Как избавиться от вируса heur

Активность вирусных программ никогда не утихает, а их разнообразие постоянно заставляет разработчиков антивирусов менять схему защиты устройств. С недавнего времени, в процессе проверки антивирусом Kaspersky, стали появляться новые обозначения угроз. Наиболее популярный тип угроз сейчас обозначается как Not-a-virus: HEUR, который может указывать на разные источники: Downloader Win32, AdWare Script Generic, AdWare Script Pusher Gen и другие.

В статье мы расскажем, что означает Not-a-virus: HEUR в Касперском, какая опасность от них исходит и каким образом нужно их удалять из компьютера или ноутбука.


Угроза not-a-virus: HEUR в Касперском

Что значит Not-a-virus: HEUR

Not-a-virus: HEUR в Касперском — это особый тип угрозы, который указывает на то, что источник не является вирусом, но в его распоряжении имеются процессы или службы, являющиеся потенциально нежелательными для работы системы.

По факту, антивирус указывает таким образом на программы, отдельные службы и даже сайты. Делается это, по большей части, в целях профилактики — владельцу компьютера лучше знать о существовании на устройстве таких программок. По умолчанию, в настройках Касперского может быть прописана блокировка или предупреждение (желтое окошко) при запуске такой угрозы.


Программы Not-a-virus:HEUR не являются вирусными

Что такое Downloader Win32

К типу угроз Downloader.Win32 чаще всего относят приложения, запрашивающие фоновые загрузки любых программных пакетов. Такие программы способны создать ключ загрузки в реестре Windows или прописать безопасную cmd-команду для выполнения подключений и скачивания иных файлов.

Если в какой-либо сторонней программке обнаружена опция загрузчика — Касперский помечает её как Downloader.Win32 и предлагает пользователю ознакомится с ней подробнее. Самый простой пример — блокировка популярной утилиты DriverPack Solution. Эта программка способна в автоматическом режиме обновлять драйвера и установленный софт. Kaspersky всегда оповещает об этом владельца ПК.

Что бы избавиться от такой угрозы — не обязательно удалять саму программку. Можете просто открыть настройки выявленной софтины и снять там галочки напротив автоматического обновления и загрузок без подтверждения.

Рекомендуем наш материал по теме самого популярного типа вирусов в 2019 году — Trojan.Multi.BroSubsc.gen, который Касперский успешно обнаруживает в Windows. Также можете ознакомиться с материалом по теме другой вирусной угрозы — ML/Augur.

Что такое RiskTool Win32

Not-a-Virus: RiskTool Win32 — к этой категории могут относятся такие программы, которыми злоумышленники могут воспользоваться для взлома вашей системы. Вирусами они не являются. Под тип RiskTool относят множество популярных программ, включая вполне легальные. По умолчанию Касперский обязан уведомлять о таком софте.

Приложения для удаленного доступа и администрирования, клиенты IRC, программы для дозвона и скачивания, утилиты проверки активности системы, программки для работы с паролями — весь этот софт находится в зоне риска и способен впустить хакеров в вашу систему. Примечательно, что к такой угрозе часто относят и браузерные тулбары и некоторые типы расширений.

Если вы самостоятельно загружали программку, обозначенную как RiskTool Win32, можете не переживать за безопасность, но желательно выставить для неё опцию запуска компонентов по запросу.

Что такое AdWare Generic и AdWare Pusher

Win32.AdWare Gen — так обозначают софт, который приводит к появлению рекламы на компьютере. Такой софт способен показывать рекламу (баннеры в браузере, на рабочем столе), подменять поисковую выдачу, сбор личных данных пользователя. Чаще всего adware-программки являются легитимными и проникают в систему с согласия пользователя. Это могут быть расширения и плагины для браузеров или софт, вписанный в лицензионное соглашение сторонней программы.

AdWare Pusher указывает на то, что антивирусная система обнаружила в сторонней программе признаки или настройки пуш-оповещений. Пуш оповещения в программах — это автоматически всплывающие окна, которые информируют пользователя о важных моментах, либо транслируют рекламу. Если такое оповещение выскочило при посещении сайта — будьте внимательны и не подтверждайте на этой странице никаких действий.


Заключение

Как видите, появление угрозы Not-a-virus: HEUR не указывает на наличие активных вирусов. Касперский таким образом предупреждает о наличии программ, в которых имеются потенциально опасные настройки или службы. Если вы наверняка знаете, что антивирус указывает на легитимную программку — можете проигнорировать сообщение. Если у вас имеются сомнения в этой программе (появилась без вашего ведома) — можете удалить её.

Если у вас появилось всплывающее окошко HEUR: Trojan.AndroidOS.agent.eb, как удалить такое? Или HEUR:Trojan.Win32.Generic – что за вирус? В семейство HEUR:Trojan входят также HEUR:Trojan.Script.Miner.gen, HEUR:Trojan.AndroidOS.Boogr.gsh и др.

Что это за вирусы такие?

Но давайте начнем сначала. Зачастую, при использовании различных программ пользователь сталкивается с рядом проблем. В большинстве случаев это всплывающие окна, которые предупреждают об угрозах сторонних программ. Вот тут и возникают пресловутые вирусы от HEUR:Trojan. Это такие вирусы, о которых часто предупреждает Сбербанк Онлайн. Вы могли видеть и другое название, например, Win32.Banker или AndroidOS.Agent.EB – это все те же вирусы.


Какие это вирусы и какие угрозы они несут в себе? HEUR: Trojan объединяет в себе особо опасные вирусы на Андроид, iOS и Windows. Главной особенностью является достаточно широкий функционал, из-за которого вирус может достаточно глубоко проникнуть в систему. А значит, уровень угрозы достаточно высокий.

Такие вирусы способны проникать в системные файлы очень быстро, а еще они могут маскироваться под обычный файл или приложение. При этом не всегда антивирусы предупреждают о возможных угрозах. Даже обычное посещение самого безобидного сайта может привести к заражению троянами.

Что делает HEUR: Trojan?

Как и у любого вируса, у этого семейства троянов есть свои функции. Итак, с какой целью ваше устройство хотят заразить:

  • Массовое распространение сообщений на номера, в особенности на платные, включая и подтверждение всякого рода подписок, чтобы перехватить средства со счетов.
  • Кража личных данных: паролей (преимущественно с банковских карт и электронных кошельков).

Звучит довольно опасно? К счастью, сегодня это семейство вирусов уже способны распознать множество антивирусных программ. Из самых популярных это Kaspersky, Dr.WEB, AVAST и пр.

Откуда можно заразиться вирусом?

Самой распространенной причиной появления вирусов является типичная неосторожность:

  1. Скачивание игр, не имеющих лицензии, загрузка медиа-, аудиофайлов с сомнительных ресурсов.
  2. Посещение сайтов, где присутствуют много картинок, gif-анимаций, разных ссылок, которые распространяются как спам в почтовые электронные ящики. В данном случае подхватить вирус проще простого, поскольку одно нажатие не туда, и вирус активируется сразу же.
  3. Передача файлов между пользователями, один из которых уже заражен вирусом.
  4. Переход на подозрительные ссылки в смс-сообщениях или в письме на почте.

Какие трояны встречаются чаще всего:

  • Agent.EB или Androidos.Boogr.Gsh позволяют установить специальную программу, которая способна ввести рекламу во все сторонние приложения.
  • AndroidOS.Agent — вид вируса, который распространяется по смс, а используется он для того, чтобы оформились платные подписки на те же самые номера.
  • Generic.Miner.Gen способен продавать трафик, скачивать разного рода файлы и перенаправлять на нужный адрес.
  • Generic — этот файл находится под вопросом у вирусной системы, к данному типу относятся и официальные приложения, в которых обнаруживаются отслеживающие информацию программы.

Как удалять такие вирусы

Базовое приложение от Сбербанка может предложить вам удалить вирус. Однако, если система и видит вирус, предлагая его удалить, полного удаления не произойдет. Решить проблему поможет обычное сканирование таких антивирусов как Dr.Web, AVG или Kaspersky. Эти программы подходят и для телефона, и для компьютера.


Итак, что нужно сделать:


Если угрозы были обнаружены, появится опасный файл. Можно открыть его и вручную самому удалить. В этом случае Total Commander послужит вам помощником и быстро справится с данной проблемой. Есть еще специальная программа, которая может заморозить любой вирус, — Titanium BackUp.

Если успешно справились, поздравляем. Также стоит изменить все пароли и активировать двойную аутентификацию для лучшей защиты гаджета.

not-a-virus:HEUR:AdWare.Script.Generic это имя, которым антивирус Касперского называет признаки заражения компьютера ранее неизвестной рекламной или потенциально ненужной программой. Этот зловред обычно поражает установленные веб-браузеры и может изменять их настройки и ярлыки. Подобные вирусы чаще всего проникают на компьютер в составе бесплатных программ или при скачивании и запуске поддельных обновлений Флеш плеера или Java. Сразу после запуска, not-a-virus:HEUR:AdWare.Script.Generic вирус добавляет себя в автозагрузку, чтобы запускаться при каждом включении компьютера автоматически. Все время, пока этот вирус активен, он может показывать большое количество рекламы в браузерах, изменять настройки всех установленных в системе веб-браузеров и таким образом перенаправлять пользователя на разные рекламные или вводящие в заблуждение веб сайты.

Если вы заметили, что ваш антивирус стал обнаруживать not-a-virus:HEUR:AdWare.Script.Generic вирус, то не нужно ждать, нужно как можно быстрее выполнить инструкцию, которая приведена ниже.

Часто встречающиеся симптомы заражения not-a-virus:HEUR:AdWare.Script.Generic вирусом

Как удалить not-a-virus:HEUR:AdWare.Script.Generic (пошаговая инструкция)

AdwCleaner это небольшая программа, которая не требует установки на компьютер и создана специально для того, чтобы находить и удалять рекламные и потенциально ненужные программы. Эта утилита не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу AdwCleaner кликнув по следующей ссылке.


После окончания загрузки программы, запустите её. Откроется главное окно AdwCleaner.


Кликните по кнопке Сканировать. Программа начнёт проверять ваш компьютер. Когда проверка будет завершена, перед вами откроется список найденных компонентов вредоносных программ.


Кликните по кнопке Очистка. AdwCleaner приступ к лечению вашего компьютера и удалит все найденные компоненты зловредов. По-окончании лечения, перезагрузите свой компьютер.

Malwarebytes Anti-malware это широко известная программа, созданная для борьбы с разнообразными рекламными и вредоносными программами. Она не конфликтует с антивирусом, так что можете её смело использовать. Деинсталлировать вашу антивирусную программу не нужно.

Скачайте программу Malwarebytes Anti-malware используя следующую ссылку.

Когда программа загрузится, запустите её. Перед вами откроется окно Мастера установки программы. Следуйте его указаниям.


Когда инсталляция будет завершена, вы увидите главное окно программы.


Автоматически запуститься процедура обновления программы. Когда она будет завершена, кликните по кнопке Запустить проверку. Malwarebytes Anti-malware начнёт проверку вашего компьютера.


Когда проверка компьютера закончится, Malwarebytes Anti-malware покажет вам список найденных частей вредоносных и рекламных программ.


Для продолжения лечения и удаления зловредов вам достаточно нажать кнопку Удалить выбранное. Этим вы запустите процедуру удаления рекламных и вредоносных программ.

Скачайте программу используя следующую ссылку.


После окончания загрузки запустите скачанный файл.


Кликните по кнопке Начать проверку для запуска сканирования вашего компьютера на наличие вируса-шифровальщика.


Дождитесь окончания этого процесса и удалите найденных зловредов.

Chrome

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). Появится меню как на нижеследующей картинке.


Выберите пункт Настройки. Открывшуюся страницу прокрутите вниз и найдите ссылку Показать дополнительные настройки. Кликните по ней. Ниже откроется список дополнительных настроек. Тут вам нужно найти кнопку Сброс настроек и кликнуть по ней. Гугл Хром попросит вас подтвердить свои действия.


Нажмите кнопку Сбросить. После этого, настройки браузера будут сброшены к первоначальным и восстановится ваша домашняя страница и поисковик.

Firefox

Откройте главное меню Хрома, кликнув по кнопке в виде трёх горизонтальных полосок ( ). В появившемся меню кликните по иконке в виде знака вопроса (
). Это вызовет меню Справка, как показано на рисунке ниже.


Здесь вам нужно найти пункт Информация для решения проблем. Кликните по нему. В открывшейся странице, в разделе Наладка Firefox нажмите кнопку Очистить Firefox. Программа попросит вас подтвердить свои действия.


Нажмите кнопку Очистить Firefox. В результате этих действий, настройки браузера будут сброшены к первоначальным. Этим вы сможете восстановить вашу домашнюю страницу и поисковую машину.

Откройте главное браузера, кликнув по кнопке в виде шестерёнки ( ). В появившемся меню выберите пункт Свойства браузера.


Когда процесс сброса настроек завершиться, нажмите кнопку Закрыть. Чтобы изменения вступили в силу вам нужно перезагрузить компьютер. Таким образом вы сможете избавиться от использования рекламного сайта в качестве вашей домашней страницы и поисковика.

При проникновении на компьютер not-a-virus:HEUR:AdWare.Script.Generic может изменить не только настройки ваших браузеров, но и их ярлыки. Благодаря чему, при каждом запуске браузера будет открываться рекламный сайт.

Для очистки ярлыка браузера, кликните по нему правой клавишей и выберите пункт Свойства.


На вкладке Ярлык найдите поле Объект. Щелкните внутри него левой клавишей мыши, появится вертикальная линия — указатель курсора, клавишами перемещения курсора (стрелка -> на клавиатуре) переместите его максимально вправо. Вы увидите там добавлен текст, его и нужно удалить.


Удалив этот текст нажмите кнопку OK. Таким образом очистите ярлыки всех ваших браузеров, так как все они могут быть заражены.

Мы рекомендуем, на последнем этапе очистки компьютера, проверить Библиотеку планировщика заданий и удалить все задания, которые были созданы вредоносными программами, так как именно они могут являться причиной автоматического открытия рекламного сайта при включении компьютера или через равные промежутки времени.


Определившись с заданием, которое нужно удалить, кликните по нему правой клавишей мыши и выберите пункт Удалить. Этот шаг выполните несколько раз, если вы нашли несколько заданий, которые были созданы вредоносными программами. Пример удаления задания, созданого рекламным вирусом показан на рисунке ниже.


Удалив все задания, закройте окно Планировщика заданий.

Чтобы повысить защиту своего компьютера, кроме антивирусной и антиспайварной программы, нужно использовать приложение блокирующее доступ к разннобразным опасным и вводящим в заблуждение веб-сайтам. Кроме этого, такое приложение может блокировать показ навязчивой рекламы, что так же приведёт к ускорению загрузки веб-сайтов и уменьшению потребления веб траффика.

Скачайте программу AdGuard используя следующую ссылку.


После окончания загрузки запустите скачанный файл. Перед вами откроется окно Мастера установки программы.


Кликните по кнопке Я принимаю условия и и следуйте указаниям программы. После окончания установки вы увидите окно, как показано на рисунке ниже.


Вы можете нажать Пропустить, чтобы закрыть программу установки и использовать стандартные настройки, или кнопку Начать, чтобы ознакомиться с возможностями программы AdGuard и внести изменения в настройки, принятые по-умолчанию.

В большинстве случаев стандартных настроек достаточно и менять ничего не нужно. При каждом запуске компьютера AdGuard будет стартовать автоматически и блокировать всплывающую рекламу,а так же другие вредоносные или вводящие в заблуждения веб странички. Для ознакомления со всеми возможностями программы или чтобы изменить её настройки вам достаточно дважды кликнуть по иконке AdGuard, которая находиться на вашем рабочем столе.

Выполнив эту инструкцию, not-a-virus:HEUR:AdWare.Script.Generic будет удален. Восстановиться ваша домашнаяя страница и поисковик. К сожалению, авторы подобных приложений постоянно их обновляют, затрудняя лечение компьютера. Поэтому, в случае если эта инструкция вам не помогла, значит вы заразились новой версией вредоносной программы и тогда лучший вариант — обратиться на наш форум.

  • При установке новых программ на свой компьютер, всегда читайте правила их использования, а так же все сообщения, которые программа будет вам показывать. Старайтесь не производить инсталляцию с настройками по-умолчанию!
  • Держите антивирусные и антиспайварные программы обновлёнными до последних версий. Так же обратите внимание на то, что у вас включено автоматическое обновление Windows и все доступные обновления уже установлены. Если вы не уверены, то вам необходимо посетить сайт Windows Update, где вам подскажут как и что нужно обновить в Windows.
  • Если вы используете Java, Adobe Acrobat Reader, Adobe Flash Player, то обязательно их обновляйте вовремя.

Моё имя Валерий. Я сертифицированный специалист в области компьютерной безопасности, выявления источников угроз в ИТ инфраструктуре и анализе рисков с опытом работы более 15 лет. Рад поделиться с вами своими знаниями и опытом.


  • Тема закрыта



  • Новички
  • Cообщений: 8

    • Пытался своими силами, но не справился.

    В поле зрения переходов по вредоносным линкам успеваю зафиксировать xml.seavibes.club, после которого происходит редирект на рандомные рекламные сайты.

    После устновки Касперского, были обнаружены:

    1. HEUR:Trojan.Win32.Generic - удален

    2. MEM:Trojan.Win32.SPEH.hen - вылечен

    3. HEUR:Rootkit.Boot.Agent.gen - вылечен

    4. HEUR:RiskTool.Win32.ButMiner.gen - удалён

    5. HEUR:AdWare.Script.Generic - невозможно вылечить.

    А так же, регулярно возникает ситуаця, что ниже. Чуть ли не каждую минуту деятельности в браузере, если не чаще.



  • Консультанты

  • Старожилы













  • Cообщений: 11772


    • Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
    Полученный ответ сообщите здесь (с указанием номера KL-).

    Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.
    Прикрепите к следующему сообщению свежий CollectionLog.


    • Спасибо x 1
    • Показать



  • Новички
  • Cообщений: 8

    • Скрипт выполнен. Письмо отправлено - KLAN-10347099686
    Лог сделан, прикрепил.



  • Консультанты

  • Старожилы













  • Cообщений: 11772



    • Спасибо x 1
    • Показать



  • Новички
  • Cообщений: 8

    • Отчёт AdwCleaner прикрепил.



  • Консультанты

  • Старожилы













  • Cообщений: 11772


    • 1.

    • Запустите повторно AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
    • В меню Настройки включите дополнительно в разделе Базовые действия:
      • Сбросить политики IE
      • Сбросить политики Chrome
    • В меню Панель управления нажмите Сканировать.
    • По окончании нажмите кнопку Очистить и восстановить и дождитесь окончания удаления.
    • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
    • Прикрепите отчет к своему следующему сообщению
    Внимание: Для успешного удаления нужна перезагрузка компьютера. .

    2.
    Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

    Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
    Когда программа запустится, нажмите Yes для соглашения с предупреждением.

    Читайте также:

    Пожалуйста, не занимайтесь самолечением!
    При симпотмах заболевания - обратитесь к врачу.