Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Подцепил Look2Me - похоже на новую версию (?) (заявка № 4480)

  1. #1
    Волк
    Guest

    Angry Подцепил Look2Me - похоже на новую версию (?)

    Подсадили, блин, на мой компьютер головной боли добрые люди...

    Сейчас стоит:

    OS: w2k pro sp4 english
    Webroot SpySweeper 4.5.8.683 (обновленные базы)
    MsAntiSpyware Beta1 (обновленные базы)
    Kaspersky Anti-Virus 5.0.390 (обновленные базы)
    Kaspersky Anti-Hacker 1.8.180.0
    AVZ 4.12

    Результаты проверок антивирусом:

    Webroot SpySweeper - вообще ничего не обнаружено. Причем его щит периодически блокирует обращения на www.ad-w-a-r-e.com. Look2Me не обнаружен.

    AVZ - ничего криминального не видит даже на максимальном уровне эвристики и с блокированием Kernel-rootkit. Look2Me не обнаружен.

    Штатный 5й Каспер - иногда обнаруживает AdWare.Win32.Look2Me.ab Причем иногда файлы удаляются нормально, а иногда - "файл заблокирован, будет удален после перезагрузки". А после перезагрузки опять все по-старому. Бета 6-го (KIS билды 254,257)жестко перезагружает компьютер.

    В реестре и в отчете AVZ - вижу эту дрянь. Но вот последовательность действий по ручному прибиванию - это вопрос. И ключи и файлы либо самовосстанавливаются, либо блокируются. Как ее ручками прибить? Надежды на антивирусы никакой.

    P.S. C:\incoming\bpk\*.* - это не баг, а штатная фича

    P.P.S Имена и наличие файлов- динамические. Т.е. например guard.tmp я еще не видел своими глазами, хотя антивирусы на него ругаются. В Safe Mode этот троян оказывается так же активен как и в обычном.
    Вложения Вложения
    Последний раз редактировалось Волк; 17.01.2006 в 18:00.

  2. Реклама
     

  3. #2
    Geser
    Guest
    http://virusinfo.info/showthread.php?t=4481
    C:\WINNT\inet20003\services.exe если есть прислать нам

  4. #3
    Волк
    Guest
    C:\WINNT\inet20003\services.exe - нет такого подкаталога. Вроде был когда на компьютере гулял целый зоопарк, но был прибит (чем- не помню.) Из файлов которые поминаются в форумах есть только i386p.sys и куча подозрительных DLL со случайными именами в \SYSTEM32

    Сейчас пойду на него в рукопашную с Regedit'ом наперевес... Спасибо за ссылку, сам не нашел

  5. #4
    Geser
    Guest
    Подозрительные длл со случайными именами неплохо бы нам прислать.
    Даже скажем так, все в \SYSTEM32 что были созданы сегодня или вчера.

  6. #5
    Волк
    Guest
    Хммм. А как быть с правами доступа к \Notify ?
    Потому что когда добавляешь EVERYONE в правах доступа - он же должен там и остаться, наравне с SYSTEM или CREATOR OWNER. Или я не прав? Закрываешь редактор, открываешь - и EVERYONE как не бывало, а у SYSTEM - Full control на весь \Notify, что позволяет вирусу прописываться обратно (он же как SYSTEM работает, правильно?). Файлы сейчас пришлю - подозрения явно падают на amon.sys i386p.sys msupdate32.dll

    Ах да, Inheritable permissions отключил на всякий случай.

  7. #6
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    Предпологаю конфликт кава с монитором C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

    Да и в КИСе может файрвалл падать... кав всетаки лучше для лечения подходит... кис - монстр Ж)

    Краткая инструкция с КАВ 2006 (259 сборка но надо проверить чтоб других мониторов небыло...

    и вобще - 3(4) монитора - дико... MS AntiSpyware, spySweeper (tut i Firewall), kav5, kis6 - все снести Ж) поставить либо еще раз кис попробовать либо сначала кав6 а потом по ситуации

    1. качаем ftp://kav2006:Fynb02dbhec60@data.kas...ct/kav6.ru.msi

    2. ставим

    3. обновляем базы

    4. запускаем проверку..

    Вирус будет удален, а за ним будет почищен реестр
    Последний раз редактировалось Sanja; 17.01.2006 в 21:25.
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  8. #7
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    Что за....

    Праслать срочно C:\WINNT\System

    файл будет без расширения
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  9. #8
    Волк
    Guest
    Праслать срочно C:\WINNT\System

    Файл? Это каталог, блин. А с чего такой интерес именно к нему?

  10. #9
    Волк
    Guest
    KAV6 выкачаю - посмотрю. Вроде как тогда на машине только KIS6 был. Кроме того - KAV5 не стоит в автозагрузке и его постоянная защита отключена. А насчет файрволла в Webroot SpySweeper ты не прав. Там только слабенький PopUp-blocker, но не полноценная IP-фильтрация (ее дает Webroot Desktop Firewall, как я понимаю, или Kaspersky Anti-Hacker в моем случае). А Antispyware (постоянная защита опять-таки отключена) снесу - ибо штука бесполезная ИМХО. Она в чистке зоопарка меньше всего участвовала. Оставлю SpySweeper антивирусом.

  11. #10
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    >Праслать срочно C:\WINNT\System

    Файл? Это каталог, блин. А с чего такой интерес именно к нему?

    потому что в логе АВЗ виден именно процесс... "C:\WINNT\System" а т.к я знаю что с системах виндовз запущен может быть любой исполняемый файл неважно как он называется и какое и него расширение - напрашиватся вывож что это чтото странное.. а точнее зловредное
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  12. #11
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    49
    >Кроме того - KAV5 не стоит в автозагрузке и его постоянная защита отключена. А насчет файрволла в Webroot SpySweeper ты не прав.

    1. драйвера это не отключает - раз
    2. я вижу что SSI.sys перехватывает какието апи по работе с реестром.. а SS - думаю это Spy sweeper тоесть он висит в кернеле и может вызывать конфликты....

    приговор окончательный, обжалованию не подлежит Ж)

    Снести
    Microsoft AntiSpyware
    SpySweeper
    KAV5
    KIS6

    перезагрузится

    поставить КАВ6

    после этого могу дать гарантию в 99.99999% что перезагрузок небудет!
    Всего один дурной бит - и гигабайты лежат в маразме.
    Скажи мне свою OS и я скажу тебе КТО ты.

  13. #12
    Волк
    Guest
    про "C:\WINNT\System"

    Дык эттаааа... тово. Разве это не штатный процесс самого ядра? Жалко, проверить не могу. Но вроде бы я его и раньше видел в списке. А вот что Фар о нем говорит:

    Module: System
    PID: 8
    Parent PID: 0
    Priority: 8
    Threads: 45

    Uptime: 02:55:06
    CPU time: 00:00:15
    In kernel mode: 00:00:15
    In user mode: 00:00:00

    Processor Time: 00:00:15.158 0%
    Privileged Time: 00:00:15.158 0%
    User Time: 00:00:00.000 0%
    Handle Count: 146
    Page File Bytes: 204800
    Page File Bytes Peak: 720896
    Working Set: 278528
    Working Set Peak: 905216
    Pool Nonpaged Bytes: 0
    Pool Paged Bytes: 0
    Private Bytes: 204800
    Page Faults: 3255 0/sec
    Virtual Bytes: 102371328
    Virtual Bytes Peak: 102436864
    IO Data Bytes: 3635538 0/sec
    IO Read Bytes: 826651 0/sec
    IO Write Bytes: 2808887 0/sec
    IO Other Bytes: 1010072 93/sec
    IO Data Operations: 10464 0/sec
    IO Read Operations: 6751 0/sec
    IO Write Operations: 3713 0/sec
    IO Other Operations: 3511 0/sec

    Command Line:

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Sanja
    Что за....
    Праслать срочно C:\WINNT\System
    файл будет без расширения
    с добрым утром!
    этот глюк AVZ уже три месяца обсуждается на форуме...

    2 Волк: с "файлом" winnt\system отбой, тут ничего страшного нет

  15. #14
    Волк
    Guest
    2 Волк: с "файлом" winnt\system отбой, тут ничего страшного нет

    Да сам догадался... Чай далеко не полный чайник... И командной строки у него нет - значит запускался не из файла, правильно?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    По DrWeb:
    msupdate32.dll - инфицирован Trojan.Proxy.656
    i386p.sys - инфицирован Trojan.Spambot

  17. #16
    Волк
    Guest
    msupdate32.dll и i386p.sys - такое чувство, что их Look2Me восстанавливает после прибивания. Остается вопрос как прибить Look2Me вручную, запретив через Regedt32 доступ к ветке \Notify - потому что Windows Installer не работает нормально - а это значит что я не могу, например, 6-го Каспера поставить...

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    132
    Цитата Сообщение от Волк
    msupdate32.dll и i386p.sys - такое чувство, что их Look2Me восстанавливает после прибивания.
    я так думаю, что msupdate32.dll и i386p.sys никакого отношения к L2M не имеют.

    самое надежное убиение L2M - подключив HDD к другому компьютеру или с загрузочного диска.

  19. #18
    Волк
    Guest
    Так, хорошо. Переставить диск на другой компьютер пока не представляется возможным ибо заражен единственный мой рабочий ноутбук. Но - есть плюс. Есть возможность ковыряться в реестре НТ и в файловой системе. Вопрос только в том, что те файлы, в которых Кав5 определяет вирус я удаляю после ресета по питанию (он вроде как к логоффу тоже что-то привязывает). DLL упоминающийся в \Notify\Run и guard.tmp прибиваются. Перезагрузка - и в системе опять Look2Me. Мать его... Похоже, что он сидит в чем-то, что прогружается, но не детектируется Кав5, и это что-то как раз и восстанавливает ключи реестра и файлы.

  20. #19

  21. #20
    Волк
    Guest
    УРРАААА Я ВЫВЕЛ Look2Me!!!

    Спасибо премудрому Гесеру за повторную ссылку, но там не все написано - там еще что-то есть в реестре кроме того ключа в \Notify как мне кажется - ибо без Logoff'a его значение совсем не меняется и там осталось упоминание про тот файл, что я прибил пару перезагрузок назад до полной победы. Итак,вот что я вынес и что, возможно, стоит добавить в FAQ по Look2Me:

    1.Делаем проверку системы Кав5 с расширенными базами.
    2.Ищем на кого он ругается про Look2Me (все имена упоминаемых файлов DLL переписываем на волшебную бомажку)
    3.НЕ УДАЛЯЕМ ЭТИ ФАЙЛЫ, а переходим к п.4
    4.Делаем жесткую перезагрузку по питанию (чтобы избежать Logoff'a)
    5.Грузимся с чистого компакт-диска так, чтобы получить доступ к жесткому диску - и удаляем эти файлы вручную.

    После пары таких жестких перезагрузок (хз откуда он повторно вылезал в новых файлах) вирус тихо помирает. guard.tmp появляется только при попытке антивируса прибить зараженные файлы. Похоже, что переименование файлов происходило только при попытке их удаления либо при нормальной мягкой перезагрузке Windows.

    Реестр дочищу потом. Вопрос -

    "The Windows Installer Service could not be accessed. This can occur if you are running Windows in safe mode, or if the Windows Installer is not correctly installed. Contact your support personnel for assistance."
    Соответственно, программы не удаляются и не устанавливаются. Похоже, что в процессе изживания сего зоопарка пострадал Инсталлер... Так что я все-таки проиграл? Ну очень уж не хочется систему переустанавливать... Есть идеи? Завтра попробую реинсталл Винды с сохранением настроек (реинсталл сервис-пака пробовал - не помогает)
    Последний раз редактировалось Волк; 22.01.2006 в 23:38.

  • Уважаемый(ая) Волк, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. SearchInform представила новую версию MailSniffer
      От CyberWriter в разделе Новости программного обеспечения
      Ответов: 0
      Последнее сообщение: 10.02.2012, 17:50
    2. SearchInform представляет новую версию ReportCenter
      От CyberWriter в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 11.08.2011, 18:10
    3. АНБ США выпустило новую версию SELinux
      От wise-wistful в разделе Другие новости
      Ответов: 0
      Последнее сообщение: 24.03.2008, 22:00
    4. Не могу скачать новую версию AVZ.
      От незнайка в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.12.2007, 08:31
    5. Произведён апгрейд на новую версию 3.5.0
      От Geser в разделе Технические и иные вопросы
      Ответов: 42
      Последнее сообщение: 28.10.2005, 17:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01527 seconds with 21 queries