Avatar
Erik Báča
Člen
Avatar
Erik Báča:

Ahoj mám takový problém. Nechtěně se mi do počítače dostal nejspíš nějaký malware jménem winnet32b. Kvůli tomu je výkon procesoru pořád téměř na 100% nevíte někdo co s tím?

Odpovědět  ±0 18.6.2015 16:41
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

Procesor na 100% a tipujem, že aj grafickú kartu máš na 100% - takže asi nejaký miner... Spusti AV kontrolu - odporúčam Malwarebytes Antimalware (https://www.malwarebytes.org) a keď to nenájde nič, tak napíš do témy

Editováno 18.6.2015 16:46
Nahoru Odpovědět 18.6.2015 16:46
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:

malwarebytes už jsem zkoušel ten nic nenašel

Nahoru Odpovědět  ±0 18.6.2015 16:50
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

Čo si v poslednej dobe sťahoval? Crack, patcher... ?

Nahoru Odpovědět 18.6.2015 17:03
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:

Nejspíš to bude z minecraftu stáhl jsem to z ulozto a jmenovalo se to minecraft 1.8.3
plná verze

Nahoru Odpovědět  -2 18.6.2015 17:07
Když mi dáš mínus, napiš proč!
Avatar
Odpovídá na Erik Báča
Michal Šmahel (ceskyDJ):

To asi bude, neboť na uloz.to je virů až moc (od "laskavých" uživatelů).

Nahoru Odpovědět  ±0 18.6.2015 17:16
Nejdůležitější je motivace, ovšem musí být doprovázena činy.
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

A odvtedy sa to prejavilo?

Nahoru Odpovědět 18.6.2015 17:24
...
Avatar
Erik Báča
Člen
Avatar
Erik Báča:

já bych to ani nezjistil, ale jak jsem stáhnul ten minecraft tak jsem extrahoval .rar soubor a když jsem to spouštěl tak to nic nedělalo tak jsem se koukl do správce úloh a našel jsem to.... jinak všechno jede tak jak má a nevypadá, že by to něčemu vadilo

Nahoru Odpovědět  -1 18.6.2015 17:27
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

keď pozrieš do správcu úloh... otvor umiestnenie súboru - kde sa ten súbor nachádza?

Nahoru Odpovědět 18.6.2015 17:28
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Adam Ježek:

Nenapadlo tě "winnet32b" napsat do googlu? Je to podle všeho malware, jak říkal nervo, zjisti si kde ten soubor je, pak ho ukonči a smaž.
A do volné dkiskuze to nepatří, hlavně že David sem přidal upozornění, abychom si prošli ostatní fóra (na které udělal nádhernou navigační lištu) a sem psali až pokud to nikam nepůjde
zdejší fórum o virech
snad to nějaký moderátor přesune

Editováno 18.6.2015 17:56
Nahoru Odpovědět  +1 18.6.2015 17:54
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:

C:\Users\PC11\Ap­pData\Roaming\Mi­crosoft\Networ­king

Nahoru Odpovědět 18.6.2015 18:13
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:

Že je tady nějaké forum a virech jsem nevěděl tak se omlouvám. Do googlu jsem to psal a zkoušel jsem několik věcí, ale nic nevyšlo. A za třetí jsem našel kde to je, ale smazat to nejde, protože když ukončím proces tak se to spustí dřív než to můžu smazat a za chodu to nesmažu... bohužel

Nahoru Odpovědět 18.6.2015 18:15
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:

Spust Windows v nouyov0m re6imu, to se spust9 jen ovlada4e neybztn0 pro szst0m a p;jde to smayat
//blbká anglická klávesnice :D
Spust Windows v nouzovym režimu, to se spustí jen ovladače nezbytné pro systém a půjde to smazat
A ještě mě napadlo, když to nepude, naběhnout do nějakýho live linuxu na USB a smazat to z něj

Editováno 18.6.2015 18:30
Nahoru Odpovědět  +1 18.6.2015 18:28
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

Vyskúšaj Lockhunter (http://lockhunter.com) na odstránenie toho súboru

Nahoru Odpovědět 18.6.2015 18:29
...
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:

A keď tá binárka dokáže rozoznať núdzový režim?

BootMode mode = SystemInformation.BootMode;

if (mode != BootMode.Normal)
{
    Application.Exit();
}
Nahoru Odpovědět 18.6.2015 18:33
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Člen
Adam Ježek:

pokud tomu kódu rozumim, tak se v nouzovym režimu nespustí, což potřebujeme, ne?

Nahoru Odpovědět  +1 18.6.2015 18:45
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:

JJ :) ak detekuje režim spustenia a ukončí sa tak je to dobre...

Nahoru Odpovědět 18.6.2015 18:49
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Člen
Adam Ježek:

Ale v nouzovym režimu se většina věcí co má nastaveno spouštět při startu ani nezapne, takže by to ani nemělo být třeba.

Ještě možná zkus projít složku pro spuštění a služby po spuštění (správce úloh > po spuštění), jestli tam neni něco divnýho

Nahoru Odpovědět 18.6.2015 18:58
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:

V nouzovém režimu jsem to trvale odstranil, ale po normální spuštění PC je to tu znovu (zkoušel jsem to 2x)

Nahoru Odpovědět 19.6.2015 13:23
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:

lock hunter to také nedokázal smazat :(

Nahoru Odpovědět 19.6.2015 13:24
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:

Takze tam bezi jeste neco, co to kontroluje a kdyz to zmizi, da to tam zpatky. Zacni hledat druhy divny proces. A nebo uloz textak jako winnet32b.exe, dej ho tam a nastav prava aby to nikdo nemoh prepsat, pokud se to povede, tak s tim virem sluse vyjebes :D

Nahoru Odpovědět  -1 19.6.2015 14:44
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Eldan
Člen
Avatar
Eldan:

Vypni všechny programy zapínající se po spuštění, které neznáš (třeba CCleaner http://piriform.com/ccleaner to umí dobře). Pak restartuj PC, a pokud se vir už nezapne (neměl by), tak prostě smaž jeho binárku. Pokud yb se zapl tak najdi jaký proces ho drží při životě a ukonči jeho strom, měl by se vypnout a pak už smazat půjde :)

Editováno 19.6.2015 15:05
Nahoru Odpovědět 19.6.2015 15:04
Unobfuscated executable == free source code
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Eldan
Adam Ježek:

Na to "všechny které neznáš" bych si dával pozor... Jé, hele, boot partition, to neznam, tak to smažu :D

Nahoru Odpovědět  +1 19.6.2015 15:41
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Martin Dráb
Redaktor
Avatar
Martin Dráb:

Co zkusit ten stroj zkontrolovat (třeba tím MalwareBytes, ale případně i něčím konvenčnějším) v nouzovém režimu?

Případně se dá přes Autoruns (www.sysinternals.com) získat dost slušný seznam toho, co se spouští. Ale platí tam hodně to, co píše Adam – bude tam spousta false positives. Na druhou stranu, pokud vidíš, že se má spustit aplikace, která je uložená kdesi v tvém profilu, a to navíc někde v Tempu/Roamingu/Lo­calLow, tak je podle mě 99 % pravděpodobnost, že tam nemá co dělat. Normální aplikace se totiž instalují do Program Files, neřekne-li uživatel jinak.

Nahoru Odpovědět 19.6.2015 15:50
2 + 2 = 5 for extremely large values of 2
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:

Bod obnovy systému?

Nahoru Odpovědět 19.6.2015 15:56
...
Avatar
Člen
Člen
Avatar
Člen:

Btw dobre som tipoval, že je to miner - https://www.herdprotect.com/…22c38af.aspx

Nahoru Odpovědět 19.6.2015 15:59
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:

A když by ti to nafotil a poslal koukl bys na to? :D je tam moc procesů a já se v tom vůbec nevyznám

Nahoru Odpovědět 19.6.2015 16:07
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:

Zkus sem hodit screeny, třeba si něčeho všimneme. Ale zkus si každej proces zadat do googlu, co se o něm píše

Nahoru Odpovědět 19.6.2015 16:09
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Erik Báča:

myslíte, že kdybych uvedl systém do továrního nastavení, že bych to tím smazal? zkusil bych to, ale nechci zbytečně mazat všechny svoje soubory, kdyby to nešlo

Nahoru Odpovědět 19.6.2015 16:10
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:

Určitě, tovární nastavení smaže všechno. Takže vir, ale i VŠECHNO OSTATNÍ

Akceptované řešení
+20 Zkušeností
+1 bodů
Řešení problému
Nahoru Odpovědět 19.6.2015 16:16
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:

Bežia u teba procesy:
conhost32.exe
conhost64.exe
inet32upd.exe

Editováno 19.6.2015 17:29
Nahoru Odpovědět 19.6.2015 17:28
...
Avatar
Člen
Člen
Avatar
Člen:

Stiahni si ešte ComboFix - http://www.bleepingcomputer.com/…ad/combofix/ a prekontroluj nim PC v núdzovom režime

Nahoru Odpovědět 19.6.2015 17:32
...
Avatar
vojtanosek
Člen
Avatar
vojtanosek:

Musím podotknout, že Combofix je na vlastní riziko a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

 
Nahoru Odpovědět  +1 19.6.2015 18:24
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na vojtanosek
Martin Dráb:

a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

Pokud myyslíš viry.cz, tak ano, tam to dost často tvrdí. A řekl bych, že mají pravdu. Před pár lety jsem se díval, jak ComboFix vypadá uvnitř a tehdy to bylo jen o málo víc než samorozbalovací archiv, jenž vybalí ůár utilit a množství .bat skriptů, které následně pospouští a něco se prostě stane.

Nahoru Odpovědět 19.6.2015 18:40
2 + 2 = 5 for extremely large values of 2
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:

Já vím, jen jsem se chtěl ujistit, že mi tam ten vir nezůstane. Uvedl jsem PC do továrního nastavení a vše je OK.

Nahoru Odpovědět 19.6.2015 20:34
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Adam Ježek:

A ještě prevence pro příště - občas si vytvářej bod obnovy, a pokud se něco stane, tak to obnovíš do jednoho z toho bodu, o data nepřídeš, jenom budeš muset znova doinstalovat to, co si instaloval od tý doby(což většinou moc neni).

Nahoru Odpovědět  +1 19.6.2015 20:35
Programátor dělá co může. Počítač co chce. | Pokud mi dáš mínus, tak prosim, napiš proč!
Avatar
Odpovídá na Člen
Jakub Kašjak:

Veľmi ti ďakujem, za riešenie problému s tým vírusom :-)

 
Nahoru Odpovědět 8.9.2015 20:43
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 38 zpráv z 38.