# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  > Описания вредоносных программ  >  Краткое описание Look2Me

## Geser

*Краткое описание Look2Me*
Устанавливается файлом Installer.exe, размером около 577 кб, установка идет скрытно. В разделе "Установка и удаление программ" не создается записи для удаления. DLL размещается в %WINDIR%\system32 (здесь и в дальнейшем %WINDIR% обозначает папку, в которую установлена ОС Windows) и регистрируется в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Также в реестре создается CLSID и регистрируется как модуль расширения проводника (при этом имя элемента не указывается). DLL не имеет описания и копирайтов.

"Антивирус Касперского" детектирует последние версии Look2Me как not-a-virus:AdWare.Win32.Look2Me.ab.

*Определение присутствия в системе*
Определить наличие Look2Me в системе можно по логам программы HijackThis (HijackThis.log) и логу исследования системы программы AVZ (avz_sysinfo.htm).
В логе HijackThis присутсвует строка вида
O20 - Winlogon Notify: _произвольное название_ - %WINDIR%\system32\_произвольная строка_.dll
В логе AVZ в списке процессов присутствуют 2-3 DLL и/или файл guard.tmp, зарегистрированные в папке %WINDIR%\system32\, имеющие размер около 228кб-231кб, у которых в столбцах "Описание" и "Copyright" информация отсутствует. Все эти файлы являются компонентами троянской программы Look2Me.

*Лечение*
Существует несколько способов противодействия, различающихся своей эффективностью.

*Пример алгоритма лечения Look2me с применением AVZGuard:
1. Закрыть все приложения, запустить AVZ, включить AVZGuard
2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
5. После перезагрузки при необходимости "добить" оставшиеся файлы*


1. Загрузка с CD/DVD и проверка антивирусной программой.
Метод хорош, когда есть LiveCD и антивирус на нем.

2. Подключение зараженного HDD к чистому ПК и проверка антивирусной программой.
Метод хорош, когда под рукой есть чистый ПК, HDD имеет стандартный (такой же) интерфейс, можно вскрывать системный блок и вообще выключать компьютер.

3. Правка реестра.
(Проверено на Windows 2000, на других версиях названия пунктов могут отличаться)
Запустить программу regedt32.exe, перейти к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Выбрать в меню программы "Безопасность\Разрешения...". Нажать кнопку "Дополнительно", на закладке появившегося окна (закладка "Разрешения") нажать "Добавить", выбрать пользователя "Все". После добавления в списке "Элементы разрешений" появится позиция "Все", нужно выбрать ее и нажать "Показать/Изменить". После этого появляется окно с заголовком "Элемент разрешения для Notify", в столбце "Запретить" поставить галки для "Задание значения" и "Создание подраздела". Это блокирует создание разделов, но не блокирует их удаление - т.е. далее можно не выходя из редактора реестра удалить в Notify ключи, ссылающиеся на файлы Look2Me. После этого необходимо перезагрузить компьютер.

4. Использование антивируса DrWeb.
Необходимо установить ознакомительную версию "Dr.Web для рабочих станций Windows" ( http://download.drweb.com/win/ ).
В настройках Spider (правая кнопка на паука): настройки - Режим проверки на лету - переставить с "оптимального" на "другие", поставить галку "запуск и открытие" и "создание и запись", поставить "Запретить режим расширенной защиты" и снять "Проверять работающие программы и модули". Потом зайти в раздел "Действия", выбрать "Вредноносные программы" - "Рекламные программы", там выбрать "Первое действие" - "Переместить в карантин" и нажать "Изменить". После этого необходимо перезагрузить компьютер.

При составлении описания использованы материалы Олега Зайцева и RiC.

(c) MOCT

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## RiC

Вот здесь пошаговая инструкция для Dr.Web`a, кстати действует не только на Look2Me, а ещё и на Rootkit`ы (к примеру Apropos и HackDef)  :Smiley:  да и на прочих глубоко окопавшихся в системе. После применения желательно выкладывать логи в "Помогите!" т.к. хвосты Web не чистит и желательно зачищать руками  :Smiley: 

Так-же добавлю что в п. 4 надо все манипуляции с настройками нужно сделать до перезагрузки, сразу после установки.

----------


## Sanja

А теперь кароче ж)

Краткая инструкция с КАВ 2006

1. качаем последний билд ftp://kav2006:[email protected]/
2. ставим

3. обновляем базы

4. запускаем проверку..

Вирус будет удален, а за ним будет почищен реестр

----------


## RiC

Ну и ещё один способ - Shadowwar`овский L2M killer - во вложении, поправлен для работы c русской Windows.
Запускать l2mfix.bat после из меню выбрать "2". Использовать, если вы на 100% уверены что у Вас действительно L2M.

----------


## RiC

Ещё одна утилита - 
*Simplytech Look2Me Remover*

Утилита от F-Secure для удаления Look2me - http://www.f-secure.com/tools/f-look2me.zip

----------

