Neodstranitelný adware AbetterInternet

od **PrceK_P** 12. 6. 2005 09:50

Mám proglém s jedním adwarem. Spybot jej detekuje jako "AbetterInternet" s klíčem v registru

Kód: Vybrat vše: HKEY_USERS\S-1-5-21-1715567821-764733703-854245398-1003\Software\aurora

Když ho dám Spybotem odstranit, tak mi zahlásí že jej odstranil, ale po restartu počítače je zpátky na svém místě.

Nevím jestli to s tím souvisí nebo ne, ale spouštějí se mi samy procesy, o kterých bych řekl, že nemají v počítači co dělat. Jmenují se např.:
jaalho.exe; bkzxwu.exe; dkmewg.exe; jkgxkij.exe apod.

Při spuštění těchto procesů mi Ad-Watch zahlásí požadavek na změnu v registrech, konkrétně v klíči

Kód: Vybrat vše: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

s hodnotou (při spouštění bkzxwu.exe) "cgmunz" a požadavkem na zápis nových dat "c:\windows\system32\bkzxwu.exe r".

Ty procesy se nějakým způsobem "hlídají", protože při ukončení jednoho procesu se okamžitě spouští další.

Na internetu jsem hledal návody na odstranění adware AbetterInternet, ale žádný z těch co jsem zkoušel (zkoušel jsem jich asi

neměl žádný účinek.

Doufám, že mi s tím někdo poradíte. Předem dík.

od **gofry** 12. 6. 2005 11:10

Taketo mena si skor davaju virusy, nie ad-ware. Takze to prejdi nejakym antivirom - najlepsie trial verziou NODu.
Mozno budes musiet nabootovat do nudzoveho rezimu a poodstranovat to tam, aby sa nespustali dokola.

od **X__** 12. 6. 2005 13:48

Zkus hledat zde v poradně, už se podobný věci řešili ... pokud se viry navzájem hlídají, tak postupuj takto: smaž jeden a něco neškodného, třeba nějaký *.txt přejmenuj na toho vira ... s ostatními nalož stejně ... vymaž ze startovací tabulky v MS Config.

od **ICEBOSS** 12. 6. 2005 16:11

.. start-spustit-msconfig po spusteni... zrusit ho.... reset

od **PrceK_P** 12. 6. 2005 16:49

ICEBOSS píše:.. start-spustit-msconfig po spusteni... zrusit ho.... reset

jenomže v "po spuštění" jsou všechny procesy, které chci spouštět a žádný, který nechci spouštět.

od **skjimmy** 12. 6. 2005 16:52

Niekedy nestaci odstranit v msconfig, aby sa nespustal, lebo je stale v pamati a spustaci zaznam si obnovi pri ukonceni. Prvy krok je vzdy odstranenie z pamate, lenze to nie je az take jednoduche, lebo uz som videl aj virusy, ktore nebolo vidno v Task Manageri a bolo ich treba likvidovat cez prikazy qprocess a taskkill (plati pre WinXP).

od **skjimmy** 12. 6. 2005 17:00

a niekedy treba hladat aj v activex komponentach nainstalovanych v ieplorer, to hlavne vtedy, ked nie je zjavne spustacie miesto (nie je v msconfig)

od **Levlard** 12. 6. 2005 17:34

Osobně bych zkusil program HijackThis. Ten ti vypíše log spuštěných souborů, záznamů v registru.... a dle něho lze zjistit, co se ti tam pase. Kdybys chtěl zkusit tak návod a víc o něm:

http://viry.cz/forum/viewtopic.php?t=2230

Log můžeš dát i sem.

od **mkmt** 12. 6. 2005 18:51

skus to preskenovat z nezavisleho systemu a tiez skus pouzit rootkitrevealer zo sysinternals, pretoze vecsina ludi ignoruje moznost vyskytu rootkitu vo windowse, co je uz dnes dost caste a v takom pripade Ti nepomoze nic take ako Adaware, HijackThis a podobne nastroje ani editacia spustanych programov cez msconfig alebo priamo v registroch

od **schm20** 12. 6. 2005 19:19

na této adrese najdeš utilitu která ti to odstraní : http://securityresponse.symantec.com/av ... ernet.html
(dole je ke stažení)

od **lední brtník** 12. 6. 2005 23:14

pomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z disku

od **schm20** 13. 6. 2005 05:53

jo ta utilitka by ti to měla vyčistit je na to dělaná

od **M@jo** 13. 6. 2005 06:07

Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.

od **PrceK_P** 13. 6. 2005 07:17

[quote="lední brtník"tpomoct by měla ta antivirová utilitka, jinak:
spusť win v nouzovém režimu
zkus ty procesy odstřelit z paměti pokud tam jsou
vypni jejich záznamy přes msconfig
pro větší jistotu můžeš místo ukončení windows dát okamžitý reset - bez možnosti zápisu do registrů nežádoucími procesy
po restaru ty soubory smaž z diskua/quote]

v nouzovém režimu se ty procesy neaktivují a při proskenování systému mi Spybot v pohodě odstraní (alespoň to zahlásí) záznat v registrech. ale po nabootování do "normálního" režimu je tam zpátky a ty procesy se opět spoutějí.

NODem jsem to projel taky a ten mi nenašel vůbec nic.

od **PrceK_P** 13. 6. 2005 07:38

M@jo píše:Skus hlbkovu analyzu s NOD32. Ten detekuje spyware BetterInternet heuristicky, bez aktualizacie. Okrem toho, HTTP skener v IMONovi zabrani jeho stiahnutiu v buducnosti.

Tiez si preskenuj pc s RootkitRevealerom, ako tu uz bolo spominane.

Hloubkovou analýzu za pomocí NOD32 jsem zkusil a nic. IMON mám puštěný od doby, co používám NOD32 (tj. asi půl roku).

Neodstranitelný adware AbetterInternet

Kdo je online