Вирус TR/ATRAPS.Gen2

Здравствуйте.

Установленный антивирус Avira Free Antivirus ругается на TR/ATRAPS.Gen2 в файле
C:\Users\Torrasque\AppData\Local\{de132a92-3587-b7ab-8d98-8bf887029d78}\U\80000032.@

Всего в папке создаётся 5 файлов, примерно через 3 минуты после удаления создаются снова.

Во время заражения Avira удалила несколько файлов в Windows\Installer\
{de132a92-3587-b7ab-8d98-8bf887029d78}\U

Сразу после запуска системы Avira блокирует доступ к hosts, предположительно вирус пытается его редактировать.
В процессах висит от одного до трёх conhost.exe, при этом видимых консольных окон нет.
Заражённый компьютер был шлюзом для ещё одной машины, после заражения исчез общий доступ к интернету. При попытке восстановить его (вновь поставить галочку) происходит ошибка: Указанная служба не установлена.

Логи:
[ATTACH]373372[/ATTACH]
[ATTACH]373373[/ATTACH]
[ATTACH]373374[/ATTACH]

P.S. В логах будет процесс AutoHotKey и запущенный им файл ~languages.ahk. Это макрос для удобного переключения раскладок клавиатуры.

Уважаемый(ая) [B]tarasque[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[b]tarasque[/b],
Здравствуйте!

1. Отключите временно Антивирус/Фаервол.

2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Users\TORRAS~1\AppData\Local\Temp\iptuo','');
DeleteFile('C:\Users\TORRAS~1\AppData\Local\Temp\iptuo');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','gdcee');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\BITS', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
RegKeyParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\wuauserv', 'ImagePath', 'REG_EXPAND_SZ', '%SystemRoot%\System32\svchost.exe -k netsvcs');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU ',2,3,true);
RebootWindows(true);
end.
[/CODE]

[U]После перезагрузки![/U]


3. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]

[CODE]
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
[/CODE]

Файл [B]quarantine.zip[/B] из папки AVZ загрузите по ссылке "[B][COLOR="#FF0000"]Прислать запрошенный карантин[/COLOR][/B]" [U]вверху темы[/U].

[URL="http://virusinfo.info/content.php?r=136-pravila"]Сделайте лог AVZ[/URL] + лог [URL="http://virusinfo.info/showthread.php?t=115256"]RSIT[/URL]

Avira перестала писать уведомления о блокировке hosts, но в
C:\Users\Torrasque\AppData\Local\{de132a92-3587-b7ab-8d98-8bf887029d78}\U\80000032.@
попрежнему создаются файлы.

Так же остались процессы conhost.exe

Файл в архиве отправил, прикрепляю логи.

[ATTACH]373375[/ATTACH]
[ATTACH]373376[/ATTACH]
[ATTACH]373377[/ATTACH]

Позволю себе напомнить, что проблема всё ещё актуальна.

[b]tarasque[/b],

1. С эвристикой антивируса мы не можем помочь

2. Легитимные процессы по требованию тс не удаляем

3. Проблема решена, более ничего сказать не могу!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]