Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

CoinMiner, Coinhive - jak usunąć?

Szyma_1 25 Wrz 2018 22:24 567 7
  • #1 25 Wrz 2018 22:24
    Szyma_1
    Poziom 2  

    Witam,
    Większość starych tematów jest już zamknięta, więc zwracam się o pomoc.
    Od pewnego czasu mam problem - antywirusy (Eset, Malwarebytes) wyszukują mi Js/CoinMiner.ah , dodatkowo strony blokują się z Coinhive.
    Przeglądałam już wszystkie porady - jak usunąć. Nic nie działa.
    Przede wszystkim, jak wchodzę w tryb awaryjny z obsługą sieci - nie mam połączenia internetowego i nie potrafię tego uruchomić.
    Czy ktoś z dobrą duszą jest w stanie mi pomóc?
    Pierwszy objaw - to była próba dostępu do kamery na laptopie - wyskoczyło że device census chce dostępu. Następnie Eset przysłał mi powiadomienie, że ktoś próbował się zalogować na moje konto widmo na laptopie (stworzone na potrzeby Eset Noda), a po paru dniach zaczęły bezustannie niemal wyskakiwać powiadomienia o niechcianych aplikacjach typy Spotify, Chrome, Microsoft itd i wszystko podpisane pod Js/coinminer.ah.
    W tematach wyczytałam, aby zrobić skanowanie OTL - załączam efekt.
    Będę bardzo wdzięczna za jakąkolwiek pomoc...

    0 7
  • Pomocny post
    #4 25 Wrz 2018 22:42
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    SearchScopes: HKU\S-1-5-21-4017324689-1986629793-526383123-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.15.1.8\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.15.1.8\Exts\Chrome.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx
    R2 TeamViewer; C:\Users\Jacek\AppData\Local\Temp\TeamViewer\TeamViewer_Service.exe [11644656 2018-08-13] (TeamViewer GmbH) <==== UWAGA
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-2269194316-3300317243-1937172604-1001\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-2269194316-3300317243-1937172604-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo17win10.msn.com/?pc=LCTE
    HKU\S-1-5-21-2269194316-3300317243-1937172604-1001\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://mystart.lenovo.com
    SearchScopes: HKU\S-1-5-21-2269194316-3300317243-1937172604-1001 -> DefaultScope {769572EC-3078-43B7-862A-A84E9AC5D206} URL =
    SearchScopes: HKU\S-1-5-21-2269194316-3300317243-1937172604-1001 -> {769572EC-3078-43B7-862A-A84E9AC5D206} URL =
    CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2269194316-3300317243-1937172604-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx




    U3 mfeavfk01; Brak ImagePath
    ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
    ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku
    ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {946DD11E-B1F3-43AB-A0B9-61779DC96849} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    1
  • #5 25 Wrz 2018 23:06
    Szyma_1
    Poziom 2  

    Działa! po resecie komputera nic nie wyskoczyło!
    Jesteś Geniuszem i jestem Ci dozgonnie wdzięczna!
    Mam nadzieję, że teraz komputer będzie bezpieczny - w sensie mogę na nim swobodnie pracować już czy powinnam jeszcze jakieś kroki poczynić?
    Dziękuje z całego serducha!

    0
  • Pomocny post
    #6 26 Wrz 2018 08:19
    Kolobos
    Spec od komputerów

    ESET Security albo McAfee LiveSafe, jeden odinstaluj.

    Odinstaluj tez:
    McAfee WebAdvisor
    SpyHunter 5

    Fixlist.txt dla FRST:
    (EnigmaSoft Limited) C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe
    (EnigmaSoft Limited) C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe
    R2 EsgShKernel; C:\Program Files\EnigmaSoft\SpyHunter\ShKernel.exe [9872688 2018-09-22] (EnigmaSoft Limited)
    R2 ShMonitor; C:\Program Files\EnigmaSoft\SpyHunter\ShMonitor.exe [538416 2018-09-22] (EnigmaSoft Limited)
    R3 EnigmaFileMonDriver; C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys [61624 2018-09-25] (EnigmaSoft Limited)
    2018-09-25 22:22 - 2018-09-25 22:22 - 000133448 _____ C:\Users\szyma\Desktop\Extras 2.txt
    2018-09-25 22:21 - 2018-09-25 22:21 - 000351402 _____ C:\Users\szyma\Desktop\OTL.Txt
    2018-09-25 22:21 - 2018-09-25 22:21 - 000133454 _____ C:\Users\szyma\Desktop\Extras.txt
    2018-09-25 22:12 - 2018-09-25 22:12 - 000351402 _____ C:\Users\szyma\Downloads\OTL.Txt
    2018-09-25 21:05 - 2018-09-25 21:05 - 000602112 _____ (OldTimer Tools) C:\Users\szyma\Downloads\OTL.exe
    2018-09-22 12:19 - 2018-09-25 21:08 - 000061624 _____ (EnigmaSoft Limited) C:\WINDOWS\system32\Drivers\EnigmaFileMonDriver.sys
    2018-09-22 12:19 - 2018-09-22 12:19 - 000001062 _____ C:\Users\Public\Desktop\SpyHunter5.lnk
    2018-09-22 12:19 - 2018-09-22 12:19 - 000000000 ____D C:\sh5ldr
    2018-09-22 12:19 - 2018-09-22 12:19 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EnigmaSoft
    2018-09-22 12:19 - 2018-09-22 12:19 - 000000000 ____D C:\ProgramData\EnigmaSoft Limited
    2018-09-22 12:18 - 2018-09-22 12:18 - 000000000 ____D C:\Program Files\EnigmaSoft
    2018-09-22 12:17 - 2018-09-22 12:17 - 005937968 _____ (EnigmaSoft Limited) C:\Users\szyma\Downloads\SpyHunter-Installer.exe

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #7 26 Wrz 2018 17:02
    Szyma_1
    Poziom 2  

    Dziękuje bardzo za odpowiedź i pomoc!
    Jestem bardzo wdzięczna!

    0
  • #8 27 Wrz 2018 21:48
    RADU23
    Moderator - Komputery Serwis

    Temat odblokowany na prośbę autora.

    0