Jak odstranit spyware?
Instaloval jsem u matčiného známého (u něho se dobře pracuje - chlast a cíga zdarma)
ADSL připojení k Internetu pomocí modemu D-Link. Já trouba zapoměl, že tam má pouze Windows XP bez jakéhokoli SP a záplat a zapoměl taky na to, že v té prvotní verzi XP není u síťové karty automaticky zapnut firewall..
Prakticky 3 minuty po dokončení instalace - za tu dobu jsem stihnul jen prohlídnul domovskou stránku Seznam se objevil vir Blaster - ten nebyl problém odstranit, jenže se stáhl i nějaký spyware - začaly samy od sebe vyskakovat reklamní okna a podobně.
Jal jsem se tedy do čištění a z nouzového režimu vyházel všechny položky z registru ze sekce RUN co tam nepatří (bylo jich tam asi tak 9). Inu problém nadále přetrvával.
Když jsem kouknul do správce úloh tak tam nebyl žádný (!) podezřelý proces, jen to co tam má být ale reklamní okna vyskakovaly vesele dál. Přitom často padal proces explorer.exe - zřejmě ho nějaký záškodný malware napadnul a modifikoval a udělal z něho spyware downloader - ani bych se tomu nedivil.
Tak jsem si řeknul: Stáhnu adaware ten to snad odstraní - jenže houby, sice našel 98 položek (!!) avšak 2 nemohl odstranit. Ty jsem odstranil z disku v nouzovém režimu manuálně.
[mod]Autor dotazu již nehodlá tento problém řešit: http://pc.poradna.net/question/view/31195-jak-odstr anit-spyware#re-32691 LOCK (Kurt)[/mod]
Pokračování:
Vše bylo po resetu v naprostém pořádku dokud jsem nespustil prohlížeč IE nebo Operu - a zas to bylo na novo, začaly vyskakovat reklamní okna, špatně se zobrazovaly www stránky v prohlížeči a padal explorer.
žádný podezřelý proces však v sytému neběžel.. Adaware pak našel jen nějaké podezřelé DLL soubory ale tyto po smazání a resetu se tam objevily vždy znova..
Jsem z toho docela bezradný - zapnutí FW nepomohlo, ad-aware to nedokáže odstranit, a sekce po spuštění a všechny větve RUN v registrech jsou čisté, přesto se po restartu vždy stáhně nějaký spyware a začnou vyskakovat reklamní okna. Stáhnuté pluginy v IE byly taky vyčištěny ovšem bez kladného výsledku.
Já jsem se setkal s mnoha podobami spywaru, ovšem s tímto ještě ne. Už jsem se setkal i s tím, že mi spyware modifikoval soubor notepad.exe a vždy po spuštění txt souboru se spustil před Poznámkovým blokem spyware downloader a stáhnul různé trojské koně a podobně. To jsem ale kdysi jak se mi to stalo odstranil.
AdAware mi treba vubec nenajde Smithfraud.C, kterej je dost agresivni a zpusobuje padani pocitace. Zkus Spybot S&D
Neinstalovat Win XP bez záplat. Jak integrovat SP2 do instalačního CD Windows XP se lze dočíst např. zde: AR.asp
Je nesmysl cokoliv odstraňovat a přitom nezalepit díry v systému...
"Odborník" v akci...
, zkus jeste vypnout obnovu systemu a projet to vsemi temi antibordel programy znovu. Samozdrejme pri odpojenem netu. Kdyz to nepomuze, tak reinstall bude nutny.
Milý Mirečku! Nechápu, jak se ti to mohlo stát, když jsi tu nedávno psal, že dokážeš pracovat na PC bez záplat a antiviru, aniž by se ti tam něco dostalo. Jsi opravdu schizofrenik! Chtěl jsem ti pro osvěžení paměti najít tvůj příspěvek, ale ty už tu máš tolik sraček, že se mi to nechce hledat.
Se soudružským pozdravem starý Brůna.
Bez záplat za dodržování moji bezpečnostní politiky - tuto ale pochopitelně na cizím PC dodržovat nebudu.
Můj PC jedoucí na veřejné IP a bez Firewallu a záplat (kromě na blastera) po dobu 14 dní byl toho důkazem.
teď už chybí jen mjr. Zeman
Co SpyBot? Taky nepomohl?
/Edit: Pochopitelne to chce verzi s poslednim updatem.
Ten Ad-Aware SE updatován byl.
Spybot zatím zkoušen nebyl.
Tak vyzkouset. Mam zkusenosti, ze obcas si jeden poradi s tim, cim ten druhy ne.
Ano jsem taky pro kombinaci obou a nemám velký problémy
Nezapomeň po těch dvou to zkontrolovat HijackThis a vyházet tlačítkem Fix checked co tam nepatří. Stále být nepřipojen. Log soubor můžeš poslat na hijacklog.htm k analýze.
btw., skoro kazdy pouziva rozne anti (spyware, adware) tooly, ale zabuda na rootkity, na ktory existuje vyborny tool: RootkitReveal - http://www.sysinternals.com/Utilities/RootkitReveal er.html
jj, to je pěkná věcička.. už mi jednou pomohl u známé, která měla "vetřelce deep inside"
jen bych se chtěl zeptat co znamená ve výpisu KAVICHS ?
[img]http://img86.imageshack.us/img86/6473/rootkit5em.gi f[/img]
to mě taky zajímá
Nepoužíváš Kaspersky AV?
asi před měsícem pár dní, jak byly ty problemy s NOD32, ale už jsem ho odinstaloval...že by nějaké pozůstatky?
tak to to rovnou přeinstalovat, bude to nejrychlejší a nebudeš vypadat jak debil až tam přijdeš popátý znovu odvirovávat
jinak používám třeba autoruns a nod
Souhlas, je to na reinstall. Čistil jsem několik PC a vždy jsem měl úspěch. Ale vždy to byla práce úmorná ! Největší problém byl Hackerdefender, který shazoval prohlížeče, když jsem chtěl na stránky antivirových firem, skrýval HijackThis, který jsem kopíroval z druhého počítače a podobné vylomeniny. Já bych u nového systému neváhal a přeinstaloval ho!
na takové případy se hodí nějaký PE environment, nebo zakoupit ERD Commander od Sysinternals
Tak tak, PE prostředí, do kamene (mramoru?) tesat... ERD je taky moc šikovná věcička.
Pavel
Jo a není ERD jen tak náhodou od Winternals...?
Pavel
Jenže to není nová instalace systému.
Ale i tak asi bude reinstal nejjednodušší formou.
Už tam ale pak dát i SP2 ať se tam ten bordel nedostane znova. I když SP2 na 128 MB RAM... hmm.
Tak mu tam nacpi Win 2000, kromě nějakých multimediálních sraček to umí totéž co XP; aby taky ne, XP jsou z Win 2000 odvozené. Pak ještě SP4, nějakou tu kumulativní opravu (má asi 30MB) a je to... Sice to na 128MB RAM bude taky porod ale pořád menší než s XP.
Samotný SP2 by mohlo stačit, ale přidal bych záplaty po SP2, pokud jsou to český WinXP, použil bych archiv co vytvořil MM_tank.
Dále SW firewall (nějakej lepší než ten integrovanej ve Win).
ad 128 MB RAM: Buď přidat paměť a/nebo vyházet (zakázat) nepotřebný služby. POkud si s tím máš čas pohrát, uprav si instalační cédéčko WinXP programem nLite. Upravit běžící XP aby žraly míň systémovejch prostředků jistě umíš sám.
Pavel
Nové poznatky po nové návštěve:
Po instalaci Avast 4 to našlo 97 virů a trojských koní (!!)
Spybot (aktualizovaný) nahlásil asi 80 objektů, tyto byly smazaný.
Po startu se však pořád pouští něco zákeřného co to stahuje znova. Odkad se to spouští to teda netuším, složka Po spuštění je prázdná taky jako všechny větve Run v registru.
Novou instalaci udělat nejde - CD Mechanika nechce načíst disk CD-ROM s operačním systémem.
Co třeba soubor win.ini sekce [run]
Nedokážeš zjistit o který proces jde? Já používám Tiny Personal Firewall 2.0.15
Touhle věcí jsem už na zaspywarovaných kompjůtrech ručně odhalil spoustu zákeřných procesů:
Hodně štěstí, Typhlosióne
aktuálně namazané Máslo
škyt
i když chápu že to nechceš vyřešit tak rychle a ke známému si plánuješ ještě hodně návštěv, alébrž cituji
OMYL: Já jsem se rozhodl, že už tam nepojedu, páč je to celkem daleko a nemám na to čas.
A chlastat už jsem tam při poslední návštěve taky nechlastal, jenom cigaret asi 17 za ty 3 hodiny ubyly.
Na to že to je asi tak máš vcelku přesnou evidenci
1) Nikde jsem nanašel otázku, tak na co ti máme odpovídat?
2) Vždy když instaluju OS udělám si zálohu (image). Tečka.
3) Pustit nezabezpečený XP na net můžeš, pak se ale nediv následkům.
4) Ta nečtoucí mechanika, to ti nezávidím...
Pavel