malware: GoogleEarthPro Portable, Aomei PEBuilder, WinPESE
Soubory z nadpisu mám v PC už delší dobu. Žádné problémy s nimi nebyly, W10 Defender si nestěžoval. Teď jsem spustil Emsisoft Emergency Kit a hlásí malware v GoogleEarthPro.exe a tb_free.exe (EaseUS). Spustil jsem BitDefener Rescue a hlásí také GoogleEarthPro.exe a ještě PEBuilder.exe a winpese-x64-14393_17.01.16.iso. Nejspíš je to falešný poplach. Máte s tím někdo zkušenosti?
Object '/run/media/livecd/DATA_D/SOFTWARE/DISK_TOOLS/AOMEI/PEBuilder.exe=>
(Instyler o)=>(Instyler Module 2382)'
is infected with 'Application.Hiderun.AJ'
Object '/run/media/livecd/DATA_D/SOFTWARE/PORTABLE_180722.zip=>
PORTABLE/GoogleEarthPro7.3.1.4507/Google Earth Pro.exe=>(AutoIT r)=>(AutoIT Script)=>(unicode)'
is infected with 'AIT:Trojan.Nymeria.859'
Object '/run/media/livecd/DATA_D/SOFTWARE/PORTABLE_180722.zip=>
PORTABLE/GoogleEarthPro7.3.1.4507/Google Earth Pro.exe=>(AutoIT Script)=>(unicode)'
is infected with 'AIT:Trojan.Nymeria.859'
Object '/run/media/livecd/DATA_D/SOFTWARE/winpese-x64-14393_17.01.16.iso=>
SOURCES/BOOT.WIM=>Program Files\ProduKey\ProduKey.exe'
is infected with 'Application.Agent.BSO'
Object '/run/media/livecd/DATA_D/SOFTWARE/winpese-x64-14393_17.01.16.iso=>
SOURCES/BOOT.WIM=>Windows\System32\hiderun.exe'
is infected with 'Application.Hiderun.AJ'
Object '/run/media/livecd/SYSTEM/PORTABLE/GoogleEarthPro7.3.1.4507/Google Earth Pro.exe=>
(AutoIT r)=>(AutoIT Script)=>(unicode)'
is infected with 'AIT:Trojan.Nymeria.859'
Object '/run/media/livecd/SYSTEM/PORTABLE/GoogleEarthPro7.3.1.4507/Google Earth Pro.exe=>
(AutoIT Script)=>(unicode)'
is infected with 'AIT:Trojan.Nymeria.859'
zkus vyhledat jejich hashe v databázích, případně se podívat, zda soubory jsou nezměněné (mají digit.podpis), případně jaký hash mají originály -)když znáš vezi
Falošný poplach. Emsisoft Emergency Kit je výborný free AV, len sa plaší.
napríklad súbor GoogleEarthPro.exe a spol. nie sú docela nevinné súbory, lebo sa sporadicky hlásia na spriatelené servery. Nikto nevie z akého dôvodu, čo komu a kde v svojej horlivosti oznamujú.
Tieto "podprahové" pripájania tichošlápkov cestou portov (nemusia byť v Plánovači úloh ani zapísané v Registroch) je ideálne zistiť nejakým vhodným doplnkom pre Firewall nastavený v interaktívnom režime, aby ťa v bubline na monitore upozornil kam a kde sa ktorýkoľvek šmejd mimo telemetrických súborov či WU OS W10, pripája. Dajú sa pripojenia odsledovať manuálne nejakým vhodným SW pre kontrolu tokov in/out, lenže nastane problém, že nemusíš v tej rýchlosti spojenia a bleskového odpojenia zachytiť tok paketov v tom ktorom riadku. Niekedy sú to mžiky, fofry, bliknutia že ani oko očité jastraba nesíha. A, je to tam vyfičané.
Emsisoft Emergency Kit je dôsledný, upozorňuje takmer na všetky "nekalé" záležitosti tých skompilovaných súborov, ktoré nemá zakomponované v databáze vývojármi. Od toho si tu, tvor mysliaci s vlastným vedomím, aby si veci zistil, vyňal z detekcie alebo súbory vložil do karantény.
Google Earth Pro.exe má ve vlastnostech Podpis: Google Earth Pro.
Ten EEK jsem už jsem před časem spouštěl, takže to spíš je změnou signatur než změnou souboru.
když se antivir domnívá, že jsou zničehonic zavirované soubory uvnitř zipu nebo iso, jde o jasný falešný poplach tvůrců "antiviru", kteří potřebují vykazovat činnost.
pokud ti to vadí, vyextrahované exe jim pošli, že si je můžou zkontrolovat na virustotal :)
jinak začni používat méně falešnou a prázdnou atrapu antiviru.
druhá možnost je nestahovat pochybný obsah a pak nemusíš dokola kontrolovat disk.
když není malware v ramce a nejde o divný obsah stažený z divných zdrojů, těžko pak budou nakažené soubory jen tak ležící na disku, se kterými se nemanipuluje.
mimo dotaz:
z podobných "hledačů všeho" dávám přednost boot cd, které mají jednodušší život a nemívají tolik falešných poplachů. na druhou stranu člověk přijde o výhodu běhu na pozadí, musí přerušit vlastní práci.
vím že jsou ti takové věci jasné. na odhalení falešné práce virohledače stačí první věta.