Stránka 1 z 2

Neodstranitelný adware AbetterInternet

Odeslat příspěvekNapsal: 12. 6. 2005 09:50
od PrceK_P
Mám proglém s jedním adwarem. Spybot jej detekuje jako "AbetterInternet" s klíčem v registru
Kód: Vybrat vše
HKEY_USERS\S-1-5-21-1715567821-764733703-854245398-1003\Software\aurora

Když ho dám Spybotem odstranit, tak mi zahlásí že jej odstranil, ale po restartu počítače je zpátky na svém místě.

Nevím jestli to s tím souvisí nebo ne, ale spouštějí se mi samy procesy, o kterých bych řekl, že nemají v počítači co dělat. Jmenují se např.:
jaalho.exe; bkzxwu.exe; dkmewg.exe; jkgxkij.exe apod.

Při spuštění těchto procesů mi Ad-Watch zahlásí požadavek na změnu v registrech, konkrétně v klíči
Kód: Vybrat vše
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
s hodnotou (při spouštění bkzxwu.exe) "cgmunz" a požadavkem na zápis nových dat "c:\windows\system32\bkzxwu.exe r".

Ty procesy se nějakým způsobem "hlídají", protože při ukončení jednoho procesu se okamžitě spouští další.

Na internetu jsem hledal návody na odstranění adware AbetterInternet, ale žádný z těch co jsem zkoušel (zkoušel jsem jich asi 8) neměl žádný účinek.

Doufám, že mi s tím někdo poradíte. Předem dík.

Odeslat příspěvekNapsal: 12. 6. 2005 11:10
od gofry
Taketo mena si skor davaju virusy, nie ad-ware. Takze to prejdi nejakym antivirom - najlepsie trial verziou NODu.
Mozno budes musiet nabootovat do nudzoveho rezimu a poodstranovat to tam, aby sa nespustali dokola.

Odeslat příspěvekNapsal: 12. 6. 2005 13:48
od X__
Zkus hledat zde v poradně, už se podobný věci řešili ... pokud se viry navzájem hlídají, tak postupuj takto: smaž jeden a něco neškodného, třeba nějaký *.txt přejmenuj na toho vira ... s ostatními nalož stejně ... vymaž ze startovací tabulky v MS Config.

Odeslat příspěvekNapsal: 12. 6. 2005 16:11
od ICEBOSS
.. start-spustit-msconfig po spusteni... zrusit ho.... reset :)

Odeslat příspěvekNapsal: 12. 6. 2005 16:49
od PrceK_P
ICEBOSS píše:.. start-spustit-msconfig po spusteni... zrusit ho.... reset :)


jenomže v "po spuštění" jsou všechny procesy, které chci spouštět a žádný, který nechci spouštět. :?

Odeslat příspěvekNapsal: 12. 6. 2005 16:52
od skjimmy
Niekedy nestaci odstranit v msconfig, aby sa nespustal, lebo je stale v pamati a spustaci zaznam si obnovi pri ukonceni. Prvy krok je vzdy odstranenie z pamate, lenze to nie je az take jednoduche, lebo uz som videl aj virusy, ktore nebolo vidno v Task Manageri a bolo ich treba likvidovat cez prikazy qprocess a taskkill (plati pre WinXP).

Odeslat příspěvekNapsal: 12. 6. 2005 17:00
od skjimmy
a niekedy treba hladat aj v activex komponentach nainstalovanych v ieplorer, to hlavne vtedy, ked nie je zjavne spustacie miesto (nie je v msconfig)

Odeslat příspěvekNapsal: 12. 6. 2005 17:34
od Levlard
Osobně bych zkusil program HijackThis. Ten ti vypíše log spuštěných souborů, záznamů v registru.... a dle něho lze zjistit, co se ti tam pase. Kdybys chtěl zkusit tak návod a víc o něm:

http://viry.cz/forum/viewtopic.php?t=2230

Log můžeš dát i sem.

Odeslat příspěvekNapsal: 12. 6. 2005 18:51
od mkmt
skus to preskenovat z nezavisleho systemu a tiez skus pouzit rootkitrevealer zo sysinternals, pretoze vecsina ludi ignoruje moznost vyskytu rootkitu vo windowse, co je uz dnes dost caste a v takom pripade Ti nepomoze nic take ako Adaware, HijackThis a podobne nastroje ani editacia spustanych programov cez msconfig alebo priamo v registroch

Odeslat příspěvekNapsal: 12. 6. 2005 19:19
od schm20
na této adrese najdeš utilitu která ti to odstraní : http://securityresponse.symantec.com/av ... ernet.html
(dole je ke stažení)

Odeslat příspěvekNapsal: 12. 6. 2005 23:14
od lední brtník
pomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z disku

Odeslat příspěvekNapsal: 13. 6. 2005 05:53
od schm20
jo ta utilitka by ti to měla vyčistit je na to dělaná

NOD32

Odeslat příspěvekNapsal: 13. 6. 2005 06:07
od M@jo
Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.

Odeslat příspěvekNapsal: 13. 6. 2005 07:17
od PrceK_P
[quote="lední brtník"tpomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z diskua/quote]

v nouzovém režimu se ty procesy neaktivují a při proskenování systému mi Spybot v pohodě odstraní (alespoň to zahlásí) záznat v registrech. ale po nabootování do "normálního" režimu je tam zpátky a ty procesy se opět spoutějí.

NODem jsem to projel taky a ten mi nenašel vůbec nic.

Re: NOD32

Odeslat příspěvekNapsal: 13. 6. 2005 07:38
od PrceK_P
M@jo píše:Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.


Hloubkovou analýzu za pomocí NOD32 jsem zkusil a nic. IMON mám puštěný od doby, co používám NOD32 (tj. asi půl roku).