Перейти к содержимому


Фотография
- - - - -

Trojan.BitCoinMiner Aticonto.exe

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 15

#1 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 02:57

Обнаружил майнер с помощью SpyHunter 5, но для лечения было не обходимо купить подписку. По своей глупости, попытался в ручную удалить вирус. Ничего не вышло.
Оперативная память компьютера загружена на 40% в состоянии простоя, скорость интернета упала со 100 мб/с до 4 мб/c.

 

 

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 937

Отправлено 04 Июль 2019 - 03:21

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxrmFPyhApksva4rWI22Cp_sLAIZOVqT9HOCkyc04gv7gjaRdBiCtF3M10ZXtbM8z_uFsz153SK36p-QI0WBJNOivr_TVAw
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms} - Search the web
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Ozerzunlab.dll
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Saltflex.dll
O23 - Service R2: Quoteex - C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('cheat8.com');
 StopService('fpyuyawj');
 StopService('rnoeruw');
 StopService('sbgtkbe');
 SetServiceStart('cheat8.com', 4);
 SetServiceStart('fpyuyawj', 4);
 SetServiceStart('rnoeruw', 4);
 SetServiceStart('sbgtkbe', 4);
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\cheat8.sys', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\fpyuyawj.dat', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\rnoeruw.dat', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\sbgtkbe.dat', '');
 QuarantineFile('C:\ProgramData\Quoteex\Ozerzunlab.dll','');
 QuarantineFile('C:\ProgramData\Quoteex\Saltflex.dll','');
 QuarantineFile('c:\programdata\quoteex\quoteex.exe','');
 QuarantineFileF('c:\programdata\quoteex', '*.exe,*.dat,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\fpyuyawj.dat', '64');
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\rnoeruw.dat', '64');
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\sbgtkbe.dat', '64');
 DeleteFile('C:\ProgramData\Quoteex\Ozerzunlab.dll','64');
 DeleteFile('C:\ProgramData\Quoteex\Saltflex.dll','32');
 DeleteFile('c:\programdata\quoteex\quoteex.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('fpyuyawj');
 DeleteService('rnoeruw');
 DeleteService('sbgtkbe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.


  • 0

#3 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 03:56

Прикрепляю логи

Прикрепленные файлы


  • 0

#4 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 937

Отправлено 04 Июль 2019 - 04:37

Пожалуйста, не прикладывайте карантин к сообщениям, для них есть специальная форма.


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.


  • 0

#5 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 10:50

Ничего не изменилось. Та же нагрузка, та же скорость интернета.

Прикрепленные файлы


  • 0

#6 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 101

Отправлено 04 Июль 2019 - 10:58

SpyHunter 5

Деинсталлируйте его.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
  • 0
Изображение

#7 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 11:10

Прикрепляю отчеты

Прикрепленные файлы

  • Прикрепленный файл  Addition.txt   55,11К   скачиваний 1
  • Прикрепленный файл  FRST.txt   65,78К   скачиваний 1

  • 0

#8 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 101

Отправлено 04 Июль 2019 - 11:25

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeFinder

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CreateRestorePoint:
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.HP
    FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
    CHR HKLM-x32\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] - hxxp://clients2.google.com/service/update2/crx
    AlternateDataStreams: C:\ProgramData:NT [40]
    AlternateDataStreams: C:\ProgramData:NT2 [950]
    AlternateDataStreams: C:\Users\All Users:NT [40]
    AlternateDataStreams: C:\Users\All Users:NT2 [950]
    AlternateDataStreams: C:\Users\Все пользователи:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи:NT2 [950]
    AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
    AlternateDataStreams: C:\ProgramData\Application Data:NT2 [950]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [950]
    AlternateDataStreams: C:\Users\ED3N\Application Data:NT [40]
    AlternateDataStreams: C:\Users\ED3N\Application Data:NT2 [950]
    AlternateDataStreams: C:\Users\ED3N\AppData\Roaming:NT [40]
    AlternateDataStreams: C:\Users\ED3N\AppData\Roaming:NT2 [950]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [950]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
    AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [950]
    EmptyTemp:
    Reboot:
    End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#9 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 11:31

Выполнил
ПО Safe Finder не удаляется через панель управления. При нажатии удалить - ничего не происходит.

Прикрепленные файлы

  • Прикрепленный файл  Fixlog.txt   4,15К   скачиваний 1

Сообщение отредактировал Станислав Пушкаревский: 04 Июль 2019 - 11:35

  • 0

#10 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 101

Отправлено 04 Июль 2019 - 11:43

Пробуйте удалить принудительно через Geek Uninstaller
  • 0
  • Спасибо x 1
  • Показать
Изображение

#11 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 11:51

Удалил. Перезагрузил пк. Ничего не изменилось.


  • 0

#12 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 101

Отправлено 04 Июль 2019 - 11:53

Загрузите систему в безопасном режиме с поддержкой сети и проверьте наличие проблемы. Результат сообщите.
  • 0
  • Спасибо x 1
  • Показать
Изображение

#13 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 12:21

В безопасном режиме нагрузка оперативной памяти снизилась на 20-25%. Интернет тоже работает в нормальном режиме.


  • 0

#14 OFF   Sandor

Sandor

    Вежливый хелпер

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 11 101

Отправлено 04 Июль 2019 - 12:24

То есть, в целом стало лучше?
  • 0
  • Спасибо x 1
  • Показать
Изображение

#15 OFF   Станислав Пушкаревский

Станислав Пушкаревский

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 04 Июль 2019 - 12:26

То есть, в целом стало лучше?

Да. Но в нормально режиме - оперативная память загружается на 35-40% в состоянии простоя. Еще я подключил интернет на прямую в ПК и теперь скорость вернулась на свои 100 мб/с.


Сообщение отредактировал Станислав Пушкаревский: 04 Июль 2019 - 12:29

  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных