Решена PUP.Optional.Mail RU

Статус
В этой теме нельзя размещать новые ответы.

Ruslan8695

Новый пользователь
Сообщения
46
Реакции
0
Здравствуйте как видно из названия заголовка поймал этого вредителя как избавиться теперь не знаю. Что я делал программа Zemana находила и убивала гада. После запускал Malwarebytes она находила опять файл PUP.Optional.Mail RU. После нашёл видео на Ютубе человек в безопасном режиме удалил папку полностью Гугл я удалил, но не через безопасный разницы думаю не будет, но попробую в нём то же удалить хотя мне кажется это то же не поможет. После запустил опять Malwarebytes ура нечего нет, но радость была не долгой стоило произвести синхронизировать аккаунт Гугла он опять тут как тут. Помогите, я то думал проблема в железе, а оказывается эта гадость мне уже 6 месяцев мозги делает. Грузит проц просто от чего идет не хилый нагрев как следствие растет тепло отдача. Просто Каспер его почему то не увидел. Я и представить не мог, что это Вирусняк какой то.
 
Здравствуйте вот.
 

Вложения

  • CollectionLog-2018.03.10-09.48.zip
    89.3 KB · Просмотры: 1
Проблема только в детекте или есть другие симптомы?

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\system32\MBCfg64.dll','');
 QuarantineFile('C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs', '');
 QuarantineFile('C:\Program Files (x86)\SCM\SCM.exe', '');
 ExecuteFile('schtasks.exe', '/delete /TN "USER_ESRV_SVC_QUEENCREEK" /F', 0, 15000, true);
 DeleteFile('C:\Program Files\Intel\SUR\QUEENCREEK\x64\task.vbs', '32');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

  • Скачайте AdwCleaner и сохраните его на Рабочем столе.
  • Запустите его (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[S0].txt.
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Вот. Детект это, что пардон? Просто я не знаю. Симптом один и очень плохой при запуске Гугл Хрома может бы такое, что у меня открыта одна вкладка просто да же без содержания видео температура процессора резко скачет вверх до 60-70 градусов 6 месяцев я думал может дело в нехватке Озу хотя 8 Гб для работы Хрома вполне достаточно. Потом смотрел на простом настольном Пк там Озу то же 8 Гб и проц куда слабее, ну там скачков таких с температурой нет, а ноутбук 6 месяцев уже мне мозги делает. Я знал, что это не нормальные скачки, сначала мне все говорили отнести в ремонт, потом заменить пасту на проце, да же если она высохла совсем это не повод процу держать температуру на 20 градусов больше. Потом ещё один начал мне лечить Радиатор мол не вывозит. А тут один подсказал на другом форуме говорить проверь на Вирусы и вот оно счастье. Только как теперь от него избавиться не знаю. А Каспер меня опять подвел, думал если он стоит потом Адблоки всех мастей то мне нечего не страшно. Ну как бы не так. Вот этот процесс Гугл на скрине 32 процента нагружает проц, пока его не вырублю ноут греется и звук самолета идущего на взлет.
 

Вложения

  • AdwCleaner[S5].txt
    1.9 KB · Просмотры: 4
  • FRST.txt
    52.7 KB · Просмотры: 2
  • Addition.txt
    63.5 KB · Просмотры: 3
  • Shortcut.txt
    100.1 KB · Просмотры: 0
  • Новый точечный рисунок2.jpg
    Новый точечный рисунок2.jpg
    63.2 KB · Просмотры: 96
Детект это, что пардон?
Это упрощенное от детектирование антивирусным/защитным продуктом.
Играми от mail.ru пользуетесь? А то вижу кусок работающего античита

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {0b193021-3601-11e7-8551-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {423e0b0f-5987-11e7-8591-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {597d8dd2-8bb3-11e7-85da-acfdcec75574} - "F:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {67f81891-5053-11e7-857b-acfdcec75574} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL L:\autorun.exe /auto
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {7576a4eb-4f4c-11e7-8579-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL M:\autorun.exe /auto
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {832de124-eae5-11e7-8689-acfdcec75574} - "H:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {8abcefed-f092-11e6-84c6-d8cb8a806fb5} - "L:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {8c5391fa-edc8-11e6-84c2-d8cb8a806fb5} - "I:\Lenovo_Suite.exe" 
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {b36fa2aa-4f44-11e7-8578-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL M:\autorun.exe /auto
    HKU\S-1-5-21-437679703-1463114569-840393526-1001\...\MountPoints2: {b61baa96-f5de-11e7-8698-d8cb8a806fb5} - "C:\Windows\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL J:\autorun.exe /auto
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
    SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

А Каспер меня опять подвел, думал если он стоит потом Адблоки всех мастей то мне нечего не страшно.
Скорее всего проблема в "недонсатройке" антивируса. Вот примерно, то, что нужно включить Как включить обнаружение программ, которые могут быть использованы злоумышленниками, в Kaspersky Internet Security 2016

AVAST Software - у вас был установлен?
Визуальные закладки - в Хроме удалите, на них идет детект

1. Скачайте портабельную версию Хрома и проверьте будут ли зависания на ней (синхронизацию не включайте). Если нагрузка упадет, то переходите к пункту 2
2. Отключите расширения chrome в том числе и служебные. Потом включайте по одному пока не возникнет проблема с нагрузкой.
 
И да, при комбинации Shift+Esc можно вызвать диспетчер задач хрома, там можно посмотреть какое дополнение вызывает нагрузку.
 
От мейл да игры есть, но в них давно не играю и Автозапуск их игрового центра отключен. Удалить не проблема если в этом дело. Кроме Каспера больше нечего нет. Авасата некогда не было. Так визуальные закладки у меня и на простом Пк стоят ну там того нет вот. Вот ещё скрины прикреплю, с диспетчером задач Хром выходит, что нагрузку дает Плагин, плагин нажимаю завершить процесс происходит само собой Краш приложения Вконтакте. После открываю опять вот кучу вкладок температура опять резко возрастает и резко падает. Ещё думал, что дело в Адоб Флэш Плеер его удалял толку то же не дало. Потом опять поставил ну теперь его в списке установленных программ нет. Ну Вы наверно правы это мейл центра, а точнее Античита. Попробую портабельную версию скачать. В Каспере все так и выставлено.
 

Вложения

  • Fixlog.txt
    6.6 KB · Просмотры: 1
  • Новый точечный рисунок3.jpg
    Новый точечный рисунок3.jpg
    90.6 KB · Просмотры: 72
  • Новый точечный рисунок4.jpg
    Новый точечный рисунок4.jpg
    90.7 KB · Просмотры: 76
В хроме включено аппаратное ускорение? Если да, то попробуйте его отключить
Google Grupper
 
Авасата некогда не было.
Тогда
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
    Task: {78573E75-1732-42EE-B56C-B8D74652B8DE} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2018-02-02] (AVAST Software)
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Ускорение отключал. Комп на процессоре селерон G1820 температура при старте 32 ядро 1, 27 ядро 2. После открытия приложения и открытия 9 вкладок 50 и 48. На ноутбке процессор 4210Н температура при старте 43 и 45, после открытия того же количества вкладок температура 64 и 68. Мне кажется это все ровно не нормальным. Или я зря волнуюсь? Вот этот плеер сильно грузит проц shockwave flash, ну а без него как. А как щас мне от вируса избавиться?
 

Вложения

  • Fixlog.txt
    2.1 KB · Просмотры: 1
Прыжок температуры ощутим, для ноутбуков такое возможно, но нужно перепроверить все. Выше результаты с портабельной версией хрома? Дополнения отключали как я писал выше? Проверяли "визуальные закладки" (Деинсталировать и провести сканирование)?
И да, можно деинсталировать лишние программы защиты, оставить антивирус и адблок. SpyHunter в том числе, под удаление... чем больше проверяющего софта, тем выше нагрузка на процессор.

Или можно так, отключите синхронизацию хрома Get your bookmarks, passwords & more on all your devices - Computer - Google Chrome Help и
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7, 8, 8.1, 10 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать"), а по окончании сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.
 
Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
Подробнее читайте в руководстве Как подготовить лог UVS.
 
Нет результат с полноценной версией, ну и с портативной версией не особо отличается. Закладки деинсталировал результат не дало. Стоит только Каспер и Адблок, из Аккаунта Гугл вышел. Вот прикрепляю файлы. SpyHunter удален.
 

Вложения

  • AdwCleaner[S5].txt
    1.7 KB · Просмотры: 5
  • MSI_2018-03-10_23-27-53.7z
    712.4 KB · Просмотры: 2
Закладки деинсталировал результат не дало.
Дало, теперь просто хвосты детектирует в реестре. Их можно спокойно удалить при помощи ADW

Знакомые дополнения? Если не нужны их можно удалить
УМНАЯ БЛОКИРОВКА РЕКЛАМЫ ВКОНТАКТЕ
Web Defender - Надежная Веб-защита
ePN CashBack Plugin
Stop Ads - Полное Блокирование Рекламы

Еще раз проверил логи, активного заражения нет. Mail ru детектируется западными вендорами, и никуда от этого не деться. Им и займемся.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код:
    Start::
    CreateRestorePoint:
    FF Plugin HKU\S-1-5-21-437679703-1463114569-840393526-1001: @mail.ru/GameCenter -> C:\Users\Руслан\AppData\Local\Mail.Ru\GameCenter\NPDetector.dll [No File]
    S3 mracsvc; C:\Windows\System32\mracsvc.exe [8010968 2017-12-30] (LLC Mail.Ru)
    C:\Windows\System32\mracsvc.exe
    S3 mracdrv; C:\Windows\System32\drivers\mracdrv.sys [7238880 2017-12-30] (LLC Mail.Ru)
    C:\Windows\System32\drivers\mracdrv.sys
    C:\Windows\System32\drivers\EsgScanner.sys
    [-HKU\S-1-5-21-437679703-1463114569-840393526-1001\Software\Mail.Ru]
    [-HKCU\Software\Mail.Ru]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
Ну на скачки температуры это все так же не как не повлияло.
УМНАЯ БЛОКИРОВКА РЕКЛАМЫ ВКОНТАКТЕ если убираю тут как тут слева реклама сразу отовсюду лезет в Вконтакте.
Web Defender - Надежная Веб-защита в принципе можно удалить
ePN CashBack Plugin то же в принципе можно удалить
Stop Ads опять же удаляю и привет Реклама не на вижу рекламу
Чё после того как вы мне поможете я не смогу вновь спокойно все расширения обратно просто так поставить? Они же на температуру не влияют как мы выяснили. Закладки то чем провинились? Я уже и клиент Мейла снес вместе с Играми все равно вот эта гадость сидит и все PUP.Optional.Mail RU. Должен же быть какой то способ убить её и забыть.

Посмотрел теперь понял, я может уже просто от усталости не заметил. Да щас увидел Закладки несли эту заразу. Но вот Malwarebytes на скрине почему то все равно ссылается на Хром, а когда делаю скан ADW он теперь только ссылается на файлы SpyHunter которые я почему то не могу найти на диске и удалить Физически. Что мне его опять по новый ставить, что бы найти эти файлы? Вот скриншоты взгляните.
 

Вложения

  • Fixlog.txt
    2.2 KB · Просмотры: 2
  • Новый точечный рисунок5.jpg
    Новый точечный рисунок5.jpg
    58.3 KB · Просмотры: 76
  • Новый точечный рисунок6.jpg
    Новый точечный рисунок6.jpg
    40.8 KB · Просмотры: 84
Последнее редактирование модератором:
Давайте по порядку.
1. Приложения можете ставить назад если используете, мы их отключали удаляли в рамках проверки.
2. PUP.Optional.Mail RU проверьте, что находится в папке web data и можете ее очистить (если там важного нет ничего, нет хрома под рукой, чтоб проверить).
3. Деинсталируйте MBAM, он годиться для разовой проверки, а в режиме защиты он очень чувствительный, детект ведь не на вредоносное ПО, а на нежелательное. MBAM очень много детектирует лишнего как на мой взгляд.
которые я почему то не могу найти на диске и удалить Физически
Их физически и нет, можно проигнорировать
Закладки то чем провинились?
Их детектировал Adwcleaner. Можете восстанавливать.
 
То есть я просто так 2 суток ерундой занимался? То есть все нормально можете сказать честно. То есть наличие вот этого PUP.Optional.Mail RU не на, что не влияет?
 
То есть я просто так 2 суток ерундой занимался?
Скажем так, перестраховались. Нельзя было быть уверенным, что это не реальное adware поселилось в начале.
То есть все нормально можете сказать честно.
Активного заражения не видно. Только немного нежелательно ПО.
Такое отношение западный вендоров вызвано (в основном) тем, что продукты mail.ru распространялись, в том числе, при помощи вредоносного/рекламного ПО без запроса пользователя...
 
Тогда финальные рекомендации по закрытию уязвимых мест в системе
Подготовьте лог лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу