Aiutamici Forum
Benvenuto Ospite Cerca | Topic Attivi | Utenti | | Log In | Registra

coinhive.com come rimuoverlo ? Opzioni
spock57
Inviato: Thursday, December 28, 2017 1:05:23 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Da alcuni giorni quando, sia con Chrome che I.E., accedo alla pagina di TNT Village, Avast mi avvisa che ha rilevato e bloccato una minaccia.
Connessione bloccata perchè rimanda a coinhive.com
infetta da JS:Miner-C (trj)

Ho contattato un amministratore ma pare che sul sito non ci siano problemi.
Io fino ad oggi ho riscontrato il problema solo con questo sito.

Si può fare qualcosa per rimuovere questa cosa ?
Ho fatto una scansione completa all'avvio con Avast e non ha rilevato nulla, lo stesso anche con Malware Bytes.
Sponsor
Inviato: Thursday, December 28, 2017 1:05:23 PM

 
solfami
Inviato: Thursday, December 28, 2017 4:00:32 PM

Rank: AiutAmico

Iscritto dal : 11/14/2003
Posts: 2,269
Salve
una ricerca su Google?
Saluti
spock57
Inviato: Thursday, December 28, 2017 4:04:11 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Già fatto, risposte poco chiare/inutili da siti dubbi e/o con rimandi a download per rimozione automatica sempre di dubbia provenienza.
cbbusto
Inviato: Thursday, December 28, 2017 6:05:12 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Si tratta di uno dei tanti dirottatori, se hai già scansionato con Malwarebytes fai queste altre scansioni:
Scarica Adwcleaner sul desktop: http://www.bleepingcomputer.com/download/adwcleaner/
Per il download cliccare su: Download now
Chiudi tutti i browser (è importante IE,Firefox Chrome ecc...)
Clicca sul pulsante "Analisi".
Finita la scansione clicca su "Pulizia"
Conferma con OK le varie finestre che ti compariranno.
Riavvia il pc e uscirà il log con le eliminazioni.
Postalo qui.
ADW crea un backup dei files e delle impostazioni eliminati, si trova in "C:\AdwCleaner\Quarantine" in modo da consentire l'eventuale ripristino di dati erroneamente cancellati.
Per il ripristino, aprire il programma>Strumenti>Gestione quarantena>Ripristino.

Scarica Junkware Removal Tool sul desktop.
http://junkware-removal-tool.it.uptodown.com/download
Il download dovrebbe partire entro 5 secondi
Disattiva temporaneamente l'antivirus per evitare potenziali conflitti.
Doppio click su JRT
Lo strumento si aprirà e avvierà la scansione del sistema.
Devi avere pazienza in quanto questo tool può richiedere del tempo per completare la scansione .
Al termine, un log (JRT.txt) viene salvato sul desktop e si aprirà automaticamente.
Le scansioni con gli antivirus in questi casi non servono.
Poi controlla se è stata modificata la pagina iniziale di browser e metti la tua preferita, controlla anche fra i motori di ricerca se c'è qualche motore sconosciuto, eliminali tutti e lascia solo Google. Dovresti anche controllare se sono stati cambiati i DNS e nel caso metti quelli di Google che sono i migliori.
Se non sai come fare, metti sistema operativo che usi e ti darò spiegazioni.
Fare una pulizia del Registro. Speak to the hand
spock57
Inviato: Thursday, December 28, 2017 6:43:24 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Grazie mille. Forse questa sera non riesco perché rientrerò tardi, domattina faccio tutto.
Cmq ho già visto che la pagina iniziale di Chrome e IE sono sempre le stesse e anche il motore di ricerca.
Per la pulizia del registro... ? CCleaner ?
Domani posto i risultati qui, grazie.
cbbusto
Inviato: Thursday, December 28, 2017 6:55:33 PM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Per una pulizia profonda del registro, usa Eusing Free Registry Cleaner sw da usare saltuariamente, lo scarichi da qui: http://www.eusing.com/free_registry_cleaner/registry_cleaner.htm
clic su Download Site1, una volta lanciato appare una finestra che chiede il codice, clic su ignora e procedi, poi in alto a sinistra clic su Analizza Registro, lascia fare fino alla fine non ti preoccupare se trova molte voci, poi clicca su Ripara Registro, il sw è sicuro comunque crea un punto di ripristino e fa anche il backup dei file eliminati infatti in alto sotto ripara registro si trova la voce Ripristina Registro.
Per fare questa pulizia meglio chiudere tutti i programmi e disconnesso.
Il programma è compatibile con tutti i S.O. windows compreso win 10.
spock57
Inviato: Friday, December 29, 2017 10:31:00 AM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Ho fatto tutto quello che mi hai detto, quando ho finito ho provato ad andare sul sito di TNT Village sulla pagina di login ( http://forum.tntvillage.scambioetico.org/ ) e l'allarme antivirus purtroppo è di nuovo scattato.
Cmq, la pagina iniziale non è cambiata, i DNS sono quell impostati da me 208.67.222.222 e 208.67.220.220
Questo il log di Adwcleaner
# AdwCleaner 7.0.6.0 - Logfile created on Fri Dec 29 08:39:16 2017
# Updated on 2017/21/12 by Malwarebytes
# Running on Windows 7 Ultimate (X86)
# Mode: clean
# Support: https://www.malwarebytes.com/support

***** [ Services ] *****

No malicious services deleted.

***** [ Folders ] *****

Deleted: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\myfree codec
Deleted: C:\Program Files\myfree codec


***** [ Files ] *****

Deleted: C:\\user.js


***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks deleted.

***** [ Registry ] *****

Deleted: [Key] - HKU\S-1-5-21-2938589662-2752288383-3788484601-1000\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyFreeCodec
Deleted: [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\MyFreeCodec
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{2BEF239C-752E-4001-8048-F256E0D8CD93}
Deleted: [Key] - HKLM\SOFTWARE\Classes\CLSID\{35B8892D-C3FB-4D88-990D-31DB2EBD72BD}
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{3F607E46-0D3C-4442-B1DE-DE7FA4768F5C}
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{49C00A51-6E59-41FE-B3FA-2D2157FAD67B}
Deleted: [Key] - HKLM\SOFTWARE\Classes\CLSID\{5EB0259D-AB79-4AE6-A6E6-24FFE21C3DA4}
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{6DFF5DBA-AE3A-46DB-B301-ECFFC6DB2982}
Deleted: [Key] - HKLM\SOFTWARE\Classes\TypeLib\{93E3D79C-0786-48FF-9329-93BC9F6DC2B3}
Deleted: [Key] - HKLM\SOFTWARE\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{DE34CD67-F1C8-4001-9A23-B8A68F63F377}
Deleted: [Key] - HKLM\SOFTWARE\Classes\Interface\{FE0273D1-99DF-4AC0-87D5-1371C6271785}
Deleted: [Key] - HKLM\SOFTWARE\Classes\TypeLib\{81CA8FCD-1420-4A07-B47D-B30F3DDA79E1}
Deleted: [Key] - HKLM\SOFTWARE\Classes\CLSID\{5C3B5DAA-0AFF-4808-90FB-0F2F2D760E36}
Deleted: [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\20E71B53321C641458DBDAF83979D193
Deleted: [Key] - HKLM\SOFTWARE\Classes\AppID\NCTAudioCDGrabber2.DLL
Deleted: [Value] - HKCU\Software\Classes\.torrent|iLivid.torrent_backup


***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries deleted.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries deleted.

*************************

::Tracing keys deleted
::Winsock settings cleared
::Additional Actions: 0



*************************

C:/AdwCleaner/AdwCleaner[S0].txt - [4144 B] - [2014/12/5 18:32:30]
C:/AdwCleaner/AdwCleaner[S1].txt - [2838 B] - [2017/12/29 8:38:12]


########## EOF - C:\AdwCleaner\AdwCleaner[C0].txt ##########
spock57
Inviato: Friday, December 29, 2017 10:32:02 AM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
E questo il log di Junkware Removal Tool
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.0.8 (09.20.2016)
Operating System: Windows 7 Ultimate x86
Ran by Roberto (Administrator) on 29/12/2017 at 9:51:45,43
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 27

Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8Z4L49UQ (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CZ9ZLQP4 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DJWUU6UG (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FMNFAA9L (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I1GA3G5A (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LQ9DDC8G (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1HESIYW (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MWMDHB8I (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S1SG9OG7 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2SPZPL0 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WMSNM8M5 (Temporary Internet Files Folder)
Successfully deleted: C:\Users\Roberto\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YCTEV4XO (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\prefetch\GOOGLETOOLBARMANAGER_8B0481A9-F26666B6.pf (File)
Successfully deleted: C:\Windows\prefetch\GOOGLETOOLBARNOTIFIER.EXE-B3E65CF6.pf (File)
Successfully deleted: C:\Windows\prefetch\GOOGLETOOLBARUSER_32.EXE-6E5896AD.pf (File)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8Z4L49UQ (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\CZ9ZLQP4 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DJWUU6UG (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FMNFAA9L (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I1GA3G5A (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LQ9DDC8G (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\M1HESIYW (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MWMDHB8I (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S1SG9OG7 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S2SPZPL0 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WMSNM8M5 (Temporary Internet Files Folder)
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YCTEV4XO (Temporary Internet Files Folder)



Registry: 2

Successfully deleted: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\\GoogleChromeAutoLaunch_90CF77B0609F142F312961757F9B0F20 (Registry Value)
Successfully deleted: HKLM\Software\Microsoft\Internet Explorer\Search\\SearchAssistant (Registry Value)




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 29/12/2017 at 9:53:15,44
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
spock57
Inviato: Friday, December 29, 2017 10:55:09 AM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Nel dettaglio quando accedo a questa pagina ( http://forum.tntvillage.scambioetico.org/ ) per il login la prima volta scatta l'allarme, se ritorno in seguito dopo breve tempo non scatta. Se passa più tempo o riavvio ricompare allarme.
Ho notato che prima del link sul browser compare la dicitura Non Sicuro, non so se voglia dire qualcosa x questo problema.
Cmq ho privato altri link di svariati siti e l'allarme non scatta.
cbbusto
Inviato: Friday, December 29, 2017 11:33:20 AM

Rank: AiutAmico

Iscritto dal : 11/8/2008
Posts: 13,964
Le scansioni hanno eliminato un po' di roba ma niente di pericoloso, la pulizia del registro l'hai fatta?
Riguardo a quell'avviso è un falso positivo di avast, non è niente di pericoloso, non conosco bene Avast ma ci dovrebbe essere la possibilità di far sapere che non è una minaccia e di non bloccare l'accesso, ovviamente devi essere sicuro che il sito sia sicuro.
Ho provato ad andare all'indirizzo che hai messo si apre ma appare un avviso che dice:

L'accesso al forum e' stato LIMITATO (la nostra piattaforma non può supportare questo carico di lavoro)

Accesso ridotto allo Staff, ai Releaser e ai Donatori da almeno 5€.
Se fate parte di uno di questi gruppi, fate il login che vi fa entrare

Il forum è limitato perché ci sono troppi utenti,
quindi si può entrare dopo mezzanotte fino alle ore 09.


Una mia curiosità, a che ti serve questo sito, magari usi Torrent ?
spock57
Inviato: Friday, December 29, 2017 12:11:03 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Si, ho fatto anche la pulizia del registro come mi hai detto dopo le scansioni.
Il messaggio che hai visto è corretto, è un sito Italiano da dove prendo dei file torrent da anni ed è sempre stato pulito. Io accedo regolarmente perché sono un donatore.
Avast cmq non mi blocca l'accesso al sito di TNT che effettuo regolarmente, mi da "solo" questo allarme (prima che io digiti login e pwd) dicendo che blocca la connessione a coinhive.com che da quel che ho letto è una porcheria pericolosa. Ho provato altri vari link che uso spesso ma succede solo su questo, sia con Chrome che IE, infatti subito ho pensato che il sito fosse infetto, ma a quanto pare non è così.
Io penso che se dico ad Avast di non considerarlo mi ritrovo reindirizzato su questo coinhive.com e subito dopo una bella schifezza nel PC.
fax71ita
Inviato: Friday, December 29, 2017 3:01:33 PM

Rank: AiutAmico

Iscritto dal : 4/23/2010
Posts: 3,835
Ciao
Mi permetto di suggerire di reimpostare il browser alle impostazioni iniziali in modo da eliminare tutte le estensioni

spock57
Inviato: Friday, December 29, 2017 3:05:07 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Grazie, ma prima di rivolgermi qui x un aiuto, l'ho già fatto, l'unica estensione che c'era e che ho riattivato è quella di Avast
wolfestein
Inviato: Friday, December 29, 2017 4:29:25 PM

Rank: AiutAmico

Iscritto dal : 2/15/2009
Posts: 15,951
Per i DNS come consigliato anche da cbbusto metti quelli di Google.
spock57
Inviato: Friday, December 29, 2017 4:32:13 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
OK. Però... anche con quelli... questa specie di problema, rimane.😞
spock57
Inviato: Friday, December 29, 2017 8:45:33 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
In rete ho letto che qualcuno consiglia l'utilizzo di Spyhunter 4 per risolvere, ma ho anche letto che molti lamentano malfunzionamenti assortiti e difficoltà nella disinstallazione.
Voi che ne pensate?
fax71ita
Inviato: Friday, December 29, 2017 9:37:56 PM

Rank: AiutAmico

Iscritto dal : 4/23/2010
Posts: 3,835
Ciao
Lascia stare quei software...
Visto che lamenti il problema da pochi giorni e non si trovano intrusi io farei un ripristino a data antecedente il problema.

spock57
Inviato: Friday, December 29, 2017 10:25:19 PM
Rank: AiutAmico

Iscritto dal : 1/15/2012
Posts: 72
Ehh... lo avrei già fatto, solo che tempo fa (4 anni circa) dopo aver installato Easus Todo backup, Windows non fa più punti di ripristino, non ne ho neancnhe uno. 😓
Utenti presenti in questo topic
Guest


Salta al Forum
Aggiunta nuovi Topic disabilitata in questo forum.
Risposte disabilitate in questo forum.
Eliminazione tuoi Post disabilitata in questo forum.
Modifica dei tuoi post disabilitata in questo forum.
Creazione Sondaggi disabilitata in questo forum.
Voto ai sondaggi disabilitato in questo forum.

Main Forum RSS : RSS

Aiutamici Theme
Powered by Yet Another Forum.net versione 1.9.1.8 (NET v2.0) - 3/29/2008
Copyright © 2003-2008 Yet Another Forum.net. All rights reserved.