Printable View
Народ, я почитал о вашей битве с [URL="http://www.ad-w-a-r-e.com/"][COLOR=#0000ff]w_w.ad-w-a-r-e.com[/COLOR][/URL] (Look2Me). У меня всё тоже самое. Только сегодня пытался убить его. Новыми NAV, AdAvare, Spybot - Search & Destroy, и в рукопашную, всё бестолку. Если есть лекарство, отпишите плз. :'-( Если надо, завтра пришлю всё что просите в правилах. Судя по всему вам надо постоянную тему открывать.
Да пробегал [url=http://virusinfo.info/showthread.php?t=4391]тут[/url] один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.
Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
AVZ нашёл AdURL.с
[QUOTE=ulet]Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.[/QUOTE]
Их в Online никто и никогда не увидит, свои файлы L2M блокирурует для доступа поэтому прибить можно только или в памяти, как это делает касперский с последующим удалением с диска, или установив перехватчик до запуска L2M и удалить эту фигню в момент загрузки в память, как это делают Доктор или Webroot.
А Norton их не ловит?
Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.
[QUOTE=ulet]А Norton их не ловит?[/QUOTE]
Нортон вообще нихрена не ловит, он даже на более простые подвиги не способен, последние пару лет это вообще не более чем муляж антивируса...
[QUOTE=ulet]Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.[/QUOTE]
При заражании она цепляется только к Winlogon (авторизация), после 1-й перезагрузки интегрируется ещё в оболочку и если не ошибаюсь в систему печати. В результате паразит стартует очень рано, раньше большинства антивирусных мониторов, сразу после запуска блокирует доступ к своим файлам, а в итоге его никто попросту не видит.
[QUOTE=RiC]Да пробегал [url=http://virusinfo.info/showthread.php?t=4391]тут[/url] один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.[/QUOTE]
4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.
[QUOTE=Alexey P.]4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.[/QUOTE]
Или с Recovery диска, в качестве которого можно использовать ERD или BartPE.
Всё-равно спасибо за дополнение, это наверное самый простой снести L2M.
Я пол ночи разбирался, как заархивировать по вашим инструкциям "каку", но так ни черта и не понял.
Поработал с AVZ. Прога удобная, для рукопашной, молодцы. Правда "каку" так и не убил, она каждый раз восстанавливает ключи. Кстати, если при загрузке успеть срубить rundll.exe, то попапы не появляются, но левые обращения в сеть идут.
Продолжаю битву.
Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.
[QUOTE=ulet]Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.[/QUOTE]
Так написали же уже -
[QUOTE=RiC]Да пробегал [url=http://virusinfo.info/showthread.php?t=4391]тут[/url] один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.[/QUOTE]
и
[quote=Alexey P.]4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.[/quote]
RiC, а 5 Каспер про эту дрянь не ловит (у меня Workstations)?
[QUOTE=ulet]Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.[/QUOTE]
описанные симптомы указывают на то, что у Вас там не только Look2Me, но и многое другое (в частности - Renos). так что крайне рекомендую сделать исследование системы с помощью AVZ и лог HijackThis и прикрепить их к этой теме, а файлы secure32.* и появляющиеся c:\*.exe прислать на [email][email protected][/email] с паролем virus
Другими словами нужно было с самого начала выполнить [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] и тогда можно было бы сказать что-то конкретное.
Я понял.
[QUOTE]
Пожалуйста [B]не посылайте[/B] логи и просьбы о помощи хелперам модераторам или администратору без непосредственной их просьбы
[/QUOTE]
Правда что то я порубил, так что логи могут быть не полными.
Нужно прислать нам файлы:
C:\WINDOWS\system32\ssclient.dll
C:\WINDOWS\system32\i6jq0g15e6.dll
C:\WINDOWS\system32\oubcjt32.dll
C:\WINDOWS\system32\dqmsrpcn.dll
А так же любые другие файлы в C:\WINDOWS\system32 созданные сегодня.
Это трудно, т.к. злодея не скопировать.
ssclient.dll
oubcjt32.dll
dqmsrpcn.dll
Эти я перенёс и заблокировал ещё вчера.
i6jq0g15e6.dll
Этого нет
пришлите файлы из этого списка (кроме тех, которые уже присылали; искать лучше из AVZ, по всему системному диску):
de.*
degbes.*
gbesgr.*
hosts.*
it.*
kl.*
ms1.*
ms2.*
paytime.*
secure32.*
tool1.*
tool2.*
tool3.*
tool4.*
tool5.*
toolbar.*
us.*
win32.exe
proxy.exe
search.exe
tibs*.exe
tool.exe
web.exe
winlogon.exe
winlogon1.exe
ztool*.exe
zgame*.exe
ef.exe
killer.exe
mm.exe
child.*
qaz1.exe
ase3.exe
sys32.exe
w16.dll
win32.dll
msctl32.dll
msarch.exe
ibm0000*.*
fldrsys.dll
drsmartload.exe
loadadv*.*
Из всего списка только то, что я уже оттослал. остального нет. Письма проходят? У меня возвраты.
[QUOTE=ulet]Письма проходят? У меня возврат.[/QUOTE]
попробуйте воспользоваться этой формой для отправки файла
[url]http://www.virusinfo.info/index.php?page=upload_clean[/url]
а потом сообщите в этой теме название отправленного файла
Я наверно не оригинален. Zip.ы называются "вирус" 3.71м ; "вирус-2" 348кб. Отпишите, получили?