Neodstranitelný adware AbetterInternet

Na téma Windows XP, 2000, Me, 98, 95 a starší

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod PrceK_P 12. 6. 2005 09:50

Mám proglém s jedním adwarem. Spybot jej detekuje jako "AbetterInternet" s klíčem v registru
Kód: Vybrat vše
HKEY_USERS\S-1-5-21-1715567821-764733703-854245398-1003\Software\aurora

Když ho dám Spybotem odstranit, tak mi zahlásí že jej odstranil, ale po restartu počítače je zpátky na svém místě.

Nevím jestli to s tím souvisí nebo ne, ale spouštějí se mi samy procesy, o kterých bych řekl, že nemají v počítači co dělat. Jmenují se např.:
jaalho.exe; bkzxwu.exe; dkmewg.exe; jkgxkij.exe apod.

Při spuštění těchto procesů mi Ad-Watch zahlásí požadavek na změnu v registrech, konkrétně v klíči
Kód: Vybrat vše
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
s hodnotou (při spouštění bkzxwu.exe) "cgmunz" a požadavkem na zápis nových dat "c:\windows\system32\bkzxwu.exe r".

Ty procesy se nějakým způsobem "hlídají", protože při ukončení jednoho procesu se okamžitě spouští další.

Na internetu jsem hledal návody na odstranění adware AbetterInternet, ale žádný z těch co jsem zkoušel (zkoušel jsem jich asi 8) neměl žádný účinek.

Doufám, že mi s tím někdo poradíte. Předem dík.
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod gofry 12. 6. 2005 11:10

Taketo mena si skor davaju virusy, nie ad-ware. Takze to prejdi nejakym antivirom - najlepsie trial verziou NODu.
Mozno budes musiet nabootovat do nudzoveho rezimu a poodstranovat to tam, aby sa nespustali dokola.
gofry
Junior
Uživatelský avatar

Odeslat příspěvekod X__ 12. 6. 2005 13:48

Zkus hledat zde v poradně, už se podobný věci řešili ... pokud se viry navzájem hlídají, tak postupuj takto: smaž jeden a něco neškodného, třeba nějaký *.txt přejmenuj na toho vira ... s ostatními nalož stejně ... vymaž ze startovací tabulky v MS Config.
年度新入社員入社式、社長あいさつの概要を掲載しました。
X__
Dočasný BAN
Uživatelský avatar

Odeslat příspěvekod ICEBOSS 12. 6. 2005 16:11

.. start-spustit-msconfig po spusteni... zrusit ho.... reset :)
Intel rulez everywhere and everytime!
Nepiste mi na ICQ a mejl, reste sve problemy tady, na foru!
ICEBOSS
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod PrceK_P 12. 6. 2005 16:49

ICEBOSS píše:.. start-spustit-msconfig po spusteni... zrusit ho.... reset :)


jenomže v "po spuštění" jsou všechny procesy, které chci spouštět a žádný, který nechci spouštět. :?
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod skjimmy 12. 6. 2005 16:52

Niekedy nestaci odstranit v msconfig, aby sa nespustal, lebo je stale v pamati a spustaci zaznam si obnovi pri ukonceni. Prvy krok je vzdy odstranenie z pamate, lenze to nie je az take jednoduche, lebo uz som videl aj virusy, ktore nebolo vidno v Task Manageri a bolo ich treba likvidovat cez prikazy qprocess a taskkill (plati pre WinXP).
skjimmy
Junior

Odeslat příspěvekod skjimmy 12. 6. 2005 17:00

a niekedy treba hladat aj v activex komponentach nainstalovanych v ieplorer, to hlavne vtedy, ked nie je zjavne spustacie miesto (nie je v msconfig)
skjimmy
Junior

Odeslat příspěvekod Levlard 12. 6. 2005 17:34

Osobně bych zkusil program HijackThis. Ten ti vypíše log spuštěných souborů, záznamů v registru.... a dle něho lze zjistit, co se ti tam pase. Kdybys chtěl zkusit tak návod a víc o něm:

http://viry.cz/forum/viewtopic.php?t=2230

Log můžeš dát i sem.
Levlard
VIP uživatel
Uživatelský avatar

Odeslat příspěvekod mkmt 12. 6. 2005 18:51

skus to preskenovat z nezavisleho systemu a tiez skus pouzit rootkitrevealer zo sysinternals, pretoze vecsina ludi ignoruje moznost vyskytu rootkitu vo windowse, co je uz dnes dost caste a v takom pripade Ti nepomoze nic take ako Adaware, HijackThis a podobne nastroje ani editacia spustanych programov cez msconfig alebo priamo v registroch
mkmt
Junior

Odeslat příspěvekod schm20 12. 6. 2005 19:19

na této adrese najdeš utilitu která ti to odstraní : http://securityresponse.symantec.com/av ... ernet.html
(dole je ke stažení)
schm20
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod lední brtník 12. 6. 2005 23:14

pomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z disku
lední brtník
Junior
Uživatelský avatar

Odeslat příspěvekod schm20 13. 6. 2005 05:53

jo ta utilitka by ti to měla vyčistit je na to dělaná
schm20
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod M@jo 13. 6. 2005 06:07

Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.
M@jo
Junior

Odeslat příspěvekod PrceK_P 13. 6. 2005 07:17

[quote="lední brtník"tpomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z diskua/quote]

v nouzovém režimu se ty procesy neaktivují a při proskenování systému mi Spybot v pohodě odstraní (alespoň to zahlásí) záznat v registrech. ale po nabootování do "normálního" režimu je tam zpátky a ty procesy se opět spoutějí.

NODem jsem to projel taky a ten mi nenašel vůbec nic.
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod PrceK_P 13. 6. 2005 07:38

M@jo píše:Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.


Hloubkovou analýzu za pomocí NOD32 jsem zkusil a nic. IMON mám puštěný od doby, co používám NOD32 (tj. asi půl roku).
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod PrceK_P 13. 6. 2005 08:08

skjimmy píše:Niekedy nestaci odstranit v msconfig, aby sa nespustal, lebo je stale v pamati a spustaci zaznam si obnovi pri ukonceni. Prvy krok je vzdy odstranenie z pamate, lenze to nie je az take jednoduche, lebo uz som videl aj virusy, ktore nebolo vidno v Task Manageri a bolo ich treba likvidovat cez prikazy qprocess a taskkill (plati pre WinXP).


qprocess mi vypíše procesy, pomocí taskkill s parametrem PID "odstřelím" ten, který potřebuju. zahlásí mi to úspěšné ukončení procesu, ale při dalším "vylistování" je tentýž proces zase zpátky.

A jen tak mimochodem - spouští se mi proces vždy jiného (nesmyslného) jména (viz původní dotaz).
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod 13. 6. 2005 08:25

co na to VTTimer? Ten se instaluje tuším s Microsoft AntiSpyware a měl by se tě zeptat jestli povolíš zápis do registru.

Třeba se pak ten ?virus?spyware nebude po každym restartu znovu spouštět. (Když se ho pokoušíš odstřelit i v paměti tak mu tím nedáš šanci zapsat se do znovu registrů, aby se mohl po restartu znovu spustit.)

Občas se taky viry a jiná havěť vyskytuje v WINDOWS/Prefetch. Promazat.
Kolemjdoucí

Odeslat příspěvekod PrceK_P 13. 6. 2005 08:30

[quote="Bó";co na to VTTimer? Ten se instaluje tuším s Microsoft AntiSpyware a měl by se tě zeptat jestli povolíš zápis do registru.

Třeba se pak ten ?virus?spyware nebude po každym restartu znovu spouštět. (Když se ho pokoušíš odstřelit i v paměti tak mu tím nedáš šanci zapsat se do znovu registrů, aby se mohl po restartu znovu spustit.)

Občas se taky viry a jiná havěť vyskytuje v WINDOWS/Prefetch. Promazat.I/quote]

Mám puštěný Ad-Watch a pochopitelně ten dotaz se mi zobrazuje. Tak jsem na tu potforu taky přišel.
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod lolaa 13. 6. 2005 08:37

S tím sem se setkal taky a všechen bordel ti spouští nějakej malej-jeden jedinej- šmejd.Nejlepší je si ve WIN vyhledat cestu těch blbostí,co máš tasku a v té složce vše seřadit podle data vzniku a natrefíš tam na malej spouštěcí prográmek,kterej ti to dělá.Pak budeš muset do nouzovýho režimu a smáznout ho.Jiným způsobem se mi to nepovedlo.
lolaa
Kolemjdoucí

Odeslat příspěvekod WURMi 13. 6. 2005 09:14

ty budes mat v pamati tych procesov viac a jeden druheho strazi pred killnutim. Akonahle jeden killnes, druhy ho spusti znovu a naopak ;)
A co tern link na symantec?
WURMi
Junior
Uživatelský avatar

Odeslat příspěvekod PrceK_P 13. 6. 2005 10:04

WURMi píše:ty budes mat v pamati tych procesov viac a jeden druheho strazi pred killnutim. Akonahle jeden killnes, druhy ho spusti znovu a naopak ;)
A co tern link na symantec?


podle mně jsou ty ostatní procesy viditelné v tasklistu v pohodě. ten šmejd s tím divným jménem je tam jenom jeden.

Symantec jsem zkoušel - odstranil nějaký jeden zápis do registru a asi dva nebo tři (teď už nevím) soubory, ale výsledek nula nula nic. Pořád je v paměti jeden šmejd.
PrceK_P
Junior
Uživatelský avatar

Odeslat příspěvekod Smok 15. 6. 2005 05:30

Skúste Ultimate proces manager, z http://www.lodusweb.net, ukáže nielen procesy, ktoré sú spustené ale aj procesy, ktoré ich spustili, a ktoré už nie je možné inak vidieť, a ktoré je vlastne pri takej hávedi potrebné odstrániť
Veľmi pekný program.
Smok
Junior

Odeslat příspěvekod Smok 15. 6. 2005 05:33

Skúste Ultimate proces manager z http://www.lodusweb.net. Ukáže nielen procesy, ktoré sú spustené, ale aj tie, čo ich spustili.
Smok
Junior

Odeslat příspěvekod mkmt 15. 6. 2005 06:24

ak tam mas rootkit, tak v taskliste proces ktory skryva neuvidis, pretoze modifikuje API funkcie
mkmt
Junior

Odeslat příspěvekod 2ge 15. 6. 2005 09:49

nemas nahodou vx2 ? Lebo mi to dost pripomina tento sajrajt a musim povedat ze som to asi tyzden odstranoval, pokym som nasiel nieco, s cim sa to dalo.
Mozno ti to pomoze, pozri si:
http://www.techsupportforum.com/archive ... 31306.html
mne toto fungovalo; napis ako si pochodil.
SubDownloader - stahuj a nahravaj titulky k filmom pomocou opensource programu z OpenSubtitles.org
2ge
Junior
Uživatelský avatar

Odeslat příspěvekod Kyong 15. 6. 2005 12:18

Pošli log z programu HijakThis 1.99.1
http://www.merijn.org/files/hijackthis.zip
Kyong
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod fleg(smazano) 21. 6. 2005 17:58

ako som si vsimol bol si uz blizko riesenia a stacilo malo a bol by si cisty....vacsina ludi ti tu radi polovicate riesenia ktore ti nepomoze (ziaden msconfig a spol).
ten nudzovy rezim je dobra cesta ale co robis zle je ze nevymazes vsetky vety vregistroch ktore zabezpecuju spustanie procesov. druha vec je ze na exe subory mozes mat hooknuty nejaky dalsi subor ktory zabezpeci spustenie dalsich klonov. problem rootkitov je na dalsi clanok takze sa s tym trosku este potrap a verim ze sa ti to podari odstranit celkom.
a never moc vsemocnym utilitkam nech sa od hocijakej spolocnosti;o)
fleg(smazano)
Junior

Odeslat příspěvekod 2ge 23. 6. 2005 11:43

ten vx2 sa nedal odstranit ani v nudzovom rezime, takze asi tak. Ja som mazal registre, robil som vselico mozne, ale neslo to, bol to najhorsi adware ktory som chytil. Trebalo sa bootnut do konzoly a tade ho vymazat...
Takze niekedy utility ozaj pomozu.
SubDownloader - stahuj a nahravaj titulky k filmom pomocou opensource programu z OpenSubtitles.org
2ge
Junior
Uživatelský avatar

Odeslat příspěvekod ANFI 23. 6. 2005 20:53

ANFI
Junior
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků