Výhružný email od Vodafone - podvod? :-D
Zdar,
tohle mi přišlo od Vodafone a podle mě je to pravé, ale chci se ujistit a k tomu zjistit, co by to pro mě znamenalo, kdyby se mi nápravu sjednat nepodařilo? To mě jako odstřihnou od netu? To bych samozřejmě jim přestal platit a šel jinam a vzhledem k údajnému botnetu se asi jedná o tisíce jejich zákazníků, takže na to by si podle mě netroufli. 
Trochu mě mate na prvním místě doporučený antivir AVAST, který je tady považován za největší odpad.
Mám W10 s Defenderem, který naopak je zde tolerován a považován za dostačující.
Pokud mám PC napojen na botnet, tak bych poprosil o doporučení, jakým programem tento druh nákazy projet?
Díky za případnou radu a zdravím. 
![[Vodafone-email.jpg]](https://i.postimg.cc/8c7mdqVL/Vodafone-email.jpg)
Podobný mail jsem dostal před mnoha lety od UPC. Byl jen stručnější. Mojí první reakcí byla důkladná kontrola počítače na přítomnost malware...
Prolezl jsem systémové protokoly na mém zařízení a ověřil si, že v inkriminované době, kdy mělo dojít k incidentu, můj počítač nebyl vůbec zapnut.
Nevím, jak to zjišťování měli zařízené, ale předpokládám že mě "odhalili" pomocí IP adresy. Která je ale přidělována dynamicky a trefili se zrovna vedle...
Skončilo to omluvou s tím, že nemám na tuto výzvu reagovat. Od té doby je klid.
Zajímavé. Já v ten čas taky neměl žádný PC spuštěný a dynamickou IP mám. Napíšu jim a uvidíme.
Zkus test jak máš zabezpečené PChttp://test.bezpecnosti.cz/antivir/ }} dobrý je jrt.exe https://www.bleepingcomputer.com/download/junkware-removal-tool/ } a tohle vše je bez instalace a najde i to co nevidí Antivirus.https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/safety-scanner-download }} tak tohlehttps://www.techsupportall.com/adware-removal-tool/ }} jinak UPC mě taky kdysi poslal podobnou výstrahu,takže Vodafone v tom asi jen pokračuje.
Ten první odkaz se jaksi nepovedl http://test.bezpecnosti.cz/antivir/
Ukázalo mi už po kliknutí, ještě před stažením, červený trojúhelník, že nebezpečné.
A po stažení, při pokusu o otevření, vyskočilo červené okno, že mi to může poškodit PC.
jak píšou níž, soubor eicar obsahuje jen dohodnutý textový řetězec. příponu .com má proto, ať si ho antivir všimne.
takže když ho ohlásí, víš že antivir v prohlížeči funguje, samotná stránka i soubor jsou bezpečné.
jak už tu bylo: výpis běžných procesů pomocí ms autoruns a process explorer.
kdo si nevěří a očekává ve svém pc viry / rootkity, otestovat z nezávislého boot média, odkazy jsem dával.
protože se tu neobjevil žádný nový screen který by dával smysl, předpokládám že vyřešeno.
No já neměl čas sem něco dávat, budu to řešit v noci a určitě sem nějaký nesmyslně okleštěný screen bez důležitých informací zase dám.
A na tu tvou první radu jsem již odpovídal, že za ni děkuji a časem vyzkouším. 
kdyby to došlo do takového stavu, že je nutno skenovat z boot cd, ten kaspersky ukládá log na disk c:
protože to jsou live linuxy, člověk zkouší pod tučňáčím menu "start" najít nějaký painbrush, velmi vzácně se může podařit a zas uložit screen na disk.
že v ms autoruns byly nějaké žluté a červené položky, nemá bez screenu smysl. obecné vysvětlení jsem dával.
Screen zde, ale ty žluté jsem už smazal.
autoruns:
první sloupec je název procesu - tam hledáš něco nepatřičného, co ti vadí.
sloupec image path - ukazuje kde ta věc leží na disku.
to znamená, že oba sloupce si musíš roztáhnout na tak široké, abys viděl jejich obsah.
žluté smazané položky byly nenalezené odkazy. mohlo být odstraněno jinými čističi, nebo šlo o dočasné soubory které instalátor zapomněl odregistrovat.
protože mohlo jít taky o smazané pozůstatky virů, chce to před smazáním číst o co šlo, kam to vedlo.
červené položky neobsahují digitální popis, který mívají slušné dll/exe/sys.
pozůstatky z větve "image file execution options" jsou zbytek po avízu k upgrade w7 -> w10 (jak praví google). teď už zakázat, nebo rovnou smazat.
jinak tam nic zvláštního nevidím, až na některé zbytečné aktualizátory a monitorovače dell. pro mě spíš bloatware.
tomu zázračnému aguard nevěřím taky, tvůj boj.
process explorer:
toho se týkala poznámka o vytížení cpu - ale při konkrétním, podezřelém procesu. setřídit výpis podle zabrané ram je zbytečnost, určitě nemá smysl při hledání možné síťové škodné.
až teď jsem si všim - ten screen je ve formátu .jpg! to je formát od ďábla, estéti publikují screeny jedině v .png, malování ho umí už 18 let.
Není to fuk? Hlavně, že je to vidět, ne?
Jinak dík za podrobný popis toho Autoruns. 
Ale radši se v tom šťourat nebudu, to by asi nedopadlo dobře.
P.S.: Zajímavé, že teď mi poradna píše ta mini písmena, kterými jsi teď psal ty a ignoruje odsazení řádku entrem, další záhada.
jpg je ztrátová komprese = dělá rozmazaný obraz, což je u textu vidět. je to formát blond sekretářek.
screenshoty mívají stejnobarevné plochy a kontrastní přechody, na to je mnohem vhodnější bezztrátová komprese bez ztráty kvality. jpg v tomto případě naopak zvětšuje velikost obrázku.
pozn.: neodřádkování enterem u zatržení "mimo téma" funguje náhodně.
Jsem to teď zkusil, jeden v JPG, druhý, ten samý, v PNG, ale rozdíl jsem žádný nepoznal ani v kvalitě, ani velikosti (vizuálně). Asi blbě vidím.
Ale ve velikosti na disku je rozdíl solidní - JPG 540 kB, PNG 1,63 MB.
Pravděpodobně jsi otevřel JPG (tedy již "zprasený" oibrázek) a uložil jsi jej jako PNG. Zkus to znovu: https://ctrlv.cz/JWQ3
Udělal jsem to tak, že jsem měl zrovna puštěné YouTube, tak jsem jen stiskl klávesu PrtScr, vložil do Malování a tam uložil jako JPG a pak opět vložil ze schránky a uložil jako PNG. V jakém formátu to je ve schránce, nemám tušení.
No jo, jenže my se tu celou dobu bavíme o snímcích programů (viz brtník: "screenshoty mívají stejnobarevné plochy a kontrastní přechody"), ne videí.
Já nescreenoval video, ale hlavní stránku youtube s texty a to vyjde snad nastejno, jestli oscreenuju program s textem, nebo stránku webu s textem, ne? Brtník psal, že JPG mění barvy a zvětšuje text a nic takového jsem nezaznamenal. Zkusím to tedy ještě v nějakém programu.
Edit: Opět nevidím rozdíl.
Doporucujem to konzultovat v terene - najblizsia voliera, pavilon dravcov. Okrem zmeny odtiena niektorych farieb nerozoznas na full HD ani prd.
Tak jsem projel i ten druhý PC. AdwCleaner nic, Malwarebytes našel 22 položek (zde jsem to i čekal, tenhle PC používá víc lidí):
Těch, co mají v názvu "WinYahoo" je cca 20 stejných, jen v různých umístěních.
Takže do karantény? A jsou to vůbec viry/malware?
Ptám se, protože mi našel jako potencionálně nebezpečné programy i PC doctora a nějaké asistenty od Dellu, což nebezpečné asi nebude.
Brtnik bude mat radost, super obrazok z ktoreho nevidiet ani prd.
Pravdepodobne to budu vsetko nejake otravne adware kraviny, nic kriticke, ale ked uz si ich nasiel tak preco ich nezmazat. Bolo by tiez vhodne skontrolovat na tom PC nainstalovany SW a co vsetko sa spusta po starte OS. Vsetko nadbytocne vymazat.
má to sám adware, a neumí si zvětšit okno.
ten nápad, když nic takového neinstaloval (no, bfu jen slepě klikají), souvisí to se stahováním reklamy, ale oběť to místo odinstalace/smazání cpe do karantény - to tomu chce dávat tabletky a vařit čaj?
tazatel:
ms autoruns, process explorer - ukážou vlastnosti procesu včetně umístění.
žlutá / červená barva má jiný význam: chybí popis uvnitř souboru, v registrech je záznam ale soubor není na disku. taky může být zajímavé vytížení cpu.
edit: koukám že do toho instaluje kdejaký shit.
adguard software - nějaký další renomovaný a zázračný soft? tak proč má poskytovatel s jeho síťovým provozem problém?
To bude asi OK.
Spíš paměť mi přijde zbytečně zabraná, ale možná je to normální.
Tady kdyžtak ještě tohle.
Zkus odpálit ten AdGuard, na reklamy můžeš do FF i Chrome přidat doplňky třeba AdBlock Plus a UBlock Origin.A proč máš FF 32 bit?
Mám koupenou doživotní licenci, tak se mi moc nechce ho odpalovat.
AdBlock jsem už měl, ale dost reklam pustil, na rozdíl od tohohle. FF 32bit mám z pracovních důvodů, je to stará verze 48.0.2, která jediná mi zobrazuje pracovní stránku korektně.
AdGuard je sice v pohodě,ale občas po aktualizaci systému dělal dost problémy takže jsem ho odinstaloval smazal i v regedit a znovu nainstaloval a zase vše bylo OK. Já ho sice na svém PC nemám,ale otec a vždy u PC vyšiloval,že mu to blokuje internet ono je třeba některé stránky dát do výjimek jinak se mu nedařilo se přihlásit na stránky jako je KUPI Sportka a Air Bank.
Mám to stejně. Třeba FF mi to zablokuje úplně, na všech stránkách vyskočí hlášky o nezabezpečeném připojení a chybějících certifikátech webů. Ale ten mám jen na pracovní stránky, takže ten jsem z AdGuardu vyškrtl úplně. Jinak jsem na Chromu a tam je vše v pohodě.
to funguje jako čínská / ruská proxy? no potěš.
Netuším. Ale co si vzpomínám, tak při koupi licence chtěli platbu v rublech, což mi tedy přišlo docela podezřelé...
Ale trial verze fungovala výborně, tak jsem si řekl, že jde o funkčnost a ne původ, a zatím vše v pohodě. Ty certifikáty budou způsobeny tou mojí starou neaktualizovanou verzí FF.
mám ještě xp, takže ff esr 52.9 - chyby certifikátů nepíše.
varování jsou jen v případě, že web nesprávně uvede odkaz s https místo http. ale to jde obvykle o malé weby, které jejich autor nemá v pořádku.
pokud ti to vypisuje často, aspoň dočasně na pár dní bych se toho adguard zbavil, zkontroloval nastavení proxy a ještě pro jistotu proskenovat pc na spyware.
Jasně, že ti to nevypisuje chyby certifikátů, když nemáš Adguard.
Tam se tluče právě Adguard se starou, neaktualizovanou verzí FF. Zkoušet to nebudu, ale tipuju, že aktuální verze FF žádné takové chyby nevypíše.
Co mě ale spíš štve, že mi Malwaebytes vypisuje u hromady webů trojana a blokuje je. Třeba Stahuj.cz. Ale tak třeba tam trojani jsou, co já vím, a ochránilo mě to (tedy téměř, protože jsem tam dal výjimku, aneb jak se říká, před blbostí uživatele není ochrany).