Проблема загрузки web страниц Windows XP SP 3 [Trojan.Win32.BitCoinMiner.cdm, Trojan.Win32.Reconyc.jafu]

[nikk.D]

Здравствуйте. Появилась проблема связанная с загрузкой интернет страниц. Касается компьютеров с Windows XP SP3. Сеть состоит из 30 компьютеров. Примерно 12 на Windows XP, из этих 12 уже 6 с одинаковой проблемой. Пинг, трасерт проходит без замечаний, сеть работает нормально, даже скачка файлов проходит без проблемно. Настройки сетевые меняли, назначали вручную, не помогло. Отключение/удаление антивируса (KES) не помогли. Проблема именно в загрузке интернет страниц, очень медленно и в 50% ошибка об отсутствии соединения. Компьютеры под управлением Win 7/10 работают без проблем.

[Info_bot]

Уважаемый(ая) nikk.D, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[SQ]

Здравствуйте,


HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

Код:

R0 - HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://feed.snapdo.com/?p=mKO_AwFzXIpYRYPc--ODn-9XdDns1C8-PqTn-CuEtcxRWiNDdsEmKQRC1q7KMIyFK6pC5G9kL6bOs4PIodOF6sb8vgSzAbGPROUnTW-HKjRbPzGbxI1eNb3RwEDsA-YWZ62NQQ_7j_UdEpVbFbCw0TD8PshBGZPbJwNVJSvkLQwSl4IHBg,,
R0 - HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main: [Start Page] = http://feed.snapdo.com/?p=mKO_AwFzXIpYRYPc--ODn-9XdDns1C8-PqTn-CuEtcxRWiNDdsEmKQRC1q7KMIyFK6pC5G9kL6bOs4PIodOF6sb8vgSzAbGPROUnTW-HKjRbPzGbxI1eNb3RwEDsA-YWZ62NQQ_7j_UdEpVbFbCw0TD8PshBGZPbJwNVJSvkLQwSl4IHBg,,
O2 - HKLM\..\BHO: (no name) - {D5FEC983-01DB-414A-9456-AF95AC9ED7B5} - (no file)

AVZ выполнить следующий скрипт.
Важно на ОС: Windows Vista/7/8/8.1 AVZ запускайте через контекстное меню проводника от имени Администратора.

Код:

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); 
 TerminateProcessByName('c:\windows\system32\taskshostservices.exe');
 TerminateProcessByName('c:\windows\speechstracing\spoolsv.exe');
 QuarantineFile('C:\Documents and Settings\Pushkash V\Application Data\RAC\mls.exe','');
 QuarantineFile('C:\DOCUME~1\buh\LOCALS~1\APPLIC~1\TechPlugs\lpcw\lxgz.dll','');
 QuarantineFile('c:\windows\system32\taskshostservices.exe','');
 QuarantineFile('c:\windows\speechstracing\spoolsv.exe','');
 QuarantineFileF('c:\windows\speechstracing', '*.exe,*.dll,*.sys,*.vbs,*.com', false,'', 0, 0);
 QuarantineFile('c:\documents and settings\pushkash v\application data\rac\mls.exe','');
 QuarantineFile('c:\documents and settings\pushkash v\local settings\application data\topcase\Крипто компонента\cryptopluginupdaterhost.exe','');
 QuarantineFile('c:\documents and settings\pushkash v\local settings\application data\topcase\Крипто компонента\chromecryptohost.exe','');
 DeleteFile('c:\windows\speechstracing\spoolsv.exe','32');
 DeleteFile('c:\windows\system32\taskshostservices.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteRepair(3);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- Выполните в AVZ:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

- Подготовьте лог AdwCleaner и приложите его в теме.
P.S. если у Вас ОС: Windows XP то используете пожалуйста последнюю поддерживаемую версию AdwCleaner.

[CyberHelper]

=D1=F2=E0=F2=E8=F1=F2=E8=EA=E0 =EF=F0=EE=E2=E5=E4=E5=ED=ED=EE=E3=EE =EB=
=E5=F7=E5=ED=E8=FF:

• =CF=EE=EB=F3=F7=E5=ED=EE =EA=E0=F0=E0=ED=F2=E8=ED=EE=E2: 1
• =CE=E1=F0=E0=E1=EE=F2=E0=ED=EE =F4=E0=E9=EB=EE=E2: 16
• =C2 =F5=EE=E4=E5 =EB=E5=F7=E5=ED=E8=FF =EE=E1=ED=E0=F0=F3=E6=E5=ED=FB=
  =E2=F0=E5=E4=EE=ED=EE=F1=ED=FB=E5 =EF=F0=EE=E3=F0=E0=EC=EC=FB:
  
  1. c:\windows\speechstracing\spoolsv.exe - Trojan.Win32.Reconyc=
     =2Ejafu ( AVAST4: Win32:Dropper-gen [Drp] )
  2. c:\windows\system32\taskshostservices.exe - Trojan.Win32.Bit=
     CoinMiner.cdm ( AVAST4: Win32:CryptoMiner-L [Trj] )

[nikk.D]

Лог AdwCleaner

Код:

# AdwCleaner v6.047 - Отчёт создан 02/07/2019 в 14:36:54
# Обновлено 19/05/2017 by Malwarebytes
# База данных : 2017-05-19.1 [Локально]
# Операционная система : Microsoft Windows XP Service Pack 3 (X86)
# Имя пользователя : Pushkash V - BUH-NEW
# Запущено из : C:\adwcleaner_6.047.exe
# Режим: Очистка
# Помощь : https://www.malwarebytes.com/support



***** [ Службы ] *****



***** [ Папки ] *****



***** [ Файлы ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Ярлыки ] *****



***** [ Запланированные задания ] *****



***** [ Реестр ] *****

[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\aminlpmkfcdibgpgfajlgnamicjckkjf
[-] Ключ удалён: HKLM\SOFTWARE\Google\Chrome\Extensions\jdkihdhlegcdggknokfekoemkjjnjhgi


***** [ Браузеры ] *****



*************************

:: Ключи "Tracing" удалены
:: Настройки Winsock очищены

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [2832 Байт] - [13/02/2019 08:48:23]
C:\AdwCleaner\AdwCleaner[C2].txt - [1226 Байт] - [02/07/2019 14:36:54]
C:\AdwCleaner\AdwCleaner[S0].txt - [10515 Байт] - [08/11/2018 09:28:25]
C:\AdwCleaner\AdwCleaner[S1].txt - [3170 Байт] - [13/02/2019 08:48:02]
C:\AdwCleaner\AdwCleaner[S2].txt - [2037 Байт] - [02/07/2019 14:36:23]

########## EOF - C:\AdwCleaner\AdwCleaner[C2].txt - [1531 Байт] ##########