NOVINKA! E-learningové kurzy umělé inteligence. Nyní AI za nejlepší ceny. Zjisti více:
NOVINKA – Víkendový online kurz Software tester, který tě posune dál. Zjisti, jak na to!
Avatar
Erik Báča
Člen
Avatar
Erik Báča:18.6.2015 16:41

Ahoj mám takový problém. Nechtěně se mi do počítače dostal nejspíš nějaký malware jménem winnet32b. Kvůli tomu je výkon procesoru pořád téměř na 100% nevíte někdo co s tím?

Odpovědět
18.6.2015 16:41
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 16:46

Procesor na 100% a tipujem, že aj grafickú kartu máš na 100% - takže asi nejaký miner... Spusti AV kontrolu - odporúčam Malwarebytes Antimalware (https://www.malwarebytes.org) a keď to nenájde nič, tak napíš do témy

Editováno 18.6.2015 16:46
Nahoru Odpovědět
18.6.2015 16:46
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 16:50

malwarebytes už jsem zkoušel ten nic nenašel

Nahoru Odpovědět
18.6.2015 16:50
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:03

Čo si v poslednej dobe sťahoval? Crack, patcher... ?

Nahoru Odpovědět
18.6.2015 17:03
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 17:07

Nejspíš to bude z minecraftu stáhl jsem to z ulozto a jmenovalo se to minecraft 1.8.3
plná verze

Nahoru Odpovědět
18.6.2015 17:07
Když mi dáš mínus, napiš proč!
Avatar
Michal Šmahel
Člen
Avatar
Odpovídá na Erik Báča
Michal Šmahel:18.6.2015 17:16

To asi bude, neboť na uloz.to je virů až moc (od "laskavých" uživatelů).

Nahoru Odpovědět
18.6.2015 17:16
Nejdůležitější je motivace, ovšem musí být doprovázena činy.
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:24

A odvtedy sa to prejavilo?

Nahoru Odpovědět
18.6.2015 17:24
...
Avatar
Erik Báča
Člen
Avatar
Erik Báča:18.6.2015 17:27

já bych to ani nezjistil, ale jak jsem stáhnul ten minecraft tak jsem extrahoval .rar soubor a když jsem to spouštěl tak to nic nedělalo tak jsem se koukl do správce úloh a našel jsem to.... jinak všechno jede tak jak má a nevypadá, že by to něčemu vadilo

Nahoru Odpovědět
18.6.2015 17:27
Když mi dáš mínus, napiš proč!
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 17:28

keď pozrieš do správcu úloh... otvor umiestnenie súboru - kde sa ten súbor nachádza?

Nahoru Odpovědět
18.6.2015 17:28
...
Avatar
Adam Ježek
Tvůrce
Avatar
Adam Ježek:18.6.2015 17:54

Nenapadlo tě "winnet32b" napsat do googlu? Je to podle všeho malware, jak říkal nervo, zjisti si kde ten soubor je, pak ho ukonči a smaž.
A do volné dkiskuze to nepatří, hlavně že David sem přidal upozornění, abychom si prošli ostatní fóra (na které udělal nádhernou navigační lištu) a sem psali až pokud to nikam nepůjde
<a href="http://­www.itnetwork­.cz/software/dis­kuzni-forum-viry-bezpecnost-antiviry">zdejší fórum o virech</a>
snad to nějaký moderátor přesune

Editováno 18.6.2015 17:56
Nahoru Odpovědět
18.6.2015 17:54
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:18.6.2015 18:13

C:\Users\PC11\Ap­pData\Roaming\Mi­crosoft\Networ­king

Nahoru Odpovědět
18.6.2015 18:13
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:18.6.2015 18:15

Že je tady nějaké forum a virech jsem nevěděl tak se omlouvám. Do googlu jsem to psal a zkoušel jsem několik věcí, ale nic nevyšlo. A za třetí jsem našel kde to je, ale smazat to nejde, protože když ukončím proces tak se to spustí dřív než to můžu smazat a za chodu to nesmažu... bohužel

Nahoru Odpovědět
18.6.2015 18:15
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Erik Báča
Adam Ježek:18.6.2015 18:28

Spust Windows v nouyov0m re6imu, to se spust9 jen ovlada4e neybztn0 pro szst0m a p;jde to smayat
//blbká anglická klávesnice :D
Spust Windows v nouzovym režimu, to se spustí jen ovladače nezbytné pro systém a půjde to smazat
A ještě mě napadlo, když to nepude, naběhnout do nějakýho live linuxu na USB a smazat to z něj

Editováno 18.6.2015 18:30
Nahoru Odpovědět
18.6.2015 18:28
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:18.6.2015 18:29

Vyskúšaj Lockhunter (http://lockhunter.com) na odstránenie toho súboru

Nahoru Odpovědět
18.6.2015 18:29
...
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:18.6.2015 18:33

A keď tá binárka dokáže rozoznať núdzový režim?

BootMode mode = SystemInformation.BootMode;

if (mode != BootMode.Normal)
{
    Application.Exit();
}
Nahoru Odpovědět
18.6.2015 18:33
...
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Člen
Adam Ježek:18.6.2015 18:45

pokud tomu kódu rozumim, tak se v nouzovym režimu nespustí, což potřebujeme, ne?

Nahoru Odpovědět
18.6.2015 18:45
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:18.6.2015 18:49

JJ :) ak detekuje režim spustenia a ukončí sa tak je to dobre...

Nahoru Odpovědět
18.6.2015 18:49
...
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Člen
Adam Ježek:18.6.2015 18:58

Ale v nouzovym režimu se většina věcí co má nastaveno spouštět při startu ani nezapne, takže by to ani nemělo být třeba.

Ještě možná zkus projít složku pro spuštění a služby po spuštění (správce úloh > po spuštění), jestli tam neni něco divnýho

Nahoru Odpovědět
18.6.2015 18:58
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 13:23

V nouzovém režimu jsem to trvale odstranil, ale po normální spuštění PC je to tu znovu (zkoušel jsem to 2x)

Nahoru Odpovědět
19.6.2015 13:23
Když mi dáš mínus, napiš proč!
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Člen
Erik Báča:19.6.2015 13:24

lock hunter to také nedokázal smazat :(

Nahoru Odpovědět
19.6.2015 13:24
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 14:44

Takze tam bezi jeste neco, co to kontroluje a kdyz to zmizi, da to tam zpatky. Zacni hledat druhy divny proces. A nebo uloz textak jako winnet32b.exe, dej ho tam a nastav prava aby to nikdo nemoh prepsat, pokud se to povede, tak s tim virem sluse vyjebes :D

Nahoru Odpovědět
19.6.2015 14:44
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Eldan
Člen
Avatar
Eldan:19.6.2015 15:04

Vypni všechny programy zapínající se po spuštění, které neznáš (třeba CCleaner http://piriform.com/ccleaner to umí dobře). Pak restartuj PC, a pokud se vir už nezapne (neměl by), tak prostě smaž jeho binárku. Pokud yb se zapl tak najdi jaký proces ho drží při životě a ukonči jeho strom, měl by se vypnout a pak už smazat půjde :)

Editováno 19.6.2015 15:05
Nahoru Odpovědět
19.6.2015 15:04
Unobfuscated executable == free source code
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Eldan
Adam Ježek:19.6.2015 15:41

Na to "všechny které neznáš" bych si dával pozor... Jé, hele, boot partition, to neznam, tak to smažu :D

Nahoru Odpovědět
19.6.2015 15:41
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Martin Dráb
Tvůrce
Avatar
Martin Dráb:19.6.2015 15:50

Co zkusit ten stroj zkontrolovat (třeba tím MalwareBytes, ale případně i něčím konvenčnějším) v nouzovém režimu?

Případně se dá přes Autoruns (www.sysinternals.com) získat dost slušný seznam toho, co se spouští. Ale platí tam hodně to, co píše Adam – bude tam spousta false positives. Na druhou stranu, pokud vidíš, že se má spustit aplikace, která je uložená kdesi v tvém profilu, a to navíc někde v Tempu/Roamingu/Lo­calLow, tak je podle mě 99 % pravděpodobnost, že tam nemá co dělat. Normální aplikace se totiž instalují do Program Files, neřekne-li uživatel jinak.

Nahoru Odpovědět
19.6.2015 15:50
2 + 2 = 5 for extremely large values of 2
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:19.6.2015 15:56

Bod obnovy systému?

Nahoru Odpovědět
19.6.2015 15:56
...
Avatar
Člen
Člen
Avatar
Člen:19.6.2015 15:59

Btw dobre som tipoval, že je to miner - https://www.herdprotect.com/…22c38af.aspx

Nahoru Odpovědět
19.6.2015 15:59
...
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 16:07

A když by ti to nafotil a poslal koukl bys na to? :D je tam moc procesů a já se v tom vůbec nevyznám

Nahoru Odpovědět
19.6.2015 16:07
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 16:09

Zkus sem hodit screeny, třeba si něčeho všimneme. Ale zkus si každej proces zadat do googlu, co se o něm píše

Nahoru Odpovědět
19.6.2015 16:09
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Erik Báča
Člen
Avatar
Erik Báča:19.6.2015 16:10

myslíte, že kdybych uvedl systém do továrního nastavení, že bych to tím smazal? zkusil bych to, ale nechci zbytečně mazat všechny svoje soubory, kdyby to nešlo

Nahoru Odpovědět
19.6.2015 16:10
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tvůrce
Avatar
Odpovídá na Erik Báča
Adam Ježek:19.6.2015 16:16

Určitě, tovární nastavení smaže všechno. Takže vir, ale i VŠECHNO OSTATNÍ

Akceptované řešení
+20 Zkušeností
+2,50 Kč
Řešení problému
Nahoru Odpovědět
19.6.2015 16:16
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Člen
Člen
Avatar
Odpovídá na Erik Báča
Člen:19.6.2015 17:24

Vyskúšaj ešte herdProtect - https://www.herdprotect.com/downloads.aspx

Nahoru Odpovědět
19.6.2015 17:24
...
Avatar
Člen
Člen
Avatar
Odpovídá na Adam Ježek
Člen:19.6.2015 17:28

Bežia u teba procesy:
conhost32.exe
conhost64.exe
inet32upd.exe

Editováno 19.6.2015 17:29
Nahoru Odpovědět
19.6.2015 17:28
...
Avatar
Člen
Člen
Avatar
Člen:19.6.2015 17:32

Stiahni si ešte ComboFix - http://www.bleepingcomputer.com/…ad/combofix/ a prekontroluj nim PC v núdzovom režime

Nahoru Odpovědět
19.6.2015 17:32
...
Avatar
vojtanosek
Člen
Avatar
vojtanosek:19.6.2015 18:24

Musím podotknout, že Combofix je na vlastní riziko a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

 
Nahoru Odpovědět
19.6.2015 18:24
Avatar
Martin Dráb
Tvůrce
Avatar
Odpovídá na vojtanosek
Martin Dráb:19.6.2015 18:40

a je s ním nutno zacházet opatrně :) . Dozvěděl jsem se to ze stránky kde se na viry specializují. Nemusí ti najet systém.

Pokud myyslíš viry.cz, tak ano, tam to dost často tvrdí. A řekl bych, že mají pravdu. Před pár lety jsem se díval, jak ComboFix vypadá uvnitř a tehdy to bylo jen o málo víc než samorozbalovací archiv, jenž vybalí ůár utilit a množství .bat skriptů, které následně pospouští a něco se prostě stane.

Nahoru Odpovědět
19.6.2015 18:40
2 + 2 = 5 for extremely large values of 2
Avatar
Erik Báča
Člen
Avatar
Odpovídá na Adam Ježek
Erik Báča:19.6.2015 20:34

Já vím, jen jsem se chtěl ujistit, že mi tam ten vir nezůstane. Uvedl jsem PC do továrního nastavení a vše je OK.

Nahoru Odpovědět
19.6.2015 20:34
Když mi dáš mínus, napiš proč!
Avatar
Adam Ježek
Tvůrce
Avatar
Adam Ježek:19.6.2015 20:35

A ještě prevence pro příště - občas si vytvářej bod obnovy, a pokud se něco stane, tak to obnovíš do jednoho z toho bodu, o data nepřídeš, jenom budeš muset znova doinstalovat to, co si instaloval od tý doby(což většinou moc neni).

Nahoru Odpovědět
19.6.2015 20:35
Počkej chvíli, poradím se s křišťálovou koulí.
Avatar
Jakub Kašjak
Člen
Avatar
Odpovídá na Člen
Jakub Kašjak:8.9.2015 20:43

Veľmi ti ďakujem, za riešenie problému s tým vírusom :-)

 
Nahoru Odpovědět
8.9.2015 20:43
Děláme co je v našich silách, aby byly zdejší diskuze co nejkvalitnější. Proto do nich také mohou přispívat pouze registrovaní členové. Pro zapojení do diskuze se přihlas. Pokud ještě nemáš účet, zaregistruj se, je to zdarma.

Zobrazeno 38 zpráv z 38.