Infezione CoinMiner

[Dylan666]

Buongiorno a tutti, sono alle prese con una macchina non mia che sembra avere un virus CoinMiner
Me ne sono accorto perché ho trovato un processo che assorbiva molta CPU e si trovava in C:\Windows\SysWOW64\coep.
Ho killato i processi e rinominato la cartella ma non ho capito cosa attivava i file che vi erano dentro.
Intanto ho trovato un altro pezzo (credo) dello stesso virus in C:\Windows\SysWOW64\clstemp e l'analisi di ViruTotal è stata la seguente


https://www.virustotal.com/it/file/8cd1 ... /analysis/

Che tool mi consigliate per postarvi un log da farvi vedere per capire cosa attiva il virus?

Grazie

[davide72]

prova a vedere se risulta questa cartella utente/appdata/roaming /WindowsLogonS e prova ad eliminarla in modalità provvisoria

[Luke57]

Ciao, scarica otl.exe da qui:
http://oldtimer.geekstogo.com/OTL.exe
Sotto output spunta minimal output
Clicca sulla freccettina di File Age e seleziona 60 Days
Metti la spunta a LOP Check and Purity Check.
Premi runscan
A fine scansione OTL produrrà due file di log (OTL.txt ed Extras.txt)
Data la lunghezza del report, inserisci i due files in wikisend.

[Dylan666]

La cartella WinLogon non c'è e i file fatti da OTL sono qui:
https://www.dropbox.com/sh/7cgd26ab5llz ... uo-nRxulra

Grazie

[Luke57]

Ciao, otl ha rilevato anche questo:
C:\windows\SysWow64\lasmood.exe
Controllalo

[Dylan666]

Grazie, il file era malevolo ed è stato rimosso. Il Nod32 si è fatto un bel sonno e non ha visto nulla... probabilmente sarà sostituito ;-)
Grazie ancora!