-
Junior Member
- Вес репутации
- 43
Вирус TR/ATRAPS.Gen2
Здравствуйте.
Установленный антивирус Avira Free Antivirus ругается на TR/ATRAPS.Gen2 в файле
C:\Users\Torrasque\AppData\Local\{de132a92-3587-b7ab-8d98-8bf887029d78}\U\80000032.@
Всего в папке создаётся 5 файлов, примерно через 3 минуты после удаления создаются снова.
Во время заражения Avira удалила несколько файлов в Windows\Installer\
{de132a92-3587-b7ab-8d98-8bf887029d78}\U
Сразу после запуска системы Avira блокирует доступ к hosts, предположительно вирус пытается его редактировать.
В процессах висит от одного до трёх conhost.exe, при этом видимых консольных окон нет.
Заражённый компьютер был шлюзом для ещё одной машины, после заражения исчез общий доступ к интернету. При попытке восстановить его (вновь поставить галочку) происходит ошибка: Указанная служба не установлена.
Логи:
virusinfo_syscheck.zip
virusinfo_syscure.zip
hijackthis.log
P.S. В логах будет процесс AutoHotKey и запущенный им файл ~languages.ahk. Это макрос для удобного переключения раскладок клавиатуры.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) tarasque, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
tarasque,
Здравствуйте!
1. Отключите временно Антивирус/Фаервол.
2. Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\TORRAS~1\AppData\Local\Temp\iptuo','');
DeleteFile('C:\Users\TORRAS~1\AppData\Local\Temp\iptuo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gdcee');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU ',2,3,true);
RebootWindows(true);
end.
После перезагрузки!
3. Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
Сделайте лог AVZ + лог RSIT
-
-
Junior Member
- Вес репутации
- 43
Avira перестала писать уведомления о блокировке hosts, но в
C:\Users\Torrasque\AppData\Local\{de132a92-3587-b7ab-8d98-8bf887029d78}\U\80000032.@
попрежнему создаются файлы.
Так же остались процессы conhost.exe
Файл в архиве отправил, прикрепляю логи.
virusinfo_syscheck.zip
info.txt
log.txt
-
Junior Member
- Вес репутации
- 43
Позволю себе напомнить, что проблема всё ещё актуальна.
-
tarasque,
1. С эвристикой антивируса мы не можем помочь
2. Легитимные процессы по требованию тс не удаляем
3. Проблема решена, более ничего сказать не могу!
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
-