Jump to content

Self-downloading miner virus

Recommended Posts

I can't exactly say how I got infected. Now there are two folders in AppData/Roaming: LtdNotify24 and Qi8lf. Dr. Web marks files in these two folders constantly. Deleting them through LockHunter gives nothing. It is downloading itself again (while turning internet connections off it Dr.Web stays quiet).   There are two processes loading CPU: svchost on the start (initializes connection?) and then aes.avx2 (miner program).  I will provide any info needed. 

Link to post
Share on other sites


-Данные журнала-
Дата проверки: 29.07.17
Время проверки: 18:28
Файл журнала: 
Администратор: Да

-Информация о ПО-
Версия компонентов: 1.0.160
Версия пакета обновления: 1.0.2463
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 10 (Build 15063.483)
Процессор: x64
Файловая система: NTFS
Пользователь: LENOVO-PC\mitya_000

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 462404
Обнаружено угроз: 1
Помещено в карантин: 0
(Вредоносные программы не обнаружены)
Затраченное время: 5 мин, 32 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Включено
PUM: Включено

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 0
(Вредоносные программы не обнаружены)

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 1
Trojan.BitCoinMiner, C:\USERS\MITYA_000\APPDATA\ROAMING\QI8LF\LU\XM03.PK, Проигнорировано пользователем, [78], [413613],1.0.2463

Физический сектор: 0
(Вредоносные программы не обнаружены)


Ltd got removed succesfully but Qi8lf reappeared after a while. And Malwarebytes is sending notifications about blocking connection from aes-avx2.exe.

Link to post
Share on other sites

  • Step #1 Scan with Farbar Recovery Scan Tool
    • Please download Farbar Recovery Scan Tool by Farbar to your Desktop from the link below.
      Download link for 32 bit system
      Download link for 64 bit system
    • Right-click on the program and choose Run as administrator;
    • Put tick-mark on all boxes under Whitelist and Optional Scan;
    • Click on Scan;
    • After the scan two notepad files will be opened --
      • FRST.txt;
      • Addition.txt
    • Copy and Paste the contents of the logs in your next reply.


Link to post
Share on other sites

  • 2 weeks later...
  • Root Admin

Due to the lack of feedback this topic is closed to prevent others from posting here. If you need this topic reopened, please send a Private Message to any one of the moderating team members. Please include a link to this thread with your request. This applies only to the originator of this thread.Other members who need assistance please start your own topic in a new thread. Thanks!

Link to post
Share on other sites

This topic is now closed to further replies.
  • Recently Browsing   0 members

    • No registered users viewing this page.
Back to top
  • Create New...

Important Information

This site uses cookies - We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.