при включении ПК открывается вредоносный сайт

**pipendrusu** · 26.02.2023, 14:14

и тормозит работу ПК

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 26.02.2023, 14:15

Уважаемый(ая) pipendrusu, спасибо за обращение на наш форум!

Помощь в лечении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**mike 1** · 26.02.2023, 20:59

Здравствуйте. Пофиксите следующие строчки в HiJackThis

Код:

O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive1: (no name) - {BBACC218-34EA-4666-9D7A-C78F2274A524} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive2: (no name) - {5AB7172C-9C11-405C-8DD5-AF20F3606282} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive3: (no name) - {A78ED123-AB77-406B-9962-2A5D9D2F7F30} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive4: (no name) - {F241C880-6982-4CE5-8CF7-7085BA96DA5A} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive5: (no name) - {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive6: (no name) - {9AA2F32D-362A-42D9-9328-24A483E2CCC3} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ OneDrive7: (no name) - {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} - (no file)
O22 - BITS Job: (download) {52575A2A-BF2A-4E6D-8EB1-743DEFAFF454} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\9c174ca0-842f-49fa-a8d9-b613ed19270a
O22 - BITS Job: (download) {5A7FC06F-76DB-4EE0-B732-EC26D82D0193} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\181b5d26-ee34-41a9-bb8c-cffe4a83baaf
O22 - BITS Job: (download) {91D7635E-EA86-4475-8D69-2D467606A8B8} - https://emupdate.avcdn.net/files/emupdate/autoupdate.ini -> C:\Windows\TEMP\e151110e-2756-4f7c-8fe5-ef5d2c20f2f6
O26 - Debugger: HKLM\..\CompatTelRunner.exe: [Debugger] = C:\Windows\System32\taskkill.exe (Microsoft)

при включении ПК открывается вредоносный сайт

Какой?

**pipendrusu** · 26.02.2023, 23:29

Пофиксил, но этой строки не было в списке:
O22 - BITS Job: (download) {5A7FC06F-76DB-4EE0-B732-EC26D82D0193} - https://emupdate.avcdn.net/files/emu...autoupdate.ini -> C:\Windows\TEMP\181b5d26-ee34-41a9-bb8c-cffe4a83baaf

Сайт открывается Dlive.tv, причем в обычной опере, которой никто не пользуется. Я использую D:/programs/OperaVPN.

**mike 1** · 27.02.2023, 20:41

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что под окном Optional Scan отмечены "List BCD", "Driver MD5" и "90 Days Files".
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

**pipendrusu** · 27.02.2023, 21:11

ФРСТ запустился на русском, я не смог сделать его английским. Отметил на снимке то, что выбрал.

**mike 1** · 27.02.2023, 21:27

ВНИМАНИЕ! Данный скрипт написан специально для этого пользователя, использование его на другом компьютере может привести к неработоспособности Windows!

Временно выгрузите антивирус, файрволл и прочее защитное ПО.

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в кодировке Юникод в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Код:

CreateRestorePoint:
CloseProcesses:
virustotal: D:\programs\MKey\MKey.exe
HKLM-x32\...\Run: [] => [X]
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\Software\Policies\...\system: [DisableAcrylicBackgroundOnLogon] 1
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\dpclat.exe.lnk [2021-11-09]
ShortcutTarget: dpclat.exe.lnk -> D:\programs\dpclat.exe (Thesycon Systemsoftware Consulting GmbH -> Thesycon GmbH)
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ограничение <==== ВНИМАНИЕ
Task: {055F46C5-84DC-42FC-B73F-D8470771B2C1} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineUA => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler (Нет файла)
Task: {4C12E63B-9DE7-4930-B1D2-739E955DBC4E} - System32\Tasks\MicrosoftEdgeUpdateTaskMachineCore => C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c (Нет файла)
C:\Users\pipen\AppData\Roaming\Opera Software\Opera Stable\Extensions\enegjkbbakeegngfapepobipndnebkdk
C:\Users\pipen\AppData\Roaming\Opera Software\Opera Stable\Extensions\kipjbhgniklcnglfaldilecjomjaddfi
CustomCLSID: HKU\S-1-5-21-2687070377-2689079423-2359811401-1001_Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InprocServer32 ->  => Нет файла
CustomCLSID: HKU\S-1-5-21-2687070377-2689079423-2359811401-1001_Classes\CLSID\{86ca1aa0‑34aa‑4e8b‑a509‑50c905bae2a2}\InprocServer32 ->  => Нет файла

Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Обратите внимание, что компьютер будет перезагружен.
Внимание! Если на рабочем столе будет создан архив Дата_время.zip, то загрузите этот архив через данную форму

**pipendrusu** · 27.02.2023, 22:18

fixlog

**mike 1** · 27.02.2023, 22:24

Что с проблемой?

**pipendrusu** · 27.02.2023, 22:24

сайт по-прежнему вылезает

**mike 1** · 27.02.2023, 22:45

Сделайте лог Process Monitor

**pipendrusu** · 28.02.2023, 08:49

Странно, но сайт при запуске больше не появляется, вылез только один раз. Лог на всякий случай сделал.
http://file.sampo.ru/9rgqd7/

P.S. компьютер стал включаться значительно медленнее, открытие браузера вообще ждать минут 10.

**mike 1** · 28.02.2023, 21:47

Сообщение от pipendrusu

Лог на всякий случай сделал.

Тогда такой лог не имеет смысла.

**pipendrusu** · 01.03.2023, 20:43

Сообщение от mike 1

Тогда такой лог не имеет смысла.

Как посоветуете восстановить ПК после заражения? Тормозит жутко теперь. Чем пройтись по нему? Спасибо.

**mike 1** · 01.03.2023, 21:44

Попробуйте Windows Defender отключить.

**pipendrusu** · 02.03.2023, 08:52

Сообщение от mike 1

Попробуйте Windows Defender отключить.

Он давно вырезан. Подскажите пожалуйста, можно как-то узнать, какой вирус или вирусная служба грузит систему? ПК работает как pentium 1 после вируса.

**mike 1** · 02.03.2023, 10:45

А с чего вы взяли, что нагрузку вызывает вирус? Какой процесс грузит ЦП?

**pipendrusu** · 03.03.2023, 22:33

Сообщение от mike 1

А с чего вы взяли, что нагрузку вызывает вирус? Какой процесс грузит ЦП?

Просто до заражения всё летало, сейчас - ползает. Нет ли у вас инструкции, как посмотреть, что грузит систему? По-моему, что-то грузит HDD, также в бpаузере перестало просматриваться видео и он сам сильно тормозит.
Я только это смог обнаружить своими силами.

**mike 1** · 03.03.2023, 23:05

Смотрите вкладки "Производительность" и "Подробности" в диспетчере задач.

**pipendrusu** · 04.03.2023, 08:53

Сообщение от mike 1

Смотрите вкладки "Производительность" и "Подробности" в диспетчере задач.

Не показывает там, видимо скрытая вирусная служба. В безопасном режиме все ок.

при включении ПК открывается вредоносный сайт (заявка № 228053)

Опции темы