Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojan BitCoin Mainer i pliki PUP - jak się skutecznie pozbyć?

madzialu 10 Sty 2018 22:41 258 7
  • #1 10 Sty 2018 22:41
    madzialu
    Poziom 3  

    Witajcie,
    Niedawno zauważyłam, że mój komputer zaczął strasznie zwieszać i mulić, przeskanowałam go Malwarebytes'em i znalazł multum potencjalnie szkodliwych plików w większości o nazwie PUP i właśnie Trojan.BitCoinMainer. Wszystko zostało usunięte, ale przy następnych skanach już w mniejszej ilości też je wykrywał, dopiero po kilku takich czynnościach obecnie nie pokazuje. Przejrzałam fora i wykonałam następujące kroki (oprócz przetestowania kilku programów antywirusowych) :
    - usunęłam Chrome ponieważ to właśnie od niego zaczęło się mulenie, nagle zmienił swój startowy wygląd jakby jakaś aktualizacja? etc.
    - pousuwałam jakieś zbędne dziwne programy
    - przeskanowałam kompa AdwCleaner'em (załączam logi po wykryciu i po usunięciu)
    - przeskanowałam FRST (również załączam logi)
    Nie wiem czy obecnie mogę zaufać Malwarebytes, że już wszystko jest w porządku więc proszę was o poradę i opinię.
    Pozdrawiam i z góry dziękuję za pomoc.

    0 7
  • Pomocny post
    #2 11 Sty 2018 09:24
    Kolobos
    Spec od komputerów

    Zgaduje, ze byl to miner w formie skryptu ze strony, w takim wypadku wystarczy usunac cache.

    Zmien AdBlock na uBlock.

    Wykonaj Fixlist.txt:
    Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku <==== UWAGA
    Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku <==== UWAGA
    Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku <==== UWAGA
    Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku <==== UWAGA
    Task: {76523BF8-EA1E-49DA-A8B8-5FFA0BAD11D8} - System32\Tasks\Trojan Remover => C:\Program Files\Loaris Trojan Remover\ltr.exe
    Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku <==== UWAGA
    Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku <==== UWAGA
    HKU\S-1-5-21-1694641984-3424881942-22419349-1001\...\Run: [Power2GoExpress8] => NA
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL14/175
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL14/175
    HKU\S-1-5-21-1694641984-3424881942-22419349-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://g.uk.msn.com/HPALL14/175
    SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKLM-x32 -> {6024D388-8595-4611-85A1-1922202BE069} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    SearchScopes: HKU\S-1-5-21-1694641984-3424881942-22419349-1001 -> {6024D388-8595-4611-85A1-1922202BE069} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?i...k%5Fcode=qs&index=aps&field-keywords={searchTerms}
    CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fidikogfgleiaefnjbmnjaplmgknppkg] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    2018-01-10 21:47 - 2018-01-10 21:47 - 036891272 _____ (Mozilla) C:\Users\admin\Downloads\Firefox Setup 57.0.4 (2).exe
    2018-01-10 21:43 - 2018-01-10 21:47 - 036891272 _____ (Mozilla) C:\Users\admin\Downloads\Firefox Setup 57.0.4 (1).exe
    2018-01-10 21:39 - 2018-01-10 21:39 - 000000000 _____ C:\ProgramData\nsm10F0.tmp
    2018-01-10 21:39 - 2018-01-10 21:39 - 000000000 _____ C:\ProgramData\nsb1100.tmp
    2018-01-10 21:38 - 2018-01-10 21:38 - 000311320 _____ (Mozilla) C:\Users\admin\Downloads\Firefox Installer (1).exe

    Usun katalog C:\FRST i to wszystko.

    0
  • #3 11 Sty 2018 16:04
    madzialu
    Poziom 3  

    Dziękuję za odpowiedź, wykonałam Fixlist (dodaje logi) i usunęłam ten katalog chociaż niektórych plików nie chciał usunąć (podawał komunikat, że nie może ich znaleźć w katalogu). Przeprowadziłam jeszcze raz skan Malware i Adw, nic nie wykryły. Zastanawia mnie tylko zużycie procesora, które skacze między 87 a 94% kiedy nic się nie dzieję na kompie. Jeszcze coś powinnam sprawdzić bądź zrobić?
    Pozdrawiam.

    0
  • #5 11 Sty 2018 16:12
    madzialu
    Poziom 3  

    Oto chodzi? W dwóch screenach bo na jednym się nie zmieściło.
    Trojan BitCoin Mainer i pliki PUP - jak się skutecznie pozbyć?Trojan BitCoin Mainer i pliki PUP - jak się skutecznie pozbyć?

    0
  • #6 11 Sty 2018 16:24
    Kasek21
    Poziom 43  

    ... i gdzie to tak wysokie obciążenie procesora?

    Jedynym co obciąża ten CPU to antywirus i to w ~20%.

    0
  • #7 11 Sty 2018 20:44
    mati211p
    Specjalista - HDD i odzyskiwanie danych

    Może koleżanka źle zinterpretowała proces bezczynności jedynie, który tak był pokazywany (tzn. jako nie wykorzystany % CPU).

    0
  • #8 12 Sty 2018 18:11
    madzialu
    Poziom 3  

    Możliwe, że tak było :)
    Dziękuję za pomoc, jakieś rady na przyszłość?

    0