PUP.Optional.MailRU - не удалить ничем, включая AdwCleaner

@SirSaveli · Регистрация: 06.08.2017

Author24 — интернет-сервис помощи студентам

Доброго времени суток!

Проблема: загружал программу, и вместе с ней загрузился "Амиго" от Майл.ру, а с ним - еще куча всяких непонятных программ - браузеры, игры. В моих браузерах появилась левая реклама и начали загружаться левые страницы.

Запускал анти-вирус (avast!) и разные анти-малвары (AdwCleaner, Anti-Malwarebytes, Zemana). Всё удалил, браузеры выправил (больше ничего левого не грузится/появляется), но AdwCleaner постоянно находит один объект в двух местах - PUP.Optional.MailRU (C:\Windows\System32\config\systemprofile\AppData\Local\Mail.Ru, C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Mail.Ru) и никак его не удалить.

Пробовал удалить папку C:\Windows\...\Local\Mail.Ru самостоятельно, но она не находится, хотя показ скрытых файлов/папок включен.

На вашем форуме читал, как другие пользователи сканировали свои компьютеры с помощью Farbar Recovery Scan Tool и присылали отчеты с результатами, а им потом давали какие-то алгоритмы для устранения этой проблемы. Кто-нибудь может помочь с этой проблемой?

@Sandor · 08.08.2017, 09:24

Здравствуйте!

Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ:

Запустите AVZ (из папки Autologger\AVZ).
Выполните обновление баз (Меню Файл - Обновление баз)
Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины)
В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем virusinfo_files_<имя_ПК>.zip
Закачайте полученный архив, как описано на этой странице.
Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении.

Внимание! Рекомендации написаны специально для пользователя SirSaveli. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

Код

begin
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU',2,2,true);
RebootWindows(false);
end.

Компьютер перезагрузится.

Подготовьте новый CollectionLog.

@SirSaveli · 09.08.2017, 04:12 **[ТС]**

Здравствуйте, Сандор!

Хочу сообщить радостную новость - мне все-таки удалось удалить этот зловред с помощью AdwCleaner.
После того как я получил лог-отчет "CollectionLog-2017.08.07-00.17.zip", я перезапустил компьютер, отключил свой антивирус avast "полностью" (правый клик по иконке в системном трее - Avast shields control - Disable permanently), - а не только "до рестарта" (Disable until computer is restarted), - после чего запустил AdwCleaner (который, соответственно, просканировал, очистил и перезапустил комп).

После перезапуска я еще раз прогнал AdwCleaner, Malwarebytes и Zemana - все было чисто.
До этого вся муть у меня и моих знакомых успешно удалялась при запущенном антивирусе, поэтому и мысли не было его отключать.
Для справки: все файерволлы и прочие настройки безопасности у меня - стандартные, Windows Defender никогда не запускался.

Благодарю Вас за отзывчивость и на всякий случай посылаю архив с результатом скрипта № 8 AVZ (архив: "virusinfo_auto_BOSS-PC.zip", Размер файла, байт: 41591232, MD5: DE4576E86A05FB8AB4069AFB1781BE31), хотя, в нем уже, наверное, нет никакой надобности.

Если от меня что-то еще требуется или в результате скрипта №8 появятся какие-то проблемы, буду ждать Вашего ответа.

@Sandor · 09.08.2017, 09:59

Сообщение от SirSaveli

Если от меня что-то еще требуется

Оба предыдущих пункта выполните (если еще не выполнили).

@SirSaveli · 11.08.2017, 06:42 **[ТС]**

Доброе утро!
Посылаю новый Collection Log.

@SirSaveli · 11.08.2017, 06:47 **[ТС]**

Скрипт в AVZ из п.1 тоже выполнен.

@Sandor · 11.08.2017, 08:44

Пофиксите в HijackThis следующие строчки:

Код

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O17 - HKLM\System\CSS\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 193.12.150.98
O17 - HKLM\System\CSS\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 212.247.152.98
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 193.12.150.98
O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 212.247.152.98

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.

@SirSaveli · 11.08.2017, 19:18 **[ТС]**

В HijackThis указанные строки пофиксил, отчеты Farbar Recovery Scan Tool прилагаю.

@SirSaveli · 21.08.2017, 22:16 **[ТС]**

Добрый день, хотел поинтересоваться, что с моими отчетами Farbar - есть ли какие-то проблемы?

@Sandor · 22.08.2017, 21:24

Отключите до перезагрузки антивирус.

Выделите следующий код:

Код

Start::
CreateRestorePoint:
GroupPolicy: Restriction <==== ATTENTION
GroupPolicy\User: Restriction <==== ATTENTION
AlternateDataStreams: C:\Windows:netNLSPreferences [0]
AlternateDataStreams: C:\Windows:nlsPreferences [0]
EmptyTemp:
Reboot:
End::

Скопируйте выделенный текст (правой кнопкой - Копировать).
Запустите FRST (FRST64) от имени администратора.
Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Извините за задержку.

@SirSaveli · 22.08.2017, 23:45 **[ТС]**

У всех нас - много дел, и всем нужно уделять внимание. Благодарю за ответ. Сделал, как написано, отчет прилагаю.

@Sandor · 23.08.2017, 19:59

В завершение:
1.

Пожалуйста, запустите adwcleaner.exe
В меню File (Файл) - выберите Uninstall (Деинсталлировать).
Подтвердите удаление, нажав кнопку: Да.

Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить.

2.

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

@SirSaveli · 23.08.2017, 23:56 **[ТС]**

Прилагаю SecurityCheck.txt.

@Sandor · 24.08.2017, 22:03

------------------------------- [ Windows ] -------------------------------
The elevation prompt for administrators disabled
^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.4.8.42576 Warning! P2P-client.
BitComet 1.45 v.1.45 Warning! P2P-client.
-------------------------------- [ Java ] ---------------------------------
Java(TM) 6 Update 24 v.6.0.240 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u144-windows-i586.exe).
--------------------------- [ AppleProduction ] ---------------------------
iTunes v.12.3.3.17 Warning! Download Update
^Please use Apple Software Update tool.^
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 54.0.1 (x64 en-US) v.54.0.1 Warning! Download Update

Прочтите и выполните Рекомендации после удаления вредоносного ПО

@SirSaveli · 29.08.2017, 16:04 **[ТС]**

Обновил программы, как было указано. Прилагаю новый отчет Security Check.
У меня есть несколько вопросов, по которым я хотел бы услышать Ваше мнение:
1. µTorrent / BitComet - Warning! P2P-client
В целом качаю только фильмы, поэтому хотел бы их оставить.

2. Java(TM) 6 Update 24 v.6.0.240 - Warning! This software is no longer supported.
Эта версия закачалась вместе с одной из старых программ, которые еще использовали данную версию (не помню точно, но, по-моему, это был Trados Workbench v.7.0), и которой я сейчас пользуюсь.
Что это за Java SE 8, и можно ли ее использовать с моим Trados вместо старой Java 6?

@Sandor · 29.08.2017, 16:10

Сообщение от SirSaveli

хотел бы их оставить

Оставляйте, там только предупреждение.

Сообщение от SirSaveli

можно ли ее использовать с моим Trados вместо старой Java 6?

Точно - надо бы узнать в поддержке Традоса. Создайте контрольную точку перед обновлением и проверьте. Если пойдет не так, откатите.

@SirSaveli · 30.08.2017, 19:03 **[ТС]**

Все понятно. Благодарю за помощь!

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	08.08.2017, 09:24	2
	Здравствуйте! Пополните, пожалуйста, базу безопасных файлов антивирусной утилиты AVZ: Запустите AVZ (из папки Autologger\AVZ). Выполните обновление баз (Меню Файл - Обновление баз) Закройте все приложения, и запустите используемый в Вашей системе интернет-браузер (например Internet Explorer, FireFox, Opera и т.д. - если применяется несколько браузеров, то необходимо запустить их все для того чтобы AVZ смог проанализировать используемые браузерами модули расширения и плагины) В AVZ выберите пункт меню Файл - Стандартные скрипты. В открывшемся окне необходимо отметить скрипт № 8 ("VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК") и нажать кнопку "Выполнить отмеченные скрипты". Выполнение скрипта займет некоторое время, порядка 1 - 5 мин. В результате в папке AVZ будет создан подкаталог LOG, в нем архив с именем *virusinfo_files_<имя_ПК>.zip* Закачайте полученный архив, как описано на этой странице. Если размер архива превышает 100 Мб закачайте его на любой файлообменник, не требующий ввода капчи (например: RGhost, Zippyshare, My-Files.RU или WebFile) и укажите ссылку на скачивание в своём следующем сообщении. Внимание! Рекомендации написаны специально для пользователя SirSaveli. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи. ______________________________________________________ Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): Код begin ExecuteRepair(21); ExecuteFile('ipconfig', '/flushdns', 0, 10000, true); ExecuteWizard('SCU',2,2,true); RebootWindows(false); end. Компьютер перезагрузится. Подготовьте новый CollectionLog. 0

@SirSaveli 0 / 0 / 0 Регистрация: 06.08.2017 Сообщений: 10
	09.08.2017, 04:12 [ТС]	3
	Здравствуйте, Сандор! Хочу сообщить радостную новость - мне все-таки удалось удалить этот зловред с помощью AdwCleaner. После того как я получил лог-отчет "CollectionLog-2017.08.07-00.17.zip", я перезапустил компьютер, отключил свой антивирус avast "полностью" (правый клик по иконке в системном трее - Avast shields control - Disable permanently), - а не только "до рестарта" (Disable until computer is restarted), - после чего запустил AdwCleaner (который, соответственно, просканировал, очистил и перезапустил комп). После перезапуска я еще раз прогнал AdwCleaner, Malwarebytes и Zemana - все было чисто. До этого вся муть у меня и моих знакомых успешно удалялась при запущенном антивирусе, поэтому и мысли не было его отключать. Для справки: все файерволлы и прочие настройки безопасности у меня - стандартные, Windows Defender никогда не запускался. Благодарю Вас за отзывчивость и на всякий случай посылаю архив с результатом скрипта № 8 AVZ (архив: "virusinfo_auto_BOSS-PC.zip", Размер файла, байт: 41591232, MD5: DE4576E86A05FB8AB4069AFB1781BE31), хотя, в нем уже, наверное, нет никакой надобности. Если от меня что-то еще требуется или в результате скрипта №8 появятся какие-то проблемы, буду ждать Вашего ответа. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	09.08.2017, 09:59	4
	Сообщение от SirSaveli Если от меня что-то еще требуется Оба предыдущих пункта выполните (если еще не выполнили). 0

@SirSaveli 0 / 0 / 0 Регистрация: 06.08.2017 Сообщений: 10
	11.08.2017, 06:47 [ТС]	6
	Скрипт в AVZ из п.1 тоже выполнен. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	11.08.2017, 08:44	7
	Пофиксите в HijackThis следующие строчки: Код R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = .local O17 - HKLM\System\CSS\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 193.12.150.98 O17 - HKLM\System\CSS\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 212.247.152.98 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 193.12.150.98 O17 - HKLM\System\ControlSet001\Services\Tcpip\..\{0d296784-7047-4641-8100-cf7e91e26912}: NameServer = 212.247.152.98 Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочками также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt* в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. (Если не помещаются, упакуйте). Подробнее читайте в этом руководстве. 0

@SirSaveli 0 / 0 / 0 Регистрация: 06.08.2017 Сообщений: 10
	21.08.2017, 22:16 [ТС]	9
	Добрый день, хотел поинтересоваться, что с моими отчетами Farbar - есть ли какие-то проблемы? 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	22.08.2017, 21:24	10
	Отключите до перезагрузки антивирус. Выделите следующий код: Код Start:: CreateRestorePoint: GroupPolicy: Restriction <==== ATTENTION GroupPolicy\User: Restriction <==== ATTENTION AlternateDataStreams: C:\Windows:netNLSPreferences [0] AlternateDataStreams: C:\Windows:nlsPreferences [0] EmptyTemp: Reboot: End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Компьютер будет перезагружен автоматически. Извините за задержку. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	23.08.2017, 19:59	12
	В завершение: 1. Пожалуйста, запустите adwcleaner.exe В меню File (Файл) - выберите Uninstall (Деинсталлировать). Подтвердите удаление, нажав кнопку: Да. Остальные утилиты лечения и папки, включая C:\FRST, можно просто удалить. 2. Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10) Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt Прикрепите этот файл к своему следующему сообщению. 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	24.08.2017, 22:03	14
	------------------------------- [ Windows ] ------------------------------- The elevation prompt for administrators disabled ^It is recommended to enable: Win+R typing UserAccountControlSettings and Enter^ --------------------------------- [ P2P ] --------------------------------- µTorrent v.3.4.8.42576 Warning! P2P-client. BitComet 1.45 v.1.45 Warning! P2P-client. -------------------------------- [ Java ] --------------------------------- Java(TM) 6 Update 24 v.6.0.240 Warning! This software is no longer supported. Please uninstall it and use Java SE 8 (jre-8u144-windows-i586.exe). --------------------------- [ AppleProduction ] --------------------------- iTunes v.12.3.3.17 Warning! Download Update ^Please use Apple Software Update tool.^ ------------------------------- [ Browser ] ------------------------------- Mozilla Firefox 54.0.1 (x64 en-US) v.54.0.1 Warning! Download Update Прочтите и выполните Рекомендации после удаления вредоносного ПО 0

@Sandor 21563 / 15513 / 2989 Регистрация: 08.10.2012 Сообщений: 63,069
	29.08.2017, 16:10	16
	Сообщение от SirSaveli хотел бы их оставить Оставляйте, там только предупреждение. Сообщение от SirSaveli можно ли ее использовать с моим Trados вместо старой Java 6? Точно - надо бы узнать в поддержке Традоса. Создайте контрольную точку перед обновлением и проверьте. Если пойдет не так, откатите. 0

	30.08.2017, 19:03

@SirSaveli 0 / 0 / 0 Регистрация: 06.08.2017 Сообщений: 10
	30.08.2017, 19:03 [ТС]	17
	Все понятно. Благодарю за помощь! 0