Как изничтожить AdWare.Win32.Boran.e???

[merengue.livejournal.com]

Подцепила жуткую китайскую адварь под названием Boran.e (описание).
Попробовала выкусить ее с помощью Ad-Aware – не помогает. Эта штука всплывает при каждом сканировании.
Чищу реестр руками – только удаляю ключ, он тут же появляется снова! Как такое вообще может быть? И как с этим бороться?

Comments

[dr-von-ozgg.livejournal.com]

Думаю, что если почистить реестр в безопасном режиме, то поможет. Появляется снова из-за того, что оно в систему "интегрировалось". Был какой-то троян (scano, вроде), он так же делал. Через безопасный режим, вроде, удалялось нормально. Только надо именно сначала все ссылки из реестра убить, а потом уже сами файлы, а то может система перестанет грузиться.

[merengue.livejournal.com]

Уже и в безопасном режиме удаляла - все равно появляется сразу же! Вытру один ключ, перейду к другому, а потом возвращаюсь обратно - а тот убитый ключ опять на месте! Это не выходя из regedit.

[dr-von-ozgg.livejournal.com]

Ещё нужно в процессах его поискать и сначала там прибить. Может быть, он сам отслеживает, что удалено, что - нет.

[almost-cat.livejournal.com]

Чистите не только реестр, а и все временные файлы. Сидит где-нибудь и прописывает себя при каждой загрузке.

[merengue.livejournal.com]

Все временные файлы уже убиты давным-давно. И в процессах ничего подозрительного не сидит.

[dr-von-ozgg.livejournal.com]

Тогда действительно странно как-то.
А откат системы не поможет?

[merengue.livejournal.com]

А я не знаю, когда именно эта адварь проникла.

[almost-cat.livejournal.com]

А поиском не пробовали искать файлы, указанные в описании? Они ж сцуки такие, и в системных папках сидят. Кстати, товарисч прав - откат системы, с восстановлением диском на момент до, должен помочь.

[merengue.livejournal.com]

О, нашла! Она, однако, в сервисах сидит. Прикидывается обычными системными сервисами.
http://www.symantec.com/security_response/writeup.jsp?docid=2005-112111-0409-99&tabid=3

[almost-cat.livejournal.com]

Если бы они легко уничтожались, терялся бы смысл существования. :)

[merengue.livejournal.com]

А все равно. Поотключала сервисы, а из реестра не удаляется. Либо остается как есть, либо вообще regedit виснет.

[akm-ca.livejournal.com]

Есть версии Windows XP, которые грузятся с диска (называется PE). На таких дисках обычно есть и антивирусник. Надо найти такой, загрузиться с него, почистить комп анвивирусником, потом ручками удалить из реестра те самые ключи и еще поискать файлы на диске и поубивать. У меня получалось таким образом вычищать у моих юзеров все. А уж они чего только не цепляли.

[flyingru.livejournal.com]

предохраняться не пробовали?

[romx.livejournal.com]

Хороший совет из серии "хотел вставить что-нибудь умное". :-|

[romx.livejournal.com]

> Чищу реестр руками – только удаляю ключ, он тут же появляется снова! Как такое вообще может быть?

Самый простой вариант: есть _две_ программы, крест-накрест проверяющие наличие ключа в реестре для запуска соседа. Делают они это несколько раз в секунду, так что как только вы убили одну и удалили ее ключ он будет восстановлен другой, и то же самое со второй.

Что касается чистки, то очень хорошо при неудаче AdWare себя зарекомендовала программа spybot (http://spybot.com). Настолько, что я полностью отказался от более известной и раскрученной адвари в его пользу. Обновляться только не забывайте.
К тому же он полностью бесплатен.

[niagara.livejournal.com]

www.avast.com

[guest-o.livejournal.com]

К winlogon, небось, цепляется. Скачайте ProcessExplorer и autoruns отсюда (http://www.sysinternals.com) и прибейте dll-ку d безопасном режиме, которую winlogon цепляет, а также все подозрительные авторансы. Ну и после перезагрузки (в безопасном же режиме) -- сканирование всего диска. А вообще, товарищ снизу прав -- предохраняться таки надо. И резеврные копии делать ;-)