Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите удалить HEUR:Trojan.Win32.Garvi.gen.

Tohin

Автор Tohin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Tohin

Tohin

Опубликовано
Опубликовано

Здравствуйте.

 

Помогите удалить HEUR:Trojan.Win32.Garvi.gen. Днем скачал торрент с этим вирусом. KIS его обнаружил и удалил, после провел полную проверку, ничего не обнаружил. После, через часов 6, этот вирус снова проявил себя (информация на Screenshot_1). В отчетах антивируса пишет, что этот вирус не был обработан (информация на Screenshot_2). Что значит не обработан, не совсем понимаю...

 

KVRT вирусов не обнаружил. Логи сделанные через AutoLogger прилагаю.

 

Помогите, пожалуйста, избавиться от этого незваного гостя.

 

Спасибо.

 

Screenshot_1.png

Screenshot_2.png

CollectionLog-2021.01.21-23.50.zip

  • Ответов 38
  • Создана
  • Последний ответ

Топ авторов темы

  • Tohin

    18

  • SQ

    17

  • regist

    3

  • Sandor

    1

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

regist
regist

Подождите ответа от @SQ, там судя по логу frst ещё остались папки от вируса.   и Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?    

SQ
SQ

Да, так и есть, так как с включеной сихронизацией указанное расширение будет возвращаться. У Вас остались еще какие-либо вопросы?

Sandor
Sandor

Уточню: Malwarebytes нервно реагирует на поиск mail.ru, который в русскоязычной версии Хрома находится в списке поисковых систем по умолчанию. Можно игнорировать это срабатывание.

Изображения в теме

SQ

SQ

Опубликовано
Опубликовано

Здравствуйте,

 

1) HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже. 

O22 - Task: SJFB - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py ULZSZe (file missing)
O22 - Task: System config updates - C:\Users\gmayb\AppData\Local\config\python\pythonw.exe C:\Users\gmayb\AppData\Local\config\updater.py
O22 - Task: ULRSJN - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py 09c3dde010607bd52a72493d2f132caf (file missing)
O22 - Task: ZYDSNR - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py 09c3dde010607bd52a72493d2f132caf (file missing)

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт): 

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\gmayb\AppData\Local\config\updater.py','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\config\python\pythonw.exe','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py','');
 DeleteSchedulerTask('MYAI');
 DeleteSchedulerTask('SJFB');
 DeleteFile('C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py','64');
 DeleteSchedulerTask('ULRSJN');
 DeleteSchedulerTask('System config updates');
 DeleteFile('C:\Users\gmayb\AppData\Local\config\python\pythonw.exe','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\config\updater.py','64');
 DeleteSchedulerTask('ZYDSNR');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

3)   AdwCleaner:
 

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора)

  • Нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).

  • Прикрепите отчет к своему следующему сообщению.

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Здравствуйте,

 

1) HiJackThis не обнаружил указанных вами пунктов (прилагаю Screenshot_1).

Возможно, что это связано с тем, что я вчера на ПК сам все чистил,  что связано с Python. Этот вирус поменял политики в Google Chrome и создавал множество сетевых активностей через с помощью Python. Вот небольшая предыстория.)

 

2) Архив quarantine.zip загрузил. (прилагаю Screenshot_2).

 

3) Отчет AdwCleaner во вложении.

Screenshot_1.png

Screenshot_2.png

AdwCleaner[S00].txt

SQ

SQ

Опубликовано
Опубликовано

Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

  • Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.


1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.
3munStB.png
3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

regist

regist

Опубликовано
Опубликовано

Скачайте отсюда Хиджак, распакуйте и запустите и сохраните его лог. Полученный лог заархивируйте и прикрепите к сообщению.

regist

regist

Опубликовано
Опубликовано
6 часов назад, Tohin сказал:

HiJackThis не обнаружил указанных вами пунктов (прилагаю Screenshot_1).

Возможно, что это связано с тем, что я вчера на ПК сам все чистил,  что связано с Python.

Да, это из-за того, что занимались самолечением уже после создания логов/темы, чем путаете хелперов.

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Ну, делал что мог: )

Больше мне делать ничего не надо?

 

Еще хотел узнать, а что в обще этот вирус делает? Можно где-нибудь почитать?

Просто в моем случае, он изменил политики в Google Chrome и через свой прокси сетевых подключений создал. Хотелось бы понять, для чего.

regist

regist

Опубликовано
Опубликовано
3 часа назад, Tohin сказал:

Больше мне делать ничего не надо?

Подождите ответа от @SQ, там судя по логу frst ещё остались папки от вируса.

 

и Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?

 

 

  • Like (+1) 1
SQ

SQ

Опубликовано
Опубликовано

1. Выделите следующий код: 

Start::
CreateRestorePoint:
ProxyServer: [S-1-5-21-764188927-3610491082-2677599124-1001] => 127.0.0.1:8080
File: H:\Games\Steam\steamapps\common\wallpaper_engine\bin\wallpaperservice32_c.exe
2021-01-21 21:36 - 2021-01-21 21:36 - 000000000 ____D C:\Users\Все пользователи\gHGPbhDomq1bVeIWZ
2021-01-21 21:36 - 2021-01-21 21:36 - 000000000 ____D C:\ProgramData\gHGPbhDomq1bVeIWZ
Folder: C:\Users\gmayb\AppData\Local\QCUBE
2021-01-21 15:17 - 2021-01-21 15:17 - 000000770 _____ C:\Users\gmayb\38TphAtNGLT8YKlmG7LM
FirewallRules: [{48953DB9-3DC0-4D5C-9F15-A84D965C101E}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{1870AB93-BE2A-4050-A562-A2B406F94342}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{7DBDE71B-7F04-4565-9CC6-CF70AD6D7A14}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{E9E5F7E0-1761-4192-88BF-6DA6E60B33B6}] => (Allow) E:\Star Wars Jedi Fallen Order\Jedi Fallen Order\SwGame\Binaries\Win64\starwarsjedifallenorder.exe => No File
FirewallRules: [{4922225A-FEF5-415C-A37F-7E7F9D3BBC67}] => (Allow) E:\Star Wars Jedi Fallen Order\Jedi Fallen Order\SwGame\Binaries\Win64\starwarsjedifallenorder.exe => No File
FirewallRules: [{7FE85C2D-6D40-4069-B5A7-2B06540B0E84}] => (Allow) E:\GTAV\GTA5.exe => No File
FirewallRules: [{9B8A59B0-A26A-4D59-9FC4-C0A8CC2BB2C4}] => (Allow) E:\GTAV\GTA5.exe => No File
FirewallRules: [{E508DD1F-F161-4464-9A5A-40307A082F92}] => (Allow) C:\Program files (x86)\raidxpert2\apache\bin\httpd.exe => No File
Reboot:
End::
2. Скопируйте выделенный текст (правая кнопка мыши  Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

  • Обратите внимание: будет выполнена перезагрузка компьютера.
Tohin

Tohin

Опубликовано
  • Автор
Опубликовано
12 часов назад, regist сказал:

Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?

Не ставил.

 

11 часов назад, SQ сказал:

Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Во вложении.

Fixlog.rar

SQ

SQ

Опубликовано
Опубликовано

  Знакома ли Вам следующее?
  


========================= Folder: C:\Users\gmayb\AppData\Local\QCUBE ========================

2021-01-21 19:15 - 2021-01-21 19:15 - 000451200 ____A [0CF5F1EA7B279DFECB410FF1E18E48AE] () C:\Users\gmayb\AppData\Local\QCUBE\027d81ca25.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000001564 ____A [28C61272D07E728A542A8BBE9157B5FA] () C:\Users\gmayb\AppData\Local\QCUBE\0Poo4CMlqS.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000476464 ____A [076F1C9BFC09DF7551A5C5F2D99416F6] () C:\Users\gmayb\AppData\Local\QCUBE\1ae7ab6bcd.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 002329204 ____A [1FF973443D7BBCE2B1DA7BE6C7B1D42A] () C:\Users\gmayb\AppData\Local\QCUBE\34cfe83dda.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 021583616 ____A [EE491E54F6867AC2D0FF7D22B4B45166] () C:\Users\gmayb\AppData\Local\QCUBE\54f5469a16.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000348096 ____A [6E2E60E88D2D1F23844C969E5BA7AEB4] () C:\Users\gmayb\AppData\Local\QCUBE\7a93ffe61a.txt
2021-01-21 19:16 - 2021-01-21 19:16 - 000004116 ____A [6CB242E3C96C66A863F29B033BEA4117] () C:\Users\gmayb\AppData\Local\QCUBE\8230222e1b.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000000036 ____A [E4B3E9BF4130A83E8F49954EF99E63CA] () C:\Users\gmayb\AppData\Local\QCUBE\885d841d13.txt
2021-01-21 22:21 - 2021-01-21 22:21 - 000000012 ____A [AE00D1DF618536B94B921D0210E18524] () C:\Users\gmayb\AppData\Local\QCUBE\b41d0b6ddb.txt

====== End of Folder: ======

 

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано
1 час назад, SQ сказал:

Знакома ли Вам следующее?

Я могу ошибаться, но вроде, QCUBE.py - так называлась программа, которая создавала множество сетевых подключений. Потом я её как-то удалил, или отключил эти подключения и появилась новая - MDARR.py. Повторюсь, я могу ошибаться. Мне это название ничего не говорит, я самостоятельно точно не ставил такое.

SQ

SQ

Опубликовано
Опубликовано

В ней ранее были файлы python,  если ли незнакомо удалите эту папку, в любом случае в ней остались только текстовые файлы, возможно логи проделанной ими работы.

Сообщите что с проблемой?

Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Zhuraulik
      [РЕШЕНО] Помогите удалить вирус.
      Автор Zhuraulik
      При попытке очистить место для установки программы, диск "c" постоянно был переполнен. Просматривал папки, пока не наткнулся на папку programdata, при нажатии на которую проводник закрывался. В поисковике нашёл похожую проблему, но при попытке перейти на сайт с загрузкой антивируса, закрывался браузер. В том числе и данный сайт. Скачал всё через смартфон и перекинув на флешку запустил логер. Прикрепляю данные его работы.CollectionLog-2024.09.18-10.50.zip
    • Ян Том
      [РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
    • Dmdozors1982
      [РЕШЕНО] Помогите удалить tool.btcmine.2794
      Автор Dmdozors1982
      Добрый день, помогите удалить майнер tool.btcmine.2794. Обезвредил его с помощью Curelt, сделал лог, прикрепил
      CollectionLog-2025.07.09-21.11.zip
    • ggruzin
      [РЕШЕНО] Помогите удалить вирус - автокликер
      Автор ggruzin
      Здравствуйте, помогите удалить вирус авто кликcollectionLog.rarер. Не находится анти вирусами kaspersky free, malwarebytes , лечащей утилитой KVRT
      поймал на какой то копии сайта kinogo
      Заранее спасибо!
    • GavrikGame
      [РЕШЕНО] Помогите удалить вирус taskhost
      Автор GavrikGame
      Удалял вирус полностью и через безопасный режим, как только не пытался.
      Самовосстанавливается эта падлюка, хз, что делать, когда удаляю вирус и перезапускаю ПК, вижу, появляются много окон типа для запуска майнера, как я понял, powershell — одно из названий окон.
      Скорее всего подцепил когда устанавливал WORD ругался антивирус винды.
      ПОМОГИТИ

×
×
  • Создать...