PUP.Optional.Legacy i PUADIManager:Win32/OfferCore

[Wojciech109]

Dzień dobry wszystkim, potrzebuję pomocy w pozbyciu się raz na zawsze wirusów wymienionych w tytule. Windows Defender wykrył mi PUADIManager:Win32/OfferCore dwa razy, w dwóch różnych lokalizacjach, więc kliknąłem opcję usuń oraz dodatkowo zrobiłem wszystko co zostało przedstawione na poniższym filmie. Windows Defender oraz Malwarebytes już nic nie wykrywają (robiłem Pełny Skan i Skan Offline Windows Defenderem oraz zwykły skan Malwarebytes wersja próbna).

 

Natomiast jeśli chodzi o PUP.Optional.Legacy (załączam dwa zdjęcia), to został on wykryty AdwCleanerem, przeniesiony przeze mnie do kwarantanny i usunięty, ale niestety jak dzisiaj zrobiłem kolejny skan okazało się, że problem powrócił. Co mógłbym zrobić, żeby pozbyć się tego dziadostwa?

 

Dodam, że Windows Defender wykrył instaler Cheat Engine pobrany z oficjalnej strony jako PUADIManager:Win32/OfferCore. Instaler nie został przeze mnie uruchomiony. Od razu go usunąłem.

 

Załączam też logi FRST

 

Bardzo proszę o Waszą pomoc i rady

 

AdwCleaner[C04].txt FRST.txt Shortcut.txt Addition.txt

[Bromidum]

W FRST wydaje się czysto, a co do wykrycia zagrożenia to jest to potencjalnie niepożądana aplikacja - nie malware. 

Niektóre źródła wskazują, że także wynik fałszywie dodatni - https://forums.malwarebytes.com/topic/300734-adwcleaner-pupoptionallegacy/

1) RogueKiller Anti Malware → https://www.adlice.com/roguekiller/#alt_download

Zalecane pobranie wersji przenośnej (portable). Przed uruchomieniem pełnego skanowania należy włączyć w ustawieniach bezsygnaturowy „moduł MaIPE (BETA)”; opcjonalnie „skanuj z pełną wydajnością” (ustawienia → ustawienia skanowania).    

 

2) Uruchom FRST/FRST64.exe, wciśnij kombinację klawiszy ctrl + y. Otworzy się notatnik, do którego wklej zawartość skryptu. Zamknij i zapisz. W FRST kliknij „napraw” →


CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [Genshin Impact Beta_Launcher] => [X]
HKLM-x32\...\Run: [Genshin Impact_launcher_pcseaepic_1_3] => [X]
S2 DFWSIDService; C:\Program Files (x86)\Wondershare\Wondershare dr.fone (CPC)\WsidService.exe [X]
S2 ElevationService; C:\Program Files (x86)\Wondershare\Wondershare dr.fone (CPC)\Addins\Unlock\ElevationService.exe [913408 2021-05-26] () [Brak podpisu cyfrowego]
S2 Wondershare InstallAssist; C:\ProgramData\Wondershare\Service\InstallAssistService.exe [262880 2022-03-31] (Wondershare Technology Co.,Ltd -> Wondershare)
S3 VBoxSDS; "D:\Gry Wojtka\VirtualBox\VBoxSDS.exe" [X]
S3 EAAntiCheat; system32\drivers\eaanticheat.sys [X]
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [711288 2023-01-09] (Oracle America, Inc. -> Oracle Corporation)
HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\Run: [MicrosoftEdgeAutoLaunch_CC6ADAA24A0C04FE0560D6D75B65017F] => "C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe" --no-startup-window --win-session-start /prefetch:5 [4108224 2023-09-12] (Microsoft Corporation -> Microsoft Corporation)
HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\Run: [Overwolf] => C:\Program Files (x86)\Overwolf\OverwolfLauncher.exe [1785864 2023-09-14] (Overwolf Ltd -> Overwolf Ltd.)
HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\MountPoints2: {43526f46-bed1-11ea-a5bf-0c5b8f279a64} - "F:\HiSuiteDownLoader.exe" 
HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\MountPoints2: {9b28a8af-5625-11ea-a55d-0c5b8f279a64} - "F:\start.exe" 
HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\MountPoints2: {d2d8883f-e135-11ea-a5d8-309c23ccbb2c} - "F:\AutoRun.exe" 
Task: {7F82B17F-373E-4DC7-BD9A-13E6B0C228E6} - System32\Tasks\Mozilla\Firefox Background Update 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\firefox.exe [675232 2023-09-15] (Mozilla Corporation -> Mozilla Corporation) -> --MOZ_LOG sync,prependheader,timestamp,append,maxsize:1,Dump:5 --MOZ_LOG_FILE C:\ProgramData\Mozilla-1de4eec8-1241-4177-a864-e594e8d1fb38\updates\308046B0AF4A39CB\backgroundupdate.moz_log --backgroundtask backgroundupdate
Task: {2FC3CB60-0205-4320-B7F0-BE2DA63F2B71} - System32\Tasks\Mozilla\Firefox Default Browser Agent 308046B0AF4A39CB => C:\Program Files\Mozilla Firefox\default-browser-agent.exe [722336 2023-09-15] (Mozilla Corporation -> Mozilla Foundation)
Task: {3126004F-C6DD-49EC-9717-892AAF7B077C} - System32\Tasks\NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} => C:\Program Files\NVIDIA Corporation\NVIDIA GeForce Experience\NVIDIA GeForce Experience.exe [3342376 2022-10-17] (Nvidia Corporation -> NVIDIA Corporation)
Task: {24E3D960-01E8-476F-AE94-EC1CC0DA4AF1} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Common Files\Overwolf\OverwolfUpdater.exe [2641416 2023-09-14] (Overwolf Ltd -> Overwolf LTD)
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
Tcpip\Parameters: [DhcpNameServer] 192.168.8.1
Tcpip\..\Interfaces\{31462ae5-0edd-4302-abaa-12e6127a3450}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{4345cc59-d616-4a5f-a881-7a3b40f854a3}: [DhcpNameServer] 192.168.42.129
Tcpip\..\Interfaces\{5b8d10c6-3752-4864-b6cc-c80775cc3bee}: [NameServer] 8.8.8.8,8.8.4.4
Tcpip\..\Interfaces\{5b8d10c6-3752-4864-b6cc-c80775cc3bee}: [DhcpNameServer] 192.168.8.1
Tcpip\..\Interfaces\{8def9637-a4ad-4c69-aab2-75981b0671f1}: [DhcpNameServer] 192.168.8.1 192.168.8.1
Tcpip\..\Interfaces\{8f85cd2c-9db2-4617-9049-f964dc4facb3}: [DhcpNameServer] 192.168.42.129
Edge Extension: (Brak nazwy) -> AutoFormFill_5ED10D46BD7E47DEB1F3685D2C0FCE08 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\AutoFormFill [nie znaleziono]
Edge Extension: (Brak nazwy) -> BookReader_B171F20233094AC88D05A8EF7B9763E8 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\BookViewer [nie znaleziono]
Edge Extension: (Brak nazwy) -> LearningTools_7706F933-971C-41D1-9899-8A026EB5D824 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\LearningTools [nie znaleziono]
Edge Extension: (Brak nazwy) -> PinJSAPI_EC01B57063BE468FAB6DB7EBFC3BF368 => C:\Windows\SystemApps\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\Assets\HostExtensions\PinJSAPI [nie znaleziono]
C:\Users\Wojtek\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom
CHR HKLM-x32\...\Chrome\Extension: [makcojoppodhcgmmchohadhpkicoafka]
2023-09-14 15:45 - 2023-09-14 15:45 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2023-09-14 16:49 - 2022-04-19 14:08 - 000000000 ____D C:\AdwCleaner
C:\Program Files (x86)\Wondershare
Shortcut: C:\ProgramData\Microsoft\Windows\GameExplorer\{5112AC54-DC7E-403B-81E0-4530E6C6B768}\PlayTasks\2\View EULA File.lnk -> D:\Gry Wojtka\LEGO Indiana Jones The Adventure Continues\EULA_GB.rtf (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\GameExplorer\{5112AC54-DC7E-403B-81E0-4530E6C6B768}\PlayTasks\1\View Readme File.lnk -> D:\Gry Wojtka\LEGO Indiana Jones The Adventure Continues\README_GB.pdf (Brak pliku)
Shortcut: C:\ProgramData\Microsoft\Windows\GameExplorer\{5112AC54-DC7E-403B-81E0-4530E6C6B768}\PlayTasks\0\Play.lnk -> D:\Gry Wojtka\LEGO Indiana Jones The Adventure Continues\LEGOIndy2.exe (Brak pliku)
Shortcut: C:\Users\Wojtek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line\More....lnk -> C:\Program Files\Image-Line\Shared\Start (Brak pliku)
Shortcut: C:\Users\Wojtek\OneDrive\Dokumenty\Euro Truck Simulator 2\readme.rtf.lnk -> D:\SteamLibrary\steamapps\common\Euro Truck Simulator 2\readme.rtf (Brak pliku)
IE trusted site: HKU\S-1-5-21-3834237874-1979451878-1036157185-1001\...\sharepoint.com -> hxxps://zselradom-files.sharepoint.com
CMD: netsh advfirewall reset
CMD: sfc /scannow  
EmptyEventLogs:
EmptyTemp: 

 

Plik naprawczy przeznaczony jest tylko dla autora wątku!


Po wykonaniu skryptu i ponownym uruchomieniu załącz utworzony fixlog.txt  

 

3) Zmień serwer DNS na Quad9 → https://www.youtube.com/embed/aujUl3yt6nM?autoplay=1 (podstawowy 9.9.9.9, zapasowy 149.112.112.112) 

 

Edytowane 15 września 2023 przez Bromidum

[Wojciech109]

Dzięki wielkie za pomoc 

 

Tutaj załączam Fixlog

Fixlog.txt

 

RogueKiller wykrył jakieś dwie rzeczy i usunąłem je

Edytowane 15 września 2023 przez Wojciech109

[Bromidum]

Zwróć uwagę jeszcze na rozszerzenia w Chrome → https://soo.bearblog.dev/chrome/

By usunąć wszystkie pliki/foldery utworzone przez FRST oraz narzędzie jako takie, zmień nazwę pliku FRST/FRST64.exe na uninstall.exe i uruchom ten plik.

Procedura wymaga ponownego uruchomienia urządzenia. 

 

To wszystko.  

Edytowane 15 września 2023 przez Bromidum

[Wojciech109]

Jeszcze raz bardzo dziękuję za pomoc  Po weekendzie jeszcze dam znać w razie czego gdyby jakimś cudem znowu się to pojawiło

[Wojciech109]

@Bromidum Niestety problem powrócił :/ Folder "Packer" z zawartością znów się pojawił i AdwCleaner znów wykrył go jako PUP.Optional.Legacy. Spróbuję może odinstalować Firefoxa, a Chrome przywrócić do domyślnych ustawień i pousuwać historię i pliki Cookie lub w ogóle przeinstalować całego Chrome'a. Chociaż nie wydaję mi się żeby to było coś związanego z przeglądarkami, ale mogę się mylić (W raporcie z AdwCleanera jest tylko zaznaczone wykrycie folderu, a nie ma nic dotyczącego przeglądarek). I jeszcze pytanko. Czy ten PUP.Optional.Legacy stwarza jakieś realne zagrożenie bezpieczeństwa?

[Bromidum]

Podlinkowałem przecież wyżej, że pracownik Malwarebytes (AdwCleaner) wskazał to wykrycie jako wynik fałszywie dodatni. Także bym się skłaniał do tej oceny.  

[Wojciech109]

@Bromidum Rzeczywiście, wybacz jakimś cudem umknął mi ten link. Przy okazji znalazłem też informację, że ten folder tworzy się wraz z uruchomieniem Fify 23 i rzeczywiście tak jest. Więc temat można chyba definitywnie uznać za rozwiązany