Válí se ti projekty v šuplíku? Dostaň je mezi lidi a získej cool tričko a body na profi IT kurzy v soutěži ITnetwork summer 2017!
Přidej si svou IT školu do profilu a najdi spolužáky zde na síti :)

Diskuze: winnet32b

Software Viry a zabezpečení winnet32b

Aktivity (1)
Avatar
Erik Báča
Člen
Avatar
Erik Báča:18.6.2015 16:41

Ahoj mám takový problém. Nechtěně se mi do počítače dostal nejspíš nějaký malware jménem winnet32b. Kvůli tomu je výkon procesoru pořád téměř na 100% nevíte někdo co s tím?

Odpovědět  ±0 18.6.2015 16:41
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 16:46

Procesor na 100% a tipujem, že aj grafickú kartu máš na 100% - takže asi nejaký miner... Spusti AV kontrolu - odporúčam Malwarebytes Antimalware (https://www.malwarebytes.org) a keď to nenájde nič, tak napíš do témy

Editováno 18.6.2015 16:46
Nahoru Odpovědět 18.6.2015 16:46
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 16:50

malwarebytes už jsem zkoušel ten nic nenašel

Nahoru Odpovědět  ±0 18.6.2015 16:50
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:03

Čo si v poslednej dobe sťahoval? Crack, patcher... ?

Nahoru Odpovědět 18.6.2015 17:03
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 17:07

Nejspíš to bude z minecraftu stáhl jsem to z ulozto a jmenovalo se to minecraft 1.8.3
plná verze

Nahoru Odpovědět  -2 18.6.2015 17:07
Když mi dáš mínus, napiš proč!
Avatar
Odpovídá na Erik Báča
Michal Šmahel (ceskyDJ):18.6.2015 17:16

To asi bude, neboť na uloz.to je virů až moc (od "laskavých" uživatelů).

Nahoru Odpovědět  ±0 18.6.2015 17:16
Nejdůležitější je motivace, ovšem musí být doprovázena činy.
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:24

A odvtedy sa to prejavilo?

Nahoru Odpovědět 18.6.2015 17:24
...
Avatar
Erik Báča
Člen
Avatar
Erik Báča:18.6.2015 17:27

já bych to ani nezjistil, ale jak jsem stáhnul ten minecraft tak jsem extrahoval .rar soubor a když jsem to spouštěl tak to nic nedělalo tak jsem se koukl do správce úloh a našel jsem to.... jinak všechno jede tak jak má a nevypadá, že by to něčemu vadilo

Nahoru Odpovědět  -1 18.6.2015 17:27
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:28

keď pozrieš do správcu úloh... otvor umiestnenie súboru - kde sa ten súbor nachádza?

Nahoru Odpovědět 18.6.2015 17:28
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Adam Ježek:18.6.2015 17:54

Nenapadlo tě "winnet32b" napsat do googlu? Je to podle všeho malware, jak říkal nervo, zjisti si kde ten soubor je, pak ho ukonči a smaž.
A do volné dkiskuze to nepatří, hlavně že David sem přidal upozornění, abychom si prošli ostatní fóra (na které udělal nádhernou navigační lištu) a sem psali až pokud to nikam nepůjde
zdejší fórum o virech
snad to nějaký moderátor přesune

Editováno 18.6.2015 17:56
Nahoru Odpovědět  +1 18.6.2015 17:54
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 18:13

C:\Users\PC11\Ap­pData\Roaming\Mi­crosoft\Networ­king

Nahoru Odpovědět 18.6.2015 18:13
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:18.6.2015 18:15

Že je tady nějaké forum a virech jsem nevěděl tak se omlouvám. Do googlu jsem to psal a zkoušel jsem několik věcí, ale nic nevyšlo. A za třetí jsem našel kde to je, ale smazat to nejde, protože když ukončím proces tak se to spustí dřív než to můžu smazat a za chodu to nesmažu... bohužel

Nahoru Odpovědět 18.6.2015 18:15
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:18.6.2015 18:28

Spust Windows v nouyov0m re6imu, to se spust9 jen ovlada4e neybztn0 pro szst0m a p;jde to smayat
//blbká anglická klávesnice :D
Spust Windows v nouzovym režimu, to se spustí jen ovladače nezbytné pro systém a půjde to smazat
A ještě mě napadlo, když to nepude, naběhnout do nějakýho live linuxu na USB a smazat to z něj

Editováno 18.6.2015 18:30
Nahoru Odpovědět  +1 18.6.2015 18:28
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 18:29

Vyskúšaj Lockhunter (http://lockhunter.com) na odstránenie toho súboru

Nahoru Odpovědět 18.6.2015 18:29
...
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:18.6.2015 18:33

A keď tá binárka dokáže rozoznať núdzový režim?

BootMode mode = SystemInformation.BootMode;

if (mode != BootMode.Normal)
{
    Application.Exit();
}
Nahoru Odpovědět 18.6.2015 18:33
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Člen
Adam Ježek:18.6.2015 18:45

pokud tomu kódu rozumim, tak se v nouzovym režimu nespustí, což potřebujeme, ne?

Nahoru Odpovědět  +1 18.6.2015 18:45
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:18.6.2015 18:49

JJ :) ak detekuje režim spustenia a ukončí sa tak je to dobre...

Nahoru Odpovědět 18.6.2015 18:49
...
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Člen
Adam Ježek:18.6.2015 18:58

Ale v nouzovym režimu se většina věcí co má nastaveno spouštět při startu ani nezapne, takže by to ani nemělo být třeba.

Ještě možná zkus projít složku pro spuštění a služby po spuštění (správce úloh > po spuštění), jestli tam neni něco divnýho

Nahoru Odpovědět 18.6.2015 18:58
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 13:23

V nouzovém režimu jsem to trvale odstranil, ale po normální spuštění PC je to tu znovu (zkoušel jsem to 2x)

Nahoru Odpovědět 19.6.2015 13:23
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:19.6.2015 13:24

lock hunter to také nedokázal smazat :(

Nahoru Odpovědět 19.6.2015 13:24
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 14:44

Takze tam bezi jeste neco, co to kontroluje a kdyz to zmizi, da to tam zpatky. Zacni hledat druhy divny proces. A nebo uloz textak jako winnet32b.exe, dej ho tam a nastav prava aby to nikdo nemoh prepsat, pokud se to povede, tak s tim virem sluse vyjebes :D

Nahoru Odpovědět  -1 19.6.2015 14:44
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Eldan
Člen
Avatar
Eldan:19.6.2015 15:04

Vypni všechny programy zapínající se po spuštění, které neznáš (třeba CCleaner http://piriform.com/ccleaner to umí dobře). Pak restartuj PC, a pokud se vir už nezapne (neměl by), tak prostě smaž jeho binárku. Pokud yb se zapl tak najdi jaký proces ho drží při životě a ukonči jeho strom, měl by se vypnout a pak už smazat půjde :)

Editováno 19.6.2015 15:05
Nahoru Odpovědět 19.6.2015 15:04
Unobfuscated executable == free source code
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Eldan
Adam Ježek:19.6.2015 15:41

Na to "všechny které neznáš" bych si dával pozor... Jé, hele, boot partition, to neznam, tak to smažu :D

Nahoru Odpovědět  +1 19.6.2015 15:41
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Martin Dráb
Redaktor
Avatar
Martin Dráb:19.6.2015 15:50

Co zkusit ten stroj zkontrolovat (třeba tím MalwareBytes, ale případně i něčím konvenčnějším) v nouzovém režimu?

Případně se dá přes Autoruns (www.sysinternals.com) získat dost slušný seznam toho, co se spouští. Ale platí tam hodně to, co píše Adam – bude tam spousta false positives. Na druhou stranu, pokud vidíš, že se má spustit aplikace, která je uložená kdesi v tvém profilu, a to navíc někde v Tempu/Roamingu/Lo­calLow, tak je podle mě 99 % pravděpodobnost, že tam nemá co dělat. Normální aplikace se totiž instalují do Program Files, neřekne-li uživatel jinak.

Nahoru Odpovědět 19.6.2015 15:50
2 + 2 = 5 for extremely large values of 2
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:19.6.2015 15:56

Bod obnovy systému?

Nahoru Odpovědět 19.6.2015 15:56
...
Avatar
Člen
Člen
Avatar
Člen:19.6.2015 15:59

Btw dobre som tipoval, že je to miner - https://www.herdprotect.com/…22c38af.aspx

Nahoru Odpovědět 19.6.2015 15:59
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 16:07

A když by ti to nafotil a poslal koukl bys na to? :D je tam moc procesů a já se v tom vůbec nevyznám

Nahoru Odpovědět 19.6.2015 16:07
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 16:09

Zkus sem hodit screeny, třeba si něčeho všimneme. Ale zkus si každej proces zadat do googlu, co se o něm píše

Nahoru Odpovědět 19.6.2015 16:09
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Erik Báča
Člen
Avatar
Erik Báča:19.6.2015 16:10

myslíte, že kdybych uvedl systém do továrního nastavení, že bych to tím smazal? zkusil bych to, ale nechci zbytečně mazat všechny svoje soubory, kdyby to nešlo

Nahoru Odpovědět 19.6.2015 16:10
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 16:16

Určitě, tovární nastavení smaže všechno. Takže vir, ale i VŠECHNO OSTATNÍ

Akceptované řešení
+20 Zkušeností
+1 bodů
Řešení problému
Nahoru Odpovědět 19.6.2015 16:16
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Člen
Člen
Avatar
Nahoru Odpovědět 19.6.2015 17:24
...
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:19.6.2015 17:28

Bežia u teba procesy:
conhost32.exe
conhost64.exe
inet32upd.exe

Editováno 19.6.2015 17:29
Nahoru Odpovědět 19.6.2015 17:28
...
Avatar
Člen
Člen
Avatar
Člen:19.6.2015 17:32

Stiahni si ešte ComboFix - http://www.bleepingcomputer.com/…ad/combofix/ a prekontroluj nim PC v núdzovom režime

Nahoru Odpovědět 19.6.2015 17:32
...
Avatar
vojtanosek
Člen
Avatar
vojtanosek:19.6.2015 18:24

Musím podotknout, že Combofix je na vlastní riziko a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

 
Nahoru Odpovědět  +1 19.6.2015 18:24
Avatar
Martin Dráb
Redaktor
Avatar
Odpovídá na vojtanosek
Martin Dráb:19.6.2015 18:40

a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

Pokud myyslíš viry.cz, tak ano, tam to dost často tvrdí. A řekl bych, že mají pravdu. Před pár lety jsem se díval, jak ComboFix vypadá uvnitř a tehdy to bylo jen o málo víc než samorozbalovací archiv, jenž vybalí ůár utilit a množství .bat skriptů, které následně pospouští a něco se prostě stane.

Nahoru Odpovědět 19.6.2015 18:40
2 + 2 = 5 for extremely large values of 2
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 20:34

Já vím, jen jsem se chtěl ujistit, že mi tam ten vir nezůstane. Uvedl jsem PC do továrního nastavení a vše je OK.

Nahoru Odpovědět 19.6.2015 20:34
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tým ITnetwork
Avatar
Adam Ježek:19.6.2015 20:35

A ještě prevence pro příště - občas si vytvářej bod obnovy, a pokud se něco stane, tak to obnovíš do jednoho z toho bodu, o data nepřídeš, jenom budeš muset znova doinstalovat to, co si instaloval od tý doby(což většinou moc neni).

Nahoru Odpovědět  +1 19.6.2015 20:35
Pokud chceš odpovědět, klikni na odpovědět. Pokud chceš vložit zdroják, klikni na vložit zdroják (</>)
Avatar
Odpovídá na Člen
Jakub Kašjak:8.9.2015 20:43

Veľmi ti ďakujem, za riešenie problému s tým vírusom :-)

 
Nahoru Odpovědět 8.9.2015 20:43
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 38 zpráv z 38.