Problem z usunięciem Adware


(Rafalkml) #1

Antywirus Kaspersky wykrył Adware (wyskakują okienka, że komputer jest zarażony i należy wykonać skanowanie na danej stronie oraz komputer co jakiś czas zaczyna wolniej pracować), lecz po usunięciu po jakimś czasie znowu wraca. Użyłem Ad-adware 2007, lecz to nic nie pomogło.

Dołączam w razie czego log z HijackThis'a http://wklej.org/id/958c312e7b


(Llewelyn) #2

Adware to licencja na oprogramowanie, które jest darmowe, ale za to wyświetla reklamy. Tobie chyba chodzi o spyware (lub inny malware).

To znaczy, że ciągle masz tę samą dziurę w systemie. Przede wszystkim zainstaluj aktualizacje do Windows. Skoro masz SP1 to albo nigdy tego nie robiłeś, albo masz pirata (co na jedno wychodzi). [-X Windows XP bez SP2 jest tak dziurawy, że nie nadaje się do połączenia z internetem! Jeśli masz pirata, to być może twoja wersja zawiera furtkę dla włamywaczy. Wtedy spaware możesz sobie usuwać do woli, a i tak wróci.

Jak już będziesz miał legalnego i aktualnego Windows to wywal wszystkie programy pirackie i zbędne do prawidłowego działania w szczególności te, które łączą się z siecią. Zawsze możesz je doinstalować później.

Następnie zainstaluj porządną zaporę sieciową. Osobiście polecam Sunbelt Personal Firewall (dawniej Kerio). Dopiero wtedy zainstaluj i uruchom Ad-Aware.

A najprościej to sobie ściągnij programy zabezpieczające, sformatuj dysk C (zrób wpierw kopie zapasowe dokumentów, zapisów gier, itp.) i przeinstaluj Windows… Być może i tak do tego dojdzie, bo nie zawsze takie oprogramowanie da się usunąć. A na drugi raz uaktualniaj Windows i używaj zabezpieczeń.


(Rafalkml) #3

Chodzi mi o http://pl.wikipedia.org/wiki/Adware#Cec … gramowania

Poza tym, chciałbym wiedzieć jak usunąć to bez konieczności formata.


(Leon$) #4

Wyłącz przywracanie systemu na wszystkich dyskacz

wpisy

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dbsarticles.com

O4 - HKLM\..\Run: [autoclk] autoclk.exe

O4 - HKLM\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O4 - HKLM\..\Run: [runsvc] runsvc.exe

O4 - HKLM\..\Run: [c45103fc] rundll32.exe "C:\WINDOWS\System32\nickrafj.dll",b

O4 - HKLM\..\RunServices: [runsvc] runsvc.exe

O4 - HKCU\..\Run: [Windows Networking Monitoring] C:\WINDOWS\System32\mdm.exe

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)

O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)

usuń HijackThisem >> Fix checked Pobierz Combofix http://www.searchengines.pl/index.php?showtopic=86306&st=0&p=395642entry395642 ale nie włączaj otwórz notatnik i wklej

File::

C:\WINDOWS\autoclk.exe

C:\WINDOWS\System32\mdm.exe

C:\WINDOWS\System32\nickrafj.dll

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

:slight_smile:


(Rafalkml) #5

Zrobione.

Log z Combofix

http://wklej.org/id/48fde53ad2


(Gutek) #6

Wklej do Notatnika:

File::

C:\WINDOWS\System32\ldcehiri.dll


Registry::

[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2332300d-0264-4ff5-ad05-c80e1434c5df}] 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cmaudio"=-

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awttuuu]

>>Plik>>Zapisz jako… >>> CFScript (najwygodniej będzie, jeśli zapiszesz w takiej lokalizacji, by ikonka CFScript.txt znalazła się obok ikonki ComboFix.exe )

Przeciągnij i upuść plik CFScript.txt na plik ComboFix.exe (czyli ikonkę CFScript.txt na ikonkę ComboFix.exe )

– podobnie jak na tym obrazku –>88953CFScript-createdbyMiekiemoes.gif

(jeśli pojawi się pytanie " 1 or 2" - to wpisz 1 i naciśnij ENTER) Ma się rozpocząć usuwanie. (i powstanie log)

Po restarcie usuń ręcznie folder C: ** Qoobox**.

Po tym nowy log z Combo


(Llewelyn) #7

No właśnie ten akapit mówi o malware w adware. Adware to nie problem, chyba że nie lubisz reklam. Wpisałem propozycję korekty mylącego tytułu sekcji na Wikipedii. :wink:

Jak patrzę na powyższe rozwiązanie to aż się cieszę, że Linux jest taki prosty…


(Rafalkml) #8

Gutek2222 , zrobione, log http://wklej.org/id/00ace5a9d9

Teraz nastąpił kolejny problem… Kaspersky informuje o podejrzanym działaniu Buffer overrun pliku svchost.exe (Uruchomiony proces (PID: 816))… W razie czego podaje log z HijackThis’a http://www.wklej.org/id/84ed1a7e56


(Gutek) #9

Najpierw automaty:

Pobierz program SDFix


(Tire Marek) #10

Ja proponuję tymczasową instalację SpySweepera. http://dobreprogramy.pl/index.php?dz=2& … +5.5.7.124

Sam zrobi z tym porządek.


(Rafalkml) #11

Zrobiłem według Waszych zaleceń, wszystko było dobrze. Niestety ostatnio wystąpił poważny błąd i musiałem zrobić formatowanie dysku, no i problem wrócił… Dołączam loga z HijackThis http://wklej.org/id/835ef733dc

Pewnie jest to spowodowane dziurami systemu z SP1, lecz kiedy ściągam ze strony Windows’a SP2, nie działa internet, w aktualizacjach automatycznych się nie ściągnął. Wie ktoś może jak ten problem rozwiązać?


(Axess) #12

Spróbuj pobrać SP2 stąd http://www.download.net.pl/161/Windows-XP-Service-Pack/


(Gutek) #13

Zrób to co napisał Leon

Po tym - Daj log z ComboFix


(Rafalkml) #14

Log z ComboFix

http://wklej.org/id/01f4fc260c


(Leon$) #15

otwórz notatnik i wklej

zapisz jako CFScript.txt (zapisz by ikonka CFScript.txt była obok ikonki ComboFix.exe) >> Przeciągnij i upuść ikonkę CFScript.txt na ikonkę ComboFix.exe

http://img.wklej.org/images/88953CFScri … iemoes.gif

Powinno rozpocząć się usuwanie

Potem log z usuwania Combofix

Po restarcie jeśli wszystko będzie OK usuń ręcznie folder C: \Qoobox

potem do sprawdzenia nowy log HijackThis

:slight_smile: