Удалить вирус https://coinhive.com/lib/coinhive.min.js

[федвал]

Добрый день! Недели две как при заходе на сайт hxxp://озерки-6.рф с любого браузера который включал по умолчанию, антивирус Касперского выдаёт: 08.12.2017 20.19.05;Заблокирован опасный веб-адрес;"https://coinhive.com/lib/coinhive.min.js;HEUR:Trojan.Script.Generic;";"https://coinhive.com/lib/coinhive.min.js;HEUR:Trojan.Script.Generic;";Веб-адрес;Веб-адрес обнаружен в базе вредоносных веб-адресов;Internet Explorer;12/08/2017 20:19:05. Если захожу на сайт с браузера который не по умолчанию, то Касперский ведёт себя нормально. Сканировал компьютер cureit, авастом, касперским делал полную проверку ничего не находят. Что можно сделать в этом случае.

 

Сообщение от модератора thyrex

Вынесено из темы https://forum.kasperskyclub.ru/index.php?showtopic=57838

[thyrex]

Вирус на сайте, а не у Вас на компьютере.

[федвал]

Я обращался в тех. помощь сайта, они ответили, что всё нормально. в дополнение https://image.prntscr.com/image/p3bU3dZoQMypGKmFd6t0bg.png 

[thyrex]

Базы антивируса обновите и проверьте, будет ли срабатывание

[федвал]

Базы Касперского обновлены. Если захожу на сайт из браузера который по умолчанию срабатывание есть, то есть он блокирует вирус и показывет предупреждение. На сайт я захожу. Если захожу из браузера который не по умолчанию нет никакого срабатывания, на сайт захожу. Но порой вместо страницы сайта показывается окно какой нибудь игры.

[andrew75]

Приложите логи по правилам:
https://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url]

Сообщение от модератора thyrex

Вернулись в Уничтожение вирусов

[федвал]

06.12.2017 19.46.58;Обнаруженный объект (файл) невозможно вылечить;https://coinhive.com/lib/coinhive.min.js;https://coinhive.com/lib/coinhive.min.js;HEUR:Trojan.Script.Generic;Троянскаяпрограмма;12/06/2017 19:46:58. Примерно с 27.11.2017г. при открытии сайта http://озерки-6.рф/, вместо сайта открывается какой -то сайт: ставки на спорт онлайн или какая нибудь игра. После перезапуска сайт открывается, но в процессе просмотра неожиданно опять вместо сайта появляется окно: ставки на спорт онлайн. До вчерашнего дня Касперский блокировал вирус, сегодня вместо сайта открылся спорт онлайн, Касперский не сработал. Ну а в общем компьютер работает, при прокручивании мышки дёргается экран.

PFRO.log

GetSystemInfo_МАКСИМ-DNS_Максим_2017_12_09_19_43_25.zip

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[федвал]

Kaspersky Virus Removal Tool 2015; Угроз не обнаружено

Dr.Web CureIt!. Угроз не обнаружено

[Mark D. Pearlstone]

@федвал, не нужно выполнять избирательно то, что вам пишут. Прочтите ещё раз правила и выполните полностью.

[федвал]

AutoLogger запускал, папка на рабочем столе. Вот только проверку диска запускал, но не нашёл журнала проверки диска.

[Mark D. Pearlstone]

@федвал, читайте внимательно. Нужен лог автологгера.

[федвал]

CollectionLog-2017.12.08-20.29.zipreport2.log

[regist]

Здравствуйте!

 

SpyHunter 4 - удалите.

 

От IObit если что-то установлено, то тоже.

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('C:\Windows\winstart.bat', '32');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 - Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com
Полученный ответ сообщите здесь (с указанием номера KLAN)

 

"Пофиксите" в HijackThis:

O4 - HKU\S-1-5-21-1680148627-3173480579-324862363-1003\..\Run: [Google Update] C:\Users\Максим\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (User 'UpdatusUser')
O4 - HKU\S-1-5-21-1680148627-3173480579-324862363-1003\..\RunOnce: [Application Restart #0] C:\Users\UpdatusUser\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --enable-cousteau --disable-client-side-phishing-detection --profile-info --disable-field-trial-config --disable-finish-rendering-on-resize --enable-mse-h264-support --enable-proprietary-video-hw-decoding --enable-dx11-for-proprietary-video-hw-decoding --external-app-path="C:\Windows\explorer.exe" --restore-last-session (file missing) (User 'UpdatusUser')
O4 - HKU\S-1-5-21-1680148627-3173480579-324862363-501\..\Run: [Google Update] C:\Users\Максим\AppData\Local\Google\Update\GoogleUpdate.exe /c (file missing) (User 'Гость')
O4 - HKU\S-1-5-21-1680148627-3173480579-324862363-501\..\RunOnce: [Application Restart #0] C:\Users\Гость\AppData\Local\Yandex\YandexBrowser\Application\browser.exe  --flag-switches-begin --flag-switches-end --enable-cousteau --disable-client-side-phishing-detection --profile-info --disable-field-trial-config --disable-finish-rendering-on-resize --enable-mse-h264-support --enable-proprietary-video-hw-decoding --enable-dx11-for-proprietary-video-hw-decoding --external-app-path="C:\Windows\explorer.exe" --restore-last-session (file missing) (User 'Гость')
O8 - HKU\S-1-5-21-1680148627-3173480579-324862363-1003\..\Extra context menu item: Скачать с Mipony - C:\Program Files (x86)\MiPony\Browser\IEContext.htm (file missing)
O8 - HKU\S-1-5-21-1680148627-3173480579-324862363-501\..\Extra context menu item: Скачать с Mipony - C:\Program Files (x86)\MiPony\Browser\IEContext.htm (file missing)
O9 - Extra 'Tools' menuitem: ICQ - HKU\S-1-5-21-1680148627-3173480579-324862363-1003\..\{086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\UpdatusUser\AppData\Roaming\ICQM\icq.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ - HKU\S-1-5-21-1680148627-3173480579-324862363-501\..\{086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\Гость\AppData\Roaming\ICQM\icq.exe (file missing)
O9 - Extra button: ICQ - HKU\S-1-5-21-1680148627-3173480579-324862363-1003\..\{086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\UpdatusUser\AppData\Roaming\ICQM\icq.exe (file missing)
O9 - Extra button: ICQ - HKU\S-1-5-21-1680148627-3173480579-324862363-501\..\{086C8477-4F71-4550-87FB-AF0AE8DF3E98} - C:\Users\Гость\AppData\Roaming\ICQM\icq.exe (file missing)
O21 - ShellIconOverlayIdentifiers: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) (file missing)
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ErrorShellIconOverlayImpl - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll (file missing)
O21 - ShellIconOverlayIdentifiers: Yandex.Disk ModifiedShellIconOverlayImpl - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll (file missing)
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SharedShellIconOverlayImpl - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll (file missing)
O21 - ShellIconOverlayIdentifiers: Yandex.Disk SyncShellIconOverlayImpl - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - C:\Users\Максим\AppData\Roaming\Yandex\YandexDisk\YandexDiskOverlays-2398.dll (file missing)
O22 - Task: Driver Booster SkipUAC (Максим) - C:\Program Files (x86)\IObit\Driver Booster\4.0.4\DriverBooster.exe /skipuac (file missing)
O22 - Task: SpyHunter4Startup - C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe /s (file missing)
O22 - Task: UnHackMe Task Scheduler - C:\Program Files (x86)\UnHackMe\hackmon.exe $(Arg0) (file missing)
O22 - Task: \Microsoft\Windows\Setup\GWXTriggers\Logon-5d - C:\Windows\system32\GWX\GWX.exe /event:7 (file missing)
O22 - Task: \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d - C:\Windows\system32\GWX\GWX.exe /event:8 (file missing)
O22 - Task: \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d - C:\Windows\system32\GWX\GWX.exe /event:6 (file missing)
O22 - Task: \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d - C:\Windows\system32\GWX\GWX.exe /event:9 (file missing)
O22 - Task: \Microsoft\Windows\Setup\GWXTriggers\Time-5d - C:\Windows\system32\GWX\GWX.exe /event:10 (file missing)
O22 - Task: {19B88BC8-2DB0-42E0-9F26-82A2D945C684} - C:\Users\Максим\Desktop\SetupBtwDownloadSE\SetupBtwDownloadSE.exe (file missing)
O22 - Task: {5D00F409-7C0F-44AA-80CF-46CC31D0E1E9} - C:\Program Files\CyberLink\PhotoDirector6\PhotoDirector6.exe (file missing)
O22 - Task: {E24D000D-9628-4C08-9DB4-049692A0DE99} - C:\Users\Максим\Documents\Photodex Proshow Producer 5.0.3222 и фото\Photodex Proshow Producer 5.0.3222 и фото\Photodex Proshow Producer 5.0.3222 Portable by Valx\Photodex Proshow Producer 5.0.3222.exe (file missing)

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Для повторной диагностики запустите снова Autologger.

 

• Скачайте AdwCleaner и сохраните его на Рабочем столе.
• Запустите его (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Сканировать") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s0].txt.
• Прикрепите отчет к своему следующему сообщению.

+ откройте  regedit  откройте там ветку

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\

Затем нажмите Файл -> экспорт -> тип файла "Файлы кустов реестра".

Экспортированный файл заархивируйте и прикрепите.

[федвал]

Скрипт [RLAN-7316942345]

Благодарим за обращение в Антивирусную Лабораторию
Присланные вами файлы были проверены в автоматическом режиме.
В антивирусных базах информация по присланным вами файлам отсутствует:
winstart.bat
Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.
Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.
Антивирусная Лаборатория, Kaspersky Lab HQ
"Ленинградское шоссе 39A/3, Москва, 125212, Russia
Телефон/Факс: + 7 (495) 797 8700
http://www.kaspersky.com https://www.securelist.com"

Профисковал, запускал Autologger и  AdwCleaner.