Подозрительная автозагрузка "Обработчик команд Windows" и открытие сайтов при запуске пк

**Andromegas** · 16.12.2023, 13:25

Здравствуйте! Какая-то новая напасть, при запуске ПК открывается браузер и порносайт, пробовал антивирусы несколько раз, что то находят но вылечить не могут. Обнаружил в автозагрузках "Обработчик команд Windows", которой раньше не было, что и вызвало подозрение. Когда отключил это, браузер перестал открываться при запуске ПК, однако же сам вирус по прежнему полностью не удаляется, подскажите, пожалуйста, как это сделать?
Еще забыл добавить, браузер (опера) сильно нагружает оперативку, когда запускаю усиливается работа вентиляторов...

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 16.12.2023, 13:26

Уважаемый(ая) Andromegas, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 16.12.2023, 21:15

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - HKCU\..\StartupApproved\Run: [Andromegas] = C:\WINDOWS\system32\cmd.exe /c start www.dinoraptzor.org (2023/12/16) (sign: 'Microsoft')
O4 - MountPoints2: HKCU\..\{13fe060a-3994-11ec-916c-d850e63cd5ea}\shell\AutoRun\command: (default) = G:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{3ce07266-40db-11ec-9183-d850e63cd5ea}\shell\AutoRun\command: (default) = G:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{430c2a1a-40ae-11ec-9181-d850e63cd5ea}\shell\AutoRun\command: (default) = G:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{6e0088ae-415b-11ec-9186-d850e63cd5ea}\shell\AutoRun\command: (default) = H:\setup.exe (file missing)
O4 - MountPoints2: HKCU\..\{d7151013-38c0-11ec-9167-d850e63cd5ea}\shell\AutoRun\command: (default) = G:\autorun.exe (file missing)
O4 - MountPoints2: HKCU\..\{d7151069-38c0-11ec-9167-d850e63cd5ea}\shell\AutoRun\command: (default) = H:\autorun.exe (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_2: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_3: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_4: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_5: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_6: (no name) - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_7: (no name) - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_8: (no name) - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_2: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_3: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506D} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_4: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_5: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506F} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_6: (no name) - {8009C378-F2BE-42A6-8ADD-083AAFBDC4EB} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_7: (no name) - {057E631A-726E-4193-BB37-377DBD42812A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\   00BitrixShellExt_8: (no name) - {86627476-D173-4FBC-B206-3A19447FF8CC} - (no file)
O22 - Tasks: player - C:\ProgramData\playerDiscJockey\V-K_D-J.exe /H (file missing)
O27 - Account: (Hidden) User 'John' is invisible on logon screen

Перетащите лог Check_Browsers_LNK.log из папки Autologger на утилиту ClearLNK. Отчёт о работе прикрепите.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**Andromegas** · 16.12.2023, 21:52

Спасибо за ответ! Сделал

**Vvvyg** · 16.12.2023, 23:01

Встроенный "Защитник" сами отключали?

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR HKU\S-1-5-21-414999842-2864094964-1908021753-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk]
HKU\S-1-5-21-414999842-2864094964-1908021753-1000\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-21-414999842-2864094964-1908021753-1000\...\StartupApproved\Run: => "Bitrix24"
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
StartBatch:
del /s /q C:\Windows\SoftwareDistribution\download\*.*
del /s /q "%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Opera Software\Opera Stable\Cache\Cache_Data\*.*"
del /s /q "%userprofile%\AppData\Local\Yandex\YandexBrowser\User Data\Default\Cache\*.*"
del /s /q "%userprofile%\AppData\Local\Microsoft\Edge\User Data\Default\Cache\*.*"
del /s /q C:\Windows\Temp\*.*
del /s /q "%userprofile%\AppData\Local\temp\*.*"
sfc /scannow
endbatch:
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив .RAR или .7z с максимальным сжатием и прикрепите к своему следующему сообщению.
Компьютер будет перезагружен.

**Andromegas** · 17.12.2023, 00:19

Да сам отключил, давно очень 2-3 года назад.
Всё сделал, спасибо!

**Vvvyg** · 17.12.2023, 18:43

Мусор, загрузку браузера с нехорошим сайтом прчистили.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите. Логи, карантин и другие файлы, созданные программой, будут удалены.
Компьютер перезагрузится.

Обновите WinRar: Российские хакеры используют недавнюю уязвимость в WinRAR.

На этом всё.

Подозрительная автозагрузка "Обработчик команд Windows" и открытие сайтов при запуске пк (заявка № 228407)

Опции темы