Удалить вирус https://coinhive.com/lib/coinhive.min.js

[regist 617]

ждём всё остальное.

[федвал 0]

CollectionLog-2017.12.11-14.33.zipAdwCleanerS0.txt

[regist 617]

1)

• Запустите повторно AdwCleaner (в ОС Vista/Windows 7/8 необходимо запускать через правую кн. мыши от имени администратора).
• В меню Tools ->Options (Инструменты ->Настройки) отметьте:
  
  • Сброс политик IE
  • Сброс политик Chrome
    

  [*]Нажмите кнопку "Scan" ("Сканировать"), а по окончанию сканирования нажмите кнопку "Cleaning" ("Очистка") и дождитесь окончания удаления. [*]Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[C0].txt. [*]Прикрепите отчет к своему следующему сообщению

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!.

 

2) Удалите остатки аваст-а https://safezone.cc:443/threads/kak-pravilno-udalit-antivirusnye-utility-posle-lechenija.19966/

 

3) "Пофиксите" в HijackThis:

O21 - ShellIconOverlayIdentifiers:     YndCase0Sync - {63D48440-63AB-44D0-B323-4731DFCDE9E9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase1Modified - {7E7DC279-E6BE-4D57-9DEC-14FA0339DBC0} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase2Error - {FB2FE984-05F5-4512-9D9B-69D3DE61F6D9} - (no file)
O21 - ShellIconOverlayIdentifiers:     YndCase3Shared - {AF8D197E-7022-4c3d-BD88-68AD35C9C169} - (no file)
O21 - ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task: {E24D000D-9628-4C08-9DB4-049692A0DE99} - C:\Users\Максим\Documents\Photodex Proshow Producer 5.0.3222 и фото\Photodex Proshow Producer 5.0.3222 и фото\Photodex Proshow Producer 5.0.3222 Portable by Valx\Photodex Proshow Producer 5.0.3222.exe (file missing)

 

[федвал 0]

FKR.zip

AdwCleanerC0.txt

пункт 2) по ссылке выполнил, пункт 3) выполнил- пофиксил.

Пробовал заходить на сайт http://озерки-6.рф/Касперский заблокировал переход по вредоносной ссылке. 11.12.2017 16.48.42;Заблокирован опасный веб-адрес;https://coinhive.com/lib/coinhive.min.js;https://coinhive.com/lib/coinhive.min.js;Веб-адрес;Веб-адрес обнаружен в базе вредоносных веб-адресов;Yandex;12/11/2017 16:48:42

[Sandor 1 253]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

[федвал 0]

Addition.txtFRST.txtShortcut.txt

[Sandor 1 253]

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CreateRestorePoint:
  CHR HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
  Tcpip\..\Interfaces\{918F4939-8FAD-4FE8-B54F-204F338DD842}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1
  Toolbar: HKU\S-1-5-21-1680148627-3173480579-324862363-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
  FF user.js: detected! => C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\user.js [2014-03-21]
  FF Homepage: Mozilla\Firefox\Profiles\nahd6ha2.default -> hxxps://mail.ru/cnt/11956636?fr=ffhp1.0.3&gp=813533
  FF NewTab: Mozilla\Firefox\Profiles\nahd6ha2.default -> chrome://mail.ru.toolbar/content/visual-bookmarks/visual-bookmarks.html
  FF Extension: (SocialLife for Firefox™) - C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\extension@sl.dev.xpi [2014-12-23] [Lagacy] [not signed]
  FF Extension: (YouTube Video and Audio Downloader) - C:\Users\Максим\AppData\Roaming\Mozilla\Firefox\Profiles\nahd6ha2.default\Extensions\feca4b87-3be4-43da-a1b1-137c24220968@jetpack.xpi [2017-06-02] [Lagacy]
  CHR HomePage: Profile 1 -> hxxp://www.search.ask.com/?gct=hp
  Task: {21953FB7-FE85-4005-8D5B-3C120DE0ED57} - \mlwovja -> No File <==== ATTENTION
  Task: {4834FEBC-08E4-4556-A30E-F46D477C0000} - \{434DCC36-F259-417F-9C5A-496A79528EC1} -> No File <==== ATTENTION
  Task: {89F591F5-B866-402D-9EB0-63DC1A735966} - \Media Player Updater -> No File <==== ATTENTION
  AlternateDataStreams: C:\Windows:AstInfo [0]
  AlternateDataStreams: C:\Users\Максим\Local Settings:wa [178]
  AlternateDataStreams: C:\Users\Максим\AppData\Local:wa [178]
  AlternateDataStreams: C:\Users\Максим\AppData\Local\Application Data:wa [178]
  FirewallRules: [{CDA72E84-194F-4696-BDC9-2E8CD429C3B6}] => (Allow) C:\program files (x86)\photodex proshow producer\proshow.exe
  FirewallRules: [{C06E1968-BB1A-42BC-8522-F91A884D79DD}] => (Allow) C:\program files (x86)\photodex proshow producer\proshow.exe
  CMD: ipconfig /flushdns
  EmptyTemp:
  Reboot:
  End::

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

 

Подробнее читайте в этом руководстве.

Изменено 11 декабря, 2017 пользователем Sandor

[федвал 0]

Fixlog.txt

До появления https://coinhive.com/lib/coinhive.min.jsдня за четыре мне меняли порт в Ростелекоме, так как часто пропадало соединение с интернетом. И ещё в ноябре обновлял плагины.

[Sandor 1 253]

Фикс достаточно было выполнить один раз. Что с проблемой?

[федвал 0]

Нет проблем не было. Первый раз выполнил ФИКС не прочитав руководство. Второй раз как написано в руководстве.

[Sandor 1 253]

Под вопросом

Что с проблемой?

я подразумевал первоначальную проблему. Что с ней, сохраняется?

[федвал 0]

Добрый день! Да проблема так и осталась. Вчера пробовал и сегодня утром только открыл сайт http://озерки-6.рф/ тут же Касперский выдаёт:12.12.2017 08.51.32;Заблокирован опасный веб-адрес;https://coinhive.com/lib/coinhive.min.js;https://coinhive.com/lib/coinhive.min.js;Веб-адрес;Веб-адресобнаружен в базе вредоносных веб-адресов;Yandex;12/12/2017 08:51:32.  Причина Веб-адрес обнаружен в базе вредоносных веб-адресов. Но я же зашёл на свой сайт  http://озерки-6.рф/.

[Sandor 1 253]

я же зашёл на свой сайт

Через какой браузер заходите? Попробуйте зайти через Internet Explorer и сообщите результат.

[федвал 0]

Вот заходил через Internet Explorer;12/12/2017 13:14:52 на сайт зашёл, так же окно Касперского с предупреждением. 

12.12.2017 13.14.52;Заблокирован опасный веб-адрес;https://coinhive.com/lib/coinhive.min.js;https://coinhive.com/lib/coinhive.min.js;Веб-адрес;Веб-адресобнаружен в базе вредоносных веб-адресов;Internet Explorer;12/12/2017 13:14:52

[Sandor 1 253]

К сети подключаетесь через роутер? Если да, один компьютер?