virus

ještě řekni, že to heslo píšeš v chrome a k těm zbytečným antivirům máš jeden sw navíc.

tak nějak úplně nevím, jak to myslíš...

logo prohlížeče snad poznáš (zobrazovat titulek okna s názvem sw není in)
promoření spywarem je pro uživatele chrome typické - a když už doplněk v prohlížeči sbírá tvoje hesla...

ale spíš bych čekal odpověď, jestli jsi začal s odspywarováním.

začal, chystám se k nouzovýmu režimu...
a žádnej vadnej doplněk v chromu nemám, tak nevím teda... mám jako přejít na explorer? nebo mozarelu?

žádnej vadnej doplněk v chromu nemám

a ty hesla ti asi na dálku krade babička.
adwcleaner vygeneruje i log, můžeš si počíst.

četl jsi, co jsem napsal?
byl to pouhý pokus o ukradení hesla přesměrováním do kolonky na mail
jinak docela pochybuju, že adblock nebo ghostery (který už nějakou dobu použivám a jsem s tím spokojenej) by zničeho nic udělali takovou hovadinu.
ale jinak si tvou radu beru k srdci, stále na tom dělám

jistě, stále plánuješ spustit ten adwcleaner, nic se nesmí uspěchat.
a taky věříš tomu, že ti chrome ukazuje všechny doplňky. tak potom ty hesla opravdu krade babka - kdo by to do těch seniorů dneska řek?

už jsem to uspěchal, adwcleaner jsem spouštěl několikrát v nouzovým režimu a nic...
jinak nevěřím, že by mi chrom ukazoval všechny doplňky, samozřejmě vím, co to je za kurvu, ale pár takových doplňků jsem už zrušil před nějakou dobou a další se od té doby neobjevily...

budu si teda muset s babičkou vážně promluvit

pak nezbývá, než místo klikátka nasadit drsný mozek -> ms autoruns má záložky: logon (po spuštění), services (služby), scheduled tasks (naplánované úlohy).

ten frajer se tváří docela drsně...
nemáš nějakou bližší radu, co s ním mám dělat?

když to nechceš řešit sám, na nějaký imagehosting hodit ty screeny - ať jsou čitelné sloupce s názvem, výrobcem a cestou k programu - a sem fouknout odkazy.

může být?
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15289 056_1197304150351055_8334036287455384767_o.jpg

fak nejde o fullscreen bílé stránky, na které nejsou roztažené důležité sloupce (název, image path).
zbytečný f-secure zakázat. a aviru, která ničemu nezabránila, lze odinstalovat.
a ty další záložky?

ok, ještě - zakážu to tak, že to prostě odkliknu nebo tam musím něco přenastavovat?

https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15304 655_1197336763681127_6470202595575084617_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15325 413_1197336773681126_616246269097353240_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15194 500_1197336747014462_5130669311604278221_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15235 352_1197336810347789_4299906171684291383_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15304 651_1197336850347785_7666659654417840031_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15325 288_1197336890347781_4874809021691947079_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 641_1197336860347784_2483515318341185904_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15272 199_1197336907014446_2097306325265277522_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15252 678_1197336913681112_9212030475960244521_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15250 744_1197336937014443_4509387922545817222_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15288 522_1197336947014442_5062024666889020068_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15235 477_1197336953681108_672559460943436492_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 348_1197336983681105_520775440926842401_o.jpg
https://scontent-frt3-1.xx.fbcdn.net/t31.0-8/15259 227_1197336997014437_2487397122688652921_o.jpg

zrušíš fajfku.

run:
používáš windefender zároveň s avirou a ještě tím f-securem? co to má dohromady dělat?
ccleaner: řeknu to zdvořile - jeho používání je známkou slabomyslnosti.
ten appnhost vypadá jako smazaný spouštěč spyware ... fak není v logu adwcleaneru žádný záznam?

explorer (shell extension průzkumníka):
když máš 7-zip, k čemu kradený winrar?

internet explorer:
zakázal bych doplněk office. věčně děravý a nebezpečný office nemá co přístupovat k webovému obsahu.

task scheduler:
zakázal bych všechno, snad kromě defenderu a onedrive. rozhodni se, který z antivirů chceš provozovat.

drivers:
u označeného netadapter.cx.sys zjisti podle data a vlastností/popis, k čemu patří. nech ho proskenovat na virustotal.

f-secure není aktivní, defender taky ne.
ccleaner - moc nechápu proč, patrně jsem slabomyslný
opravdu vůbec žádný záznam

winrar jsem musel stáhnout spolu s nějakou kravinou

je to s těma antivirama tak moc hrozný? nějak to nevypadá, žeby se vzájemně rušili...

netadapter.cx.sys - systémový soubor, neznámá aplikace, 88 kB, jinak vůbec nic. skenovat to nejde

netadapter.cx.sys - systémový soubor, neznámá aplikace, 88 kB, jinak vůbec nic. skenovat to nejde

jestli je zamknutý, mohl by jít zkopírovat. tu kopii oskenovat.

je to s těma antivirama tak moc hrozný? nějak to nevypadá, žeby se vzájemně rušili...

spíš nebudou fungovat, až budou muset. ale pokud neběží současně ve službách/services, je to ok.

jestli se zvrhlé chování chromu nevyřešilo, zazálohovat/přesunout současný profil chrome v appdata, nechat vytvořit nový.
lepší=bezpečnější je jakýkoli normální prohlížeč.

2 věci:
1. jak přesně to mám zálohovat a k čemu to vlastně bude
2. jaký prohlížeč bys doporučil a kde by se dal bezpečně stáhnout?

pokud není spyware odstraněn, je to některý ze skrytých extensions v profilu, který antispyware nedokázal detekovat. pak ho zahodit ručně.
nemám tu ani chrome, ani w7, tak jen jak to najít:

cd %appdata%
attrib extensions /s /d

a mělo by to vypsat cestu k profilu chrome. možná by šlo hledat i "google chrome"

nezkopírovatelný soubor by mohl jít kopnout v nouzovém režimu.
100% pak z libovolného boot cd se správcem souborů (hirens, atd)

pořád samé "not found"...

s tou mrdkou to vyšlo, ale nic to nenašlo.

šel jsem v počítači do chromu, šlo by to tam nějak najít?

ještě jednou:

cd %appdata%
dir /w
tree > %userprofile%\desktop\hledam_chrome.txt

tam někde musíš svůj profil chrome vidět. já si to svinstvo určitě instalovat nebudu.

vytvořil se mi poznámkový blok: "hledam_chrome", co teď?

v něm ten profil chrome musí být vidět.

ok, ty seš tady genius. Tak teda vidíš ho? já na binární kódy a jiný šifry moc nejsem...
https://scontent-frt3-1.xx.fbcdn.net/v/t1.0-9/1534 9822_1199004816847655_8142482143644991907_n.jpg?oh =d698a93ba3cc8f52a4120bd30eaf5fa4&oe=58B40029

to je textový soubor. proč sem dáváš tohle, jak v tom chceš hledat? vždyť ten výpis má nejspíš více stránek.
pokud neregistrovaní nemohou vložit přílohu, jde použít libovolné skladiště, nebo se registrovat.

na žádném z normálních počítačů, které mám po ruce/po síti, není chrome nainstalovaný, tak se nemůžu přesvědčit, kde má profil.

nezávazně:

C:\Users\"uživatel"\AppData\Local\Google\Chrome\Us er Data\
xp: C:\Documents and Settings\"uživatel"\Local Settings\Data Aplikací\Google\Chrome\User Data\
C:\Users\[uživatel]\AppData\Local\Google\Chrome\Us er Data
C:\Document and Settings\[uživatel]\Data Aplikací\Google\Chrome\User Data

nic z toho moc nenašlo...
Ale jak už jsem psal předtím: našel jsem složku user data a v ní system profile a pak extension rules, není to náhodou to, co se snažíme najít???

A přikládám ten text, ale nenajdeš tam víc, než co už jsem nafotil

psal jsem výš i nějaké nezávazné cesty, kde se má nacházet uživatelský profil chrome.
tak holt máš nějakou neznámou verzi windows, kde se žádný profil chrome nevytváří a jeho adresář je úplně prázdný.

zoufalec [88.103.228.xxx], 02.12.2016 01:15
ale zkusil jsem to hledat normálně a objevil jsem složku "extension rules", je to k něčemu?
našel jsem složku user data a v ní system profile a pak extension rules, není to náhodou to, co se snažíme najít?

je to možné, ale k ničemu. nevidím tu vypsanou ani cestu k ní, ani obsah. mám si kdejaké svinstvo kvůli každému tazateli instalovat?
jde o to, odkud níž začít mazat. máš to před sebou, ale výsledky bádání si necháváš pro sebe, tak to nebudem zdržovat: nic nezálohuj, smaž pod %userprofile% všechno, co patří google chrome, na moc % to pomůže.

aby to bylo 100%, nesměl by chrome instalovat žádné doplňky do program files / (nebo x86 verze).
obávám se, že to zase budeme zjišťovat 2 dny.

tak jsem to udělal, doufám, že mi to nějak nezkurví nastavení v samotném chromu...

program files já vypátrám, ale určitě nevím, jak mu zatrhnout stahování neviditelných doplňků...
Dál mám dotaz, musel to být nutně spyware? nemůže to být například třeba nabourání wifi nebo něco podobnýho či nějaká dysfunkce?
jinak ale čekám na další pokyny, rád bych to měl už pořešený taky

snad to chrome umí, třeba se volá chrome.exe s parametrem, google napoví:
1) založ si v něm nový profil
2) bude se na stránce, kde se předtím staly ty události s heslem, chovat nový účet* stejně špatně?

*) i když jak to teď čtu, místo opravy uživatelského profilu (jako u firefoxuú jde u chrome jen o tahání další identity a osobních dat.

Přihlaste se do nově vytvořeného profilu v Chromu pomocí účtu Google.

jednodušší je staré nastavení smazat/zahodit a neřešit.

Zkusil a nic, ovšem jelikož se to stalo zcela ojediněle (myslím teda), přestože se přihlašuju Xkrát, jak bych to moh poznat, je dost možné, že se to už nestane.
Jenže stalo, a mě to nenechává chladným.
A změna/destrukce nastavení mi nepřijde jako řešení.

A změna/destrukce nastavení mi nepřijde jako řešení.

u chrome ano. já proto nejdřív nabízel zkopírovat profil pryč, ale když není k nalezení, co s tím.
kolega tu zmiňuje jiný udělátor, zkušenosti nemám, ale vyblbneš se.
v samostatných procesech mimo prohlížeč jsem si ničeho nevšim, viz poznámky k ms autoruns. takže je to podle mě v (doplňcích) chrome.

můžeš se ještě těšit, že je to keylogger - mezi systémovými drivery se dá snadno přehléhnout, pokud rovnou některý nemodifikoval. potom by ho mohlo odhalit jen bootovací antivirové cd, ideálně ze států s nejvyšší počítačovou kriminalitou:
livecd
4162

Přináším čerstvé zprávy z fronty, velkomaršále Wunderbäre.
Udělátor od kolegy našel 3 postižence, který nápadně připomínaly nechtěné doplňky chromu (něco o appnhost, user key registr nebo tak něco), tak jsem je zrušil.
Mistr kaspersky posléze nenašel nic, stejně tak udělátor a spol. Drweb byl nekompatibilní a když jsem se ho zbavil, zanechal po sobě nechtěnou aplikaci, které už jsem se taky zbavil...

Mám naději, že bitvu jsme vyhráli, zhodnocení nechám na tobě.

A teď válka pokračuje: Pomůžeš mi zabránit tomu, aby Herr ChromFührer stahoval neviditelné nechtěné doplňky?

myslím, že se dá žít i s chromákem:
dávat si bacha na co klikáš - zásadně, ale zásadně nebrat divné zdroje a zázračně free.
dobře se dívat na všechny hlášky, když se něco chce stahovat/instalovat.
a aspoň cvičně co 1/4 roku projet pc antispywarem. s jiným prohlížečem stačí 1x ročně. je to kvůli tomu, že chrome umí skrývat doplňky.

dokud byli kinderhaxoři vychovaní jen na m$ windows, jako 100% obrana stačil omezený účet. asi po 10 letech používání windows (a s nástupem vista+) si kriminálníci konečně všimli uživatelských práv, dnes se škodná klasicky instaluje do profilu uživale, kde má i omezený uživatel a jím spuštěný spyware instalační práva.
právě proto jsme šli po vyhubení profilu chrome - tomu tak nějak odpovídají i nalezené záznamy tím killerem.

edit: "kaspersky / dr.web nic nenašly"
jsou to jen antiviry. doplňky v prohlížečích a u boot verze ani záznamy v registrech jim nejedou, ale právě díky boot verzi mají dobrou šanci odhalit rootkity, s oblibou zneužívané ke krádeži hesel. to ale nebyl tento případ.