Jak odstranit spyware?
Instaloval jsem u matčiného známého (u něho se dobře pracuje - chlast a cíga zdarma)
ADSL připojení k Internetu pomocí modemu D-Link. Já trouba zapoměl, že tam má pouze Windows XP bez jakéhokoli SP a záplat a zapoměl taky na to, že v té prvotní verzi XP není u síťové karty automaticky zapnut firewall..
Prakticky 3 minuty po dokončení instalace - za tu dobu jsem stihnul jen prohlídnul domovskou stránku Seznam se objevil vir Blaster - ten nebyl problém odstranit, jenže se stáhl i nějaký spyware - začaly samy od sebe vyskakovat reklamní okna a podobně.
Jal jsem se tedy do čištění a z nouzového režimu vyházel všechny položky z registru ze sekce RUN co tam nepatří (bylo jich tam asi tak 9). Inu problém nadále přetrvával.
Když jsem kouknul do správce úloh tak tam nebyl žádný (!) podezřelý proces, jen to co tam má být ale reklamní okna vyskakovaly vesele dál. Přitom často padal proces explorer.exe - zřejmě ho nějaký záškodný malware napadnul a modifikoval a udělal z něho spyware downloader - ani bych se tomu nedivil.
Tak jsem si řeknul: Stáhnu adaware ten to snad odstraní - jenže houby, sice našel 98 položek (!!) avšak 2 nemohl odstranit. Ty jsem odstranil z disku v nouzovém režimu manuálně.
[mod]Autor dotazu již nehodlá tento problém řešit: http://pc.poradna.net/question/view/31195-jak-odstr anit-spyware#re-32691 LOCK (Kurt)[/mod]
Pokračování:
Vše bylo po resetu v naprostém pořádku dokud jsem nespustil prohlížeč IE nebo Operu - a zas to bylo na novo, začaly vyskakovat reklamní okna, špatně se zobrazovaly www stránky v prohlížeči a padal explorer.
žádný podezřelý proces však v sytému neběžel.. Adaware pak našel jen nějaké podezřelé DLL soubory ale tyto po smazání a resetu se tam objevily vždy znova..
Jsem z toho docela bezradný - zapnutí FW nepomohlo, ad-aware to nedokáže odstranit, a sekce po spuštění a všechny větve RUN v registrech jsou čisté, přesto se po restartu vždy stáhně nějaký spyware a začnou vyskakovat reklamní okna. Stáhnuté pluginy v IE byly taky vyčištěny ovšem bez kladného výsledku.
Já jsem se setkal s mnoha podobami spywaru, ovšem s tímto ještě ne. Už jsem se setkal i s tím, že mi spyware modifikoval soubor notepad.exe a vždy po spuštění txt souboru se spustil před Poznámkovým blokem spyware downloader a stáhnul různé trojské koně a podobně. To jsem ale kdysi jak se mi to stalo odstranil.
AdAware mi treba vubec nenajde Smithfraud.C, kterej je dost agresivni a zpusobuje padani pocitace. Zkus Spybot S&D
btw., skoro kazdy pouziva rozne anti (spyware, adware) tooly, ale zabuda na rootkity, na ktory existuje vyborny tool: RootkitReveal - http://www.sysinternals.com/Utilities/RootkitReveal er.html
jen bych se chtěl zeptat co znamená ve výpisu KAVICHS ?
[img]http://img86.imageshack.us/img86/6473/rootkit5em.gi f[/img]
to mě taky zajímá
Nepoužíváš Kaspersky AV?
asi před měsícem pár dní, jak byly ty problemy s NOD32, ale už jsem ho odinstaloval...že by nějaké pozůstatky?
tak to to rovnou přeinstalovat, bude to nejrychlejší a nebudeš vypadat jak debil až tam přijdeš popátý znovu odvirovávat
jinak používám třeba autoruns a nod
Souhlas, je to na reinstall. Čistil jsem několik PC a vždy jsem měl úspěch. Ale vždy to byla práce úmorná ! Největší problém byl Hackerdefender, který shazoval prohlížeče, když jsem chtěl na stránky antivirových firem, skrýval HijackThis, který jsem kopíroval z druhého počítače a podobné vylomeniny. Já bych u nového systému neváhal a přeinstaloval ho!
na takové případy se hodí nějaký PE environment, nebo zakoupit ERD Commander od Sysinternals
Tak tak, PE prostředí, do kamene (mramoru?) tesat... ERD je taky moc šikovná věcička.
Pavel
Jo a není ERD jen tak náhodou od Winternals...?
Pavel
Jenže to není nová instalace systému.
Ale i tak asi bude reinstal nejjednodušší formou.
Už tam ale pak dát i SP2 ať se tam ten bordel nedostane znova. I když SP2 na 128 MB RAM... hmm.
Samotný SP2 by mohlo stačit, ale přidal bych záplaty po SP2, pokud jsou to český WinXP, použil bych archiv co vytvořil MM_tank.
Dále SW firewall (nějakej lepší než ten integrovanej ve Win).
ad 128 MB RAM: Buď přidat paměť a/nebo vyházet (zakázat) nepotřebný služby. POkud si s tím máš čas pohrát, uprav si instalační cédéčko WinXP programem nLite. Upravit běžící XP aby žraly míň systémovejch prostředků jistě umíš sám.
Pavel
Nové poznatky po nové návštěve:
Po instalaci Avast 4 to našlo 97 virů a trojských koní (!!)
Spybot (aktualizovaný) nahlásil asi 80 objektů, tyto byly smazaný.
Po startu se však pořád pouští něco zákeřného co to stahuje znova. Odkad se to spouští to teda netuším, složka Po spuštění je prázdná taky jako všechny větve Run v registru.
Novou instalaci udělat nejde - CD Mechanika nechce načíst disk CD-ROM s operačním systémem.
Co třeba soubor win.ini sekce [run]
Nedokážeš zjistit o který proces jde? Já používám Tiny Personal Firewall 2.0.15
Touhle věcí jsem už na zaspywarovaných kompjůtrech ručně odhalil spoustu zákeřných procesů:
Hodně štěstí, Typhlosióne
aktuálně namazané Máslo
škyt
i když chápu že to nechceš vyřešit tak rychle a ke známému si plánuješ ještě hodně návštěv, alébrž cituji
OMYL: Já jsem se rozhodl, že už tam nepojedu, páč je to celkem daleko a nemám na to čas.
A chlastat už jsem tam při poslední návštěve taky nechlastal, jenom cigaret asi 17 za ty 3 hodiny ubyly.
Na to že to je asi tak máš vcelku přesnou evidenci
1) Nikde jsem nanašel otázku, tak na co ti máme odpovídat?
2) Vždy když instaluju OS udělám si zálohu (image). Tečka.
3) Pustit nezabezpečený XP na net můžeš, pak se ale nediv následkům.
4) Ta nečtoucí mechanika, to ti nezávidím...
Pavel