[РЕШЕНО] Помогите удалить HEUR:Trojan.Win32.Garvi.gen.

[Tohin]

Здравствуйте.

 

Помогите удалить HEUR:Trojan.Win32.Garvi.gen. Днем скачал торрент с этим вирусом. KIS его обнаружил и удалил, после провел полную проверку, ничего не обнаружил. После, через часов 6, этот вирус снова проявил себя (информация на Screenshot_1). В отчетах антивируса пишет, что этот вирус не был обработан (информация на Screenshot_2). Что значит не обработан, не совсем понимаю...

 

KVRT вирусов не обнаружил. Логи сделанные через AutoLogger прилагаю.

 

Помогите, пожалуйста, избавиться от этого незваного гостя.

 

Спасибо.

 

CollectionLog-2021.01.21-23.50.zip

[SQ]

Здравствуйте,

 

1) HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: SJFB - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py ULZSZe (file missing)
O22 - Task: System config updates - C:\Users\gmayb\AppData\Local\config\python\pythonw.exe C:\Users\gmayb\AppData\Local\config\updater.py
O22 - Task: ULRSJN - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py 09c3dde010607bd52a72493d2f132caf (file missing)
O22 - Task: ZYDSNR - C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py 09c3dde010607bd52a72493d2f132caf (file missing)

 

2) Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ из папки Autologger\AV\av_z.exe (Файл - Выполнить скрипт):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 QuarantineFile('C:\Users\gmayb\AppData\Local\config\updater.py','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\config\python\pythonw.exe','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe','');
 QuarantineFile('C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py','');
 DeleteSchedulerTask('MYAI');
 DeleteSchedulerTask('SJFB');
 DeleteFile('C:\Users\gmayb\AppData\Local\QCUBE\MDARR.py','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\mrJWF\cNJ.py','64');
 DeleteSchedulerTask('ULRSJN');
 DeleteSchedulerTask('System config updates');
 DeleteFile('C:\Users\gmayb\AppData\Local\config\python\pythonw.exe','64');
 DeleteFile('C:\Users\gmayb\AppData\Local\config\updater.py','64');
 DeleteSchedulerTask('ZYDSNR');
CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится.

 

Полученный архив quarantine.zip из папки AVZ загрузите этот архив через данную форму

 

3)   AdwCleaner:
 

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора)

• Нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.

• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).

• Прикрепите отчет к своему следующему сообщению.

[Tohin]

Здравствуйте,

 

1) HiJackThis не обнаружил указанных вами пунктов (прилагаю Screenshot_1).

Возможно, что это связано с тем, что я вчера на ПК сам все чистил,  что связано с Python. Этот вирус поменял политики в Google Chrome и создавал множество сетевых активностей через с помощью Python. Вот небольшая предыстория.)

 

2) Архив quarantine.zip загрузил. (прилагаю Screenshot_2).

 

3) Отчет AdwCleaner во вложении.

AdwCleaner[S00].txt

[SQ]

Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

[Tohin]

Готово.

Результат FRST64.rar

[regist]

Скачайте отсюда Хиджак, распакуйте и запустите и сохраните его лог. Полученный лог заархивируйте и прикрепите к сообщению.

[Tohin]

Готово.

HiJack.rar

[regist]

6 часов назад, Tohin сказал:

HiJackThis не обнаружил указанных вами пунктов (прилагаю Screenshot_1).

Возможно, что это связано с тем, что я вчера на ПК сам все чистил,  что связано с Python.

Да, это из-за того, что занимались самолечением уже после создания логов/темы, чем путаете хелперов.

[Tohin]

Ну, делал что мог: )

Больше мне делать ничего не надо?

 

Еще хотел узнать, а что в обще этот вирус делает? Можно где-нибудь почитать?

Просто в моем случае, он изменил политики в Google Chrome и через свой прокси сетевых подключений создал. Хотелось бы понять, для чего.

[regist]

3 часа назад, Tohin сказал:

Больше мне делать ничего не надо?

Подождите ответа от @SQ, там судя по логу frst ещё остались папки от вируса.

 

и Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?

 

 

[SQ]

1. Выделите следующий код:

Start::
CreateRestorePoint:
ProxyServer: [S-1-5-21-764188927-3610491082-2677599124-1001] => 127.0.0.1:8080
File: H:\Games\Steam\steamapps\common\wallpaper_engine\bin\wallpaperservice32_c.exe
2021-01-21 21:36 - 2021-01-21 21:36 - 000000000 ____D C:\Users\Все пользователи\gHGPbhDomq1bVeIWZ
2021-01-21 21:36 - 2021-01-21 21:36 - 000000000 ____D C:\ProgramData\gHGPbhDomq1bVeIWZ
Folder: C:\Users\gmayb\AppData\Local\QCUBE
2021-01-21 15:17 - 2021-01-21 15:17 - 000000770 _____ C:\Users\gmayb\38TphAtNGLT8YKlmG7LM
FirewallRules: [{48953DB9-3DC0-4D5C-9F15-A84D965C101E}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{1870AB93-BE2A-4050-A562-A2B406F94342}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{7DBDE71B-7F04-4565-9CC6-CF70AD6D7A14}] => (Allow) C:\Users\gmayb\AppData\Local\Programs\Python\Python36-32\pythonw.exe => No File
FirewallRules: [{E9E5F7E0-1761-4192-88BF-6DA6E60B33B6}] => (Allow) E:\Star Wars Jedi Fallen Order\Jedi Fallen Order\SwGame\Binaries\Win64\starwarsjedifallenorder.exe => No File
FirewallRules: [{4922225A-FEF5-415C-A37F-7E7F9D3BBC67}] => (Allow) E:\Star Wars Jedi Fallen Order\Jedi Fallen Order\SwGame\Binaries\Win64\starwarsjedifallenorder.exe => No File
FirewallRules: [{7FE85C2D-6D40-4069-B5A7-2B06540B0E84}] => (Allow) E:\GTAV\GTA5.exe => No File
FirewallRules: [{9B8A59B0-A26A-4D59-9FC4-C0A8CC2BB2C4}] => (Allow) E:\GTAV\GTA5.exe => No File
FirewallRules: [{E508DD1F-F161-4464-9A5A-40307A082F92}] => (Allow) C:\Program files (x86)\raidxpert2\apache\bin\httpd.exe => No File
Reboot:
End::

2. Скопируйте выделенный текст (правая кнопка мыши – Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

 

• Обратите внимание: будет выполнена перезагрузка компьютера.

[Tohin]

12 часов назад, regist сказал:

Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?

Не ставил.

 

11 часов назад, SQ сказал:

Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.

Во вложении.

Fixlog.rar

[SQ]

  Знакома ли Вам следующее?
 

========================= Folder: C:\Users\gmayb\AppData\Local\QCUBE ========================

2021-01-21 19:15 - 2021-01-21 19:15 - 000451200 ____A [0CF5F1EA7B279DFECB410FF1E18E48AE] () C:\Users\gmayb\AppData\Local\QCUBE\027d81ca25.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000001564 ____A [28C61272D07E728A542A8BBE9157B5FA] () C:\Users\gmayb\AppData\Local\QCUBE\0Poo4CMlqS.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000476464 ____A [076F1C9BFC09DF7551A5C5F2D99416F6] () C:\Users\gmayb\AppData\Local\QCUBE\1ae7ab6bcd.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 002329204 ____A [1FF973443D7BBCE2B1DA7BE6C7B1D42A] () C:\Users\gmayb\AppData\Local\QCUBE\34cfe83dda.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 021583616 ____A [EE491E54F6867AC2D0FF7D22B4B45166] () C:\Users\gmayb\AppData\Local\QCUBE\54f5469a16.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000348096 ____A [6E2E60E88D2D1F23844C969E5BA7AEB4] () C:\Users\gmayb\AppData\Local\QCUBE\7a93ffe61a.txt
2021-01-21 19:16 - 2021-01-21 19:16 - 000004116 ____A [6CB242E3C96C66A863F29B033BEA4117] () C:\Users\gmayb\AppData\Local\QCUBE\8230222e1b.txt
2021-01-21 19:15 - 2021-01-21 19:15 - 000000036 ____A [E4B3E9BF4130A83E8F49954EF99E63CA] () C:\Users\gmayb\AppData\Local\QCUBE\885d841d13.txt
2021-01-21 22:21 - 2021-01-21 22:21 - 000000012 ____A [AE00D1DF618536B94B921D0210E18524] () C:\Users\gmayb\AppData\Local\QCUBE\b41d0b6ddb.txt

====== End of Folder: ======

 

[Tohin]

1 час назад, SQ сказал:

Знакома ли Вам следующее?

Я могу ошибаться, но вроде, QCUBE.py - так называлась программа, которая создавала множество сетевых подключений. Потом я её как-то удалил, или отключил эти подключения и появилась новая - MDARR.py. Повторюсь, я могу ошибаться. Мне это название ничего не говорит, я самостоятельно точно не ставил такое.

[SQ]

В ней ранее были файлы python,  если ли незнакомо удалите эту папку, в любом случае в ней остались только текстовые файлы, возможно логи проделанной ими работы.

Сообщите что с проблемой?