PUP.Optional.Legacy не удаляется

**ritch** · 13.11.2017, 03:05

Не удаляется вирус PUP.Optional.Legacy. Часто вылетает реклама при клике в браузере (в приоритете браузер Opera. Но данная ситуация также прослеживается и в Chrome ), либо левая реклама на сайтах, на которых реклама раньше вовсе не показывалась.
Данный вирус был выявлен через adwcleaner.
Логи приложил + прилагаю логи adwcleaner.

Прошу помочь с ситуацией.

Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 13.11.2017, 03:06

Уважаемый(ая) ritch, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Vvvyg** · 16.11.2017, 06:54

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\Danil\Favorites\Links\Интернет.url"  ->                hxxp://tizmo.ru/?utm_source=favorites03&utm_content=aea8d3344cf60282e12da408b8f78494&utm_term=2B0B22BEC1DBF4F29AF39BC88A40DF32&utm_d=20171104

Отчёт о работе прикрепите.

Рекомендация дана в логе Adwcleaner:

/!\ Please Reset the Chrome Synchronization before cleaning the Chrome Preferences: https://support.google.com/chrome/answer/3097271

**ritch** · 16.11.2017, 19:26

Отчет:

ClearLNK by Alex Dragokas ver. 2.9.0.11

OS: x64 Windows 10 Home Single Language, 10.0.15063, Service Pack: 0
Time: 16.11.2017 - 19:21
Language: OS: RU (0x419). Display: RU (0x419). Non-Unicode: RU (0x419)
Elevated: Yes
User: Danil (group: Administrator)

_____________________________ Начало отчёта ____________________________
.
[DEL ] 1 "C:\Users\Danil\Favorites\Links\Интернет.url"
.
______________________________ Статистика ______________________________
Лечение запущено: 1 раз за сегодня.

Всего обработано: 1

Удалено: 1
____________________________ Конец отчёта ______________________________CRC32: 1402A852

Из аккаунта в хроме вышел, галочки с синхронизации убрал.

Спасибо заранее.

**Vvvyg** · 16.11.2017, 20:20

Проблема решена?

**ritch** · 16.11.2017, 20:24

Проблема осталась актуальной.
Все еще вылезает реклама azino888 и другие...

**Vvvyg** · 16.11.2017, 20:59

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**ritch** · 16.11.2017, 21:32

Файл во вложении.

**Vvvyg** · 16.11.2017, 22:01

Деинсталлируйте программы SoftUpdateChecker и Unity Web Player.

Удалите расширение Домашняя страница Mail.Ru в Хроме.

Хром запускается ярлыком с профилем "Profile 1":

Код:

C:\Users\Danil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Mikhail - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"

Сами прописывали?

**ritch** · 17.11.2017, 14:09

Деинсталлировал программу SoftUpdateChecker через CCleaner.
Unity Web Player не удаляется через CCleaner, ошибка следующая:

Error: 2 - Не удается найти указанный файл.

При попытки удаления через "установку и удаление файлов" также выскакивает ошибка:

Не удается найти "C:\Users\Danil\AppData\Local\Unity\WebPlayer\Unis tall.exe".
Проверьте, правильно ли указано имя и повторите попытку.

Дополнительно решил найти файл удаления вручную, дошел только до C:\Users\Danil\AppData\Local\Unity, данная папка пустая.

Расширение Mail.Ru в Хроме отсутствует, я так понимаю, что удалять нечего.

Профиль не настраивал. После выходи из существующего профиля, профиль, видимо изменился на этот. В настройках профиля Хром показывает, что в профиль еще не вошел.

**Vvvyg** · 17.11.2017, 22:19

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
SearchScopes: HKU\S-1-5-21-2735421386-372999335-744743674-1001 -> {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms}
CHR HomePage: Profile 1 -> mail.ru/cnt/11956636?rciguc__PARAM__
CHR Profile: C:\Users\Danil\AppData\Local\Google\Chrome\User Data\System Profile [2017-11-12]
CHR HKLM-x32\...\Chrome\Extension: [ehfjihahbphdpljpiadbkmgmhnfehhgi] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
U3 aswbdisk; no ImagePath
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
Task: {0EF28459-3934-43AD-A075-B54471F3B7AC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {2665961A-8737-4EB7-BDF3-F0DEC359BC7F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {2E3FB13E-8878-4684-B84E-AD3FF436DCFD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {30014BD6-CC7E-44DA-8C56-F8A028165ECB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
Task: {4BF4C4A0-A0DA-44AE-B03C-A7AB9BDDF95B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {4E3E95B8-4CA1-401B-A842-197B306E6A16} - System32\Tasks\SoftUpdateCheck => C:\Program Files (x86)\SoftUpdateChecker\updatechecker.exe
Task: {64C3799F-907C-437E-94F0-70874A56643E} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {7F0AC42E-5C69-41F8-9047-243797C2BCCB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {8038D5A7-0D4D-46F6-85FD-35BD8F875D33} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {842EA852-4999-406C-ADB6-AF33F397CD5A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {A0893256-7317-499B-9059-9548558CAEF2} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {B129FE71-21B4-4DD1-BF42-43B9B8C302BF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
ShortcutWithArgument: C:\Users\Danil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Mikhail - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
FF Plugin HKU\S-1-5-21-2735421386-372999335-744743674-1001: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Danil\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [2016-05-08] (Unity Technologies ApS)
2017-11-10 21:37 - 2015-10-17 18:08 - 000000000 ____D C:\Users\Danil\AppData\Local\Unity
Reg: reg delete "HKU\S-1-5-21-4065896076-628433310-3467765972-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\UnityWebPlayer" /f
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, в FRST нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Очистите кэш и cookies-файлы браузеров и сообщите, что с проблемой.

**ritch** · 18.11.2017, 00:48

Проблема не решена, к сожалению :/ .
Файл прилагаю.

Блокнот сохранял на раб. столе, соответственно с него же и запускал программу.

Очистку вел через CCleaner.

**thyrex** · 18.11.2017, 10:38

Отключите ВСЕ установленные расширения для браузеров и проверьте проблему с рекламой

**ritch** · 18.11.2017, 17:10

Из расширений в Опере у меня стоит только ZenMate VPN. Отключал и даже удалял. Не помогло. В Хроме с расширениями делал то же самое, ди и вообще сам хром переустанавливал.

Кстати говоря, после появления вируса, я заметил в процессах стали появляться процессы Chromium. Я прошел по пути, откуда запускался данный процесс, к сожалению файла удаления я не нашел. Не нашел иного выхода как удалить через Del.

**Vvvyg** · 18.11.2017, 18:26

Проблемы и в Opera, и в Chrome?

**ritch** · 18.11.2017, 20:38

Все верно. В Microsoft Edge, например, данная проблема отсутствует на сколько я понял.

**Vvvyg** · 18.11.2017, 21:00

Хром переустанавливали с удалением пользовательских данных?

Скачайте утилиту Universal Virus Sniffer отсюда и сделайте полный образ автозапуска uVS.

**ritch** · 19.11.2017, 18:04

Что удивительно... Я решил удалить Оперу и Хром снова. Установил Яндекс браузер. Проблема в браузере пропала.
Хотя AdwCleaner все еще ругается на ту же самую проблему что я прикрепил в первом посте, критично ли это для компьютера? И может ли это повлиять на что-то? Утечку данных например.

**Vvvyg** · 19.11.2017, 20:43

Нет, не может.

PUP.Optional.Legacy не удаляется (заявка № 216254)

Опции темы