Trojan

[Rudy]

Zkuste je odmazat, nebo přesunout do karantény.

[benik3]

NOD32 to automaticky hází do karantény.
Zkusil jsem je pro jistotu smazat úplně...

[Rudy]

OK. Nyní bude třeba sledovat, zda se znovu neobnoví.

[benik3]

Tak stále se to objevuje. Včera večer zase asi 3x
já snad budu muset opravdu reinstalovat ten windows

[Rudy]

Nechodíte náhodou do nějakých "temných zákoutí" internetu, odkud si to nevědomky stahujete. Nějak se mi nezdá, že vám to stále hlásí trojáka a žádný skener při tom nic nejde? Tohle se nám tu ještě nestalo.

[benik3]

Nope. Od tý doby jsem na žádných stránkách kde by se to mohlo vyskytnout nebyl. Klasika jenom FB, různý fóra apod.
Navíc se to stává náhodně, nezávisle na netu a kdyby to bylo z netu, NOD by blokoval přímo URL, ten soubor by se nestačil vůbec stáhnout... Zajímavý je, že se to objevuje většinou večer

Jediný co mi ještě blokuje jsou URL na reklamy v uTorrentu. Ale to dělal i předtím, pokud vím.

[Rudy]

Tak z torrentu jste si to mohl stáhnout také (podle toho, co jste přes torrentového klienta stahoval). Torrenty tu nevidíme rádi.

[benik3]

Ten soubor jako takový z torrentu mam dojem byl. Vím přesně z čeho jsem to pravděpodobně chytil, ale ten soubor jsem samozřejmě v zápětí komplet smazal a teď už to asi nedohledam znovu.

Chovalo se to jako instalátor, ale samotný to jako virus detekovaný nebylo...

[Rudy]

Tak když je instalátor smazán, stačí smazat to, co nainstaloval a je to vyřešené, ne? Mně jen není jastrné, proč 3 skenery nic nechytily. Ještě můžeme zkusit Junkware remnoval tool:

Kód: Vybrat vše

 Stahnete Junkware Removal Tool http://thisisudax.org/downloads/JRT.exe

    Ulozte nejlepe na plochu
    Po spusteni se zobrazi licencni podminky, stisknete libovolnou klavesu
    Probehne vytvoreni zalohy a nasledne prohledavani
    Probehne skenovani a pak se objevi log, pripadne bude ulozen v c:\JRT jako JRT.txt, ten sem vlozte

[benik3]

Problém je, že ten instalátor zahlásil chybu. Něco ve smyslu, že je soubor poškozen a instalace se ukončila.
Takže v systému nic jakoby nainstalovaného neni, ale evidentně to něco někam zkopírovalo...

JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.3.9 (11.15.2014:2)
OS: Windows 8.1 Pro x64
Ran by Daniel on po 17. 11. 2014 at 20:04:14,65
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values



~~~ Registry Keys



~~~ Files



~~~ Folders

Successfully deleted: [Folder] "C:\Windows\syswow64\ai_recyclebin"



~~~ FireFox

Emptied folder: C:\Users\Daniel\AppData\Roaming\mozilla\firefox\profiles\yq10t3zb.default\minidumps [14 files]



~~~ Event Viewer Logs were cleared





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on po 17. 11. 2014 at 20:07:20,58
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

[Rudy]

Něco bylo smazáno. Nastala změna?

[benik3]

No v průběhu mazání se zrovna objevil
Tak uvidím teď. Vyskytuje se to náhodně a s poměrně dlouhým intervalem (půl dne až den)

[benik3]

Nový objev!
Když shodim a znova spustim explorer.exe, jeden z virů se objeví
C:\ProgramData\Microsoft\Secure\Icons\IconsCacheHelper.dll varianta infiltrace Win64/Sathurbot.A trojský kůň vyléčen smazáním - uložen do karantény DANY-NB\Daniel Tato skutečnost byla zjištěna na nově vytvořeném souboru aplikací: C:\Windows\explorer.exe.

A koukam, že i ty ostatní většinou byly vytvořený samotným explorerem...

[Rudy]

OK. Ponechte to, jak to je a dejte znovu log ComboFix.

[benik3]

ComboFix přeci neběží pod windows 8.1