Zjištěná hrozba: Trojan:JS/CoinHive.A

z uložto.cz

dosť pravdepodobné že škodná je z tade...

ostatne u Chromu je možné že i bez tvojho vedomia skryte nainštalovali škodlivý doplnok do prohlížeče.

tak to je naprd páč utrácet za dvd v budoucnu neplanuji a streamovací služba s velkou knihovnou ve full CZ zatím v nedohlednu

zpátky k těm souborům v přiloze... ty cache bych mel hodit do karanteny nebo je to bezpečný smazat?

To je přece jedno. Jestli je chceš pozorovat, dej je do karantény a navštěvuj je.

Javascript se obvykle nachází na webových stránkách. Použitelnost dnešního javascriptu je už docela širokosáhlá. Například se dá použít jako šachový motor k analýze šachů nebo hraní proti takovéhu šachovému motoru a obojí přímo v prohlížeči. Toho už dávno využívají i populární šachové weby. Podobné složité javascripty sice nijak za normálních okolností neohrozí pc, ale omezené javascriptové možnosti se dají využít i tak k něčemu výnosnému a tím je například těžba kryptoměn. Stačí navštívit nějaký web, mít špatně nastavený blokovač a už jseš nechtěný těžař...(pro méně znalé raději doplním, že pouze běhěm zobrazení webové stránky s takovým js skriptem). Netuším jestli k té složce má přístup i Chrome, pokud ano tak jedna z možností je, že neumíš správně používat blokovač. Pokud ne, tak jsi musel použít nějaký jiný prohlížeč, třeba IE, případně jádro IE bylo využito v nějakém programu.
Z filmu z ulož to to být nemohlo. Ale z ulož to to být teoreticky mohlo, pokud tam měli třeba nějakou reklamu s coinhive a ty sis ji zobrazil již popsaným způsobem (prohlížeč, který zapisuje do toho souboru, případně jsi použil jádro IE v nějakém programu a byla zobrazena webová stránka s js).

Například se dá použít jako šachový motor k analýze šachů nebo hraní proti takovéhu šachovému motoru a obojí přímo v prohlížeči. Toho už dávno využívají i populární šachové weby.

hovoríme o lichess.org a stockfish10+ vo WASMX?

(pro méně znalé raději doplním, že pouze běhěm zobrazení webové stránky s takovým js skriptem)

nesúhlasím, umí to bežať dokonca i když zavrieš chrome...

Z filmu z ulož to to být nemohlo.

Proč ne? Podľa mňa mohlo.

Ano, hovořím třeba o lichess. Díval jsem se tam naposled před pár měsíci a ten js tam byl, netuším ale jak a jestli to zrovna tam mají i dnes, pitvat to zas nebudu. Já používám (umím i uci protokol) hlavně normální exe stockfish, třeba ve svém chessbotu nebo v areně.
Jak může jet javascript spuštěný v chrome, když chrome zavřeš? Nějak nechápu. Je sice pravda, že používám firefox, ale nějak se mi to nezdá i u chrome, nějaký příklad by nebyl?
Ukaž nějaký příklad filmu, ze kterého se aplikuje coin js.

Jak může jet javascript spuštěný v chrome, když chrome zavřeš? Nějak nechápu. Je sice pravda, že používám firefox, ale nějak se mi to nezdá i u chrome, nějaký příklad by nebyl?

Vo Firefoxu taktéž... Chápat to nemusíš, ale to že zavrieš okno, neznamená že nezostane bežať žiadny proces toho prehliadača. Ono na takomto princípe funguje aj samotný web duo.google.com kde by ti laptop nezačal vydávať že ti niekto zvoní, i když máš prehliadač vypnutý. Najmä když sa naučíš niečo o service-workeroch, background sync api a pár ďalších vecí (nejaké špeciálne udalosti)

Todle to co uvádíš je myslím js doplněk do prohlížeče a ten se musí v prohlížeči povolit, ten já nekomentoval, tam netuším jaké jsou možnosti práce s prohlížečem, dřív byly myslím hodně velké, teď omezené, ale přesto větší než pouhé js na webové stránce. Já ale komentoval normální js na webové stránce jako je myslím stockfish js nebo CoinHive.

není to žádnej doplnek. Taky hovorím o normálnom JS.

Dokonca v Chrome je i nastavenie, kde sa to dá vypnúť. Predvolene je to zapnuté.

Neuvěřím dokud mi neukážeš příklad. Takže mi tu ukaž ukázku toho, že bude na webové stránce js, který bude v intervalu přistupovat na nějaký další soubor na webu třeba tmp.txt. A přistupovat tam bude v intervalech i po tom, co zavřeš to okno s tou webovou stránkou. Tím netrdím, že to nejde, jen mi to přijde trošku ujeté.
A zajímat se o to, co jsi psal, nebudu, protože mě to nezajímá. Když jsi takový expert tak nevíš jak přistupovat k webové stránce prohlížeče z venku bez instalace čehokoliv a jednoduše stejně jako se přistupuje v IE:
https://www.autoitscript.com/autoit3/docs/libfunctions/_IEDocReadHTML.htm
mám chessbot, ale mám ho jen na IE tímto způsobem. Našel jsem akorát složité možnosti přes websockets nebo WebDriver.

Neuvěřím dokud mi neukážeš příklad.

Príkladov je na Internete tucet. https://jakearchibald-gcm.appspot.com/ napríklad,... vyžiada to ale prihlásenie do Googlu (ale u iných príkladov to nie je nutnosť). Vyskúšaj v Chrome. Nevím či tento konkrétny funguje aj vo Firefoxe.

Viď video: https://www.youtube.com/watch?v=l4e_LFozK2k

Že to na mobile otvára z ikony cez plochu nič neznamená, je to štandardná webstránka, len ju pridal na plochu skrz A2HS, i v mobile to môžeš otvoriť klasicky len v prehliadači chrome, bude to fungovať stejne.

A to nehovoriac o tom že Chrome povolí na pozadí aj nainštalovať doplnok, ktorý pak má ešte vätšie možnosti, a to úplne bez vedomosti a povolenia zo strany uživateľa. A takýto doplnok sa dokáže aj skryť tak že v správci doplnkov nebude vyditelný.

tak ja som sa do toho skrz Google prihlásil a teraz sa neviem odhlásiť... sakra, síce by ma to po 30 dňoch odhlásilo, ale chcem sa odhlásiť teraz. Odkaz v DOMu na odhlásenie odhlási až z prehliadača ( https://jakearchibald-gcm.appspot.com/_ah/logout?continue=https://accounts.google.com/Logout%3Fcontinue%3Dhttps://appengine.google.com/_ah/logout%253Fcontinue%253Dhttps://google.com/url%25253Fsa%25253DD%252526q%25253Dhttps://jakearchibald-gcm.appspot.com/%252526ust%25253D1562440854519289%252526usg%25253DAFQjCNGjBVNSWOdw8BauzIpLENW7JGhXJQ%26service%3Dah má to zaujímavé parametre continue), ale když sa prihlásim do prehliadača, som prihlásený aj na tej stránke.... ďalšie prekvapenie čo som našiel... síce viem že stránka je safe, ale toto je jaksi taky divné chovanie. V Google správy prihlásení 3rd službami ten web vôbec nieje zobrazený.

Já to rači vůbec zkoušet nebudu Jsem si přečetl články a stejně nechápu jak to funguje. A ty ukázky jsou na Android, nemá náhodou google v androidu něco na to, aby se to tak chovalo? Ale ono to je asi jedno, já to dál řešit nebudu, jdu se rači věnovat něčemu, co jsem schopný pochopit

Funguje to i v desktopovom Chrome úplne rovnako.

league of legends mi párkrát otevřelo IE to je fakt. co se reklam týče tak i přes aktivní adblock se některé reklamní bannery zobrazí ale na tyhle blbosti neklikám a oznámení blokuji
co jsem mohl podělat v blokovači?

PS: pro upřesnění z ulozto sem tam stahuji, ne že bych si přímo pouštěl jejich videa v prohlížeči

Nemusí to zrovna otevřít IE, může být v nějakém programu prvek, který prostě má něco jako prohlížeč s jádrem IE, např. tím myslím třeba toto (je to autoit script):

#include <IE.au3>
Local $oIE = _IECreateEmbedded()
GUICreate("Prohlížeč", 1024, 680)
GUICtrlCreateObj($oIE, 0, 0, 1024, 680)
GUISetState(@SW_SHOW)
_IENavigate($oIE, "http://seznam.cz/")
While 1
    If GUIGetMsg() = -3 Then ExitLoop
WEnd
GUIDelete()

Já nemyslel pouštět videa v prohlížeči.

tak opravdu nevím co jsem posral... PC mam od dubna minulého roku a tohle je poprvé co defender něco našel, moje aktivita je ale pořád v podstatě stejná

Todle to neřeš, tím, že někde máš nějaký zápis CoinHive, na místě, ke kterému má přístup prohlížeč, bezpečnost tvého pc nijak neutrpěla. Maximálně jsi mohl chvíli těžit coin a mít vytížený cpu, jestli vůbec. Jako neřeš myslím tím tady ten následek, který chceš řešit. Kdybych byl já tebou, tak bych se snažil tak akorát zjistit na jakém webu ten js byl a pokud se na to nepřijde, nic se neděje.

šel jsem si stahnout ještě malwarebytes, a ten našel Adware.G00 (viz přiloha) tak jsem se toho taky zbavil
doufám že je to vše, bohužel nemám páru kde jsem to mohl chytit, možná bych měl zkusit jiný blokovač než adblock ?
každopádně děkuju za čas který si mi věnoval

No já myslím, že i toto nebylo nic hrozného.
Já adblock nepoužívám, používám ublock origin. Ale ono je to vesměs podobné, ono pak záleží i na nastavení.

musim priznat ze v nastavení adblocku jsem se nehrabal, takhle vypadá současné nastavení

Já myslel spíš třeba uživatelská pravidla, globální nastavení a lokální pro jednotlivé domény a podobně. Člověk pak může například zablokovat všechen js a povolovat jen konkrétní pro konkrétní domény. Nebo si může i pohrát s uMatrixem, což je doplněk od stejného autora jako je ublock origin.

Nainštaluj pre FF od Mozilla doplnok uBlock Origin v1.20.0 do ktorého o.i. manuálnych nastavení fajkami v štvorčekoch nacpi tie najdôležitejšie blokátory z tejto stránky: https://filterlists.com/

Defender v Powershell rozšír o kontrolu Crapware príkazom: Set-MpPreference -PUAProtection 1

Zablokuj JS: https://kb.iu.edu/d/bcyv

Zastav Windows Script Host priamo v Registroch;

https://labsblog.f-secure.com/2016/04/19/how-to-disable-windows-script-host/

https://www.tenforums.com/performance-maintenance/92329-how-disable-windows-script-host.html

Důvod proč vypínat globálně js v prohlížeči a windows script v registrech? Mně to přijde jako nesmysl