SPYWARE: VX2. BetterInternet

Ieri m-a "lovit" acest spyware, inca nu am aflat cum a reusit sa ajunga pe comp-ul meu. Este cel mai nenorocit spyware care l-am vazut pana acum! Sa va povestesc pe scurt ce am sesizat si ce am facut.
Manifestare:
- la login systemul este muuult incetinit;
- IE va avea pagina de start ceva de genul www.allsearch;
- cand lansezi IE te trezesti cu pop-up-uri;
- te trezesti cu tot felul de programe (spyware evident) instalate in system;
- icoane noi pe desktop cu link-uri catre diverse site-uri, porno, sexy, gambling si multe alte domenii de interes general;
- lista de favorites din IE este "completata" cu cel putin alte 50 link-uri;
Nota: personal nu folosesc IE pentru browsing, dar necesitatea unui program M$ de dezvoltare care merge numai cu IE...
- si multe altele posibile...

Practic acest spyware este un installer care verifica continuu conexiunea la internet si instaleaza mereu alte spyware-uri (in background) pe masina: in 5 minute mi-a instalat alte 3 programe, din care 2 erau "add-on" pentru IE
Ad-Aware il gaseste dar nu poate sa-l stearga, pentru ca programul in cauza este un DLL in System32, cu o denumire aleatoare de forma msg999.dll, dar poate fi orice numar in loc de 999 (eu ma avut 121, altii au avut 115, etc.) Gagiul isi face mereu si o copie, de forma msg121.cpy.dll, ambele fisiere NU pot fi STERSE pentru ca sunt in UZ. Pe urma isi face un key in registry la locatia: "HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotifyGuardian" si acolo se autoincarca la login. DLL-ul se "agata" de winlogon.exe!!! Orice incercare de a sterge cheia din registry e in van, gagiul isi reface cheia instant... pana apuci sa apesi reset, am murit de ras cand am vazut. Nota: nu folosi regedit, ci regedt32!
Desi nu am incercat multe programe anti-spyware, sunt 99% ca vor da gres. Cineva se plangea ca a dat banii pe Ad-Aware pro numai ca in final sa se simta umilit si neputincios.

Solutia de eliminare a intrusului este un disc bootabil cu care sa accesezi folderul system32 de pe HDD si sa stergi fisierele DLL in cauza, dupa ce in prealabil ai rulat de pilda Ad-Aware personal edition (cu ultimele semnaturi) pentru a-l identifica. Apoi dupa pornire imediat rulezi Ad-Aware pentru a sterge tot ce a instalat VX2  intre timp. Sper ca nu este capabil sa mai instaleze inca 2..3 ca el ca ne-am dat foc la valiza...
Pentru ca eu n-am avut la indemana un CD bootabil pentru Win 2000, am folosit cu succes Process Explorer de la sysinternals si regedt32, cu primul am "ucis" niste procese, iar cu al 2-lea am schimbat permisiunile in registry la cheia lui VX2, pentru a reusi sa-i sterg intrarea si sa nu se incarce la boot. Apoi am apasat cu nesimtire butonul de reset si la pornire voila: del ...system32motherfu*ker.dll cu success!

Oricum, am pierdut aproape 2 ore (!) cu reboot-uri si incercari de a-l sterge pana m-am prins cum sa-l fac. Am regretat ca nu am avut disc de boot la indemana. Ahh, inca ceva, daca il ai pe masina, se recomanda calduros sa tai ORICE legatura la internet!

bafta si voie buna!

Ai fi putut sa incerci o bootare in Safe Mode. Cred ca ai fi reusit sa-l stergi.