Перейти к содержанию
Правила раздела

[РЕШЕНО] Помогите удалить HEUR:Trojan.Win32.Garvi.gen.

Tohin

Автор Tohin
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Папку удалил. 

 

KIS не ругается. Каких-то странных активностей не наблюдаю. В мониторинге сетевых активностей тоже ничего лишнего нет.

  • Ответов 38
  • Создана
  • Последний ответ

Топ авторов темы

  • Tohin

    18

  • SQ

    17

  • regist

    3

  • Sandor

    1

Топ авторов темы

Популярные посты

regist
regist

Подождите ответа от @SQ, там судя по логу frst ещё остались папки от вируса.   и Safe Torrent Scanner - aegnopegbbhjeeiganiajffnalhlkkjb - расширение в Хроме сами ставили?    

SQ
SQ

Да, так и есть, так как с включеной сихронизацией указанное расширение будет возвращаться. У Вас остались еще какие-либо вопросы?

Sandor
Sandor

Уточню: Malwarebytes нервно реагирует на поиск mail.ru, который в русскоязычной версии Хрома находится в списке поисковых систем по умолчанию. Можно игнорировать это срабатывание.

Изображения в теме

SQ

SQ

Опубликовано
Опубликовано

Завершающие шаги:


1. Пожалуйста, запустите adwcleaner.exe
    В меню Параметры прокрутите вниз и выберите Удалить.

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
    Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
    Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
    Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
    Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
    Прикрепите этот файл к своему следующему сообщению.

SQ

SQ

Опубликовано
Опубликовано

Ознакомьтесь с рекомендациями.

------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.91 (64-разрядная) v.5.91.0 Внимание! Скачать обновления
---------------------------- [ UnwantedApps ] -----------------------------
Reg Organizer 8.55 v.8.55 Внимание! Подозрение на демо-версию антишпионской программы, программу для обновления драйверов, программу-оптимизатор или программу очистки реестра. Рекомендуется деинсталляция и сканирование ПК с помощью Malwarebytes Anti-Malware. Возможно Вы стали жертвой обмана или социальной инженерии.
----------------------------- [ End of Log ] ------------------------------
 

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Все сделал.

WinRAR 5.91 (64-разрядная) обновил.

Reg Organizer 8.55 удалил.

Malwarebytes еще нашел какие-то папки и отправил их в карантин. (Screenshot_1)

Screenshot_1.png

SQ

SQ

Опубликовано
Опубликовано

Похоже ему не нравиться расширение Mail.ru в браузере Chrome. Он помечен как optional, т.е. на ваш выбор.

P.S. он находится в папке сихронизации данных, возможно ваш хром синхронизирован.

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Я никаких расширений в  Mail.ru в браузере Chrome не ставил. : )

Это все что у меня стояло (Screenshot_1).

Screenshot_1.png

SQ

SQ

Опубликовано
Опубликовано

Возможны вы ранее ставили или на другом устройстве (например смартфон) он установлен который синронизирован с Chrome.

попробуйте отключить временно сихронизацию в chrome и перепроверить..

Tohin

Tohin

Опубликовано
  • Автор
Опубликовано (изменено)

Да, на смартфоне стоит Chrome. И сейчас проверил в настройках безопасности google, что кроме моих устройств там других нету и не было. 

Получается, эти файлы можно не убирать в карантин? Это Chrome создает для синхронизации?

Еще раз проверку сделал с Malwarebytes.

Screenshot_1.png

 

Я понял. Надо отключить синхронизацию, убрать в карантин эти файлы. И после чуть позже провести проверку Malwarebytes, не появились ли эти файлы с отключенной синхронизацией. : )

Изменено пользователем Tohin
SQ

SQ

Опубликовано
Опубликовано
1 minute ago, Tohin said:

Я понял. Надо отключить синхронизацию, убрать в карантин эти файлы. И после чуть позже провести проверку Malwarebytes, не появились ли эти файлы с отключенной синхронизацией. : )

Да, так и есть, так как с включеной сихронизацией указанное расширение будет возвращаться.

У Вас остались еще какие-либо вопросы?

  • Спасибо (+1) 1
Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Вопросов нет.

Спасибо большое за помощь. : )

Столько нового узнал. Теперь буду знать, что тут есть такое классное комьюнити.

SQ

SQ

Опубликовано
Опубликовано
On 23.01.2021 at 05:06, Tohin said:

Не ставил.

Забыл уточнить по вопросу коллеги касаемо расширения Safe Torrent Scanner и Slinky Элегантный, если вы сами не ставили, то для того чтобы  его удалить выполните следующие инструкции в FRST.

Могли бы уточнить если каталог pip вам знаком? он похоже это кэш каталог от python, если это так то его можно также удалить.

 

1. Выделите следующий код: 

Start::
CreateRestorePoint:
CHR HKLM-x32\...\Chrome\Extension: [aegnopegbbhjeeiganiajffnalhlkkjb]
CHR Extension: (Slinky Элегантный) - C:\Users\gmayb\AppData\Local\Google\Chrome\User Data\Default\Extensions\bmanlajnpdncmhfkiccmbgeocgbncfln [2021-01-22]
Folder: C:\Users\gmayb\AppData\Local\pip
End::
2. Скопируйте выделенный текст (правая кнопка мыши  Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет возможно выполнена перезагрузка компьютера.
Tohin

Tohin

Опубликовано
  • Автор
Опубликовано

Каталог pip не знаком.

Fixlog.txt во вложении.

Malwarebytes после отключения синхронизации в Chrome больше не обнаруживает никаких файлов.

Fixlog.txt

SQ

SQ

Опубликовано
Опубликовано

Да похоже это каталог кэша python:
  

========================= Folder: C:\Users\gmayb\AppData\Local\pip ========================

2021-01-21 15:15 - 2021-01-21 15:15 - 000000000 ____D [00000000000000000000000000000000] () C:\Users\gmayb\AppData\Local\pip\Cache
2021-01-21 15:15 - 2021-01-21 15:15 - 000000129 ____A [6A9FE9D71BB0029F1D3DB0E68FC0740E] () C:\Users\gmayb\AppData\Local\pip\Cache\selfcheck.json

====== End of Folder: ======


Для удаления расширения Slinky Элегантный и каталога pip выполните следующее:

* Закройте и сохраните все открытые приложения.

1. Выделите следующий код: 

Start::
CreateRestorePoint:
CloseProcesses:
C:\Users\gmayb\AppData\Local\Google\Chrome\User Data\Default\Extensions\bmanlajnpdncmhfkiccmbgeocgbncfln
C:\Users\gmayb\AppData\Local\pip
End::
2. Скопируйте выделенный текст (правая кнопка мыши  Копировать).
3. Запустите Farbar Recovery Scan Tool.
4. Нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении.
  • Обратите внимание: будет выполнена перезагрузка компьютера.

 

15 часов назад, Tohin сказал:

Malwarebytes после отключения синхронизации в Chrome больше не обнаруживает никаких файлов.

Возможно после включение синхронизации, он вернется. Поэтому если не критичных для вас синхронизированных данных, то удалите синхронизированные данные с вашего аккаунта google.

Sandor

Sandor

Опубликовано
Опубликовано

Уточню: Malwarebytes нервно реагирует на поиск mail.ru, который в русскоязычной версии Хрома находится в списке поисковых систем по умолчанию.

Можно игнорировать это срабатывание.

  • Like (+1) 1
Гость
Эта тема закрыта для публикации ответов.
 Поделиться
Перейти к списку тем
×
×
  • Создать...