Trojan.BitCoinMiner Aticonto.exe

[Станислав Пушкаревский]

Обнаружил майнер с помощью SpyHunter 5, но для лечения было не обходимо купить подписку. По своей глупости, попытался в ручную удалить вирус. Ничего не вышло.
Оперативная память компьютера загружена на 40% в состоянии простоя, скорость интернета упала со 100 мб/с до 4 мб/c.

 

 

CollectionLog-2019.07.04-02.54.zip

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Bar] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Search Page] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R0 - HKCU\Software\Microsoft\Internet Explorer\Main: [Start Page] = https://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxrmFPyhApksva4rWI22Cp_sLAIZOVqT9HOCkyc04gv7gjaRdBiCtF3M10ZXtbM8z_uFsz153SK36p-QI0WBJNOivr_TVAw
R0 - HKCU\Software\Microsoft\Internet Explorer\Search: [Default_Search_URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R1 - HKCU\Software\Microsoft\Internet Explorer\Main: [SearchAssistant] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms}
R4 - SearchScopes: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{ielnksrch}: [URL] = https://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGtusdZo2wa5vPy1HAxW6FkULDUW2sbzHDO1vuqQkAqm0BzatqOrubtuZ6dUEs05h6reLvajWPH6twxnE2y_EUXoPEgAnRkEui22aRdIWn8Bj6BajGqwoo_k6vzeWQDq3FVOl9v0sFTQD1cGXNmYgMzu0mCQFF1lq2OSM-ohxSuy&q={searchTerms} - Search the web
O20 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Ozerzunlab.dll
O20-32 - HKLM\..\Windows: [AppInit_DLLs] = C:\ProgramData\Quoteex\Saltflex.dll
O23 - Service R2: Quoteex - C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 StopService('cheat8.com');
 StopService('fpyuyawj');
 StopService('rnoeruw');
 StopService('sbgtkbe');
 SetServiceStart('cheat8.com', 4);
 SetServiceStart('fpyuyawj', 4);
 SetServiceStart('rnoeruw', 4);
 SetServiceStart('sbgtkbe', 4);
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\cheat8.sys', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\fpyuyawj.dat', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\rnoeruw.dat', '');
 QuarantineFile('C:\Users\ED3N\AppData\Local\Temp\sbgtkbe.dat', '');
 QuarantineFile('C:\ProgramData\Quoteex\Ozerzunlab.dll','');
 QuarantineFile('C:\ProgramData\Quoteex\Saltflex.dll','');
 QuarantineFile('c:\programdata\quoteex\quoteex.exe','');
 QuarantineFileF('c:\programdata\quoteex', '*.exe,*.dat,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\fpyuyawj.dat', '64');
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\rnoeruw.dat', '64');
 DeleteFile('C:\Users\ED3N\AppData\Local\Temp\sbgtkbe.dat', '64');
 DeleteFile('C:\ProgramData\Quoteex\Ozerzunlab.dll','64');
 DeleteFile('C:\ProgramData\Quoteex\Saltflex.dll','32');
 DeleteFile('c:\programdata\quoteex\quoteex.exe','32');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 DeleteService('fpyuyawj');
 DeleteService('rnoeruw');
 DeleteService('sbgtkbe');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

quarantine.zip из папки AVZ загрузите этот архив через данную форму


- Подготовьте лог AdwCleaner и приложите его в теме.

[Станислав Пушкаревский]

Прикрепляю логи

AdwCleanerS00.txt

[SQ]

Пожалуйста, не прикладывайте карантин к сообщениям, для них есть специальная форма.


Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[Станислав Пушкаревский]

Ничего не изменилось. Та же нагрузка, та же скорость интернета.

AdwCleanerC00.txt

[Sandor]

SpyHunter 5

Деинсталлируйте его.

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.

Когда программа запустится, нажмите Yes для соглашения с предупреждением.

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[Станислав Пушкаревский]

Прикрепляю отчеты

Addition.txt

FRST.txt

[Sandor]

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SafeFinder

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  SearchScopes: HKLM-x32 -> DefaultScope value is missing
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.HP
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> file:///C:/ProgramData/Quoteexs/ff.NT
  CHR HKLM-x32\...\Chrome\Extension: [ldgpjdiadomhinpimgchmeembbgojnjk] - hxxp://clients2.google.com/service/update2/crx
  AlternateDataStreams: C:\ProgramData:NT [40]
  AlternateDataStreams: C:\ProgramData:NT2 [950]
  AlternateDataStreams: C:\Users\All Users:NT [40]
  AlternateDataStreams: C:\Users\All Users:NT2 [950]
  AlternateDataStreams: C:\Users\Все пользователи:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи:NT2 [950]
  AlternateDataStreams: C:\ProgramData\Application Data:NT [40]
  AlternateDataStreams: C:\ProgramData\Application Data:NT2 [950]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\ProgramData\MTA San Andreas All:NT2 [950]
  AlternateDataStreams: C:\Users\ED3N\Application Data:NT [40]
  AlternateDataStreams: C:\Users\ED3N\Application Data:NT2 [950]
  AlternateDataStreams: C:\Users\ED3N\AppData\Roaming:NT [40]
  AlternateDataStreams: C:\Users\ED3N\AppData\Roaming:NT2 [950]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\Application Data:NT2 [950]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT [40]
  AlternateDataStreams: C:\Users\Все пользователи\MTA San Andreas All:NT2 [950]
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

[Станислав Пушкаревский]

Выполнил
ПО Safe Finder не удаляется через панель управления. При нажатии удалить - ничего не происходит.

Fixlog.txt

Изменено 4 июля, 2019 пользователем Станислав Пушкаревский

[Sandor]

Пробуйте удалить принудительно через Geek Uninstaller

[Станислав Пушкаревский]

Удалил. Перезагрузил пк. Ничего не изменилось.

[Sandor]

Загрузите систему в безопасном режиме с поддержкой сети и проверьте наличие проблемы. Результат сообщите.

[Станислав Пушкаревский]

В безопасном режиме нагрузка оперативной памяти снизилась на 20-25%. Интернет тоже работает в нормальном режиме.

[Sandor]

То есть, в целом стало лучше?

[Станислав Пушкаревский]

То есть, в целом стало лучше?

Да. Но в нормально режиме - оперативная память загружается на 35-40% в состоянии простоя. Еще я подключил интернет на прямую в ПК и теперь скорость вернулась на свои 100 мб/с.

Изменено 4 июля, 2019 пользователем Станислав Пушкаревский