Lamfo

Malwarebytes www.malwarebytes.com -Данные журнала- Дата проверки: 29.07.17 Время проверки: 18:28 Файл журнала: Администратор: Да -Информация о ПО- Версия: 3.1.2.1733 Версия компонентов: 1.0.160 Версия пакета обновления: 1.0.2463 Лицензия: Ознакомительная версия -Информация о системе- ОС: Windows 10 (Build 15063.483) Процессор: x64 Файловая система: NTFS Пользователь: LENOVO-PC\mitya_000 -Отчет о проверке- Тип проверки: Полная проверка Результат: Завершено Проверено объектов: 462404 Обнаружено угроз: 1 Помещено в карантин: 0 (Вредоносные программы не обнаружены) Затраченное время: 5 мин, 32 с -Настройки проверки- Память: Включено Автозагрузка: Включено Файловая система: Включено Архивы: Включено Руткиты: Выключено Эвристика: Включено PUP: Включено PUM: Включено -Данные проверки- Процесс: 0 (Вредоносные программы не обнаружены) Модуль: 0 (Вредоносные программы не обнаружены) Раздел реестра: 0 (Вредоносные программы не обнаружены) Значение реестра: 0 (Вредоносные программы не обнаружены) Данные реестра: 0 (Вредоносные программы не обнаружены) Поток данных: 0 (Вредоносные программы не обнаружены) Папка: 0 (Вредоносные программы не обнаружены) Файл: 1 Trojan.BitCoinMiner, C:\USERS\MITYA_000\APPDATA\ROAMING\QI8LF\LU\XM03.PK, Проигнорировано пользователем, [78], [413613],1.0.2463 Физический сектор: 0 (Вредоносные программы не обнаружены) (end) Ltd got removed succesfully but Qi8lf reappeared after a while. And Malwarebytes is sending notifications about blocking connection from aes-avx2.exe.

I can't exactly say how I got infected. Now there are two folders in AppData/Roaming: LtdNotify24 and Qi8lf. Dr. Web marks files in these two folders constantly. Deleting them through LockHunter gives nothing. It is downloading itself again (while turning internet connections off it Dr.Web stays quiet). There are two processes loading CPU: svchost on the start (initializes connection?) and then aes.avx2 (miner program). I will provide any info needed.