Исчезает служба обновлений windows

**Vlan** · 22.05.2017, 18:13

Доброго времени!
Обнаружил, что на компьютерах в сети исчезает регистрация службы "Центр обновления Windows", восстанавливается повторной регистрацией, или накатыванием ветки реестра с рабочего компьютера.
Так же обнаружил, что на всех компьютерах имеющих эту проблему присутствует файл dashost.exe, расположенный в папке "C:\ProgramData\WindowsNt" Eset его не определяет как вирус, kaspersky virus removal tool находит и удаляет его. Еще заметил, что он добавляется в исключения брандмауэра через netsh, запись об этом есть в журнале и от имени пользователя под которым он добавлялся в исключения производится очистка журнала безопасности системы. Так же есть запись что открывается RDP сессия на компьютер под этим же пользователем который создавал правило брандмауэра и очищал журнал безопасности. Логи прилагаю. Помогите пожалуйста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.05.2017, 18:17

Уважаемый(ая) Vlan, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 27.05.2017, 10:34

Выполните скрипт в AVZ

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
 QuarantineFile('C:\ProgramData\SystemResources\WmiApSrv.exe','');
 QuarantineFile('C:\Windows\fgsthk.dll','');
 QuarantineFile('C:\Windows\fgmphk.dll','');
 QuarantineFile('c:\programdata\microsoft.net\wuapihost.exe','');
 QuarantineFile('c:\windows\pamagent\pamagent.exe','');
 QuarantineFile('c:\program files\falcongaze securetower\epa\fgstepagentsvchost.exe','');
 QuarantineFile('c:\program files\falcongaze securetower\epa\fgstepacss.exe','');
 TerminateProcessByName('c:\programdata\windowsnt\dashost.exe');
 QuarantineFile('c:\programdata\windowsnt\dashost.exe','');
 DeleteFile('c:\programdata\windowsnt\dashost.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\Ras\MobilityManagement','32');
 DeleteFile('C:\ProgramData\SystemResources\WmiApSrv.exe','32');
 DeleteFile('C:\Windows\system32\Tasks\Microsoft\Windows\TPM\WinTpm','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Будет выполнена перезагрузка компьютера.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive('c:\quarantine.zip');
end.

c:\quarantine.zip пришлите по красной ссылке Прислать запрошенный карантин над первым сообщением темы.

Пожалуйста, выполните ЕЩЕ РАЗ правила, прикрепите к сообщению НОВЫЕ логи Autologger

Исчезает служба обновлений windows (заявка № 212356)

Опции темы