Win32/Coin Miner wirus.

[trollH]

Witam serdecznie. Trochę poczytałem o komunikatach, które zaczęły pojawiać się systematycznie na moim komputerze i domyślam się, że chodzi o Coin Miner. Niestety nie mam pojęcia jak z tym sobie poradzić dlatego proszę o pomoc. Używam win 7x64 bit oraz przeglądarki Chrome. Wykonałem skan OTL i zamieszczam tutaj linki:

 

http://wklej.org/id/843165/

 

http://wklej.org/id/843170/

 

Z góry dziękuje.

[picasso]

Trochę poczytałem o komunikatach, które zaczęły pojawiać się systematycznie na moim komputerze i domyślam się, że chodzi o Coin Miner.

 

Tylko, że nie przedstawiłeś co widzisz. Konkrety: jakie komunikaty, co je produkuje.

 

---

Infekcja jest obecna w systemie. Ponadto jeszcze wtręty adware.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Activex Application Updater] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\spsreng.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [AdobeUpdate] C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32\invis.vbs ()
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [krgojyumulcksaaifht] C:\Users\troll.Troll-Gekon\AppData\Roaming\krgojyumulcksaaifht.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [Microsoft® Windows® Operating System] C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\msadrh10.exe (Microsoft Corporation)
O4 - HKU\S-1-5-21-945921969-2773538798-1752665865-1003..\Run: [stplpfhevfcucfammws] C:\Users\troll.Troll-Gekon\AppData\Roaming\stplpfhevfcucfammws.exe (Microsoft Corporation)
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = "http://feed.helperbar.com/?publisher=OC&dpid=OC&co=PL&userid=e7ade89c-9aae-4870-8db3-1a1604714a6a&affid=111585&searchtype=ds&babsrc=lnkry&q={searchTerms}"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&affID=112555&tt=3412_8&babsrc=SP_ss&mntrId=90988c810000000000000022152352e5"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-945921969-2773538798-1752665865-1003\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = "https://isearch.avg.com/search?cid={44B1F6CA-3E99-426C-98D4-D63D8C24045E}&mid=86e6357a2ca947d0beadd16b53c7bb16-879be1b60f79cf3d32134345446a89b1781c6463&lang=pl&ds=xn011&pr=sa&d=2012-09-09 18:21:24&v=12.2.0.5&sap=dsp&q={searchTerms}"
FF - HKLM\Software\MozillaPlugins\@esn.me/esnsonar,version=0.70.0: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.0\npesnsonar.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.104.0: C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.116.0: C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.96.0: C:\Program Files (x86)\Battlelog Web Plugins\1.96.0\npesnlaunch.dll File not found
 
:Files
C:\Users\troll.Troll-Gekon\AppData\Roaming\*.exe
C:\Users\troll.Troll-Gekon\AppData\Roaming\Adobe32
C:\Users\troll.Troll-Gekon\AppData\Roaming\Microsoft\Windows\Templates\*.exe
C:\Users\troll.Troll-Gekon\AppData\Roaming\dclogs
C:\Users\troll.Troll-Gekon\AppData\Roaming\OpenCandy
C:\Program Files (x86)\1ClickDownload
netsh advfirewall reset /C
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zrestartowany, otworzy się log z wynikami usuwania.

 

2. W systemie brakuje pliku HOSTS. Włącz pokazywanie rozszerzeń: w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

 

#	127.0.0.1       localhost

#	::1             localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\system32\drivers\etc.

 

3. W Firefox i Google Chrome w rozszerzeniach odinstaluj OneClickDownload. Przez Panel sterowania odinstaluj adware Ask Toolbar, AVG Security Toolbar, IncrediMail MediaBar 4 Toolbar, V9 Homepage Uninstaller, vShare.tv plugin 1.3. Dodatkowo pozbądź się przestarzałego skanera Spybot - Search & Destroy oraz wątpliwego SpyHunter.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log z usuwania AdwCleaner z punktu 4.

 

 

 

.

Edytowane 9 Listopada 2012 przez picasso
9.11.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso