при включении ПК открывается вредоносный сайт

Printable View

26.02.2023, 14:14
pipendrusu

при включении ПК открывается вредоносный сайт

и тормозит работу ПК
26.02.2023, 14:15
Info_bot

Уважаемый(ая) [B]pipendrusu[/B], спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
26.02.2023, 20:59
mike 1

Здравствуйте. [URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis

[CODE]
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - BITS Job: (download) {52575A2A-BF2A-4E6D-8EB1-743DEFAFF454} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\9c174ca0-842f-49fa-a8d9-b613ed19270a
O22 - BITS Job: (download) {5A7FC06F-76DB-4EE0-B732-EC26D82D0193} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\181b5d26-ee34-41a9-bb8c-cffe4a83baaf
O22 - BITS Job: (download) {91D7635E-EA86-4475-8D69-2D467606A8B8} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\e151110e-2756-4f7c-8fe5-ef5d2c20f2f6
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\taskkill.exe (Microsoft)
[/CODE]

[QUOTE]при включении ПК открывается вредоносный сайт[/QUOTE]
Какой?
26.02.2023, 23:29
pipendrusu

Пофиксил, но этой строки не было в списке:
O22 - BITS Job: (download) {5A7FC06F-76DB-4EE0-B732-EC26D82D0193} - [url]https://emupdate.avcdn.net/files/emupdate/autoupdate.ini[/url] -> C:\Windows\TEMP\181b5d26-ee34-41a9-bb8c-cffe4a83baaf

Сайт открывается Dlive.tv, причем в обычной опере, которой никто не пользуется. Я использую D:/programs/OperaVPN.
27.02.2023, 20:41
mike 1

Скачайте [url=http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/][b]Farbar Recovery Scan Tool[/b][/url] [img]http://i.imgur.com/NAAC5Ba.png[/img] и сохраните на Рабочем столе.

[b]Примечание[/b]: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
[list=1][*]Запустите программу двойным щелчком. Когда программа запустится, нажмите [b]Yes[/b] для соглашения с предупреждением.[*]Убедитесь, что под окном [b]Optional Scan[/b] отмечены [i]"List BCD"[/i], [i]"Driver MD5"[/i] и [i]"90 Days Files"[/i].[*]Нажмите кнопку [b]Scan[/b].[*]После окончания сканирования будет создан отчет ([b]FRST.txt[/b]) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.[*]Если программа была запущена в первый раз, будет создан отчет ([b]Addition.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении.[/list]
[img]http://i.imgur.com/3munStB.png[/img]
27.02.2023, 21:11
pipendrusu

ФРСТ запустился на русском, я не смог сделать его английским. Отметил на снимке то, что выбрал.
27.02.2023, 21:27
mike 1

[B][COLOR="#FF0000"]ВНИМАНИЕ![/COLOR][/B] Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

[list=1][*][URL="https://clck.ru/9knjD"][B]Временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].[*]Скопируйте приведенный ниже текст в Блокнот и сохраните файл как [b]fixlist.txt[/b] в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
[code]
CreateRestorePoint:
CloseProcesses:
virustotal: D:\programs\MKey\MKey.exe
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dpclat.exe.lnk [2021-11-09]
ShortcutTarget: dpclat.exe.lnk -> D:\programs\dpclat.exe (Thesycon Systemsoftware Consulting GmbH -> Thesycon GmbH)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {055F46C5-84DC-42FC-B73F-D8470771B2C1} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
Task: {4C12E63B-9DE7-4930-B1D2-739E955DBC4E} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
C:\Users\pipen\AppData\Roaming\Opera Software\Opera Stable\Extensions\enegjkbbakeegngfapepobipndnebkdk
C:\Users\pipen\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi
CustomCLSID: HKU\S-1-5-21-2687070377-2689079423-2359811401-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 -> => Нет файла
CustomCLSID: HKU\S-1-5-21-2687070377-2689079423-2359811401-1001_Classes\CLSID\{86ca1aa0‑34aa‑4e8b‑a509‑50c905bae2a2}\InprocServer32 -> => Нет файла
[/code][*]Запустите FRST и нажмите один раз на кнопку [b]Fix[/b] и подождите. Программа создаст лог-файл ([b]Fixlog.txt[/b]). Пожалуйста, прикрепите его в следующем сообщении![*]Обратите внимание, что компьютер будет [b]перезагружен[/b].[*][B][COLOR="Blue"]Внимание![/COLOR][/B] Если на рабочем столе будет создан архив [b]Дата_время.zip[/b], то загрузите этот архив через [url=http://virusinfo.info/upload_virus.php?tid=37678]данную форму[/url][/list]
27.02.2023, 22:18
pipendrusu

fixlog
27.02.2023, 22:24
mike 1

Что с проблемой?
27.02.2023, 22:24
pipendrusu

сайт по-прежнему вылезает
27.02.2023, 22:45
mike 1

Сделайте лог [URL="https://support.kaspersky.ru/common/diagnostics/10935#block3"]Process Monitor[/URL]
28.02.2023, 08:49
pipendrusu

Странно, но сайт при запуске больше не появляется, вылез только один раз. Лог на всякий случай сделал.
[URL="http://file.sampo.ru/9rgqd7/"]http://file.sampo.ru/9rgqd7/[/URL]

P.S. компьютер стал включаться значительно медленнее, открытие браузера вообще ждать минут 10.
28.02.2023, 21:47
mike 1

[quote="pipendrusu;1527174"]Лог на всякий случай сделал.[/quote]
Тогда такой лог не имеет смысла.
01.03.2023, 20:43
pipendrusu

[QUOTE=mike 1;1527183]Тогда такой лог не имеет смысла.[/QUOTE]

Как посоветуете восстановить ПК после заражения? Тормозит жутко теперь. Чем пройтись по нему? Спасибо.
01.03.2023, 21:44
mike 1

Попробуйте Windows Defender отключить.
02.03.2023, 08:52
pipendrusu

[QUOTE=mike 1;1527196]Попробуйте Windows Defender отключить.[/QUOTE]

Он давно вырезан. Подскажите пожалуйста, можно как-то узнать, какой вирус или вирусная служба грузит систему? ПК работает как pentium 1 после вируса.
02.03.2023, 10:45
mike 1

А с чего вы взяли, что нагрузку вызывает вирус? Какой процесс грузит ЦП?
03.03.2023, 22:33
pipendrusu

[QUOTE=mike 1;1527202]А с чего вы взяли, что нагрузку вызывает вирус? Какой процесс грузит ЦП?[/QUOTE]

Просто до заражения всё летало, сейчас - ползает. Нет ли у вас инструкции, как посмотреть, что грузит систему? По-моему, что-то грузит HDD, также в бpаузере перестало просматриваться видео и он сам сильно тормозит.
Я только это смог обнаружить своими силами.
03.03.2023, 23:05
mike 1

Смотрите вкладки "Производительность" и "Подробности" в диспетчере задач.
04.03.2023, 08:53
pipendrusu

[QUOTE=mike 1;1527218]Смотрите вкладки "Производительность" и "Подробности" в диспетчере задач.[/QUOTE]

Не показывает там, видимо скрытая вирусная служба. В безопасном режиме все ок.
04.03.2023, 12:20
mike 1

Выполните загрузку в безопасном режиме. Если проблема не наблюдается, проблема кроется в сторонней службе или программе. В этом случае выполните следующие действия.
[B]Пуск[/B] - [B]Поиск / Выполнить[/B] - [B]msconfig[/B] - [B]ОК[/B] и перейдите на вкладку [B]Службы[/B]. Установите флажок [B]Не отображать службы Microsoft[/B].
Отключите все отображенные службы (имеются в виду только не принадлежащие Microsoft) и перезагрузитесь. Если проблема не появляется, причина в одной из этих служб.

Далее действуйте методом "половинного деления". Включите половину служб и снова перезагрузитесь. Если проблема не появляется, причина в оставшихся отключенных службах. Если проблема воспроизводится, причина во включенных службах - отключите половину из них и снова перезагрузитесь. Действуя таким образом, вы сможете выявить службу, являющуюся причиной проблемы, и определить программу, которой она принадлежит.
Аналогичным образом можно поступить на вкладке [B]Автозагрузка[/B].
Здесь тоже не следует отключать пункты, производителем которых является Microsoft. Отключение программ других производителей может привести к неправильной работе устройств в том случае, если вы отключите их драйверы. Поэтому программы производителей вашего аппаратного обеспечения (например, Intel) лучше не отключать, либо отключать в самую последнюю очередь.

Далее можно порекомендовать лишь обновление программы до последней версии или ее удаление.

Подробнее об этой диагностике читайте [URL='http://support.microsoft.com/kb/929135']здесь[/URL].