Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
 
Рейтинг 5.00/4: Рейтинг темы: голосов - 4, средняя оценка - 5.00
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
#1

PUP.Optional.Legacy, Adware.RuKometa, PUP.Optional.FakeYandex, PUP.Optional.RussAd

10.03.2018, 16:55. Просмотров 738. Ответов 23
Метки нет (Все метки)

Доброго времени суток!
Прошу помощи в удалении вирусов из заголовка.
adwcleaner_7.0.8.0 определяет, но не удаляет. Запустить adwcleaner можно только из безопасного режима. Запуск программы блокируется вирусом, любое упоминание программы в строке поиска / адреса хром закрывает браузер. Ровно тоже самое с FRST64.
Логи adwcleaner и FRST64 приложил.
0
Вложения
Тип файла: rar frst.rar (34.0 Кб, 1 просмотров)
Тип файла: rar adwcleaner.rar (24 байт, 2 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.03.2018, 16:55
Ответы с готовыми решениями:

PUP.Optional.Legacy, Adware.RuKometa, PUP.Optional.FakeYandex, PUP.Optional.RussAd
Доброго времени суток! Прошу помощи в удалении вирусов из заголовка. ...

PUP.Optional.MailRU и PUP.Optional.Legacy adwcleaner не справляется
решил скачал пару программ и полезли амиго, маилру и остальные не особо...

Pup optional Mail Ru и pup.optional.legacy- не удаляются
Создавал здесь тему но ответа не было ждал 2 недели. Решил повторить. Проблема...

Вирусы PUP.Optional.Legacy и PUP.Optional.Legacy
В браузере периодически появляется реклама на сайтах или открывается в новом...

PUP.Optional.Legacy
Здравствуйте, помогите пожалуйста решить проблему. Подхватил это ПО,...

23
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
12.03.2018, 11:36 #2
Здравствуйте!

Начните со стандартных логов по правилам:
Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему
0
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
12.03.2018, 21:56  [ТС] #3
Прошу прощения, логи прикрепил
0
Вложения
Тип файла: zip CollectionLog-2018.03.12-21.54.zip (84.1 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
13.03.2018, 09:46 #4
Внимание! Рекомендации написаны специально для пользователя 5nizza. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.
Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
______________________________________________________

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.
  1. Выполните скрипт в AVZ (Файл - Выполнить скрипт):

    Код
    begin
     ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
     ClearQuarantineEx(true);
     TerminateProcessByName('c:\windows\microsoft\svchost.exe');
     QuarantineFile('C:\Program Files (x86)\rcYKheWM.exe', '');
     QuarantineFile('C:\Program Files\UBar\UbarDriver.sys', '');
     QuarantineFile('C:\Users\Yury\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1911TRF7\PCM.exe', '');
     QuarantineFile('C:\Users\Yury\AppData\Local\Temp\_MEI18562\python27.dll', '');
     QuarantineFile('C:\Users\Yury\AppData\Local\yc\Application\yc.exe', '');
     QuarantineFile('c:\windows\microsoft\svchost.exe', '');
     ExecuteFile('schtasks.exe', '/delete /TN "{3CD15059-E2F4-481C-A071-ABC869BB4BF8}" /F', 0, 15000, true);
     ExecuteFile('schtasks.exe', '/delete /TN "{E875FEED-67C6-4807-A2C5-04F17D966EE1}" /F', 0, 15000, true);
     DeleteFile('C:\Program Files (x86)\rcYKheWM.exe', '32');
     DeleteFile('C:\Program Files\UBar\UbarDriver.sys', '32');
     DeleteFile('C:\Users\Yury\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\1911TRF7\PCM.exe', '32');
     DeleteFile('C:\Users\Yury\AppData\Local\Temp\_MEI18562\python27.dll', '32');
     DeleteFile('C:\Users\Yury\AppData\Local\yc\Application\yc.exe', '32');
     DeleteFile('c:\windows\microsoft\svchost.exe', '32');
     DeleteService('SvcHost Service Host');
     DeleteService('UbarCalloutDriver');
     DeleteFileMask('c:\users\yury\appdata\local\yc', '*', true);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\wbcttbnguq', 'command');
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ycAutoLaunch_E4FD2F1DEB2754776BFA3BBF5C90E274', 'command');
     CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
    ExecuteSysClean;
     ExecuteRepair(1);
     ExecuteWizard('SCU', 2, 3, true);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.


  2. Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью формы вверху этой темы или с помощью этой формы.
    К сообщению прикреплять файл quarantine.zip не нужно!


  3. Подготовьте новый CollectionLog.
1
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
13.03.2018, 20:54  [ТС] #5
CollectionLog приложил
0
Вложения
Тип файла: zip CollectionLog-2018.03.13-20.52.zip (84.9 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
14.03.2018, 09:44 #6
Пробуйте теперь в обычном режиме:
Подготовьте и прикрепите лог сканирования AdwCleaner.
1
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
14.03.2018, 18:54  [ТС] #7
Запустил в AdwCleaner сканирование, потом очистку, потом опять сканирование после перезагрузки.
Три вируса не ушли. Логи по порядку выполнения операций прикрепил.
0
Вложения
Тип файла: txt AdwCleaner[S15].txt (6.3 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[C9].txt (5.8 Кб, 2 просмотров)
Тип файла: txt AdwCleaner[S16].txt (3.0 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
15.03.2018, 11:06 #8
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Отметьте галочками также "Shortcut.txt".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
(Если не помещаются, упакуйте).
Подробнее читайте в этом руководстве.
0
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
15.03.2018, 23:09  [ТС] #9
Приложил
0
Вложения
Тип файла: rar frst.rar (37.7 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
16.03.2018, 11:31 #10
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код
    Start::
    CreateRestorePoint:
    GroupPolicy: Restriction <==== ATTENTION
    GroupPolicy\User: Restriction <==== ATTENTION
    SearchScopes: HKU\S-1-5-21-748564708-2536755616-2676942815-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2ACDE25F-2535-45BC-B6A7-0C92B47D3EBE%7D&gp=811142
    SearchScopes: HKU\S-1-5-21-748564708-2536755616-2676942815-1000 -> {A06ED961-D98F-4CF9-A89B-80AB11DB149C} URL = hxxp://go-search.ru/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-748564708-2536755616-2676942815-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B2ACDE25F-2535-45BC-B6A7-0C92B47D3EBE%7D&gp=811142
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxp://mail.ru/cnt/10445?gp=855418
    FF Extension: (Домашняя страница Mail.Ru) - C:\Users\Yury\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\homepage@mail.ru.xpi [2018-03-13]
    FF Extension: (Поиск Mail.Ru) - C:\Users\Yury\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\search@mail.ru.xpi [2018-03-13]
    FF Extension: (Пульт) - C:\Users\Yury\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\{a38384b3-2d1d-4f36-bc22-0f7ae402bcd7}.xpi [2018-03-13]
    CHR HomePage: Default -> inline.go.mail.ru
    CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811138"
    2018-03-13 16:16 - 2018-03-13 16:16 - 000003592 _____ C:\Windows\System32\Tasks\zokidifcomkui
    2018-03-13 16:16 - 2018-03-13 16:16 - 000002193 _____ C:\Users\Yury\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lite.lnk
    2018-03-13 16:16 - 2018-03-13 16:16 - 000000000 ____D C:\Users\Yury\AppData\Local\Lite
    2018-03-07 15:40 - 2018-01-18 22:07 - 000000000 ____D C:\Users\Yury\AppData\Roaming\curl
    2018-03-06 17:29 - 2018-01-18 22:04 - 000000000 ____D C:\Users\Yury\AppData\Local\PowerMonitor
    Task: {A30B57F1-3EE8-45C8-8B95-CB34A3ECDEB4} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" zokidif.com/kui <==== ATTENTION
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
    AlternateDataStreams: C:\ProgramData\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxlctlfudivq`qsp`28hfm [0]
    AlternateDataStreams: C:\Users\Все пользователи\Reprise:wupeogjxldtlfudivq`qsp`27hfm [0]
    HKU\S-1-5-21-748564708-2536755616-2676942815-1000\Software\Classes\.scr: scrfile =>  <==== ATTENTION
    MSCONFIG\startupreg: wbcttbnguq => explorer "http://granena.ru/?utm_source=uoua03n&utm_content=e739009bccd5f1e6d71a91bff5994529&utm_term=565E33F2855BD1ACD8ADA6CE851081B3&utm_d=20180118"
    FirewallRules: [{B57BC585-EC07-4E0F-906B-E795B36871ED}] => (Allow) C:\Program Files (x86)\Common Files\TpIHmi.exe
    FirewallRules: [{80F13241-D21D-463D-BEEE-3B6E8E835157}] => (Allow) C:\Program Files (x86)\rcYKheWM.exe
    FirewallRules: [{6A592CAC-62F5-469E-AD71-842324128491}] => (Allow) C:\Users\Yury\AppData\Local\yc\Application\yc.exe
    FirewallRules: [{04B8479F-26D4-4268-9FD6-3AC0E765F81A}] => (Allow) C:\Users\Yury\AppData\Local\Lite\Application\lite.exe
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
1
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
19.03.2018, 21:21  [ТС] #11
Прикрепил
0
Вложения
Тип файла: txt Fixlog.txt (7.6 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
20.03.2018, 09:55 #12
Что с проблемой?
0
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
20.03.2018, 20:02  [ТС] #13
adwcleaner успешно вылечил вирус mail.ru, остались - PUP.Optional.FakeYandex и PUP.Optional.RussAd, которые он удалить не может
0
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
21.03.2018, 10:38 #14
Скачайте Malwarebytes' Anti-Malware. Установите.
На вкладке "Параметры" - "Личный кабинет" ("Settings" - "My Account") нажмите кнопку "Деактивировать ознакомительную Premium-версию".
На вкладке "Проверка" - "Полная проверка" нажмите кнопку "Начать проверку". Дождитесь окончания проверки.
Самостоятельно ничего не удаляйте!!!
Нажмите кнопку "Сохранить результат - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
1
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
21.03.2018, 19:22  [ТС] #15
прикрепил
0
Вложения
Тип файла: rar scan.rar (2.7 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
22.03.2018, 10:39 #16
Повторите сканирование и удалите все найденное (поместите в карантин).
После удаления сделайте сканирование еще раз и покажите свежий отчет.
0
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
22.03.2018, 20:51  [ТС] #17
прикрепил
0
Вложения
Тип файла: txt scan.txt (2.7 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
23.03.2018, 10:37 #18
Скачайте AutorunsVTchecker, распакуйте и запустите. Не закрывайте окно до окончания работы программы.

Подготовьте лог uVS.
1
5nizza
0 / 0 / 0
Регистрация: 10.03.2018
Сообщений: 14
26.03.2018, 21:17  [ТС] #19
прикрепил
0
Вложения
Тип файла: 7z YURY-HP_2018-03-26_21-10-29.7z (729.1 Кб, 2 просмотров)
Sandor
Вирусоборец
12949 / 11215 / 1710
Регистрация: 08.10.2012
Сообщений: 45,243
27.03.2018, 08:48 #20
Выполните скрипт в UVS.
Код
;uVS v4.0.10 [[url]http://dsrt.dyndns.org][/url]
;Target OS: NTv6.1
v400c
BREG

;---------command-block---------
delref %SystemDrive%\USERS\YURY\APPDATA\LOCAL\LITE\APPLICATION\LITE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.8\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
apply

deltmp
restart
В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.


Сообщите что с проблемой.
1
27.03.2018, 08:48
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
27.03.2018, 08:48

PUP.Optional.FakeYandex - не удаляется ничем, включая AdwCleaner
Здравствуйте! Во время штатной чистки компьютера AdwCleaner в двух местах...

PUP.Optional.Legacy бессмертен
Доброго времени суток, прошу вашей помощи. Давным давно у меня живет...

Вирус PUP.Optional.Legacy не удаляется
AdwCleaner сканирует на вирусы, вроде как удаляет после перезагрузки и новом...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
20
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru