virus
Zdravím,
na mém pc se zřejmě uhnízdil nějaký spyware/keylogger. Když jsem se zkoušel přihlásit k fb a začal jsem rutinně zadávat heslo, zjistil jsem, že místo do kolonky s heslem se píše do kolonky s mailem (kde je vidět), ale první 2 znaky se napsali ještě do kolonky na heslo. No a samo se to tak asi přecvaknout nemohlo, vždyť to heslo jsem psal už 1000x a tohle se ještě nestalo. Náhodou jsem si všiml dřív, než jsem ho tam celý napsal a rychle jsem to smázl (včetně historie). Pak se začalo něco chvíli načítat (přestože nemělo co, byl zapnutý pouze chrome) a pak už nic. Tak nevím, co teď, zkusil jsem pár antivirů a nic se nenašlo...
Napadá vás něco?
díky
Antiviry fungují pouze proti virům. Pokud tam něco máš, tak to není virus, ale spyware a proti tomu jsou logicky určeny antispywarové programy. Takže zkus AdwCleaner a MBAM (spouštěj z nouzového režimu Windows), vše, co tyto programy najdou, smaž.
ještě řekni, že to heslo píšeš v chrome a k těm zbytečným antivirům máš jeden sw navíc.
tak nějak úplně nevím, jak to myslíš...
logo prohlížeče snad poznáš (zobrazovat titulek okna s názvem sw není in)
promoření spywarem je pro uživatele chrome typické - a když už doplněk v prohlížeči sbírá tvoje hesla...
ale spíš bych čekal odpověď, jestli jsi začal s odspywarováním.
začal, chystám se k nouzovýmu režimu...
a žádnej vadnej doplněk v chromu nemám, tak nevím teda... mám jako přejít na explorer? nebo mozarelu?
a ty hesla ti asi na dálku krade babička.
adwcleaner vygeneruje i log, můžeš si počíst.
četl jsi, co jsem napsal?
byl to pouhý pokus o ukradení hesla přesměrováním do kolonky na mail
jinak docela pochybuju, že adblock nebo ghostery (který už nějakou dobu použivám a jsem s tím spokojenej) by zničeho nic udělali takovou hovadinu.
ale jinak si tvou radu beru k srdci, stále na tom dělám
jistě, stále plánuješ spustit ten adwcleaner, nic se nesmí uspěchat.
a taky věříš tomu, že ti chrome ukazuje všechny doplňky. tak potom ty hesla opravdu krade babka - kdo by to do těch seniorů dneska řek?
už jsem to uspěchal, adwcleaner jsem spouštěl několikrát v nouzovým režimu a nic...
jinak nevěřím, že by mi chrom ukazoval všechny doplňky, samozřejmě vím, co to je za kurvu, ale pár takových doplňků jsem už zrušil před nějakou dobou a další se od té doby neobjevily...
budu si teda muset s babičkou vážně promluvit
pak nezbývá, než místo klikátka nasadit drsný mozek -> ms autoruns má záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).
ten frajer se tváří docela drsně...
nemáš nějakou bližší radu, co s ním mám dělat?
když to nechceš řešit sám, na nějaký imagehosting hodit ty screeny - ať jsou čitelné sloupce s názvem, výrobcem a cestou k programu - a sem fouknout odkazy.
může být?
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15289 056_1197304150351055_8334036287455384767_o.jpg
Pokud někdo dobrovolně poleze na Ksichtoknihu...
já myslel že assbook má snad každá oběť dnešní degenerace
Nene obrazky dajte trebars na postimage.org a jak pise brtnik aby byly videt cele stlpce.
fak nejde o fullscreen bílé stránky, na které nejsou roztažené důležité sloupce (název, image path).
zbytečný f-secure zakázat. a aviru, která ničemu nezabránila, lze odinstalovat.
a ty další záložky?
ok, ještě - zakážu to tak, že to prostě odkliknu nebo tam musím něco přenastavovat?
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15304 655_1197336763681127_6470202595575084617_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15325 413_1197336773681126_616246269097353240_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15194 500_1197336747014462_5130669311604278221_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15235 352_1197336810347789_4299906171684291383_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15304 651_1197336850347785_7666659654417840031_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15325 288_1197336890347781_4874809021691947079_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 641_1197336860347784_2483515318341185904_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15272 199_1197336907014446_2097306325265277522_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15252 678_1197336913681112_9212030475960244521_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15250 744_1197336937014443_4509387922545817222_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15288 522_1197336947014442_5062024666889020068_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15235 477_1197336953681108_672559460943436492_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 348_1197336983681105_520775440926842401_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 227_1197336997014437_2487397122688652921_o.jpg
zrušíš fajfku.
run:
používáš windefender zároveň s avirou a ještě tím f-securem? co to má dohromady dělat?
ccleaner: řeknu to zdvořile - jeho používání je známkou slabomyslnosti.
ten appnhost vypadá jako smazaný spouštěč spyware ... fak není v logu adwcleaneru žádný záznam?
explorer (shell extension průzkumníka):
když máš 7-zip, k čemu kradený winrar?
internet explorer:
zakázal bych doplněk office. věčně děravý a nebezpečný office nemá co přístupovat k webovému obsahu.
task scheduler:
zakázal bych všechno, snad kromě defenderu a onedrive. rozhodni se, který z antivirů chceš provozovat.
drivers:
u označeného netadapter.cx.sys zjisti podle data a vlastností/popis, k čemu patří. nech ho proskenovat na virustotal.
f-secure není aktivní, defender taky ne.
ccleaner - moc nechápu proč, patrně jsem slabomyslný
opravdu vůbec žádný záznam
winrar jsem musel stáhnout spolu s nějakou kravinou
je to s těma antivirama tak moc hrozný? nějak to nevypadá, žeby se vzájemně rušili...
netadapter.cx.sys - systémový soubor, neznámá aplikace, 88 kB, jinak vůbec nic. skenovat to nejde
jestli je zamknutý, mohl by jít zkopírovat. tu kopii oskenovat.
spíš nebudou fungovat, až budou muset. ale pokud neběží současně ve službách/services, je to ok.
jestli se zvrhlé chování chromu nevyřešilo, zazálohovat/přesunout současný profil chrome v appdata, nechat vytvořit nový.
lepší=bezpečnější je jakýkoli normální prohlížeč.
nejde to ani zkopírovat (respektive když to udělám, nikam se to nedá vložit, jako bych to neudělal)
2 věci:
1. jak přesně to mám zálohovat a k čemu to vlastně bude
2. jaký prohlížeč bys doporučil a kde by se dal bezpečně stáhnout?
pokud není spyware odstraněn, je to některý ze skrytých extensions v profilu, který antispyware nedokázal detekovat. pak ho zahodit ručně.
nemám tu ani chrome, ani w7, tak jen jak to najít:
a mělo by to vypsat cestu k profilu chrome. možná by šlo hledat i "google chrome"
nezkopírovatelný soubor by mohl jít kopnout v nouzovém režimu.
100% pak z libovolného boot cd se správcem souborů (hirens, atd)
pořád samé "not found"...
s tou mrdkou to vyšlo, ale nic to nenašlo.
šel jsem v počítači do chromu, šlo by to tam nějak najít?
ještě jednou:
tam někde musíš svůj profil chrome vidět. já si to svinstvo určitě instalovat nebudu.
teď tam mám volume in drive a volume serial number
pak 7 programů ve sloupcích s hranatýma závorkama (žádná zmínka o chromu)
ale zkusil jsem to hledat normálně a objevil jsem složku "extension rules", je to k něčemu?
vytvořil se mi poznámkový blok: "hledam_chrome", co teď?
v něm ten profil chrome musí být vidět.
ok, ty seš tady genius. Tak teda vidíš ho? já na binární kódy a jiný šifry moc nejsem...
https://scontent-frt3-1.xx.fbcdn.net/v/t1.0-9/1534 9822_1199004816847655_8142482143644991907_n.jpg?oh =d698a93ba3cc8f52a4120bd30eaf5fa4&oe=58B40029
to je textový soubor. proč sem dáváš tohle, jak v tom chceš hledat? vždyť ten výpis má nejspíš více stránek.
pokud neregistrovaní nemohou vložit přílohu, jde použít libovolné skladiště, nebo se registrovat.
na žádném z normálních počítačů, které mám po ruce/po síti, není chrome nainstalovaný, tak se nemůžu přesvědčit, kde má profil.
nezávazně:
nic z toho moc nenašlo...
Ale jak už jsem psal předtím: našel jsem složku user data a v ní system profile a pak extension rules, není to náhodou to, co se snažíme najít???
A přikládám ten text, ale nenajdeš tam víc, než co už jsem nafotil
psal jsem výš i nějaké nezávazné cesty, kde se má nacházet uživatelský profil chrome.
tak holt máš nějakou neznámou verzi windows, kde se žádný profil chrome nevytváří a jeho adresář je úplně prázdný.
je to možné, ale k ničemu. nevidím tu vypsanou ani cestu k ní, ani obsah. mám si kdejaké svinstvo kvůli každému tazateli instalovat?
jde o to, odkud níž začít mazat. máš to před sebou, ale výsledky bádání si necháváš pro sebe, tak to nebudem zdržovat: nic nezálohuj, smaž pod %userprofile% všechno, co patří google chrome, na moc % to pomůže.
aby to bylo 100%, nesměl by chrome instalovat žádné doplňky do program files / (nebo x86 verze).
obávám se, že to zase budeme zjišťovat 2 dny.
tak jsem to udělal, doufám, že mi to nějak nezkurví nastavení v samotném chromu...
program files já vypátrám, ale určitě nevím, jak mu zatrhnout stahování neviditelných doplňků...
Dál mám dotaz, musel to být nutně spyware? nemůže to být například třeba nabourání wifi nebo něco podobnýho či nějaká dysfunkce?
jinak ale čekám na další pokyny, rád bych to měl už pořešený taky
A už to nevydržím, prosím tě: kde/kdy/od koho ses tak naučil na PC?
snad to chrome umí, třeba se volá chrome.exe s parametrem, google napoví:
1) založ si v něm nový profil
2) bude se na stránce, kde se předtím staly ty události s heslem, chovat nový účet* stejně špatně?
*) i když jak to teď čtu, místo opravy uživatelského profilu (jako u firefoxuú jde u chrome jen o tahání další identity a osobních dat.
jednodušší je staré nastavení smazat/zahodit a neřešit.
Zkusil a nic, ovšem jelikož se to stalo zcela ojediněle (myslím teda), přestože se přihlašuju Xkrát, jak bych to moh poznat, je dost možné, že se to už nestane.
Jenže stalo, a mě to nenechává chladným.
A změna/destrukce nastavení mi nepřijde jako řešení.
u chrome ano. já proto nejdřív nabízel zkopírovat profil pryč, ale když není k nalezení, co s tím.
kolega tu zmiňuje jiný udělátor, zkušenosti nemám, ale vyblbneš se.
v samostatných procesech mimo prohlížeč jsem si ničeho nevšim, viz poznámky k ms autoruns. takže je to podle mě v (doplňcích) chrome.
můžeš se ještě těšit, že je to keylogger - mezi systémovými drivery se dá snadno přehléhnout, pokud rovnou některý nemodifikoval. potom by ho mohlo odhalit jen bootovací antivirové cd, ideálně ze států s nejvyšší počítačovou kriminalitou:
livecd
4162
Přináším čerstvé zprávy z fronty, velkomaršále Wunderbäre.
Udělátor od kolegy našel 3 postižence, který nápadně připomínaly nechtěné doplňky chromu (něco o appnhost, user key registr nebo tak něco), tak jsem je zrušil.
Mistr kaspersky posléze nenašel nic, stejně tak udělátor a spol. Drweb byl nekompatibilní a když jsem se ho zbavil, zanechal po sobě nechtěnou aplikaci, které už jsem se taky zbavil...
Mám naději, že bitvu jsme vyhráli, zhodnocení nechám na tobě.
A teď válka pokračuje: Pomůžeš mi zabránit tomu, aby Herr ChromFührer stahoval neviditelné nechtěné doplňky?
myslím, že se dá žít i s chromákem:
dávat si bacha na co klikáš - zásadně, ale zásadně nebrat divné zdroje a zázračně free.
dobře se dívat na všechny hlášky, když se něco chce stahovat/instalovat.
a aspoň cvičně co 1/4 roku projet pc antispywarem. s jiným prohlížečem stačí 1x ročně. je to kvůli tomu, že chrome umí skrývat doplňky.
dokud byli kinderhaxoři vychovaní jen na m$ windows, jako 100% obrana stačil omezený účet. asi po 10 letech používání windows (a s nástupem vista+) si kriminálníci konečně všimli uživatelských práv, dnes se škodná klasicky instaluje do profilu uživale, kde má i omezený uživatel a jím spuštěný spyware instalační práva.
právě proto jsme šli po vyhubení profilu chrome - tomu tak nějak odpovídají i nalezené záznamy tím killerem.
edit: "kaspersky / dr.web nic nenašly"
jsou to jen antiviry. doplňky v prohlížečích a u boot verze ani záznamy v registrech jim nejedou, ale právě díky boot verzi mají dobrou šanci odhalit rootkity, s oblibou zneužívané ke krádeži hesel. to ale nebyl tento případ.
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15289 294_1197337017014435_8727163827086715625_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15272 303_1197337057014431_4142949285165917520_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15271 860_1197337060347764_1546115031288165111_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15252 494_1197337070347763_4323869529618674115_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15252 683_1197337133681090_8883845247955971217_o.jpg
ty office doplňky: jsem upřímně rád, že tak shitovou verzi nemám nainstalovanou.
m$ aplikace jsou čím dál vlezlejší, nečbezpečnější, lezou kam nemají.
koukám, že polovinu záznamů dělá foxit pdf - pro tisk do pdf používám free pdfcreator.
ty office doplňky: nemálokrát jsem měl tu smůlu zjistit, co to je za svinstvo... ale bylo to součástí operačního systému, co já s tím hnusem mám asi tak dělat?
MS Office NENÍ součástí Windows! Je to samostatný balík programů. Pokud spustíš instalaci Office se standardnm nastavením, nainstaluje se i tohle svinstvo. Je třeba volit uživatelskou instalaci a všechny tyhle srandičky vůbec neinstalovat.
Ostatně - volit uživatelskou instalaci a detailně projít všechny možnosti je zapotřebí dnes u všech programů, protože většina z nich obsahuje zbytečnosti ve formě rlzných autoupdatovačů, toolbarů apod.
A ještě k CCleaneru - uživatelé CCleaneru jsou především charakterističtí tím, že několikrát do roka instalují Windows, protože jim je CCleaner rozesral (oni to ovšem netuší, z rozesrání viní Microsoft). Těm, kteří CCleaner (a ani jiné čističe a tuniče) nepoužívají, vydrží zpravidla jwdna instalace Windows řadu let. CCleaner se dá jakž-takž akceptovat jen pokud ho používáš k mazání dočasných souborů (zytečně, protože program Vyčistění disku je součástí Windows) a nikdy nesaháš na registry.
no pardon, já o žádném takovém čištění disku nevím... proto mám ten ccleaner
to jako jinak nevím, jak bych to dělal
jak_vycistit_disk.php
Důvěryhodné prohlížeče jsou Edge,nebo IE 11.Ať se ti to líbí,nebo ne.
To je důvěryhodný jako prase no :D Edge možná, IE 11 rozhodně ne, pořád to má tunu much.
IE11 je ok iba starsie verze katastrofa, skor edge je katastrofa jinak firefox je dobrej.
Zkus ADWCLEANER nebo MBAM