JS/coinminer.ah не получается удалить.

**Hiki_no_more** · 17.09.2018, 12:42

Здравствуйте, сегодня столкнулся с проблемой, ESET при запуске разных программ и не только выкидывает предупреждение, что он блокирует доступ к интернету процессу JS/CoinMiner.AH, при не активных окнах чаще всего он определяет файл svchost.exe. На данный момент пробовал решить проблему с помощью MalBytes SpyHunter (утилит от касперского и стандартных программ майкрософт) в безопасном режиме. SpyHunter нашел один файл CoinMiner и удалил его, но проблема не решилась. Также вирус пытается переадресовать переходы по ссылкам.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 17.09.2018, 12:43

Уважаемый(ая) Hiki_no_more, спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Sandor** · 17.09.2018, 14:26

Здравствуйте!

Настройки DNS делали самостоятельно?

O17 - DHCP DNS 1: 192.168.1.1
O17 - DHCP DNS 2: 94.247.43.254
O17 - DHCP DNS 3: 107.172.42.186
O17 - DHCP DNS 4: 128.52.130.209
O17 - DHCP DNS 5: 163.53.248.170
O17 - DHCP DNS 6: 185.208.208.141

**Hiki_no_more** · 17.09.2018, 14:32

Нет, компьютер подключен к сети компании

**Sandor** · 17.09.2018, 14:48

Через Панель управления - Удаление программ - удалите нежелательное ПО:

SpyHunter 4.28.5.4845

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RebootWindows(false);
end.

Компьютер перезагрузится.

"Пофиксите" в HijackThis:

Код:

O17 - DHCP DNS 2: 94.247.43.254
O17 - DHCP DNS 3: 107.172.42.186
O17 - DHCP DNS 4: 128.52.130.209
O17 - DHCP DNS 5: 163.53.248.170
O17 - DHCP DNS 6: 185.208.208.141
O21 - HKLM\..\ShellIconOverlayIdentifiers: 00asw - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)

Вручную перегрузите компьютер.

Сделайте повторные логи по правилам. (CollectionLog)

**Hiki_no_more** · 17.09.2018, 15:29

после выполнения всех пунктов, ваш сайт перестал запускаться, с телефона приходится отправлять лог
https://drive.google.com/open?id=1Zg...sc2L_0M6FBWTVh

**Sandor** · 17.09.2018, 15:39

Вы установили KIS. Пока идет лечение не нужно самостоятельно ничего предпринимать.

Временно отключите защитное ПО.
Выполните скрипт в AVZ:

Код:

begin
 ExecuteRepair(21);
 ExecuteFile('ipconfig', '/flushdns', 0, 10000, true);
 ExecuteWizard('SCU', 2, 2, true);
end.

Компьютер перезагрузится.

Пробуйте зайти на сайт.

Затем:
Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

**Hiki_no_more** · 17.09.2018, 15:45

Перезапустил компьютер и вернул Нод( удалил касперский) ,сайт вновь начал работать. Прошу прощения за самодеятельность, сделал всё до того как пришел ответ. Мне прислать еще лог или выполнить эти указания?

**Sandor** · 17.09.2018, 15:57

Сообщение от Hiki_no_more

выполнить эти указания?

Да, выполните.

**Hiki_no_more** · 17.09.2018, 16:04

Вот всё выполнил

**Sandor** · 17.09.2018, 16:21

192.168.1.1 - это адрес роутера?

**Hiki_no_more** · 17.09.2018, 16:31

Раз в 20 минут все также вылезает это

- - - - -Добавлено - - - - -

Сообщение от Sandor

192.168.1.1 - это адрес роутера?

как это можно выяснить? я плохо разбираюсь в таком вопросе(

**Sandor** · 17.09.2018, 16:31

К сети (интернет) подключаетесь через роутер?

**Hiki_no_more** · 17.09.2018, 16:35

Нет, через кабель.

**Sandor** · 17.09.2018, 16:53

Зайдите в Диагностику сети - Настройки параметров адаптера - (правой кнопкой) Свойства - IP версии 4 - Свойства - переведите в "Использовать следующие адреса DNS серверов" - введите

8.8.8.8 - предпочитаемый
8.8.4.4 - альтернативный

Везде нажмите ОК.

Перезагрузите компьютер и соберите свежий CollectionLog Автологером.

**Hiki_no_more** · 17.09.2018, 17:31

Спасибо, к сожалению смогу только завтра сделать, офис закрылся на сегодня.

**Hiki_no_more** · 18.09.2018, 07:21

вот выполнил указания

**Sandor** · 18.09.2018, 09:41

Что сейчас с проблемой?

**Hiki_no_more** · 18.09.2018, 09:48

Сообщение от Sandor

Что сейчас с проблемой?

вирус так же вылезает и пытается получить доступ к разным сайтам

**Sandor** · 18.09.2018, 09:58

Сделайте полный образ автозапуска uVS, только программу скачайте отсюда

JS/coinminer.ah не получается удалить. (заявка № 220280)

Опции темы