Народ, я почитал о вашей битве с w_w.ad-w-a-r-e.com (http://www.ad-w-a-r-e.com/) (Look2Me). У меня всё тоже самое. Только сегодня пытался убить его. Новыми NAV, AdAvare, Spybot - Search & Destroy, и в рукопашную, всё бестолку. Если есть лекарство, отпишите плз. :'-( Если надо, завтра пришлю всё что просите в правилах. Судя по всему вам надо постоянную тему открывать.

Да пробегал тут (http://virusinfo.info/showthread.php?t=4391) один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.

Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
AVZ нашёл AdURL.с

Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
Их в Online никто и никогда не увидит, свои файлы L2M блокирурует для доступа поэтому прибить можно только или в памяти, как это делает касперский с последующим удалением с диска, или установив перехватчик до запуска L2M и удалить эту фигню в момент загрузки в память, как это делают Доктор или Webroot.

А Norton их не ловит?
Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.

А Norton их не ловит?
Нортон вообще нихрена не ловит, он даже на более простые подвиги не способен, последние пару лет это вообще не более чем муляж антивируса...


Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.
При заражании она цепляется только к Winlogon (авторизация), после 1-й перезагрузки интегрируется ещё в оболочку и если не ошибаюсь в систему печати. В результате паразит стартует очень рано, раньше большинства антивирусных мониторов, сразу после запуска блокирует доступ к своим файлам, а в итоге его никто попросту не видит.

Да пробегал тут (http://virusinfo.info/showthread.php?t=4391) один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.

4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.

4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.

Или с Recovery диска, в качестве которого можно использовать ERD или BartPE.

Всё-равно спасибо за дополнение, это наверное самый простой снести L2M.

Я пол ночи разбирался, как заархивировать по вашим инструкциям "каку", но так ни черта и не понял.
Поработал с AVZ. Прога удобная, для рукопашной, молодцы. Правда "каку" так и не убил, она каждый раз восстанавливает ключи. Кстати, если при загрузке успеть срубить rundll.exe, то попапы не появляются, но левые обращения в сеть идут.
Продолжаю битву.
Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.

Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Так написали же уже -

Да пробегал тут (http://virusinfo.info/showthread.php?t=4391) один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.

и


4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.

RiC, а 5 Каспер про эту дрянь не ловит (у меня Workstations)?

Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.
описанные симптомы указывают на то, что у Вас там не только Look2Me, но и многое другое (в частности - Renos). так что крайне рекомендую сделать исследование системы с помощью AVZ и лог HijackThis и прикрепить их к этой теме, а файлы secure32.* и появляющиеся c:\*.exe прислать на [email protected] с паролем virus

Другими словами нужно было с самого начала выполнить правила (http://virusinfo.info/showthread.php?t=1235) и тогда можно было бы сказать что-то конкретное.

Я понял.


Пожалуйста не посылайте логи и просьбы о помощи хелперам модераторам или администратору без непосредственной их просьбы

Правда что то я порубил, так что логи могут быть не полными.

Нужно прислать нам файлы:
C:\WINDOWS\system32\ssclient.dll
C:\WINDOWS\system32\i6jq0g15e6.dll
C:\WINDOWS\system32\oubcjt32.dll
C:\WINDOWS\system32\dqmsrpcn.dll

А так же любые другие файлы в C:\WINDOWS\system32 созданные сегодня.

Это трудно, т.к. злодея не скопировать.
ssclient.dll
oubcjt32.dll
dqmsrpcn.dll
Эти я перенёс и заблокировал ещё вчера.
i6jq0g15e6.dll
Этого нет

пришлите файлы из этого списка (кроме тех, которые уже присылали; искать лучше из AVZ, по всему системному диску):

de.*
degbes.*
gbesgr.*
hosts.*
it.*
kl.*
ms1.*
ms2.*
paytime.*
secure32.*
tool1.*
tool2.*
tool3.*
tool4.*
tool5.*
toolbar.*
us.*
win32.exe
proxy.exe
search.exe
tibs*.exe
tool.exe
web.exe
winlogon.exe
winlogon1.exe
ztool*.exe
zgame*.exe
ef.exe
killer.exe
mm.exe
child.*
qaz1.exe
ase3.exe
sys32.exe
w16.dll
win32.dll
msctl32.dll
msarch.exe
ibm0000*.*
fldrsys.dll
drsmartload.exe
loadadv*.*

Из всего списка только то, что я уже оттослал. остального нет. Письма проходят? У меня возвраты.

Письма проходят? У меня возврат.
попробуйте воспользоваться этой формой для отправки файла
http://www.virusinfo.info/index.php?page=upload_clean
а потом сообщите в этой теме название отправленного файла

Я наверно не оригинален. Zip.ы называются "вирус" 3.71м ; "вирус-2" 348кб. Отпишите, получили?

enewsletterpro.exe - Trojan.Win32.StartPage.aha
kl.exe - Trojan-Spy.Win32.Agent.jl
tool2.exe - Hoax.Win32.Renos.an
tool3.exe - Packed.Win32.Klone.b (Trojan.Galapoper)

Между делом я бы посоветовал поставить другой антивирус.

Под снос их?

Между делом, я бы послушал. ?

msctl32.dll - SpamTool.Win32.Mailbot.s
dqsynth.dll и компания - AdWare.Win32.Look2Me.ab

Под снос их?

Между делом, я бы послушал. ?
КОнечно под снос. Я бы поставил временно бету КАВ2006. Можно взять на форуме http://forum.kaspersky.com/index.php?showforum=15 она и Look2Me снесёт и остальное. А потом можно будет сменить на что-то другое т.к. бетка иногда глючит

От KAV у меня не очень хорошие воспоминания, но спасибо попробую.

От KAV у меня не очень хорошие воспоминания, но спасибо попробую.
Хотя бы временно полечить комп. Я проверял, он знает всё что прислано. А многие другие антивирусы далеко не всё.

Да уж согласен, NAV вчера обновил, а он ничерта не видит. Хотя судя по ссылкам в инете тому же Look2Me уже год.
Ладно утро вечера мудренее, продолжу ковыряние.

Да уж согласен, NAV вчера обновил, а он ничерта не видит. Хотя судя по ссылкам в инете тому же Look2Me уже год.
Ладно утро вечера мудренее, продолжу ковыряние.
NAV выкинуть. а Look2Me - это целое семейство, которое постоянно обновляется и совершенствуется.

По поводу KAV. Он потом следов то не оставит?
AVZ мышиный драйвер определяет как 99% кейлодер. ?
А на что ещё (из полезного) он делает стойку.

По поводу KAV. Он потом следов то не оставит?
AVZ мышиный драйвер определяет как 99% кейлодер. ?

пришлите этот файл по уже известному адресу - стойку делать перестанет.

По поводу KAV. Он потом следов то не оставит?
Последний раз когда смотрел он деинсталировался без проблем.

Yo, Cool, Rules Я начинаю менять отношение к KAV. Какой он шустрый стал. Багов правда до чёрта. Look2Me снёс вчистую и всё что выше перечислено. Завтра посмотрю логи.

RiC, а 5 Каспер про эту дрянь не ловит (у меня Workstations)?
Только если сможет перехватить в момент установки, вытащить уже "засевшую" не может.


msctl32.dll - SpamTool.Win32.Mailbot.s
Значит ещё C:\WINDOWS\system32\drivers\i386p.sys должен сидеть по соседству, его тоже в мусорку.

Значит ещё C:\WINDOWS\system32\drivers\i386p.sys должен сидеть по соседству, его тоже в мусорку.
да, есть там такой. я только написать забыл. все равно запрошенные мной файлы никто не ищет ;(

запрошенные мной файлы никто не ищет ;(
Неправда ваша, что просили и что нашёл, то отослал, на http://www.virusinfo.info/index.php?page=upload_clean. Это у вас почта непроходит.
После KAV i386.sys, я думаю присылать бессмысленно.
Сегодня попробую прислать мышиный драйвер, на который у AVZ была стойка. Имя архива "Genius".
Подробный отчёт о результатах чуть позже.

Неправда ваша, что просили и что нашёл, то отослал, на http://www.virusinfo.info/index.php?page=upload_clean. Это у вас почта непроходит.

давайте проголосуем - кто из присутствующих видел присланные файлы?

На почту пришло 2 архива

На почту пришло 2 архива
первый пришел сразу после появления темы, во втором были файлы созданные в текущий день (по твоему запросу). файлы из моего перечня (ни один) не приходили, хотя наверняка должны быть. хотя бы winlogon.exe :-)

Значит так. XP SP2 IE6 установлена 28.12.05!!!
Видимые симптомы у больного были такие: При выходе в интернет, спонтанно появлялись флешбанеры со всякой байдой, периодичностью примерно пять минут. Стартовая страница поменялась на Secure32.html. В корневой директории C:\ появились несколько новых файлов.
Лечение:
Обработан Ad-Aware pro 6.181. Найдено в реестре 41 изменение с предупреждением "атака на браузер"
HLM\Software\Microsoft\Internet Explorer\Main значение SearchAssistant
HLM\Software\Microsoft\Internet Explorer\Search значение SearchAssistant
HCU\Software\Microsoft\Internet Explorer\Main значения Search Page, Search Bar, Default_Search_URL
Найдены 2 объекта в C:\WINDOWS\system32\drivers\etc\hosts тип Hosts file
Удалены.

Обработан NAV. Найдены и частично помещены в карантин:
Trojan-Downloader.Win32.Adload.j
AdWare.Win32.Zestyfind
AdWare.Win32.Look2Me.ab
Удалены частично:
Trojan.Win32.Harnig.a
Hoax.Win32.Renos.an
Trojan.Win32.StartPage.aha
Trojan-Spy.Win32.Agent.jl
Packed.Win32.Klone.b

Вручную в т.ч. с использованием AVZ, Spybot - Search & Destroy, были удалены (заблокированы) ещё ряд подозрительных файлов (большой список), подчищен реестр, на основные адреса включена блокировка.
Результаты есть но неочевидные.
AVZ определил драйвер мыши как кейлодер!?

Обработан KAV2006beta.
Найдены все вышеперечисленные и:
SpamTool.Win32.Mailbot.s
Trojan-Downloader.Win32.PassAlert.i
Удалены все части и ключи обнаруженных, почищен реестр.

Кроме того в сносе остались:
Настройки рабочего стола,
Некоторые архивы повреждены,
Мышиный драйвер, (установлен стандартный Windows, драйвер с установочной дискеты не вызвал эмоций у KAV)
Настройки IE,(частично)
Полностью удалены кукисы,
Изменены свойства соеденения, (незначительно)
Изменены настройки некоторых программ (незначительно, скорее всего поставлены в default)
Вероятно список неполон
Более подробно о проблеммах KAV, я напишу разработчикам.

После KAV проверка AVZ показала (впрочем как и до KAV):
READMEICON.htm - PE файл с нестандартным расширением
Macromedia_Dreamweaver_8.exe - Подозрение на Virus.Win32.PE_Type1
NewShortcut4_D51534F2D70441A69D49A518D2760027.htm - PE файл с нестандартным расширением.
Мышь, с заново установленными драйверами, переслала быть кейлодером (вероятно первоначальный драйвер был заражён)

В общем любое лекарство имеет свою горечь.
Вывод: Лучше надеть презерватив, чем через неделю есть пилюли.

Спасибо за поддержку.
PS: Не злитесь. Архивы сегодня пришлю повторно.

Удалены все части и ключи обнаруженных, почищен реестр.

в реестре, кстати, мусорок остался.

такой еще вопрос возник - сайт www.apeha.ru сами в избранное ставили?



После KAV проверка AVZ показала (впрочем как и до KAV):
READMEICON.htm - PE файл с нестандартным расширением

остаток от инсталляции



Macromedia_Dreamweaver_8.exe - Подозрение на Virus.Win32.PE_Type1

желательно прислать на [email protected] для анализа



PS: Не злитесь. Архивы сегодня пришлю повторно.
мы не злимся. просто представьте себе такую ситуацию в медицине: врач просит принести анализы, а ему показывают пустую баночку. ну и как тут лечить?

кстати, судя по логам AVZ, файл
C:\WINDOWS\system32\drivers\i386p.sys
все еще в наличии...

Ещё раз послал. Почта не проходит!!!

такой еще вопрос возник - сайт www.apeha.ru сами в избранное ставили
Нет. Это видимо тоже "кака" ставится автоматом при загрузке DVD. Но KAV там ничего не видит.

желательно прислать на [email protected] для анализа
Весь??? 730кб.

в реестре, кстати, мусорок остался
Работа продолжается.

Ещё раз послал. Почта не проходит!!!

проходит. но это все уже было в прошлый раз.



Нет. Это видимо тоже "кака" ставится автоматом при загрузке DVD. Но KAV там ничего не видит.

видел такое на десятке зараженных машин. сами пользователи думают, что это игрушки им поставили такую стартовую страницу. кто знает...



Весь??? 730кб.

да, весь

i386p.sys есть на компе или нет?

Ещё раз послал. Почта не проходит!!! Проходит. Просто у кого-то из хелперов проблема с ящиком. Покажи ответ который получаешь.

Проходит. Просто у кого-то из хелперов проблема с ящиком. Покажи ответ который получаешь.
У меня большое в один ящик по габаритам не прошло. :)

Покажи ответ который получаешь
Прямо в тему? Там листа на два закорючек.

i386p.sys есть на компе или нет?
Уже нет. Но всю "каку" я пока держу в наморднике. Нужна?

видел такое на десятке зараженных машин. сами пользователи думают, что это игрушки им поставили такую стартовую страницу. кто знает...
KAV нашел на диске:
not-a-virus:AdWare.Win32.Aureate Файл: F:\....\mtpro.exe/data0009
not-a-virus:AdWare.Win32.Aureate.a Файл: F:\....\mtpro.exe/data0010

Сейчас почту прочитаю, отошлю "каки". KAV.а я едва сдерживаю от уничтожения старой дровины от мыша.


Покажи ответ который получаешь
В общем основное наверно:
This message was created automatically by mail delivery software.

A message that you sent could not be delivered to one or more of its
recipients. This is a permanent error. The following address(es) failed:

[email protected]
message is too big (transport limit = 5000000)

------ This is a copy of the message, including all the headers. ------
------ The body of the message is 5260712 characters long; only the first
------ 106496 or so are included here.

Но всю "каку" я пока держу в наморднике. Нужна?

Look2Me не нужны, остальные нужны (и i386p.sys нужен)



KAV нашел на диске:
not-a-virus:AdWare.Win32.Aureate Файл: F:\....\mtpro.exe/data0009
not-a-virus:AdWare.Win32.Aureate.a Файл: F:\....\mtpro.exe/data0010
тоже можно посмотреть. на дистрибутив какой-то ругается.

Look2Me не нужны, остальные нужны (и i386p.sys нужен)
Тогда вопрос. Как эту дрянь из резервного хранилища KAV.а достать, хотя основная масса уже отослана.

Тогда вопрос. Как эту дрянь из резервного хранилища KAV.а достать, хотя основная масса уже отослана.

Дык там кнопка есть - восстановить.. при нажатии будет предложено выставить путь для рестора

Нащет мышы - занесите в доверенную зону