IT rekvalifikace s garancí práce. Seniorní programátoři vydělávají až 160 000 Kč/měsíc a rekvalifikace je prvním krokem. Zjisti, jak na to!
Hledáme nové posily do ITnetwork týmu. Podívej se na volné pozice a přidej se do nejagilnější firmy na trhu - Více informací.
Avatar
Msprg
Člen
Avatar
Msprg:1.2.2017 17:04

Zdar,

Kamošovi sa "nejako" dostal do PC ADWare, ktorý mu otvorí v (každom) prehliadači stránku vyhľadávača search.queryrou­ter.com. Zaujiímavosťou je, že, táto stránka sa mu:

  • 1. Neotvorí sa vždy.
  • 2. A ak sa otvorí, tak iba v momente, kedy píše niečo do adresného riadka, ale ešte pred stlačením enteru

Malwarebytes Anti-Malware nenašiel nič, ADWare cleaner tiež nič. Skúšal-i me aj nejakých tých pár !removal gudies"

Jediné čo mi zatiaľ napadlo, je nechať bežať na pozadí nejaký program, ktorý by mi logoval:

  • Aké procesy bežia, a rodičovské procesy ostatných procesov.
  • Cesty k *.exe súborom daných procesov.
  • Aj iné detaily sa somzrejme hodia :-P

Výpis z "systeminfo":

C:\Users\AnonRemsey>systeminfo

Host Name:                 ANONREMSEY-PC
OS Name:                   Microsoft Windows 7 Ultimate
OS Version:                6.1.7600 N/A Build 7600
OS Manufacturer:           Microsoft Corporation
OS Configuration:          Standalone Workstation
OS Build Type:             Multiprocessor Free
Registered Owner:          AnonRemsey
Registered Organization:
Product ID:                00426-OEM-‎8992662-00006
Original Install Date:     24. 8. 2016, 10:56:14
System Boot Time:          1. 2. 2017, 13:16:57
System Manufacturer:       System manufacturer
System Model:              System Product Name
System Type:               x64-based PC
Processor(s):              1 Processor(s) Installed.
                           [01]: AMD64 Family 15 Model 75 Stepping 2 AuthenticAM
D ~2400 Mhz
BIOS Version:              Phoenix Technologies, LTD ASUS M2A-VM ACPI BIOS Revis
ion 1501, 26. 10. 2007
Windows Directory:         C:\WINDOWS
System Directory:          C:\WINDOWS\system32
Boot Device:               \Device\HarddiskVolume1
System Locale:             sk;slovenčina
Input Locale:              sk;slovenčina
Time Zone:                 (UTC+01:00) Belehrad, Bratislava, Budapešť, Ľubľana,
Praha
Total Physical Memory:     5 118 MB
Available Physical Memory: 2 803 MB
Virtual Memory: Max Size:  10 235 MB
Virtual Memory: Available: 6 730 MB
Virtual Memory: In Use:    3 505 MB
Page File Location(s):     C:\pagefile.sys
Domain:                    WORKGROUP
Logon Server:              \\ANONREMSEY-PC
Hotfix(s):                 1 Hotfix(s) Installed.
                           [01]: KB958488
Network Card(s):           1 NIC(s) Installed.
                           [01]: Realtek RTL8168B/8111B Family PCI-E Gigabit Eth
ernet NIC (NDIS 6.20)
                                 Connection Name: Lokálne pripojenie
                                 DHCP Enabled:    Yes
                                 DHCP Server:     10.10.10.10
                                 IP address(es)
                                 [01]: 10.10.10.110
                                 [02]: fe80::d910:95f:5bc6:bed2

C:\Users\AnonRemsey>

Máte aj nejaké iné nápady?

P.S.: Nápady typu: preinštaluj windows si nechajte, na to viem prísť aj sám.

 
Odpovědět
1.2.2017 17:04
Avatar
Petr Čech
Tvůrce
Avatar
Odpovídá na Msprg
Petr Čech:1.2.2017 17:11

P.S.: Nápady typu: preinštaluj windows si nechajte, na to viem prísť aj sám.

Často je to bohužel nejschůdnější a nejspolehlivější řešení.
Ono to není tak jednoduché, že budeš logovat všechna .exe, viry jsou mnohem sofistikovanější než obyčejné .exe, jsou to injekce knihoven a podobné srandy, toho se špatně zbavuje.

Nahoru Odpovědět
1.2.2017 17:11
the cake is a lie
Avatar
Msprg
Člen
Avatar
Odpovídá na Petr Čech
Msprg:1.2.2017 17:54

Práveže mi to aj tak trochu pripadá ako DLL injekcia.... Na DLL injektovanie je treba práva administrátora, nie? Nedá sa toto injektovanie knižníc dočasne nejako zakázať ?

 
Nahoru Odpovědět
1.2.2017 17:54
Avatar
Petr Čech
Tvůrce
Avatar
Odpovídá na Msprg
Petr Čech:1.2.2017 18:08

O to vůbec nejde. Jde o to, že bys musel zjistit autenticitu všech knihoven a opravit registry do původního stavu.
Gl&hf, reinstalace je mnohem jednodušší. ;) Nebo si můžeš nechat zaplatit odvirování.

Nahoru Odpovědět
1.2.2017 18:08
the cake is a lie
Avatar
Tomáš N.
Člen
Avatar
Odpovídá na Msprg
Tomáš N.:1.2.2017 19:27

Záleží na závažnosti problému, mně se do PC taky jednou začali stahovat viry.... začalo to růst a ty viry začali stahovat další viry (adware, malware apod.) a v tomto případě mi pomohl jen reinstal.

 
Nahoru Odpovědět
1.2.2017 19:27
Avatar
Erik Šťastný
Člen
Avatar
Erik Šťastný:2.2.2017 16:54

Když se mi jednou za x let stane něco podobného, tím že jsem trubka a nainstaluju něco nedůvěryhodnýho, tak VŽDY reinstall systému kompletní, nikdy si nebudeš a ani nemůžeš být jistý, že jsi se všeho zbavil i kdyby to tak na první pohled vypadalo :)

 
Nahoru Odpovědět
2.2.2017 16:54
Avatar
Alex Hir
Člen
Avatar
Alex Hir:5.4.2017 21:06

Zkuste použít Adwcleaner(http://www.bleepingcomputer.com/…/adwcleaner/) a tuto příručku (http://manual-removal.com/…yrouter-com/)

 
Nahoru Odpovědět
5.4.2017 21:06
Avatar
Msprg
Člen
Avatar
Odpovídá na Alex Hir
Msprg:5.4.2017 21:13

Ďakujem za odpoveď, ale toto vlákno je už trochu staré. Každopádne, som bordel úspešne z toho PC dostal. Aj bez reinstallu, a doteraz sa zatiaľ nič neprejavilo. Vaše liky som už pozeral, bola to jedna z prvých vecí čo som skúšal. Ale čo, už to uzatvorím, nech sa už ľudia netrápia a nehľadajú odpoveď(e).

Akceptované řešení
+5 Zkušeností
Řešení problému
 
Nahoru Odpovědět
5.4.2017 21:13
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 8 zpráv z 8.