Решена Проблема с PUP.Optional.Legasy и PUP.Optional.MailRu

[Poison_Kiss]

Доброго времени суток!
Некоторое время назад начал замечать, что при заходе на главную Яндекса стало появляться сообщение о нежелательном ПО, немного напрягся, полез гуглить — в итоге сканировал компьютер разными утилитами, Malwarebytes и Adwcleaner нашли какую-то разную хрень под названием PUP.Optional.Legasy, PUP.Optional.MailRu, были и еще некоторые другие, но их названия не запомнил, т.к. удалил в 1-е сканирование еще до обращения сюда .
Из проявлений — периодически после нажатия на любую ссылку при переходе в адресной строке к этой ссылке прикрепляется UTM-метка с какой-то рекламой, ну и ругается главная Яндекса.
Из того, что пробовал сделать сам — удалял при первых проверках, перезагружал и т.д., бесполезно — опять вылезает.
Маленько почитал ваш форум с аналогичной проблемой — выключал синхронизацию, стирал данные, удалял, потом заново ставил Хром. На чистом Хроме в незалогиненом состоянии немного походил по сайтам, проги-проверяльщики ничего не нашли. Потом синхронизировался без расширений, на главной Яндекса сообщений не было (в тот момент не чекал прогами, к сожалению), далее включил расширения, но прежде чем успел их выключить в списке расширений они уже попрогружались. Потом я их все выключил, начал включать с базового UBlock и LastPass, проверил программами — опять нашло эту непонятную фигню.
В общем как-то так.

Логи по инструкции записал, прикрепляю. Также прикреплю последние логи Malwarebytes и Adwcleaner.

 

[Sandor]

Здравствуйте!

"Пофиксите" в HijackThis:

O4 - HKLM\..\Session Manager: [BootExecute] = hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2f,00,6b,00,3a,00,43,00,20,00,2a,00,00,00,00,00  (file missing)
O4 - HKU\S-1-5-19\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)
O4 - HKU\S-1-5-20\..\Run: [Sidebar] = C:\Program Files\Windows Sidebar\Sidebar.exe /autoRun (file missing)

Дополнительно:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

 

[Poison_Kiss]

Большое спасибо за оперативную помощь!)
В Hijack пофиксил, логи из FRST прикрепляю.

 

[Sandor]

Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  

  Start::
  CreateRestorePoint:
  HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
  FF HKU\S-1-5-21-1243450546-3835567771-1510964232-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Олег\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi => not found
  CHR HomePage: Default -> hxxp://mail.ru/cnt/10445?gp=811036
  CHR HKU\S-1-5-21-1243450546-3835567771-1510964232-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo]
  2020-03-23 03:02 - 2019-02-25 01:57 - 000000000 ____D C:\ProgramData\IObit
  ContextMenuHandlers1: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers4: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  ContextMenuHandlers6: [IObitUnstaler] -> {836AB26C-2DE4-41D3-AC24-4C6C2699B960} =>  -> No File
  AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [147]
  AlternateDataStreams: C:\ProgramData\TEMP:D8999815 [200]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

[Poison_Kiss]

Добрый день!
Всё сделал, лог прикрепляю.

Подскажите, пожалуйста, это связано с расширениями браузера? А то боюсь их включать, но нужны для работы

 

[Sandor]

Мы пока выясняем. Сделайте ещё раз сканирование в AdwCleaner и покажите отчёт (с символом S[xx] в имени файла).

 

[Poison_Kiss]

Всё то же самое обнаруживается

На карантин не отправлять эти найденные файлы?

 

[Sandor]

Отключите синхронизацию в Chrome, (если включена) и сделайте Сброс настроек браузера Chrome.
После этого, не входя в аккаунт очистите найденное (отправьте в карантин и покажите отчет с символом C[xx]). После перезагрузки сделайте новый лог сканирования AdwCleaner.

На каком-то ещё устройстве используете Хром?

 

[Poison_Kiss]

S09 — сканировал и поместил на карантин сразу после выхода из акка Хроме, 2 ссылки удалило, 1 не получилось.
S10 — после перезагрузки еще раз просканировал, 1 ссылка осталась.

Использую Хром только на домашнем компьютере, на телефоне встроенный браузер Xiaomi.

 

[Sandor]

Из проявлений — периодически после нажатия на любую ссылку

Сейчас какие проявления остались?

 

[Poison_Kiss]

Сейчас какие проявления остались?

Прокликал свои закладки, вроде пока нет такого. На главной Яндекса тоже ничего нет.
Но это я пока не логинился в Хроме
Вангую, что потом опять появится.

 

[Sandor]

Перепроверьте настройки безопасности и прочтите статью о синхронизации.
После этого пробуйте войти в аккаунт.

Сообщите результат.

 

[Poison_Kiss]

Перепроверьте настройки безопасности и прочтите статью о синхронизации.
После этого пробуйте войти в аккаунт.

Сообщите результат.

В настройках безопасности все в порядке, лишних устройств нет. Не совсем понял про статью о синхронизации, мне нужно отключить что-то? А то там от 2013 года данные и интерфейс, немного непонятно)

И что в итоге делать с обнаруженной ссылкой из отчета 10, удалить её или ничего пока не предпринимать?

 

[Sandor]

Остановить синхронизацию - это делали?

 

[Poison_Kiss]

Остановить синхронизацию - это делали?

Нет, не нашел в итоге такой раздел, спасибо за подсказку
Если я сейчас жму "Остановить синхронизацию", то сотрутся вообще все данные и при следующей синхронизации уже не будет закладок и т.д., я правильно понял? Если так, то сохраню тогда закладки, дождусь вашего сообщения и жму

 

[Poison_Kiss]

В общем остановил синхронизацию, зашел в аккаунт заново, включил опять синхронизацию (расширения не включал), полазил по сайтам, проверил Adwcleaner — эта ссылка archi.ru по прежнему находится и не удаляется
Проверил еще раз Malwarebytes, кинул на карантин все найденные файлы, еще раз зашел в браузер и опять нашло еще 5 файлов PUP.Optional.Mail.ru

UPD. Много лишних движений сам делаю, остановил синхронизацию и залогинился, включать без команды больше не буду)

 

[Sandor]

На то, что находит Malwarebytes Antimalware не обращайте внимания. Так программа реагирует на поиск от mail.ru, который находится в списке поисковых систем русскоязычной версии Хрома.

После всех манипуляций внешне как-то проблема ещё проявляется?

 

[Poison_Kiss]

На то, что находит Malwarebytes Antimalware не обращайте внимания. Так программа реагирует на поиск от mail.ru, который находится в списке поисковых систем русскоязычной версии Хрома.

После всех манипуляций внешне как-то проблема ещё проявляется?

А что за ссылка archi.ru, почему её не получается никак удалить?

Внешне вроде бы никаких проявлений пока нет, главная Яндекса молчит, пробовал переходить по всяким ссылкам — пока никакой рекламы не вылазит.

То есть синхронизацию можно включать и запускать расширения?

 

[Sandor]

что за ссылка archi.ru

Какой-то новостной портал. Почему не удаляется - пока не понятно.

синхронизацию можно включать и запускать расширения?

Включите, проверьте и сообщите результат.

 

[Poison_Kiss]

Хорошо, протестирую и через несколько часов отпишусь