Не удается удалить вирус типа POP.Optional.Legacy

[kotwi]

Добрый день!

 

В браузере постоянно вылазиет реклама и всякая вата.

Др. Веб, комодо не видят эту вредоносную программу.

ADW Cleaner видит эти вредоносные программы(в приложении фото, их около 10 штук), удаляет их, после перезагрузки одна все же остается - POP.Optional.Legacy,  - сколько угодно много я не лечил бы ее приложением ADW Cleaner. Причем, если открыть Chrome, сразу ставятся сами расширения всякие и вирусов находит не 1 а уже 10.

Прошу помочь.

CollectionLog-2018.04.14-21.24.zip

[thyrex]

Скачайте ClearLNK и сохраните архив с утилитой на Рабочем столе.

1. Распакуйте архив с утилитой в отдельную папку.

2. Перенесите Check_Browsers_LNK.log из папки Autologger на ClearLNK как показано на рисунке

3. Отчет о работе ClearLNK-<Дата>.log будет сохранен в папке LOG.

4. Прикрепите этот отчет к своему следующему сообщению.

 

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Отчеты, полученные в пунктах 4 и 5, заархивируйте (в один архив) и прикрепите к сообщению.

[kotwi]

Прикрепил.

Хотел спросить Вас, зачем нужны эти логи, потому что в первом архиве недостаточно информации (спрашиваю исключительно для личного интереса на будущее)?

ClearLNK-2018.04.14_22.31.59.log

FRST.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
Tcpip\Parameters: [DhcpNameServer] 83.149.99.201 8.8.8.8
Tcpip\..\Interfaces\{786B953F-FEDC-4D3F-A4DA-3FC493A15B34}: [DhcpNameServer] 83.149.99.201 8.8.8.8
CHR HKLM\...\Chrome\Extension: [bejnpnkhfgfkcpgikiinojlmdcjimobi] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [dkekdlkmdpipihonapoleopfekmapadh] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-785348996-550393647-1890269953-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [odijcgafkhpobjlnfdgiacpdenpmbgme] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-785348996-550393647-1890269953-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [phkdcinmmljblpnkohlipaiodlonpinf] - hxxps://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-785348996-550393647-1890269953-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pmpoaahleccaibbhfjfimigepmfmmbbk] - hxxps://clients2.google.com/service/update2/crx
2015-02-23 19:07 - 2015-02-23 19:11 - 050381352 _____ (LLC Mail.Ru) C:\Users\123\AppData\Local\Temp\AmigoDistrib.exe
2016-12-24 12:14 - 2016-12-24 12:14 - 052703976 _____ (Mail.Ru) C:\Users\123\AppData\Local\Temp\amigo_setup.exe
2016-07-26 19:33 - 2016-07-26 19:33 - 019648688 _____ () C:\Users\123\AppData\Local\Temp\DGV19F3.exe
2016-07-26 19:32 - 2016-07-26 19:33 - 019648688 _____ () C:\Users\123\AppData\Local\Temp\DGV8A15.exe
2016-07-26 19:33 - 2016-07-26 19:33 - 019648688 _____ () C:\Users\123\AppData\Local\Temp\DGVB665.exe
2017-04-26 16:59 - 2017-04-26 17:00 - 020198864 _____ () C:\Users\123\AppData\Local\Temp\DGVDDAB.exe
2016-06-07 14:20 - 2008-08-31 23:10 - 000000000 _____ () C:\Users\123\AppData\Local\Temp\{31EC0859-90B7-489E-BDC2-A8A19D4F9BC8}-51.0.2704.103_50.0.2661.102_chrome_updater.exe
2016-06-07 14:20 - 2016-09-17 11:58 - 000000000 _____ () C:\Users\123\AppData\Local\Temp\{9E3FB3C9-02DF-40F9-9BE3-2E64EEB6A505}-53.0.2785.116_52.0.2743.116_chrome_updater.exe
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

• Обратите внимание: будет выполнена перезагрузка компьютера.

[kotwi]

Прикрепил

Fixlog.txt

[thyrex]

Сделайте новый лог AdwCleaner и прикрепите к сообщению

[kotwi]

Прикрепил

AdwCleanerS07.txt

[thyrex]

Реклама пропала? Все найденное в AdwCleaner угрозы, как таковой, не представляет. В противном случае все, что имеет отношение к Яндекс и mail.ru в настройках браузера и расширениях нужно просто удалить

[kotwi]

Нет, реклама не пропала. Полазил по сайтам (по легальным, защищенным), опять при очередном клике открылась.

 

Опять открылся сайт http://cc.uaadi.com/v/_Bwa7CL6qnFB0U4jSQRp1bEATWhlRAСейчас опять появилась.

 

Проблема не ушла.

Хочу заметить, что раньше хром ставил сам себе расширения маил ру и какие то еще. После Ваших манипуляций хром ничего не ставит, расширений НЕТ, но сайты с рекламой и непристойными картинками вновь открывает.

Изменено 14 апреля, 2018 пользователем kotwi

[regist]

@kotwi, в AdwCleaner после удаления этих элементов они там остаются?

 

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Включить отладочный режим
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C7].txt и C:\AdwCleaner\AdwCleaner_Debug.log. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

[kotwi]

Добрый день!

 

1) Да, после удаления этих программ ADWCLeaner и перезагрузки, они снова обнаруживаются ADWCleaner (я писал об этом в своем первом посту). Схема такая: ADWCLeaner находит 2 угрозы POP.OPtional потом чистит их и перезагружается, и опять находит угрозу, но только одну. Стоит зайти в браузер хром, как ADWCLeaner будет уже обнаруживать несколько угроз.

В приложении:

Скриншот3 - угрозы, обнаруженные ADWCLeaner до перезагрузки

Скриншот4 - угрозы, обнаруженные ADWCLeaner после чистки и перезагрузки.

 

2) у меня в программе ADWCLeaner нет такого пункта меню в настройках, чтобы включить отладочный режим (смотри все пункты настроек в скриншоте2). ЕГо версия и дата выпуска указаны в файле отчетов.

 

Вылечил, перезагрузил и приложил отчет БЕЗ включения отладочного режима в ADWCLeaner.

файла C:\AdwCleaner\AdwCleaner_Debug.log. нет.

Файл C:\AdwCleaner\AdwCleaner_Debug.log. отсутствует.

Файл C:\AdwCleaner\AdwCleaner_Debug.log. отсутствует

AdwCleanerC08.txt

[regist]

 

 

у меня в программе ADWCLeaner нет такого пункта меню в настройках, чтобы включить отладочный режим

да, похоже убрали в этой версии .

 

 

Стоит зайти в браузер хром,

Отключите синхронизаю. В частности синхронизацию плагинов. После этого снова перепроверьте.

[kotwi]

Может быть есть ссылка, скачать старую версию с отчетом ADWCLeaner?

 

Подскажите, как отключить синхронизацию ПЛАГИНОВ? (Вход в хром не выполнен).

 

Тем более, проблема с вылезающей рекламой есть и в MOzilla.

 

Вопросы:

1. Представляет ли эта вредоносная программа реальную опасность?

2. Как все-таки вылечить ее?

3. Не вызывает ли у Вас странностей повторное появление проблемы (вредоносной программы) после чистки и перезагрузки?

Изменено 15 апреля, 2018 пользователем kotwi

[thyrex]

Синхронизацию браузеров с учеткой в Интернете без запуска браузеров не выполнить. Это нужно сделать и в Хроме, и в Firefox

[kotwi]

Синхронизацию браузеров с учеткой в Интернете без запуска браузеров не выполнить. Это нужно сделать и в Хроме, и в Firefox

Я Вас не понял.

Чтобы отключить синхронизацию, нужно произвести вход?

Я специально не делал вход, чтобы синхронизация не происходила.