Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Coinhive / JS Miner - jak usunąć

cokolwiek1232 21 Paź 2018 12:22 267 12
  • #1 21 Paź 2018 12:22
    cokolwiek1232
    Poziom 3  

    Witam,
    Mam jakiś problem z minerem, nie znam się na tym zupełnie. Stary laptop, spaliła się w nim 2 lata temu karta graficzna i tak przeleżał te 2 lata bo nie był mi potrzebny. Rodzice wymienili kartę graficzną i sobie go wzięli. Teraz często wyskakują różne powiadomienia przy korzystaniu z internetu i nie tylko. Z tego co pamiętam albo tego problemu 2 lata temu nie było a jeżeli był to nie na taką skalę, żeby tak często przerywało połączenie. Co z tym zrobić? Format? Drugie pytanie - czy miner mógł zainfekować router? Bo wydaje mi się, że inne komputery w domu zaczęły szaleć. W załącznikach raporty i zrzuty. FRST i adwCleaner.

    Coinhive / JS Miner - jak usunąć
    Coinhive / JS Miner - jak usunąć
    Coinhive / JS Miner - jak usunąć
    Coinhive / JS Miner - jak usunąć
    Coinhive / JS Miner - jak usunąć
    Coinhive / JS Miner - jak usunąć

    0 12
  • Pomocny post
    #2 21 Paź 2018 12:35
    krzychupar
    Poziom 41  

    Otwórz notatnik systemowy i wklej:

    CloseProcesses:
    Task: {CBFC40F0-692F-4657-9C9F-9E7436968ECB} - System32\Tasks\Opera scheduled Autoupdate 1538677707 => C:\Users\user\AppData\Local\Programs\Opera\launcher.exe [2018-10-17] (Opera Software)
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {096871c8-4a36-11e3-bfd6-aa3d0a370c60} - I:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {0d477b87-db29-11e1-9066-00266c638e69} - G:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {0d477b91-db29-11e1-9066-00266c638e69} - E:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {0d477b9d-db29-11e1-9066-00266c638e69} - E:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {1e988cab-ab77-11e2-a6f1-b482fe618f24} - E:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {206856d6-015c-11e5-a822-806e6f6e6963} - E:\.\StartModem.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {314336de-c879-11e1-8d5e-00266c638e69} - G:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {314336eb-c879-11e1-8d5e-00266c638e69} - G:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {314336f8-c879-11e1-8d5e-00266c638e69} - G:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {6b4bd7e7-3fd4-11e3-a3f1-8bd062572263} - E:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {83d67ffc-db0d-11e1-8856-00266c638e69} - G:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {a19d66d0-3f55-11e3-a392-dcb7fc83c504} - E:\AutoRun.exe
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {a19d66dd-3f55-11e3-a392-dcb7fc83c504} - E:\AutoRun.exe
    SearchScopes: HKLM -> {56D6368B-3DAD-4E4E-8F1B-057F5556DD46} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
    SearchScopes: HKLM-x32 -> {56D6368B-3DAD-4E4E-8F1B-057F5556DD46} URL = hxxp://www.bing.com/search?q={searchTerms}&form=TSHMDF&pc=MATM&src=IE-SearchBox
    SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku
    Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku
    Toolbar: HKU\S-1-5-21-34312794-666523109-1785874176-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
    DPF: HKLM-x32 {C345E174-3E87-4F41-A01C-B066A90A49B4} hxxp://trial.trymicrosoftoffice.com/trialoaa/...soffice_assets/framework//microsoft/wrc32.ocx
    FF Extension: (Telemetry coverage) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\3ezsdsvf.default-1538678123771\features\{ba924eb6-99f2-426e-ba50-77767834070a}\telemetry-coverage-bug1487578@mozilla.org.xpi [2018-10-10] [Przestarzałe]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    2018-10-21 11:45 - 2018-10-21 11:47 - 000000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 21 Paź 2018 12:47
    cokolwiek1232
    Poziom 3  

    Zrobiłem tak, zrestartowałem, praktycznie po restarcie od razu wyskoczyło powiadomienie od avasta.

    Wszystkie komputery podłączone do tej sieci mają ten sam problem, możliwe że trojan przeszedł z tego komputera na router? Router Tp Link TL-WR340G. Z czasem jest coraz gorzej, nie można wejść na coraz więcej stron.

    0
  • Pomocny post
    #4 21 Paź 2018 22:44
    RADU23
    Moderator - Komputery Serwis

    Zamieść nowe logi z FRST.

    0
  • Pomocny post
    #5 22 Paź 2018 05:43
    Kolobos
    Spec od komputerów

    Usun rozszerzenia z FF:
    FF Extension: (CoinBlock) - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\3ezsdsvf.default-1538678123771\Extensions\{2a5ad6d9-fec6-4807-ad08-6fc68d7036c9}.xpi [2018-10-21]
    i Opery:
    OPR Extension: (Coin-Hive Blocker) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\ccagdbjcbhmcdcbbknfebhhdbolnfimo [2018-10-21]
    OPR Extension: (CoinBlock) - C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions\cipnhlfdbhohkabpbojakjbapbiimokl [2018-10-21]

    I sprawdz czy nadal bedzie sie wyswietlac informacja o infekcji.

    0
  • #6 22 Paź 2018 18:01
    cokolwiek1232
    Poziom 3  

    RADU23 napisał:
    Zamieść nowe logi z FRST.

    Nowe logi

    Kolobos napisał:
    I sprawdz czy nadal bedzie sie wyswietlac informacja o infekcji


    Usunąłem rozszerzenia, ale dodałem je już po fakcie, gdy zaczęły mi wyskakiwać powiadomienia o wirusie. Miałem wrażenie, że na Operze było ich mniej niż na FF. Teraz jeżeli nie mam włączonych żadnych rozszerzeń avast się nie włącza, tylko od czasu do czasu malwarebytes pokazuje, że jest trojan.

    Zauważyłem teraz, że każdy z 3 komputerów podłączonych do tej sieci ma takie same problemy, możliwe, że to problem z routerem? Bo jeżeli rozłączę się z siecią i zacznę korzystać z darmowego internetu z Aero2, wszystko jest ok. Mogę normalnie wchodzić na strony, które podczas korzystania z wifi avast albo przeglądarka mi blokuje. I nie ma żadnych informacji o trojanach.

    0
  • #7 22 Paź 2018 18:24
    Kolobos
    Spec od komputerów

    Mozliwe, zacznij od zmiany dnsow na 8.8.8.8 oraz 8.8.4.4, zmien tez haslo do routera i sprawdz czy jest nowszy firmware.

    0
  • #8 22 Paź 2018 18:58
    cokolwiek1232
    Poziom 3  

    Ok to zrobię tak później.

    0
  • Pomocny post
    #9 22 Paź 2018 21:38
    RADU23
    Moderator - Komputery Serwis

    @cokolwiek1232
    Wykonaj taki fixlist (procedura taka jak powyżej):

    Cytat:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\...\MountPoints2: {6b4bd7e7-3fd4-11e3-a3f1-8bd062572263} - E:\AutoRun.exe
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://toshiba.msn.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://toshiba.msn.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://toshiba.msn.com/
    HKU\S-1-5-21-34312794-666523109-1785874176-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://toshiba.msn.com
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
    AlternateDataStreams: C:\Users\user\Desktop\green card:com.dropbox.attributes [168]

    0
  • #10 25 Paź 2018 21:29
    cokolwiek1232
    Poziom 3  

    Dopiero teraz się wpisuję, bo byłem u rodziców. Nic z routerem nie robiłem a sytuacja się poprawiła jakby z dnia na dzień. 3-4 dni temu nie można było nic zrobić, bo cały czas wyskakiwały powiadomienia, teraz jest spokój.

    RADU23 napisał:
    Wykonaj taki fixlist (procedura taka jak powyżej):


    No zrobiłem i jest w porządku chyba.

    0
  • #12 25 Paź 2018 22:21
    cokolwiek1232
    Poziom 3  

    N0n3_ napisał:
    Router od Mikrotika?


    Tp Link TL-WR340G

    0
  • #13 31 Paź 2018 21:54
    cokolwiek1232
    Poziom 3  

    Zastosowałem się do porad w temacie

    0