Trojan: Wacatac.B!ml
Zdravím,
právě se mi stala taková nepěkná věc - z ruského webu jsem si stáhl soubor (ale neotevřel) s příponou .rar, na který okamžitě zareagoval Windows Defender, avšak s hrozbou si zřejmě nedokázal poradit - viz obrázek v příloze.
Neprodleně jsem spustil úplnou kontrolu systému a Defender odhalil akorát další Trojan (Wacapew.C!ml), který však s tímto neměl nic společného (usuzuji na základě jeho umístění). Následně jsem nainstaloval Malwarebytes, který odhalil další dvě hrozby, z nichž jedna s tímto také nesouvisela a o druhé to s jistotou říct nemohu - jednalo se o soubor:
C:\USERS\ADMIN\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\TASKRUN.VBS
Pro jistotu jsem následně Windows zkontroloval programem Microsoft Safety Scanner, který již žádnou hrozbu nenalezl.
Avšak v programu Autoruns jsem nyní zjistil, že některé soubory v systémových složkách postrádají digitální podpis (viz obrázek v příloze) - není to podezřelé?
Měl bych Windows zkontrolovat ještě pomocí nějakého programu, abych vyloučil přítomnost této hrozby, kterou Defender vyhodnotil jako vážnou? Děkuji.
nemá cenu řešit jednotlivé dll, od čeho pocházejí.
stáhni si .iso antivirového boot cd, pokud neumíš vypalovat tak u výrobce dohledej postup pro výrobu boot flashky, v biosu nastav boot z tohoto média a oskenuj disk.
https://free.drweb.com/aid_admin/
https://support.kaspersky.com/viruses/krd18
Tie fialové položky pod Autoruns si nevšímaj, sú legitímne.
Pod Defender odstráň, zmaž z karantény hrozby, aby na teba furt nevyskakovali.
Defender ti bohate stačí na ochranu pred malicious, je kvalitnejší než konkurencia.
(Rozšír Defender na kontrolu siete pod PowerShell príkazom;
Set-MpPreference -PUAProtection enable)
Odporučím: Portable Emisoft Kit, neinštaluje sa do systému, môžeš ho mať rozbalený na USB fleške, externom disku, druhom logickom oddiele:
https://www.emsisoft.com/en/home/emergencykit/
s nastavením pred kontrolou do priameho prístupu k metadátam na disku, do RAM, rootkit, email.
Má vlastnú databázu pravidelne aktualizovanú (musíš ju stiahnuť) pred skenovaním.
Ešte nič lepšie na trhu nevymysleli okrem AV typu Sysrescue s kontrolou pod RAM, nabútovaním mašiny.
Nejsem sice úplně virový specialista, ale nic závadného tam, nevidím....
Stažením souboru sis nic nezaviroval. A jak jsi přišel na to, že ty DLL knihovny jsou vir? Podle mě ne, viz. např.
https://social.technet.microsoft.com/Forums/en-US/67f0f959-2dea-4342-8558-2a5c456f4a48/red-entries-in-knowndlls?forum=autoruns
jen nemají digipodpis, ale to je ve windows celkem běžné.
může to porovnat s jiným pc.
Přesně ty dll mám v autoruns taky ty jsou v pohodě. https://ibb.co/HxcWWZh
K výsledku Defenderu: To "Aplikace zablokovaná" znamená, že Defender detekoval v otevřeném RARu škodnou, ale protože to bylo v RAR, tak s tím nemohl nic udělat a označil to jako "Problém nedořešen", ale po zavření archivátoru to asi šoupl do karantény. Když scroluješ v tom výsledku (ze screenu 1) dolů, jsou tam možnosti, co se s tím dá udělat.
Tyhle "hrozby" Defender rád hlásí u různých trainerů či cracků ke hrám (relevanci musíš posoudit sám).