VIRY.CZ

Dobrý den, dnes mi na facebooku došla podezřelá zpráva s přílohou Pic_00222.zip. Řekl jsem si, že je to jen archiv, tak se pomocí WinRARu podívám, co je vevnitř, byl tam soubor Pic_00222.jar. Neodolal jsem zvědavosti a chtěl jsem se podívat na ten soubor blíže, ze zkušenosti jsem se domníval, že když ve WinRARu dám otevřít .jar, tak jej to otevře jako archiv, ale to byla zásadní chyba. Spustilo mi jej to, obrovská chyba z mé strany, tak jsem okamžitě vypnul JVM a potom už opatrně dekompiloval ten soubor a podíval se co to teda vlastně dělá. Zjistil jsem, že to stahuje nějaký soubor z dropboxu, ale nenašel jsem v kódu, jak to ten stažený, nejspíše vir, spouští. Tak jsem si přestal nalhávat, že to vyřeším sám a stáhnul jsem si Online Scanner od ESETu. To mi za hodinku projelo PC a našlo to tam 4x trojana Win32/Injector.BEIE, odstranilo ho to, tak jsem doufal, že to bude dobré, ale pro jistotu jsem jej zapnul znova. A znova to našlo stejný vir, ale skrytý zase pod jiným souborem.
Byla by prosím nějaká rada, jak postupovat? Pokud máte zájem můžu sem dát i kód té Java části viru. Log ještě dodám, ale později, jak dojede ten test antivirem.

Zdravím!
Zkuste tento postup: http://forum.viry.cz/viewtopic.php?f=13&t=130786 .

Tak a ještě mi to v paměti našlo nějaký CoinMiner.KX no a tady je ten log: https://dl.dropboxusercontent.com/u/30726649/log.txt celý se sem do zprávy nevešel.
Děkuji

Je toho tam požehnaně. Spusťte nejprve tuto utilitu:

Stáhněte AdwCleaner http://general-changelog-team.fr/fr/dow ... adwcleaner
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan< a pak na >Clean<.
Proběhne skenováni a pak se objeví log, který sem vložte.

Dobrý den, sice s mírným zpožděním, ale stejně sem dávám ten log. Program se tvářil, jako nic zásadního nenašel, ale snad to nějak pomůže.

Dejte nový log RSIT.

Opět se sem RSIT log nevejde, tak jej naleznete zde: https://dl.dropboxusercontent.com/u/30726649/rsit2.txt

Stáhněte OTM: http://oldtimer.geekstogo.com/OTM.exe a uložte na plochu. Spusťte a do levého okna zkopírujte:

:files
C:\Program Files (x86)\Microsoft\BingBar
C:\Windows\tasks\GoogleUpdateTaskMachineCore.job
C:\Windows\tasks\GoogleUpdateTaskMachineUA.job

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2ce3e00-f94a-4740-988e-03dc2f38c34f}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
[-HKEY_LOCAL_MACHINE\SOFTWARE\wow6432node\Microsoft\Internet Explorer\Toolbar]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA"=-
"svchost"=-
[HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-

:commands
[Purity]
[Emptytemp]
[Emptyflash]

a klikněte na >MoveIt!<. Po skenu restartujte PC a dejte nový log RSIT.

Prosím, zde jest https://dl.dropboxusercontent.com/u/30726649/rsit3.txt

Smazáno. Znovu spusťte OTM a klikněte na >CleanUp!<. OTM po sobě uklidí. Nakonec restartujte PC. Nastala nějaká změna?

Tak nevím, co bych měl pozorovat za změnu. Nic viditelného se tam nekonalo, ale jelikož to něco smazalo, tak předpokládám, že PC by už měl být čistý ne?
Děkuji

Ano, PC je čistý. Jelikož jste oznámil, že v něm máte vir Injector.BEIE, jinak byste o něm nevěděl. Předpokládám, že se nějak projevoval. Jde mi o to, zda eventuální projev zmizel.

Projev byl ten, že mi jej našel antivirus, tvrdil, že jej odstranil a při dalším scanu, jej našel znova, ale nyní už tam není. Děkuji.

Rádo se stalo!