Следы трояна
 

Добрый день! Очень нужен совет знающих - словил трояна который делал ридерект на не понятную поисковую систему, так же делал подмену ссылок в браузере. Собственно тело удалил, почистил поисковые системы в chrome, удалил все плагины включая вредоносный. Сейчас на chrome при серфе нет проблем, но напрягает один факт - adwcleaner постоянно находит PUP.Optional.Legacy dldcbakcjliccckkmfjcblhciilpdcil . Появляется это после каждого рестарта браузера, расширения с таким ID не нашел, браузер полностью удалял, до входа в профиль проблема не воспроизводиться, но после входа - все повторяется. Вопрос - что это такое и где это искать? Заранее спасибо!

Логи

Здравствуйте!

Вам нужна помощь? Нам нужны ваши логи! Если их не будет, мы отправим вас в эту тему.

1. Логи прикрепляйте к сообщению.
2. Вы дали ссылку на сам Автологер, а нужен результат его работы в виде архива CollectionLog.

Прошу прощения, перепутал. Логи прикрепил к первому сообщению.

Экономьте наше время
Значок "скрепки".

Папка
вам известна?
Самостоятельно ничего не предпринимайте пока.

Да, это мой скрипт, он не позволяет "засыпать" hhd, а следовательно и парковать головы.

Сделайте свежее сканирование и прикрепите отчет C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.

1. Очистите в AdwCleaner найденное.

После перезагрузки:
2.
Примите к сведению - после выполнения скрипта все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:
  
  Код:

  ---

  Start::
CreateRestorePoint:
GroupPolicy: Restriction ? <==== ATTENTION
CHR HKLM\...\Chrome\Extension: [elhpdacimkjpccooodognopfhbdgnpbk] - hxxps://chrome.google.com/webstore/detail/elhpdacimkjpccooodognopfhbdgnpbk
AlternateDataStreams: C:\Users\Sergun4uk\AppData\Local\Temp:$DATA​ [16]
EmptyTemp:
Reboot:
End::

  ---

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Этот же аккаунт из Хрома на каком-либо ещё устройстве используете?

Да, но они все оффлайн сейчас, кроме телефона.

Попробуем так. На этом ПК временно Отключите синхронизацию в Chrome, (если включена).
Выйдите из аккаунта и сделайте очередной Сброс настроек браузера Chrome.

Не входите и проверьте в AdwCleaner.

Вы правы, после выхода из аккаунта и сброса настроек - adwcleaner больше не находит следов. Получается это из облака прилетает? Если так, то как с этим бороться?

Теперь пробуйте войти и синхронизировать.
Также проверьте и сообщите.

Вошел в аккаунт, после проверил adwcleaner - снова появилось. Заметил что даже настройки не надо сбрасывать, достаточно вырубить синхронизацию и пройтись adwcleaner, после чего проблема не воспроизводится.

Недавно в похожей теме пользователю помогло отключение пункта "Настройки" в перечне синхронизации
chrome://settings/syncSetup/advanced

Спасибо большое, помогло, но в моем случае я отключил синхронизацию расширений. То есть только такой костыль и больше никак нельзя вычистить из облака даные для синхронизации?

Пока лучшего не нашли.

В завершение:
1.

• Пожалуйста, запустите adwcleaner.exe
• В меню Параметры прокрутите вниз и выберите Удалить.
  Утилита часто обновляется, поэтому перед сканированием лучше скачать актуальную версию.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

+
Попробуйте ещё такой вариант.

Перед действием убедитесь, что вы знаете свой пароль на аккаунт!

На странице https://chrome.google.com/sync
прокрутите вниз и нажмите "Остановить синхронизацию".

Убедитесь, что AdwCleaner ничего не находит. Затем войдите в аккаунт и включите синхронизацию.
Проверьте и сообщите.

--------------------------------- [ P2P ] ---------------------------------
µTorrent v.1.8.2 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
--------------------------------- [ SPY ] ---------------------------------
Radmin Viewer 3.5.1 v.3.51.1.0000 Внимание! Программа удаленного доступа!
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Acrobat Reader DC - Russian v.20.009.20065 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^

Если решитесь на эксперимент по инструкции из сообщения №23, сообщите результат, пожалуйста.

Все получилось, выключил синхронизацию, удалил данные из облака, включил - вредонос больше не прилетает =) Проверил на втором ПК, включил там полную синхронизацию - вредоноса нет. Большое спасибо!

Отлично! Спасибо за ответ.

На заметку - Рекомендации после лечения.