Решена Проблема с PUP.Optional.Legasy и PUP.Optional.MailRu

Статус
В этой теме нельзя размещать новые ответы.

Poison_Kiss

Новый пользователь
Сообщения
16
Реакции
0
Доброго времени суток!
Некоторое время назад начал замечать, что при заходе на главную Яндекса стало появляться сообщение о нежелательном ПО, немного напрягся, полез гуглить — в итоге сканировал компьютер разными утилитами, Malwarebytes и Adwcleaner нашли какую-то разную хрень под названием PUP.Optional.Legasy, PUP.Optional.MailRu, были и еще некоторые другие, но их названия не запомнил, т.к. удалил в 1-е сканирование еще до обращения сюда :(.
Из проявлений — периодически после нажатия на любую ссылку при переходе в адресной строке к этой ссылке прикрепляется UTM-метка с какой-то рекламой, ну и ругается главная Яндекса.
Из того, что пробовал сделать сам — удалял при первых проверках, перезагружал и т.д., бесполезно — опять вылезает.
Маленько почитал ваш форум с аналогичной проблемой — выключал синхронизацию, стирал данные, удалял, потом заново ставил Хром. На чистом Хроме в незалогиненом состоянии немного походил по сайтам, проги-проверяльщики ничего не нашли. Потом синхронизировался без расширений, на главной Яндекса сообщений не было (в тот момент не чекал прогами, к сожалению), далее включил расширения, но прежде чем успел их выключить в списке расширений они уже попрогружались. Потом я их все выключил, начал включать с базового UBlock и LastPass, проверил программами — опять нашло эту непонятную фигню.
В общем как-то так.

Логи по инструкции записал, прикрепляю. Также прикреплю последние логи Malwarebytes и Adwcleaner.
 

Вложения

  • CollectionLog-2020.03.27-01.18.zip
    56.8 KB · Просмотры: 3
  • Malwarebytes логи.txt
    4.6 KB · Просмотры: 3
  • AdwCleaner[S08].txt
    2.2 KB · Просмотры: 3
Здравствуйте!

"Пофиксите" в HijackThis:
Код:
O4 - HKLM\..\Session Manager: [BootExecute] = hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2f,00,6b,00,3a,00,43,00,20,00,2a,00,00,00,00,00  (file missing)
O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Большое спасибо за оперативную помощь!)
В Hijack пофиксил, логи из FRST прикрепляю.
 

Вложения

  • FRST.txt
    41.2 KB · Просмотры: 4
  • Addition.txt
    39.7 KB · Просмотры: 3
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    FF HKU\S-1-5-21-1243450546-3835567771-1510964232-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Олег\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
    CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811036
    CHR HKU\S-1-5-21-1243450546-3835567771-1510964232-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
    2020-03-23 03:02 - 2019-02-25 01:57 - 000000000 ____D C:\ProgramData\IObit
    ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
    ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
    ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
    AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [147]
    AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Добрый день!
Всё сделал, лог прикрепляю.

Подскажите, пожалуйста, это связано с расширениями браузера? А то боюсь их включать, но нужны для работы :)
 

Вложения

  • Fixlog.txt
    3.3 KB · Просмотры: 3
Мы пока выясняем. Сделайте ещё раз сканирование в AdwCleaner и покажите отчёт (с символом S[xx] в имени файла).
 
Всё то же самое обнаруживается :(

На карантин не отправлять эти найденные файлы?
 

Вложения

  • AdwCleaner[S08].txt
    2.2 KB · Просмотры: 5
Отключите синхронизацию в Chrome, (если включена) и сделайте Сброс настроек браузера Chrome.
После этого, не входя в аккаунт очистите найденное (отправьте в карантин и покажите отчет с символом C[xx]). После перезагрузки сделайте новый лог сканирования AdwCleaner.

На каком-то ещё устройстве используете Хром?
 
S09 — сканировал и поместил на карантин сразу после выхода из акка Хроме, 2 ссылки удалило, 1 не получилось.
S10 — после перезагрузки еще раз просканировал, 1 ссылка осталась.

Использую Хром только на домашнем компьютере, на телефоне встроенный браузер Xiaomi.
 

Вложения

  • AdwCleaner[S09].txt
    2.3 KB · Просмотры: 2
  • AdwCleaner[S10].txt
    2.3 KB · Просмотры: 3
Сейчас какие проявления остались?
Прокликал свои закладки, вроде пока нет такого. На главной Яндекса тоже ничего нет.
Но это я пока не логинился в Хроме :D
Вангую, что потом опять появится.
 
Перепроверьте настройки безопасности и прочтите статью о синхронизации.
После этого пробуйте войти в аккаунт.

Сообщите результат.
В настройках безопасности все в порядке, лишних устройств нет. Не совсем понял про статью о синхронизации, мне нужно отключить что-то? А то там от 2013 года данные и интерфейс, немного непонятно)

И что в итоге делать с обнаруженной ссылкой из отчета 10, удалить её или ничего пока не предпринимать?
 
Последнее редактирование:
Нет, не нашел в итоге такой раздел, спасибо за подсказку
Если я сейчас жму "Остановить синхронизацию", то сотрутся вообще все данные и при следующей синхронизации уже не будет закладок и т.д., я правильно понял? Если так, то сохраню тогда закладки, дождусь вашего сообщения и жму
 
В общем остановил синхронизацию, зашел в аккаунт заново, включил опять синхронизацию (расширения не включал), полазил по сайтам, проверил Adwcleaner — эта ссылка archi.ru по прежнему находится и не удаляется :(
Проверил еще раз Malwarebytes, кинул на карантин все найденные файлы, еще раз зашел в браузер и опять нашло еще 5 файлов PUP.Optional.Mail.ru

UPD. Много лишних движений сам делаю, остановил синхронизацию и залогинился, включать без команды больше не буду)
 

Вложения

  • AdwCleaner[S11].txt
    2.3 KB · Просмотры: 2
  • Malwarebytes логи2 .txt
    5.4 KB · Просмотры: 2
  • Malwarebytes логи3 .txt
    3.1 KB · Просмотры: 3
Последнее редактирование:
На то, что находит Malwarebytes Antimalware не обращайте внимания. Так программа реагирует на поиск от mail.ru, который находится в списке поисковых систем русскоязычной версии Хрома.

После всех манипуляций внешне как-то проблема ещё проявляется?
 
На то, что находит Malwarebytes Antimalware не обращайте внимания. Так программа реагирует на поиск от mail.ru, который находится в списке поисковых систем русскоязычной версии Хрома.

После всех манипуляций внешне как-то проблема ещё проявляется?
А что за ссылка archi.ru, почему её не получается никак удалить?

Внешне вроде бы никаких проявлений пока нет, главная Яндекса молчит, пробовал переходить по всяким ссылкам — пока никакой рекламы не вылазит.

То есть синхронизацию можно включать и запускать расширения?
 
Хорошо, протестирую и через несколько часов отпишусь :)
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу