Решена вирус pup.optional.legacy

Статус
В этой теме нельзя размещать новые ответы.
И

Иванна

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте. Помогите избавиться такого вируса, как pup.optional.legacy. Я пробовала удалять его различными анивирускамы: аваст, adwcleaner,другими. Чистила ноут с помощью программы клинер, чистила хром, удалила новые скаченые файлы. Аdwcleaner показал такие результаты :
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build: 04-27-2018
# Database: 2018-04-24.1
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 05-12-2018
# Duration: 00:00:33
# OS: Windows 7 Ultimate
# Scanned: 40734
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.Legacy @MAIL.RU

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S28].txt ##########
 
Check Browsers' LNK by Alex Dragokas & regist ver. 2.2.0.27

OS: x32 Windows 7 (Ultimate), 6.1.7601.24136, Service Pack: 1 ( SingleUserTS / Workstation )
Time: 12.05.2018 - 20:09
Language: OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419). Codepage: OEM - c_866.nls (ok), ANSI - c_1251.nls (ok)
Elevated: Yes
User: Admin (group: Administrator) on ADMIN-ПК


* Подозрительные объекты будут отмечены префиксом >>>

===========================================================================
(((((( БРАУЗЕРНЫЕ ярлыки ))))))
===========================================================================

[___________________________ С аргументами _____________________________]

- "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Google Play Фильмы.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> --profile-directory="Profile 3" --app-id=gdijeikdkaembjbdobgfkoidjkpbmlkd]

[___________________ Подозрительные ( низкий риск ) ____________________]

- "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Пользователь 1 - Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> --profile-directory="Profile 3"]

[_________________________ Цель не существует __________________________]

>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Google Chrome - с темами для Вконтакте.lnk" -> ["C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> -extoff]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]

[=========================================================================]
(((((( Прочие ярлыки ))))))
===========================================================================

[_________________________ Цель не существует __________________________]

>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Auslogics BoostSpeed.lnk" -> ["C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\OpenSubtitlesPlayer V4.7.lnk" -> ["C:\Program Files\OpenSubtitlesPlayer\OpenSubtitlesPlayer.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Screenshot Reader.lnk" -> ["C:\Program Files\ABBYY FineReader 11\Bonus.ScreenshotReader.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Total Audio Converter 4.lnk" -> ["C:\Program Files\TotalAudioConverter4\TotalAudioConverter4.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Total Audio Converter.lnk" -> ["C:\Program Files\TotalAudioConverter\AudioConverter.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Uninstall Tool.lnk" -> ["C:\Program Files\Uninstall Tool\UninstallTool.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\uruninstaller..lnk" -> ["C:\Program Files\Your Uninstaller 2008\uruninstaller.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2.lnk" -> ["C:\Program Files\AIMP2\AIMP2.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Home.lnk" -> ["C:\Program Files\AIMP2\AIMP2.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\Uninstall.lnk" -> ["C:\Program Files\AIMP2\Uninstall.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Manual (Russian).lnk" -> ["C:\Program Files\AIMP2\Help\AIMP2-ru.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Manual (English).lnk" -> ["C:\Program Files\AIMP2\Help\AIMP2-en.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Advanced Tag Editor.lnk" -> ["C:\Program Files\AIMP2\AIMP2t.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Hamster PDF Reader.lnk" -> ["C:\Program Files\Hamster Soft\Hamster PDF Reader\HamsterPDFReader.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Деинсталлировать Hamster PDF Reader.lnk" -> ["C:\Program Files\Hamster Soft\Hamster PDF Reader\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русский язык для Sibelius 6.2.0.88\Sibelius 6.2 Rus.lnk" -> ["D:\Sibelius 6\Sibelius 6\Sibelius.EXE"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk" -> ["C:\Program Files\DAEMON Tools Lite\daemon.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\Uninstall.lnk" -> ["C:\Program Files\DAEMON Tools Lite\uninst.exe"]

[=========================================================================]
(((((( Интернет-ярлыки ))))))
===========================================================================

- "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\З робочого стола\Папки\книги\Теорія музики\theory\Сайт Продавец Сыра..url" -> hxxp://prodavezsira.narod.ru/
- "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Кинопоиск.website" -> hxxps://kinopoisk.ru/?utm_source=pin&utm_medium=link&utm_campaign=main

[____________________ Статистика ___________________]

Найдено угроз: 25
Режим запуска: -savelog . -silent -timeout 285
Перечислено файлов: 116421 (папок: 21091, ярлыков: 226)
Затрачено времени: 21 сек. (поиск: 19 сек., анализ: 2 сек.; engine: MFT)

Проверены:
C:\Users\Admin
C:\Users\Default
C:\Users\Public
C:\ProgramData
______________________________ Конец лога ________________________________13700 bytes, CRC32: FFFFFFFF. Sign: 죈
 
1. Практически не то. Нужен архив который создает автологер, а не содержимое некоторых логов.
2. То, что нашел AdwCleaner можно удалить, если используете софт/услуги от mail.ru, то такой детект нормален.
 
Это не вирус, это mail.ru. Западные вендоры его не любят.
1. Есть хвосты от антивирусных продуктов Симантек, нужно дочистить
Загрузка средства удаления продукта Norton

2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
==============
 

Вложения

Последнее редактирование модератором:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код: 
Start::
CreateRestorePoint:
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: {ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} - F:\AutoRun.exe
HKU\S-1-5-18\...\Run: [Norton Download Manager{NAV2281014-SHPD-FSD570026}] => C:\Users\Public\Downloads\Norton\{NAV2281014-SHPD-FSD570026}\NAVFSD.exe /m
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
2017-05-06 10:59 - 2017-05-07 18:33 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1
2017-05-05 08:12 - 2017-05-05 08:12 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\Docat.exe.sha1
2017-05-05 08:11 - 2017-05-05 08:11 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1
2017-03-30 11:50 - 2017-03-30 11:50 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1
Task: {CE8C4A7B-F9B6-441E-AA18-96F0EF403849} - System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => C:\Users\Admin\Downloads\drweb-11.0-ss-win.exe
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Fix result of Farbar Recovery Scan Tool (x86) Version: 13.05.2018
Ran by Admin (16-05-2018 21:18:40) Run:1
Running from C:\Users\Admin\Desktop
Loaded Profiles: Admin (Available Profiles: Admin)
Boot Mode: Normal

==============================================

fixlist content:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: {ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} - F:\AutoRun.exe
HKU\S-1-5-18\...\Run: [Norton Download Manager{NAV2281014-SHPD-FSD570026}] => C:\Users\Public\Downloads\Norton\{NAV2281014-SHPD-FSD570026}\NAVFSD.exe /m
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
2017-05-06 10:59 - 2017-05-07 18:33 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1
2017-05-05 08:12 - 2017-05-05 08:12 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\Docat.exe.sha1
2017-05-05 08:11 - 2017-05-05 08:11 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1
2017-03-30 11:50 - 2017-03-30 11:50 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1
Task: {CE8C4A7B-F9B6-441E-AA18-96F0EF403849} - System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => C:\Users\Admin\Downloads\drweb-11.0-ss-win.exe
EmptyTemp:
Reboot:

*****************

Restore point was successfully created.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b}" => removed successfully.
HKLM\Software\Classes\CLSID\{ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} => not found
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Norton Download Manager{NAV2281014-SHPD-FSD570026}" => removed successfully.
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
C:\Windows\system32\GroupPolicy\User => moved successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\Docat.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1 => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CE8C4A7B-F9B6-441E-AA18-96F0EF403849}" => removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CE8C4A7B-F9B6-441E-AA18-96F0EF403849}" => removed successfully.
C:\Windows\System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B61A7420-018F-4D76-A3FF-E7D4147301CF}" => removed successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4659718 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 4974792 B
Edge => 0 B
Chrome => 38161839 B
Firefox => 17880727 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66262 B
Public => 0 B
ProgramData => 0 B
systemprofile => 32523209 B
LocalService => 132244 B
NetworkService => 6440 B
Admin => 33093444 B

RecycleBin => 0 B
EmptyTemp: => 133.4 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 21:19:46 ====
 
Что с проблемами?
 
к сожалению вирус не удалила . Отчет Malwarebytes




# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build: 04-27-2018
# Database: 2018-04-24.1
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 05-17-2018
# Duration: 00:00:59
# OS: Windows 7 Ultimate
# Scanned: 40734
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.Legacy @MAIL.RU

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S32].txt ##########
 
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2. Проверьте настройки Хрома, есть ли там возможность подключить поисковую машину от Mail.ru
4. Сделайте скриншот установленных дополнений в Хроме.
 
@Иванна, покажите на скриншотах установленные в Хроме расширения и список ВСЕХ поисковых систем.
 
  • Like
Реакции: akok
  • Like
Реакции: akok
Malwarebytes вируса не обнаружил, проверяла пару раз ). СПАСИБО ВАМ ОГРОМНОЕ !
 
О, это отличная новость. Тогда завершаем:
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.

Похожие темы

K
  • Закрыта
Решена Вирус PUP.Optional.Legacy появляется при синхроназции с акканутом Google
2
Ответы
25
Просмотры
2K
Kowka47
K
S
  • Закрыта
Решена Вирус PUP.Optional.Legacy Как удалить этот вирус?( Он вообще не удалется
2
Ответы
27
Просмотры
7K
akok
akok
U
Решена Вирус/майнер? Творит что хочет..
2
Ответы
24
Просмотры
209
Sandor
Sandor
Назад
Сверху Снизу