сложете отметка пред 1, 2, 3, 4, 10, 14, 15, 16, 25, 26, 28 и премахнете останалите.

и сложете отметка пред Restart/Shutdown System => Restart System и натиснете бутона Start Repairs
 
QkggPgD.png

НЕ използвайте компютъра докато се извършва поправката.
След като всички приключи, компютъра ще се рестартира.
Архивирайте всички логове от папката в която сте разархивирали програмата - например:
C:\Users\iveli\Desktop \tweaking.com_windows_repair_aio\Tweaking.com - Windows Repair\Logs
и качете архива на следния адрес => dox.bg и публикувайте линка към архива в следващия си коментар.

Поздрави!

Линк към този отговор
Сподели в други сайтове

Дълго време стоеше (час и половина някъде) на 25 или 26, при което имаше инструкции, ако нищо не се вижда в task manager-a да затворя командния прозорец, за да продължи нататък.
Та натиснах го, всичко приключи добре, компютърът се рестартира и Ъпдейтите вече си работят нормално🤘. Инсталирах първите, сега чакам вторите. Но Windows Defender все си стой с бял прозорец.
Възможно ли е да е от това, че прекъснах 25 или 26?

Линк към този отговор
Сподели в други сайтове

Едва ли, но все пак е добре да повторите стъпките с програмата първо пробвайте в Normal Mode само за 25, 26 и 28.

Колкото до Windows Defender от снимката виждам, че е бяла само секцията Home. Какво става ако кликнете на Virus & threat protection или на трите чертички над Home или на бутона Settings долу вляво?

 

Линк към този отговор
Сподели в други сайтове

Най-накрая стана!
След последния ъпдейт Windows-ът се надстрой до версия 1909, което оправи Defender-а, че и нови функции има, и всичко за сега си работи идеално!

А сега виждам, че имам дори още ъпдейти за тая версия 1909.

Огромни благодарности и поздрави!

Линк към този отговор
Сподели в други сайтове

Да, това бе един от вариантите за поправка. Да се поправи текущата инсталация със запазване на настройките, да се обнови до по-нов build или да го мъчим още. Освен горните съвети се канех да проверя състоянието и на другите услуги, които подозирам, че може би са били "замесени" в проблема в следствие на вируса най-вероятно:

Sense => тя не съществува обаче във версии под Enterprise (та тази щеше да отпадне)
WdNisSvc => според лог файла на FRST уж беше наред, но все пак => S3 WdNisSvc; C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2006.10-0\NisSrv.exe [2496144 2020-07-03] (Microsoft Windows Publisher -> Microsoft Corporation)
MpsSvc
SecurityHealthService => тази подозирам най-много ако трябва да бъдем честни
WinDefend => тази вече я оправихме

и още други настройки в регистрите, но се радвам, че сега това няма нужда. Остава като всичко приключи да направите една проверка на системата с Windows Defender-a поне на системния дял. За по-пълна настройки на антивирусната можете да пробвате следния инструмент:

ConfigureDefender1.png

https://github.com/AndyFul/ConfigureDefender/raw/master/ConfigureDefender.exe

 

За да премахнем Farbar Recovery Scan Tool направете следното:

Преименувайте изпълнимия файл FRST64.exe на Uninstall.exe.

image.png.9cf9e0ab76b122782aff3552f54c5829.png     =>     image.png.44f957ce25ef61c76206655a46425152.png

Кликнете с десен бутон на мишката върху Uninstall.exe и изберете Run as administrator. Ще бъдете уведомени, че трябва да рестартирате системата, за да изтриете инструмента.

image.png.abcc20b28654d54fae08e7451bb5dc3b.png

След рестарта инструмента и прилежащите към него файлове ще бъдат изтрити.

 

Изтеглете  KpRm от kernel-panik и го запишете на вашия работен плот. 

  • Щракнете с десния бутон върху kprm_2.8.exe и изберете Run as administrator
  • Когато инструментът се отвори сложете всички отметки и натиснете бутона Run.

111.PNG

  • След като приключите, щракнете върху OK. 
  • В Notepad ще се отвори лог файла, копирайте съдържанието му в следващия си отговор.

 

Поздрави! :bye1:

Линк към този отговор
Сподели в други сайтове

Готово.

Цитат

# Run at 03/08/2020 19:14:57
# KpRm (Kernel-panik) version 2.8
# Website https://kernel-panik.me/tool/kprm/
# Run by iveli from D:\Programs\Virus Removal\KpRm 2.8
# Computer Name: DESKTOP-2MSRV7S
# OS: Windows 10 X64 (18363)
# Number of passes: 1

- Checked options -

    ~ Registry Backup
    ~ Delete Tools
    ~ Restore System Settings
    ~ UAC Restore
    ~ Delete Restore Points
    ~ Create Restore Point

- Create Registry Backup -

   ~ [OK] Hive C:\WINDOWS\System32\config\SOFTWARE backed up
   ~ [OK] Hive C:\Users\iveli\NTUSER.dat backed up

     [OK] Registry Backup: C:\KPRM\backup\2020-08-03-19-14-57

- Delete Tools -


  ## TDSSKiller
     [OK] C:\TDSSKiller.3.1.0.28_01.08.2020_20.12.20_log.txt deleted
     [OK] C:\TDSSKiller.3.1.0.28_01.08.2020_20.14.01_log.txt deleted
     [OK] C:\TDSSKiller.3.1.0.28_02.08.2020_15.31.36_log.txt deleted

- Other Lines -


  ## Quarantines keeped
    ~ C:\KVRT_Data (Kaspersky Virus Removal Tool)
    ~ C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Quarantine (Malwarebytes Anti-Rootkit)
    ~ C:\ProgramData\RogueKiller\quarantine (RogueKiller)

- Restore System Settings -

     [OK] Reset WinSock
     [OK] FLUSHDNS
     [OK] Hide Hidden file.
     [OK] Show Extensions for known file types
     [OK] Hide protected operating system files

- Restore UAC -

     [OK] Set EnableLUA with default (1) value
     [OK] Set ConsentPromptBehaviorAdmin with default (5) value
     [OK] Set ConsentPromptBehaviorUser with default (3) value
     [OK] Set EnableInstallerDetection with default (0) value
     [OK] Set EnableSecureUIAPaths with default (1) value
     [OK] Set EnableUIADesktopToggle with default (0) value
     [OK] Set EnableVirtualization with default (1) value
     [OK] Set FilterAdministratorToken with default (0) value
     [OK] Set PromptOnSecureDesktop with default (1) value
     [OK] Set ValidateAdminCodeSignatures with default (0) value

- Clear Restore Points -

   ~ [OK] RP named Windows Update created at 08/02/2020 20:56:03 deleted
   ~ [OK] RP named Windows Update created at 08/02/2020 20:56:25 deleted
     [OK] All system restore points have been successfully deleted

- Create Restore Point -

     [OK] System Restore Point created

- Display System Restore Point -

   ~ RP named KpRm created at 08/03/2020 16:15:10

-- KPRM finished in 31.85s --

Имам един въпрос.
По-рано споделихте, че Kaspersky блокира Windows Defender-а.
Бихте ли препоръчали, дали да инсталирам отново Kaspersky или да опитам с друго?

Линк към този отговор
Сподели в други сайтове

Можете да изтриете следните папки:

C:\KVRT_Data
C:\ProgramData\Malwarebytes\Malwarebytes Anti-Malware\Quarantine
C:\ProgramData\RogueKiller\quarantine

преди 13 минути, ivchodx написа:

Готово.

Имам един въпрос.
По-рано споделихте, че Kaspersky блокира Windows Defender-а.
Бихте ли препоръчали, дали да инсталирам отново Kaspersky или да опитам с друго?

Не само Kaspersky. При всяка външна антивирусна би забранила Windows Defender, защото не е препоръчително две антивирусни да работят по едно и също време. Просто във вашия случай това беше Kaspersky. Но освено него самия Windows Defender беше и повреден (най-вероятно от вируса) и положението бе по-тежко. Колкото до това, коя антивирусна да използвате, това е деликатна тема и малко въпрос на личен избор и вкус. При Windows 10, Windows Defender е доста по-мощен от версиите при предходните версии на Windows и според мен можете да си останете и с нея. (Особено ако я конфигурирате с Configure Defender). Разбира се, тя макар да има защита на файлове и папки от ransomware, няма пълноценна такава защита и може би е добра идея към нея да добавите инструмента Kaspersky Anti-Ransomware for Business или AppCheck Anti-Ransomware. Алтернативен вариант е да сложите Kaspersky Security Cloud Free. Като цяло 100%-ова защита няма и е добре да не сваляте файлове от съмнителни сайтове, прикачени файлове, да правите често бекъп на важните документи, да държите използвания софтуер и Операционната Система обновени с последните кръпки и разбира се да по-затегнете малко сигурността на самата Операционна Система (т.нар. hardening) - има доста писано по въпроса (само че трябва сами да намерите баланса между ограниченията и удобството на работа) с цел да ограничите векторите на атака над вашата система. Заслужава си да хвърлите един поглед на инструменти като NovirusThanks SysHardener или Hard_Configurator (от автора на Configure Defender). Но пък тези инструменти са и за по-напреднали потребители и трябва да се внимава с тях, защото можете да си отворите повече проблеми, отколкото да решите. Начини за защита има много - използване на пясъчници като Sandboxie и подобните, програми за виртуализация като Shadow Defender, HIPS програми като Comodo Firewall, anti-exe програми като NovirusThanks ExeRadar Pro, AppGuard, default-deny (работа с черни и бели списъци) програми като VoodooShield, SecureAplus, вградените възможности на Windows (Software Restriction Policies (SRP), AppLocker - налични главно в Enterprise версиите) и т.н. Честно казано според мен се придържайте към това, което ви е най-удобно за работа. Keep it simple, понякога е по-добре. ;)

Линк към този отговор
Сподели в други сайтове

Добавете отговор

Можете да публикувате отговор сега и да се регистрирате по-късно. Ако имате регистрация, влезте в профила си за да публикувате от него.
Бележка: Вашата публикация изисква одобрение от модератор, преди да стане видима за всички.

Гост
Напишете отговор в тази тема...

×   Вмъкнахте текст, който съдържа форматиране.   Премахни форматирането на текста

  Разрешени са само 75 емотикони.

×   Съдържанието от линка беше вградено автоматично.   Премахни съдържанието и покажи само линк

×   Съдържанието, което сте написали преди беше възстановено..   Изтрий всичко

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Добави ново...

Информация

Поставихме бисквитки на устройството ви за най-добро потребителско изживяване. Можете да промените настройките си за бисквитки, или в противен случай приемаме, че сте съгласни с нашите Условия за ползване