Diskuze: winnet32b

Erik Báča

Člen

Erik Báča:18.6.2015 16:41

Ahoj mám takový problém. Nechtěně se mi do počítače dostal nejspíš nějaký malware jménem winnet32b. Kvůli tomu je výkon procesoru pořád téměř na 100% nevíte někdo co s tím?

Odpovědět

18.6.2015 16:41

Když mi dáš mínus, napiš proč!

Člen

Člen

Člen:18.6.2015 16:46

Procesor na 100% a tipujem, že aj grafickú kartu máš na 100% - takže asi nejaký miner... Spusti AV kontrolu - odporúčam Malwarebytes Antimalware (https://www.malwarebytes.org) a keď to nenájde nič, tak napíš do témy

Editováno 18.6.2015 16:46

Nahoru Odpovědět

18.6.2015 16:46

...

Erik Báča

Člen

Erik Báča:18.6.2015 16:50

malwarebytes už jsem zkoušel ten nic nenašel

Nahoru Odpovědět

18.6.2015 16:50

Když mi dáš mínus, napiš proč!

Člen

Člen

Člen:18.6.2015 17:03

Čo si v poslednej dobe sťahoval? Crack, patcher... ?

Nahoru Odpovědět

18.6.2015 17:03

...

Erik Báča

Člen

Erik Báča:18.6.2015 17:07

Nejspíš to bude z minecraftu stáhl jsem to z ulozto a jmenovalo se to minecraft 1.8.3
plná verze

Nahoru Odpovědět

18.6.2015 17:07

Když mi dáš mínus, napiš proč!

Michal Šmahel

Člen

Michal Šmahel:18.6.2015 17:16

To asi bude, neboť na uloz.to je virů až moc (od "laskavých" uživatelů).

Nahoru Odpovědět

18.6.2015 17:16

Nejdůležitější je motivace, ovšem musí být doprovázena činy.

Člen

Člen

Člen:18.6.2015 17:24

A odvtedy sa to prejavilo?

Nahoru Odpovědět

18.6.2015 17:24

...

Erik Báča

Člen

Erik Báča:18.6.2015 17:27

já bych to ani nezjistil, ale jak jsem stáhnul ten minecraft tak jsem extrahoval .rar soubor a když jsem to spouštěl tak to nic nedělalo tak jsem se koukl do správce úloh a našel jsem to.... jinak všechno jede tak jak má a nevypadá, že by to něčemu vadilo

Nahoru Odpovědět

18.6.2015 17:27

Když mi dáš mínus, napiš proč!

Člen

Člen

Člen:18.6.2015 17:28

keď pozrieš do správcu úloh... otvor umiestnenie súboru - kde sa ten súbor nachádza?

Nahoru Odpovědět

18.6.2015 17:28

...

Adam Ježek

Tvůrce

Adam Ježek:18.6.2015 17:54

Nenapadlo tě "winnet32b" napsat do googlu? Je to podle všeho malware, jak říkal nervo, zjisti si kde ten soubor je, pak ho ukonči a smaž.
A do volné dkiskuze to nepatří, hlavně že David sem přidal upozornění, abychom si prošli ostatní fóra (na které udělal nádhernou navigační lištu) a sem psali až pokud to nikam nepůjde
<a href="http://www.itnetwork.cz/software/diskuzni-forum-viry-bezpecnost-antiviry">zdejší fórum o virech</a>
snad to nějaký moderátor přesune

Editováno 18.6.2015 17:56

Nahoru Odpovědět

18.6.2015 17:54

Počkej chvíli, poradím se s křišťálovou koulí.

Erik Báča

Člen

Erik Báča:18.6.2015 18:13

C:\Users\PC11\AppData\Roaming\Microsoft\Networking

Nahoru Odpovědět

18.6.2015 18:13

Když mi dáš mínus, napiš proč!

Erik Báča

Člen

Erik Báča:18.6.2015 18:15

Že je tady nějaké forum a virech jsem nevěděl tak se omlouvám. Do googlu jsem to psal a zkoušel jsem několik věcí, ale nic nevyšlo. A za třetí jsem našel kde to je, ale smazat to nejde, protože když ukončím proces tak se to spustí dřív než to můžu smazat a za chodu to nesmažu... bohužel

Nahoru Odpovědět

18.6.2015 18:15

Když mi dáš mínus, napiš proč!

Adam Ježek

Tvůrce

Adam Ježek:18.6.2015 18:28

Spust Windows v nouyov0m re6imu, to se spust9 jen ovlada4e neybztn0 pro szst0m a p;jde to smayat
//blbká anglická klávesnice
Spust Windows v nouzovym režimu, to se spustí jen ovladače nezbytné pro systém a půjde to smazat
A ještě mě napadlo, když to nepude, naběhnout do nějakýho live linuxu na USB a smazat to z něj

Editováno 18.6.2015 18:30

Nahoru Odpovědět

18.6.2015 18:28

Počkej chvíli, poradím se s křišťálovou koulí.

Člen

Člen

Člen:18.6.2015 18:29

Vyskúšaj Lockhunter (http://lockhunter.com) na odstránenie toho súboru

Nahoru Odpovědět

18.6.2015 18:29

...

Člen

Člen

Člen:18.6.2015 18:33

A keď tá binárka dokáže rozoznať núdzový režim?

BootMode mode = SystemInformation.BootMode;

if (mode != BootMode.Normal)
{
    Application.Exit();
}

Nahoru Odpovědět

18.6.2015 18:33

...

Adam Ježek

Tvůrce

Adam Ježek:18.6.2015 18:45

pokud tomu kódu rozumim, tak se v nouzovym režimu nespustí, což potřebujeme, ne?

Nahoru Odpovědět

18.6.2015 18:45

Počkej chvíli, poradím se s křišťálovou koulí.

Člen

Člen

Člen:18.6.2015 18:49

JJ ak detekuje režim spustenia a ukončí sa tak je to dobre...

Nahoru Odpovědět

18.6.2015 18:49

...

Adam Ježek

Tvůrce

Adam Ježek:18.6.2015 18:58

Ale v nouzovym režimu se většina věcí co má nastaveno spouštět při startu ani nezapne, takže by to ani nemělo být třeba.

Ještě možná zkus projít složku pro spuštění a služby po spuštění (správce úloh > po spuštění), jestli tam neni něco divnýho

Nahoru Odpovědět

18.6.2015 18:58

Počkej chvíli, poradím se s křišťálovou koulí.

Erik Báča

Člen

Erik Báča:19.6.2015 13:23

V nouzovém režimu jsem to trvale odstranil, ale po normální spuštění PC je to tu znovu (zkoušel jsem to 2x)

Nahoru Odpovědět

19.6.2015 13:23

Když mi dáš mínus, napiš proč!

Erik Báča

Člen

Erik Báča:19.6.2015 13:24

lock hunter to také nedokázal smazat

Nahoru Odpovědět

19.6.2015 13:24

Když mi dáš mínus, napiš proč!

Adam Ježek

Tvůrce

Adam Ježek:19.6.2015 14:44

Takze tam bezi jeste neco, co to kontroluje a kdyz to zmizi, da to tam zpatky. Zacni hledat druhy divny proces. A nebo uloz textak jako winnet32b.exe, dej ho tam a nastav prava aby to nikdo nemoh prepsat, pokud se to povede, tak s tim virem sluse vyjebes

Nahoru Odpovědět

19.6.2015 14:44

Počkej chvíli, poradím se s křišťálovou koulí.

Eldan

Člen

Eldan:19.6.2015 15:04

Vypni všechny programy zapínající se po spuštění, které neznáš (třeba CCleaner http://piriform.com/ccleaner to umí dobře). Pak restartuj PC, a pokud se vir už nezapne (neměl by), tak prostě smaž jeho binárku. Pokud yb se zapl tak najdi jaký proces ho drží při životě a ukonči jeho strom, měl by se vypnout a pak už smazat půjde

Editováno 19.6.2015 15:05

Nahoru Odpovědět

19.6.2015 15:04

Unobfuscated executable == free source code

Adam Ježek

Tvůrce

Adam Ježek:19.6.2015 15:41

Na to "všechny které neznáš" bych si dával pozor... Jé, hele, boot partition, to neznam, tak to smažu

Nahoru Odpovědět

19.6.2015 15:41

Počkej chvíli, poradím se s křišťálovou koulí.

Martin Dráb

Tvůrce

Martin Dráb:19.6.2015 15:50

Co zkusit ten stroj zkontrolovat (třeba tím MalwareBytes, ale případně i něčím konvenčnějším) v nouzovém režimu?

Případně se dá přes Autoruns (www.sysinternals.com) získat dost slušný seznam toho, co se spouští. Ale platí tam hodně to, co píše Adam – bude tam spousta false positives. Na druhou stranu, pokud vidíš, že se má spustit aplikace, která je uložená kdesi v tvém profilu, a to navíc někde v Tempu/Roamingu/LocalLow, tak je podle mě 99 % pravděpodobnost, že tam nemá co dělat. Normální aplikace se totiž instalují do Program Files, neřekne-li uživatel jinak.

Nahoru Odpovědět

19.6.2015 15:50

2 + 2 = 5 for extremely large values of 2

Člen

Člen

Člen:19.6.2015 15:56

Bod obnovy systému?

Nahoru Odpovědět

19.6.2015 15:56

...

Člen

Člen

Člen:19.6.2015 15:59

Btw dobre som tipoval, že je to miner - https://www.herdprotect.com/…22c38af.aspx

Nahoru Odpovědět

19.6.2015 15:59

...

Erik Báča

Člen

Erik Báča:19.6.2015 16:07

A když by ti to nafotil a poslal koukl bys na to? je tam moc procesů a já se v tom vůbec nevyznám

Nahoru Odpovědět

19.6.2015 16:07

Když mi dáš mínus, napiš proč!

Adam Ježek

Tvůrce

Adam Ježek:19.6.2015 16:09

Zkus sem hodit screeny, třeba si něčeho všimneme. Ale zkus si každej proces zadat do googlu, co se o něm píše

Nahoru Odpovědět

19.6.2015 16:09

Počkej chvíli, poradím se s křišťálovou koulí.

Erik Báča

Člen

Erik Báča:19.6.2015 16:10

myslíte, že kdybych uvedl systém do továrního nastavení, že bych to tím smazal? zkusil bych to, ale nechci zbytečně mazat všechny svoje soubory, kdyby to nešlo

Nahoru Odpovědět

19.6.2015 16:10

Když mi dáš mínus, napiš proč!

Adam Ježek

Tvůrce

Adam Ježek:19.6.2015 16:16

Určitě, tovární nastavení smaže všechno. Takže vir, ale i VŠECHNO OSTATNÍ

Akceptované řešení
+20 Zkušeností
+2,50 Kč

Nahoru Odpovědět

19.6.2015 16:16

Počkej chvíli, poradím se s křišťálovou koulí.

Člen

Člen

Člen:19.6.2015 17:24

Vyskúšaj ešte herdProtect - https://www.herdprotect.com/downloads.aspx

Nahoru Odpovědět

19.6.2015 17:24

...

Člen

Člen

Člen:19.6.2015 17:28

Bežia u teba procesy:
conhost32.exe
conhost64.exe
inet32upd.exe

Editováno 19.6.2015 17:29

Nahoru Odpovědět

19.6.2015 17:28

...

Člen

Člen

Člen:19.6.2015 17:32

Stiahni si ešte ComboFix - http://www.bleepingcomputer.com/…ad/combofix/ a prekontroluj nim PC v núdzovom režime

Nahoru Odpovědět

19.6.2015 17:32

...

vojtanosek

Člen

vojtanosek:19.6.2015 18:24

Musím podotknout, že Combofix je na vlastní riziko a je s ním nutno zacházet opatrně . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

Nahoru Odpovědět

19.6.2015 18:24

Martin Dráb

Tvůrce

Martin Dráb:19.6.2015 18:40

a je s ním nutno zacházet opatrně . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

Pokud myyslíš viry.cz, tak ano, tam to dost často tvrdí. A řekl bych, že mají pravdu. Před pár lety jsem se díval, jak ComboFix vypadá uvnitř a tehdy to bylo jen o málo víc než samorozbalovací archiv, jenž vybalí ůár utilit a množství .bat skriptů, které následně pospouští a něco se prostě stane.

Nahoru Odpovědět

19.6.2015 18:40

2 + 2 = 5 for extremely large values of 2

Erik Báča

Člen

Erik Báča:19.6.2015 20:34

Já vím, jen jsem se chtěl ujistit, že mi tam ten vir nezůstane. Uvedl jsem PC do továrního nastavení a vše je OK.

Nahoru Odpovědět

19.6.2015 20:34

Když mi dáš mínus, napiš proč!

Adam Ježek

Tvůrce

Adam Ježek:19.6.2015 20:35

A ještě prevence pro příště - občas si vytvářej bod obnovy, a pokud se něco stane, tak to obnovíš do jednoho z toho bodu, o data nepřídeš, jenom budeš muset znova doinstalovat to, co si instaloval od tý doby(což většinou moc neni).

Nahoru Odpovědět

19.6.2015 20:35

Počkej chvíli, poradím se s křišťálovou koulí.

Jakub Kašjak

Člen

Jakub Kašjak:8.9.2015 20:43

Veľmi ti ďakujem, za riešenie problému s tým vírusom :-)

Nahoru Odpovědět

8.9.2015 20:43