S čim nad spyware?

K

kloshar

Ciganæe
26. jul 2007
5.998
0
36
Mati je fasala nekaj zelo tečnega na računalnik, Avira ga je očitno spustila mimo in šele potem začela opozarjati nanj.

Simptomi so spremenjena homepage, nenehno javljanje antivirusa, fake okno, da je računalnik okužen in možnost inštalacije Antivirus 2010 (ki je tudi spyware), počasno delovanje računalnika, zabasana linija, ki vsake toliko pade ...

Računalnik sem že xy-krat pregledal z Adaware, Spybot S&D, Spyware Doctor, Spyware hunter in Aviro Antivirusom, tudi že v Safe mode, izbrisal vso sranje, a problemi se z vsakim restartom ponovijo (ob pogoju, da je internetni kabl vštekan). Generalno gledano bi moral problem že zdavnaj rešiti Spyware Doctor, ampak gre očitno za neko nadlogo, ki se je zapisala v register, da se vedno obnovi po restartu.

Kaj mi še preostane, da se znebim tega hudiča?? Formata si nihče ne želi ...

hvala in lp
 
S

SouthPark

Jas da nea vem?! Ka te je...
5. sep 2007
24.570
5
38
Klobukarjev dol
Meni je vedno Spyware Doctor pomagal, tak da ne vem, kaj bi lahko bilo še učinkovitejšega. Mogoče kak dober online antivirus? NOD32, Bitdefender...
 
K

kloshar

Ciganæe
26. jul 2007
5.998
0
36
Je mogoče, da gre za ROOTKIT zadevo?

Sicer sem večino razpasenega že pobrisal, a se ne morem znebiti te glavne zadeve, ki je zarustana nekje v sistem. Saj pravim, tisti programi vse najdejo in pobrišejo, problem je, ker se po restartu Winsov problemi ne rešijo.
crazy1.gif


Bom poskusil še s kakšnim Anti-Rootkit ter RegistryCleaner-jem.
 
K

kloshar

Ciganæe
26. jul 2007
5.998
0
36
OK, tale je pa malo huda ... Že 2 dni se zajebavam s tem, pa sem v bistvu na istem, vrtim se v krogu.

Preden je bil narejen tale printscreen, je bil računalnik v celoti pregledan v Safe mode s Spyware Doctor-jem in Spybot S&D ter z NOD32, vsi so javili, da je sistem ČIST.

Naredim restart v normal mode in poglejte si rezultat. Isto sranje kot prej, ma ama ništa nisem naredil.

V igri so ADWARE.AGENT.ZO, ki poskuša downloadat ROGUEANTISPYWARE.XP (to zaznava Spyware Doctor), NOD32 vrže takoj na začetku ven obvestilo o 2h trojancih (ki jih med scanom ne zazna) ter fajl, ki sem ga že parkrat zbrisal ročno, z antivirusom, killal proces, pa se vrag še vedno ponavlja, BRAVIAX.EXE (c:\windows\braviax.exe). Google pravi, da je od teh vsak za sebe svoj spyware, imam pa občutek, da jih downloadata tale 2 trojanca v sistemu.

Poglejte printscreen. Računalnik je zafilan z vso obrambo, a virus javlja svojo prisotnost in aktivnost.
bonk.gif


 
bizi

bizi

Guru
21. nov 2007
27.271
-2.011
113
Kočevska
S tem hudičem sem se zafrkaval cel teden, prepričan sem, da je zadaj rootkit. Potem sem obupal in format...
 
Tara

Tara

Zelenc'
30. sep 2007
20
0
1
Ko se je men spreminjala domača stran, mi je pomagal CWShredder.
Zaženi še Hijack This...
 
asko

asko

Fizikalc
22. jul 2007
2.565
3
38
Moraš tudi System Restore izključiti. Sem že kar nekaj mašin očistil te nesnage s tem programom.
 
K

kloshar

Ciganæe
26. jul 2007
5.998
0
36
Torej System Restore na off in še s tem probat??

Jah, pa dejmo, zgubit nimamo kaj, čeprav sem probal že praktično vse od komercialnega sranja do individualnih programčkov. No, zdaj sem prišel do točke, ko bi moral limati hijack this loge na tuje forume in čakati na pomoč - bo pa verjetno hitreje, če kar sformatiram zadevo.
smirk-1.gif
.
 
K

kloshar

Ciganæe
26. jul 2007
5.998
0
36
Symantec ima še najboljšo rešitev (šlo naj bi za Trojan.Virantix.C), edino ne vem, kako naj popravim te zapise v registru, da bodo takšni kot prej, če pa ne vem, kakšni so bili.
smile-1.gif


Citat:
1. Temporarily Disable System Restore (Windows Me/XP). [how to]
2. Update the virus definitions.
3. Reboot computer in SafeMode [how to]
4. Run a full system scan and clean/delete all infected file(s)
5. Delete/Modify any values added to the registry. [how to edit registry]
Navigate to and delete the following registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\”braviax” = “%System%\braviax.exe”

Restore the following registry entries to their previous values, if required:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\”AntiVirusDisableNotify” = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\”FirewallDisableNotify” = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter\”UpdatesDisableNotify” = “01000000″
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\”AntiVirusDisableNotify” = “01000000″
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\”FirewallDisableNotify” = “01000000″
HKEY_CURRENT_USER\SOFTWARE\Microsoft\SecurityCenter\”UpdatesDisableNotify” = “01000000″
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters
\FirewallPolicy\StandardProfile\EnableFirewall” = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”1200″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”1201″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”1208″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”1608″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”1804″ = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\0\”2500″ = “03000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”1200″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”1201″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”1208″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”1608″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”1804″ = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\1\”2500″ = “03000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”1200″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”1201″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”1208″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”1608″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”1804″ = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\2\”2500″ = “03000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”1200″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”1201″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”1208″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”1608″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”1804″ = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\3\”2500″ = “03000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”1200″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”1201″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”1208″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”1608″ = “00000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”1804″ = “01000000″
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\InternetSettings
\Zones\4\”2500″ = “03000000″
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\”EnableBrowserExtensions” = “yes”
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\”SearchBar” = “http://www.google.ie”
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\”SearchPage” = “http://www.google.com”
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\”StartPage” = “http://www.google.com”
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\”Default_Search_URL” = “http://www.google.ie”
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\”SearchPage” = “http://www.google.com”
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\”StartPage” = “http://www.google.com”
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Search\”SearchAssistant” = “http://www.google.com”

6. Exit registry editor and restart the computer.
7. In order to make sure that threat is completely eliminated from your computer, carry out a full scan of your computer using AntiVirus and Antispyware Software. Another way to delete the virus using various Antivirus Program without the need to install can be done with Online Virus Scanner.
Klikni za razširitev

Zanimivo je tudi, da "on demand" antivirusi trojanca sploh ne zaznajo, javi ga šele, ko se aktivira, torej "on real time scan".

Hvala Vam, folk!
 
msenjur

msenjur

Guru
11. sep 2007
27.025
-380
113
sam, če ti uspe tole rešit, ne spuščaj več mami za računalnik!! oz. ji onemogoči downloade...
 
bizi

bizi

Guru
21. nov 2007
27.271
-2.011
113
Kočevska
Citat:
Uporabnik asko pravi:
Moraš tudi System Restore izključiti. Sem že kar nekaj mašin očistil te nesnage s tem programom.
Klikni za razširitev

Imaš prav, če je ta antivirus 2010 primarna okužba. Prišel pa sem do tega, da se računalnik večkrat najprej okuži z rootkitom, ki nato v ozadju zvleče na škatlo ta antivirus, razne trojance za pošiljanje spama itd.
Z Mbam in drugimi programi se vse lepo očisti, po nekajkratnih resetih in včasih šele čez dan ali dva, se pa vse pojavi na novo
 
S

stein

Fizikalc
16. sep 2007
19.575
1
36
Če še nisi uredil...
Evo moj post izpred nekaj dnevi:

instaliranje AV-jev nima preveč smisla, če že ima malware kontrolo nad PC-jem. Raje nabavi en AV na CD-ju (najbolje to uredit na neokuženem PC-ju). Evo spiska: http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
(preskoči navodila in samo downloadaj iso fajl in ga zapeci na CD ali DVD , z opcijo "Burn Image file"...)
F-Secure ne priporočam, ker je meni čudno delal (ni prepozna particije in mi zato nič ni preveril)

Da ne boš brezveze vse spobaval:
- Kaspersky : dla OK, le zelo dolgo (meni preko 10 ur)
- BitDefender ali Avira je OK (se zdaj žal ne spomnim kateri)
- F-Secure kot sem že zgoraj napisal meni ni delal prav, mogoče pa tebi bo
 
M

martin

Pripravnik
9. avg 2007
132
0
16
Pa še en način, malo bolj današnjim časom prilagojen:
http://unetbootin.sourceforge.net/

programček, ki zna zdownloadat cel kup linux distribucij, med njimi tudi večino zgoraj naštetih rescue cd-jev, in z enim klikom iz njih naredit bootable usb ključ.

hitreje (pa gotovo vsaj 15g izpusta CO2 manj), kot cd-je pečt
smile-1.gif


lpm
 
S

stein

Fizikalc
16. sep 2007
19.575
1
36
Je tale unetbin zanesliv?

Torej par klikov in naredi?
Ali pa je treba 20 parametrov nastaviti, ki se dnevno spreminjajo, v odvisnosti od vremena?
 
M

martin

Pripravnik
9. avg 2007
132
0
16
poskusi
smile-1.gif


iz drop down menija izbereš distribucijo in verzijo, pa klikneš start. Če pa res hočeš pa lahko tudi ročno downloadaš iso in ga spraviš na usb. 20 parametrov niti nimaš možnosti izbrat
smile-1.gif


Stvar dela, tako da bi jaz rekel, da je zanesljiva, ja.

lpm
 
Za odgovor se prijavite ali registrirajte.
Na vrhu Bottom