Self-downloading miner virus

[Lamfo]

I can't exactly say how I got infected. Now there are two folders in AppData/Roaming: LtdNotify24 and Qi8lf. Dr. Web marks files in these two folders constantly. Deleting them through LockHunter gives nothing. It is downloading itself again (while turning internet connections off it Dr.Web stays quiet).   There are two processes loading CPU: svchost on the start (initializes connection?) and then aes.avx2 (miner program).  I will provide any info needed. 

[Valinorum]

Hi, 

Please follow the following link and attach the logs.

https://forums.malwarebytes.com/topic/9573-im-infected-what-do-i-do-now/

[Lamfo]

Malwarebytes
www.malwarebytes.com

-Данные журнала-
Дата проверки: 29.07.17
Время проверки: 18:28
Файл журнала: 
Администратор: Да

-Информация о ПО-
Версия: 3.1.2.1733
Версия компонентов: 1.0.160
Версия пакета обновления: 1.0.2463
Лицензия: Ознакомительная версия

-Информация о системе-
ОС: Windows 10 (Build 15063.483)
Процессор: x64
Файловая система: NTFS
Пользователь: LENOVO-PC\mitya_000

-Отчет о проверке-
Тип проверки: Полная проверка
Результат: Завершено
Проверено объектов: 462404
Обнаружено угроз: 1
Помещено в карантин: 0
(Вредоносные программы не обнаружены)
Затраченное время: 5 мин, 32 с

-Настройки проверки-
Память: Включено
Автозагрузка: Включено
Файловая система: Включено
Архивы: Включено
Руткиты: Выключено
Эвристика: Включено
PUP: Включено
PUM: Включено

-Данные проверки-
Процесс: 0
(Вредоносные программы не обнаружены)

Модуль: 0
(Вредоносные программы не обнаружены)

Раздел реестра: 0
(Вредоносные программы не обнаружены)

Значение реестра: 0
(Вредоносные программы не обнаружены)

Данные реестра: 0
(Вредоносные программы не обнаружены)

Поток данных: 0
(Вредоносные программы не обнаружены)

Папка: 0
(Вредоносные программы не обнаружены)

Файл: 1
Trojan.BitCoinMiner, C:\USERS\MITYA_000\APPDATA\ROAMING\QI8LF\LU\XM03.PK, Проигнорировано пользователем, [78], [413613],1.0.2463

Физический сектор: 0
(Вредоносные программы не обнаружены)

(end)

Ltd got removed succesfully but Qi8lf reappeared after a while. And Malwarebytes is sending notifications about blocking connection from aes-avx2.exe.

[Valinorum]

• Step #1 Scan with Farbar Recovery Scan Tool
  
  • Please download Farbar Recovery Scan Tool by Farbar to your Desktop from the link below.
    Download link for 32 bit system
    Download link for 64 bit system
  • Right-click on the program and choose Run as administrator;
  • Put tick-mark on all boxes under Whitelist and Optional Scan;
  • Click on Scan;
  • After the scan two notepad files will be opened --
    
    • FRST.txt;
    • Addition.txt
  • Copy and Paste the contents of the logs in your next reply.

 

[AdvancedSetup]

Due to the lack of feedback this topic is closed to prevent others from posting here. If you need this topic reopened, please send a Private Message to any one of the moderating team members. Please include a link to this thread with your request. This applies only to the originator of this thread.Other members who need assistance please start your own topic in a new thread. Thanks!