Решена вирус pup.optional.legacy

Статус
В этой теме нельзя размещать новые ответы.

Иванна

Новый пользователь
Сообщения
7
Реакции
0
Здравствуйте. Помогите избавиться такого вируса, как pup.optional.legacy. Я пробовала удалять его различными анивирускамы: аваст, adwcleaner,другими. Чистила ноут с помощью программы клинер, чистила хром, удалила новые скаченые файлы. Аdwcleaner показал такие результаты :
# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build: 04-27-2018
# Database: 2018-04-24.1
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 05-12-2018
# Duration: 00:00:33
# OS: Windows 7 Ultimate
# Scanned: 40734
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.Legacy @MAIL.RU

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S28].txt ##########
 
Check Browsers' LNK by Alex Dragokas & regist ver. 2.2.0.27

OS: x32 Windows 7 (Ultimate), 6.1.7601.24136, Service Pack: 1 ( SingleUserTS / Workstation )
Time: 12.05.2018 - 20:09
Language: OS: Russian (0x419). Display: Russian (0x419). Non-Unicode: Russian (0x419). Codepage: OEM - c_866.nls (ok), ANSI - c_1251.nls (ok)
Elevated: Yes
User: Admin (group: Administrator) on ADMIN-ПК


* Подозрительные объекты будут отмечены префиксом >>>

===========================================================================
(((((( БРАУЗЕРНЫЕ ярлыки ))))))
===========================================================================

[___________________________ С аргументами _____________________________]

- "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Приложения Chrome\Google Play Фильмы.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> --profile-directory="Profile 3" --app-id=gdijeikdkaembjbdobgfkoidjkpbmlkd]

[___________________ Подозрительные ( низкий риск ) ____________________]

- "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Пользователь 1 - Chrome.lnk" -> ["C:\Program Files\Google\Chrome\Application\chrome.exe" =>> --profile-directory="Profile 3"]

[_________________________ Цель не существует __________________________]

>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Google Chrome - с темами для Вконтакте.lnk" -> ["C:\Users\Admin\AppData\Local\Google\Chrome\Application\chrome.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe"]
>>> "C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk" -> ["C:\Program Files\Internet Explorer\iexplore.exe" =>> -extoff]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Yandex\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]
>>> "C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Yandex.lnk" -> ["C:\Users\Default\AppData\Local\Yandex\YandexBrowser\Application\browser.exe"]

[=========================================================================]
(((((( Прочие ярлыки ))))))
===========================================================================

[_________________________ Цель не существует __________________________]

>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Auslogics BoostSpeed.lnk" -> ["C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\OpenSubtitlesPlayer V4.7.lnk" -> ["C:\Program Files\OpenSubtitlesPlayer\OpenSubtitlesPlayer.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Screenshot Reader.lnk" -> ["C:\Program Files\ABBYY FineReader 11\Bonus.ScreenshotReader.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Total Audio Converter 4.lnk" -> ["C:\Program Files\TotalAudioConverter4\TotalAudioConverter4.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Total Audio Converter.lnk" -> ["C:\Program Files\TotalAudioConverter\AudioConverter.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\Uninstall Tool.lnk" -> ["C:\Program Files\Uninstall Tool\UninstallTool.exe"]
>>> "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\uruninstaller..lnk" -> ["C:\Program Files\Your Uninstaller 2008\uruninstaller.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2.lnk" -> ["C:\Program Files\AIMP2\AIMP2.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Home.lnk" -> ["C:\Program Files\AIMP2\AIMP2.url"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\Uninstall.lnk" -> ["C:\Program Files\AIMP2\Uninstall.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Manual (Russian).lnk" -> ["C:\Program Files\AIMP2\Help\AIMP2-ru.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Manual (English).lnk" -> ["C:\Program Files\AIMP2\Help\AIMP2-en.chm"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AIMP2\AIMP2 Advanced Tag Editor.lnk" -> ["C:\Program Files\AIMP2\AIMP2t.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Hamster PDF Reader.lnk" -> ["C:\Program Files\Hamster Soft\Hamster PDF Reader\HamsterPDFReader.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hamster Soft\PDF Reader\Деинсталлировать Hamster PDF Reader.lnk" -> ["C:\Program Files\Hamster Soft\Hamster PDF Reader\unins000.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Русский язык для Sibelius 6.2.0.88\Sibelius 6.2 Rus.lnk" -> ["D:\Sibelius 6\Sibelius 6\Sibelius.EXE"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\DAEMON Tools Lite.lnk" -> ["C:\Program Files\DAEMON Tools Lite\daemon.exe"]
>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DAEMON Tools Lite\Uninstall.lnk" -> ["C:\Program Files\DAEMON Tools Lite\uninst.exe"]

[=========================================================================]
(((((( Интернет-ярлыки ))))))
===========================================================================

- "C:\Users\Admin\Desktop\12 12 2014 Asus\Desktop\З робочого стола\Папки\книги\Теорія музики\theory\Сайт Продавец Сыра..url" -> hxxp://prodavezsira.narod.ru/
- "C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Кинопоиск.website" -> hxxps://kinopoisk.ru/?utm_source=pin&utm_medium=link&utm_campaign=main

[____________________ Статистика ___________________]

Найдено угроз: 25
Режим запуска: -savelog . -silent -timeout 285
Перечислено файлов: 116421 (папок: 21091, ярлыков: 226)
Затрачено времени: 21 сек. (поиск: 19 сек., анализ: 2 сек.; engine: MFT)

Проверены:
C:\Users\Admin
C:\Users\Default
C:\Users\Public
C:\ProgramData
______________________________ Конец лога ________________________________13700 bytes, CRC32: FFFFFFFF. Sign: 죈
 
1. Практически не то. Нужен архив который создает автологер, а не содержимое некоторых логов.
2. То, что нашел AdwCleaner можно удалить, если используете софт/услуги от mail.ru, то такой детект нормален.
 
AdwCleaner не удаляет вирус. Может что - то из этого ?
 

Вложения

  • CollectionLog-2018.05.13-19.59.zip
    73.6 KB · Просмотры: 8
Это не вирус, это mail.ru. Западные вендоры его не любят.
1. Есть хвосты от антивирусных продуктов Симантек, нужно дочистить
Загрузка средства удаления продукта Norton

2. Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочкой также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
==============
 

Вложения

  • Addition.txt
    26.4 KB · Просмотры: 4
  • FRST.txt
    37.4 KB · Просмотры: 4
  • Shortcut.txt
    82.2 KB · Просмотры: 2
Последнее редактирование модератором:
Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:
Код:
Start::
CreateRestorePoint:
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: {ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} - F:\AutoRun.exe
HKU\S-1-5-18\...\Run: [Norton Download Manager{NAV2281014-SHPD-FSD570026}] => C:\Users\Public\Downloads\Norton\{NAV2281014-SHPD-FSD570026}\NAVFSD.exe /m
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
2017-05-06 10:59 - 2017-05-07 18:33 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1
2017-05-05 08:12 - 2017-05-05 08:12 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\Docat.exe.sha1
2017-05-05 08:11 - 2017-05-05 08:11 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1
2017-03-30 11:50 - 2017-03-30 11:50 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1
Task: {CE8C4A7B-F9B6-441E-AA18-96F0EF403849} - System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => C:\Users\Admin\Downloads\drweb-11.0-ss-win.exe
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Подробнее читайте в этом руководстве.
 
Fix result of Farbar Recovery Scan Tool (x86) Version: 13.05.2018
Ran by Admin (16-05-2018 21:18:40) Run:1
Running from C:\Users\Admin\Desktop
Loaded Profiles: Admin (Available Profiles: Admin)
Boot Mode: Normal

==============================================

fixlist content:
*****************
CreateRestorePoint:
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: F - F:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: G - G:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: H - H:\AutoRun.exe
HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\...\MountPoints2: {ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} - F:\AutoRun.exe
HKU\S-1-5-18\...\Run: [Norton Download Manager{NAV2281014-SHPD-FSD570026}] => C:\Users\Public\Downloads\Norton\{NAV2281014-SHPD-FSD570026}\NAVFSD.exe /m
GroupPolicy: Restriction - Chrome <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
2017-05-06 10:59 - 2017-05-07 18:33 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1
2017-05-05 08:12 - 2017-05-05 08:12 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\Docat.exe.sha1
2017-05-05 08:11 - 2017-05-05 08:11 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1
2017-03-30 11:50 - 2017-03-30 11:50 - 000000040 _____ () C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1
Task: {CE8C4A7B-F9B6-441E-AA18-96F0EF403849} - System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => C:\Users\Admin\Downloads\drweb-11.0-ss-win.exe
EmptyTemp:
Reboot:

*****************

Restore point was successfully created.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\G" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\H" => removed successfully.
"HKU\S-1-5-21-1983319869-3513251492-1983189142-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b}" => removed successfully.
HKLM\Software\Classes\CLSID\{ec0d1fe7-845f-11e4-b0fe-20cf302bcf6b} => not found
"HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run\\Norton Download Manager{NAV2281014-SHPD-FSD570026}" => removed successfully.
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
C:\Windows\system32\GroupPolicy\User => moved successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Search Page => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Page_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Default_Search_URL => value restored successfully
HKLM\Software\\Microsoft\Internet Explorer\Main\\Local Page => value restored successfully
C:\Users\Admin\AppData\Roaming\AdobeMNS.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\Docat.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\onspdoc.exe.sha1 => moved successfully
C:\Users\Admin\AppData\Roaming\WinJar.exe.sha1 => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{CE8C4A7B-F9B6-441E-AA18-96F0EF403849}" => removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{CE8C4A7B-F9B6-441E-AA18-96F0EF403849}" => removed successfully.
C:\Windows\System32\Tasks\{B61A7420-018F-4D76-A3FF-E7D4147301CF} => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{B61A7420-018F-4D76-A3FF-E7D4147301CF}" => removed successfully.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 4659718 B
Java, Flash, Steam htmlcache => 0 B
Windows/system/drivers => 4974792 B
Edge => 0 B
Chrome => 38161839 B
Firefox => 17880727 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 66262 B
Public => 0 B
ProgramData => 0 B
systemprofile => 32523209 B
LocalService => 132244 B
NetworkService => 6440 B
Admin => 33093444 B

RecycleBin => 0 B
EmptyTemp: => 133.4 MB temporary data Removed.

================================


The system needed a reboot.

==== End of Fixlog 21:19:46 ====
 
Что с проблемами?
 
к сожалению вирус не удалила . Отчет Malwarebytes




# -------------------------------
# Malwarebytes AdwCleaner 7.1.1.0
# -------------------------------
# Build: 04-27-2018
# Database: 2018-04-24.1
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 05-17-2018
# Duration: 00:00:59
# OS: Windows 7 Ultimate
# Scanned: 40734
# Detected: 1


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.Legacy @MAIL.RU

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S32].txt ##########
 
  • Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Настройки отметьте:
    • Сброс политик IE
    • Сброс политик Chrome
  • Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt.
  • Прикрепите отчет к своему следующему сообщению
Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

Подробнее читайте в этом руководстве.

2. Проверьте настройки Хрома, есть ли там возможность подключить поисковую машину от Mail.ru
4. Сделайте скриншот установленных дополнений в Хроме.
 
@Иванна, покажите на скриншотах установленные в Хроме расширения и список ВСЕХ поисковых систем.
 
  • Like
Реакции: akok
  • Like
Реакции: akok
Malwarebytes вируса не обнаружил, проверяла пару раз ). СПАСИБО ВАМ ОГРОМНОЕ !
 
О, это отличная новость. Тогда завершаем:
Подготовьте лог SecurityCheck by glax24

Ознакомьтесь: Рекомендации после лечения

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:
  1. Запустите AVZ.
  2. Выполните обновление баз (Меню Файл - Обновление баз)
  3. Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
  4. В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт №8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
  5. Закачайте полученный архив, как описано на этой странице.
  6. Если размер архива превышает 250 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU, karelia.ru, Ge.tt или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу