приключен Malwarebytes доклад (PUP Optional My Start при почти всяко сканиране по график)

[Dani 01]

Здравейте! Ще се радвам на съвет как да постъпя в тази ситуация понеже не съм много наясно... Имам Malwarebytes premium и при почти всяко сканиране по график ми намира тези файлове от Google Chrome като заплаха... карантинирам ги и на следващото сканиране (което е по принцип след седмица) - пак същите...

Прилагам файл... 

1.txt

[Потребител666]

Проблемът не е директно от Google Chrome, а от плъгин, който имаш в него.

В случая плъгина е "MyStart Toolbar".

Тук има статия как да се премахне : https://forums.malwarebytes.com/topic/186165-removal-instructions-for-mystart-toolbar/

[B-boy/StyLe/]

Аз бих направил и една проверка с AdwCleaner:

https://www.kaldata.com/софтуер/adwcleaner-103982.html

[Dani 01]

Ползвал съм и тази програма... Открива вируси, избирам всичко, показва че е изтрило всичко и след седмица-две пак... Ще пробвам още веднъж. 

[Dani 01]

AdwCleaner[C03].txt

[B-boy/StyLe/]

А пробвали ли сте да занулите настройките на Google Chrome:

https://support.google.com/chrome/answer/3296214?hl=bg

Преди това обаче е добре да спрете временно синхронизирането с облака:

https://support.google.com/chrome/answer/185277?hl=bg

Ако проблема продължи, вижте тази тема тогава и публикувайте лог файловете от FRST

Системата ми е инфектирана - Какво да правя сега?

[Dani 01]

преди 53 минути, B-boy/StyLe/ написа:

А пробвали ли сте да занулите настройките на Google Chrome:

https://support.google.com/chrome/answer/3296214?hl=bg

Преди това обаче е добре да спрете временно синхронизирането с облака:

https://support.google.com/chrome/answer/185277?hl=bg

Ако проблема продължи, вижте тази тема тогава и публикувайте лог файловете от FRST

Системата ми е инфектирана - Какво да правя сега?

Нулирах настройките и след това отново си влязох в профила... След няколко дена ще сканирам пак с AdwCleaner...
Не знам дали тук е проблема, но това са разширенията, които имам в момента - 

[icotonev]

преди 4 часа, Dani 01 написа:

Нулирах настройките

А изключихте ли синхронизацията  с вашия акаунт в Google....?

Malwarebytes успешно премахва елементи, които е открил, но Google ги заменя от това, което Chrome Sync е съхранил в облака. Това не е проблем с продукта Malwarebytes, а по-скоро удобство на Google Chrome / Chrome Sync с нежелани негативни ефекти.

[Dani 01]

Вчера преди да започна сканирането изключих синхронизирането, излязох от всички google акаунти, откри ги тези 3те заплахи, карантинирах, рестартирах и след това отново си влязох в акаунтите в chrome...понеже съм с 3 акаунта си поиграх докато настроя наново и трите...няма ли начин от самия акаунт да се изтрият тези неща... Защото по написаното разбирам че дори и от чисто нов лаптоп като вляза в акаунта в Chrome и ще ги сложи тези неща... 

[B-boy/StyLe/]

Това е идеята...Първо спирате синхронизирането и го оставяте спряно, след това занулявате настройките на всички профили, където се инсталирали Chrome. След това пускате отново синхронизирането. Това би трябвало да реши проблема. Иначе синхронизирането ще връща постоянно тези нежелани обекти.

[icotonev]

...и няма да е лошо да проверим профилактично системата ви...:

 

Сканиране с Farbar Recovery Scan Tool 

• Моля изтеглете  Farbar Recovery Scan Tool (според версията на Windows изберете 32 битовата или 64 битовата версия) и го запазете на десктопа.
• Стартирайте файла FRST.exe (или FRST64.exe)
• Програмата ще се стартира. Натиснете YES за да се съгласите с лицензионното споразумение.
• Натиснете бутона Scan
• Изчакайте търпеливо проверката да приключи.
• Ще се създадат два лог файла с името - FRST.txt и Addition.txt на десктопа.
• Копирайте съдържанието на файла FRST.txt в следващия си пост.Прикачете Addition.txt в коментар си (погледнете опцията Прикачване на файлове, когато публикувате мнение).

 

  Дневници 

В следващия си отговор, моля да включите (като копирате целите съдържания ) следните дневници:

• FRST.txt (копирате цялото съдържание)
• Addition.txt (копирате цялото съдържание) 

 

 

[Dani 01]

Addition.txt FRST.txt

[icotonev]

Може ли да направите следното:

-- десен бутон на шоркъта на Chrome  - след това Свойства - таб Пряк път - и направете снимка и я качете в следващия си пост..!

 

 

След Chrome.ехе ...на реда Цел ...не трябва да пише нищо допълнително...!

+

Фикс с Farbar Recovery Scan Tool
 
Изтеглете прикачения файл  *  fixlist.txt  *  и  го запазете там, където сте свалили FRST.exe
Стартирайте отново FRST.exe и натиснете бутона Fix веднъж и изчакайте.

Ще се създаде нов лог файла FixLog.txt. Прикачете съдържанието му в следващия си коментар.
 
ЗАБЕЛЕЖКА: Този скрипт е написан специално за този потребител,и за тази конкретна машина. Изпълнението на фикса, на друг компютър може да доведе до увреждане на  операционната ви система

 

 Дневници
 
В следващия си отговор, моля да включите следните дневници:

• FixLog.txt

[Dani 01]

Fixlog.txt

[icotonev]

По дневниците единствено втория ви профил беше заразен..:

Цитат

CHR HomePage: Profile 2 -> hxxp://www.mystart.com/?pr=vmn&id=mystarttb&v=5_4&ent=hp_5224&src=5224

Изтрихме го сега да видим във времето как ще се държи браузера..!

Да видим резултата:

 

FRST сканиране

    Щракнете двукратно върху FRST.exe / FRST64.exe, за да го стартирате.
    Натиснете бутона за  сканиране.
    Когато приключи, той ще създаде  два лог файла с името FRST.txt и Addition.txt, в същата директория, от която е стартиран инструментът.
    Моля, копирайте и поставете журналите в следващия си отговор.

 

Изтеглете  ESET Online Scanner и го запишете на вашия работен плот.

•     Щракнете с десния бутон върху esetonlinescanner_enu.exe и изберете  Run as Administrator  ( Изпълни като администратор).
•     Когато инструментът се отвори, щракнете върху  Get Started ( Започнете).
•     Прочетете и приемете лицензионното споразумение.
•     В прозореца  Welcome to ESET Online Scanner щракнете върху Get Started (Започнете).
•     Изберете дали искате да изпратите анонимни данни на ESET.
•     Забележка: Ако видите екрана Welcome Back to ESET Online Scanner"  (Добре дошли в онлайн скенера на ESET) , щракнете върху  Computer Scan  ( Сканиране на компютър ) > Full Scan  (Пълно сканиране).
•     Кликнете върху опцията за Full Scan ( Пълно сканиране).
•     Изберете Enable ESET to detect and remove potentially unwanted applications  (Активиране на ESET, за да открие и премахне потенциално нежелани приложения), след което щракнете върху Start scan  (Старт на сканиране).
•     ESET  ще започне да сканира вашия компютър. Това може да отнеме известно време.
•     Когато сканирането приключи и ако са открити заплахи, изберете Save scan log (Запазване на дневника на сканиране). Запазете го на работния плот като eset.txt. Кликнете върху Continue  (Продължи).
•     ESET Онлайн скенер може да попита дали искате да включите функцията за периодично сканиране. Кликнете върху  Continue ( Продължи).
•     На следващия екран можете да оставите отзиви за програмата, ако желаете. Поставете отметка в квадратчето за  Delete application data on closing ( изтриване на данни от приложението при затваряне). Ако оставите обратна връзка, щракнете върху Submit and continue (Изпращане и продължете). Ако не, Close without feedback (Затворете без обратна връзка).
•   Отворете дневника от сканирането от вашия работен плот (eset.txt) и копирайте и поставете съдържанието му в следващия си отговор.

 

Дневници 

В следващия си отговор, моля да включите (като копирате целите съдържания ) следните дневници:

• FRST.txt (копирате цялото съдържание)
• Addition.txt (копирате цялото съдържание)
• eset.txt

 

[Dani 01]

Addition.txt eset.txt FRST.txt

[Dani 01]

Сега при всяко стартиране на chrome показва че синхронизирането е изключено и дори и да го включа ако го затворя и отворя пак показва същото... 
A така е много неприятно, защото разширенията започват да се добавят наново, не са запазени влизанията в сайтове... А нещата, които eset е открил са разни активатори, които съм си запазвал... А сега като сканирах отново с AdwCleaner откри това:

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             Search The Web
PUP.Optional.Legacy             http://www.mystart.com/?pr=vmn&id=mystarttb&v=5_4&ent=hp_5224&src=5224

Предните пъти откриваше три неща... А позовавайки се на този линк аз нямам тези "симптоми".... началната страница си изглежда нормално и нямам добавени търсачки... 

[Dani 01]

Мисля че открих проблема. Из настройките в chrome се бяха скрили разни линкове mystart (при избора на начална страница беше избран google, а под него - линк mystart - изтрих го; и при линковете с търсачки също имаше mystart - премахнах го... ето резултати от adwcleaner (не откри нищо след премахването на линковете):

# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-09-29.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-04-2020
# Duration: 00:00:14
# OS:       Windows 10 Home
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1922 octets] - [25/09/2020 19:51:43]
AdwCleaner[C00].txt - [1971 octets] - [25/09/2020 19:54:48]
AdwCleaner[S01].txt - [1700 octets] - [27/09/2020 10:22:17]
AdwCleaner[C01].txt - [1834 octets] - [27/09/2020 10:32:01]
AdwCleaner[S02].txt - [1822 octets] - [30/09/2020 20:42:24]
AdwCleaner[C02].txt - [1956 octets] - [30/09/2020 20:43:09]
AdwCleaner_Debug.log - [68437 octets] - [30/10/2020 14:44:19]
AdwCleaner[S03].txt - [2006 octets] - [30/10/2020 14:45:51]
AdwCleaner[C03].txt - [2140 octets] - [30/10/2020 14:46:15]
AdwCleaner[S04].txt - [2129 octets] - [30/10/2020 23:17:56]
AdwCleaner[C04].txt - [2263 octets] - [30/10/2020 23:18:27]
AdwCleaner[S05].txt - [2251 octets] - [31/10/2020 11:33:32]
AdwCleaner[C05].txt - [2385 octets] - [31/10/2020 11:33:50]
AdwCleaner[S06].txt - [2318 octets] - [02/11/2020 10:10:18]
AdwCleaner[C06].txt - [2470 octets] - [02/11/2020 10:10:32]
AdwCleaner[S07].txt - [2336 octets] - [04/11/2020 17:01:52]
AdwCleaner[S08].txt - [2384 octets] - [04/11/2020 17:08:51]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C08].txt ##########

Но проблемът с преинталирането на разширениета и изключеното синхронизиране при всeки restart на chrome си остана... Не знам дали е от значение но мисля, че се появи след fix-а с FRST.