Подцепил Look2Me - похоже на новую версию (?)

Подсадили, блин, на мой компьютер головной боли добрые люди...

Сейчас стоит:

OS: w2k pro sp4 english
Webroot SpySweeper 4.5.8.683 (обновленные базы)
MsAntiSpyware Beta1 (обновленные базы)
Kaspersky Anti-Virus 5.0.390 (обновленные базы)
Kaspersky Anti-Hacker 1.8.180.0
AVZ 4.12

Результаты проверок антивирусом:

Webroot SpySweeper - вообще ничего не обнаружено. Причем его щит периодически блокирует обращения на [URL="http://www.ad-w-a-r-e.com"]www.ad-w-a-r-e.com[/URL]. Look2Me не обнаружен.

AVZ - ничего криминального не видит даже на максимальном уровне эвристики и с блокированием Kernel-rootkit. Look2Me не обнаружен.

Штатный 5й Каспер - иногда обнаруживает AdWare.Win32.Look2Me.ab Причем иногда файлы удаляются нормально, а иногда - "файл заблокирован, будет удален после перезагрузки". А после перезагрузки опять все по-старому. Бета 6-го (KIS билды 254,257)жестко перезагружает компьютер.

В реестре и в отчете AVZ - вижу эту дрянь. Но вот последовательность действий по ручному прибиванию - это вопрос. И ключи и файлы либо самовосстанавливаются, либо блокируются. Как ее ручками прибить? Надежды на антивирусы никакой.

P.S. C:\incoming\bpk\*.* - это не баг, а штатная фича :)

P.P.S Имена и наличие файлов- динамические. Т.е. например guard.tmp я еще не видел своими глазами, хотя антивирусы на него ругаются. В Safe Mode этот троян оказывается так же активен как и в обычном.

[url]http://virusinfo.info/showthread.php?t=4481[/url]
C:\WINNT\inet20003\services.exe если есть прислать нам

C:\WINNT\inet20003\services.exe - нет такого подкаталога. Вроде был когда на компьютере гулял целый зоопарк, но был прибит (чем- не помню.) Из файлов которые поминаются в форумах есть только i386p.sys и куча подозрительных DLL со случайными именами в \SYSTEM32

Сейчас пойду на него в рукопашную с Regedit'ом наперевес... Спасибо за ссылку, сам не нашел :(

Подозрительные длл со случайными именами неплохо бы нам прислать.
Даже скажем так, все в \SYSTEM32 что были созданы сегодня или вчера.

Хммм. А как быть с правами доступа к \Notify ?
Потому что когда добавляешь EVERYONE в правах доступа - он же должен там и остаться, наравне с SYSTEM или CREATOR OWNER. Или я не прав? Закрываешь редактор, открываешь - и EVERYONE как не бывало, а у SYSTEM - Full control на весь \Notify, что позволяет вирусу прописываться обратно (он же как SYSTEM работает, правильно?). Файлы сейчас пришлю - подозрения явно падают на amon.sys i386p.sys msupdate32.dll

Ах да, Inheritable permissions отключил на всякий случай.

Предпологаю конфликт кава с монитором C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

Да и в КИСе может файрвалл падать... кав всетаки лучше для лечения подходит... кис - монстр Ж)

Краткая инструкция с КАВ 2006 (259 сборка но надо проверить чтоб других мониторов небыло...

и вобще - 3(4) монитора - дико... MS AntiSpyware, spySweeper (tut i Firewall), kav5, kis6 - все снести Ж) поставить либо еще раз кис попробовать либо сначала кав6 а потом по ситуации

1. качаем [url]ftp://kav2006:[email protected]/kav6.ru.msi[/url]

2. ставим

3. обновляем базы

4. запускаем проверку..

Вирус будет удален, а за ним будет почищен реестр

Что за....

Праслать срочно C:\WINNT\System

файл будет без расширения

Праслать срочно C:\WINNT\System

Файл? Это каталог, блин. А с чего такой интерес именно к нему?

KAV6 выкачаю - посмотрю. Вроде как тогда на машине только KIS6 был. Кроме того - KAV5 не стоит в автозагрузке и его постоянная защита отключена. А насчет файрволла в Webroot SpySweeper ты не прав. Там только слабенький PopUp-blocker, но не полноценная IP-фильтрация (ее дает Webroot Desktop Firewall, как я понимаю, или Kaspersky Anti-Hacker в моем случае). А Antispyware (постоянная защита опять-таки отключена) снесу - ибо штука бесполезная ИМХО. Она в чистке зоопарка меньше всего участвовала. Оставлю SpySweeper антивирусом.

>Праслать срочно C:\WINNT\System

Файл? Это каталог, блин. А с чего такой интерес именно к нему?

потому что в логе АВЗ виден именно процесс... "C:\WINNT\System" а т.к я знаю что с системах виндовз запущен может быть любой исполняемый файл неважно как он называется и какое и него расширение - напрашиватся вывож что это чтото странное.. а точнее зловредное

>Кроме того - KAV5 не стоит в автозагрузке и его постоянная защита отключена. А насчет файрволла в Webroot SpySweeper ты не прав.

1. драйвера это не отключает - раз
2. я вижу что SSI.sys перехватывает какието апи по работе с реестром.. а SS - думаю это Spy sweeper тоесть он висит в кернеле и может вызывать конфликты....

приговор окончательный, обжалованию не подлежит Ж)

Снести
Microsoft AntiSpyware
SpySweeper
KAV5
KIS6

перезагрузится

поставить КАВ6

после этого могу дать гарантию в 99.99999% что перезагрузок небудет!

про "C:\WINNT\System"

Дык эттаааа... тово. Разве это не штатный процесс самого ядра? Жалко, проверить не могу. Но вроде бы я его и раньше видел в списке. А вот что Фар о нем говорит:

Module: System
PID: 8
Parent PID: 0
Priority: 8
Threads: 45

Uptime: 02:55:06
CPU time: 00:00:15
In kernel mode: 00:00:15
In user mode: 00:00:00

Processor Time: 00:00:15.158 0%
Privileged Time: 00:00:15.158 0%
User Time: 00:00:00.000 0%
Handle Count: 146
Page File Bytes: 204800
Page File Bytes Peak: 720896
Working Set: 278528
Working Set Peak: 905216
Pool Nonpaged Bytes: 0
Pool Paged Bytes: 0
Private Bytes: 204800
Page Faults: 3255 0/sec
Virtual Bytes: 102371328
Virtual Bytes Peak: 102436864
IO Data Bytes: 3635538 0/sec
IO Read Bytes: 826651 0/sec
IO Write Bytes: 2808887 0/sec
IO Other Bytes: 1010072 93/sec
IO Data Operations: 10464 0/sec
IO Read Operations: 6751 0/sec
IO Write Operations: 3713 0/sec
IO Other Operations: 3511 0/sec

Command Line:

[QUOTE=Sanja]Что за....
Праслать срочно C:\WINNT\System
файл будет без расширения[/QUOTE]
с добрым утром!
этот глюк AVZ уже три месяца обсуждается на форуме...

2 Волк: с "файлом" winnt\system отбой, тут ничего страшного нет

2 Волк: с "файлом" winnt\system отбой, тут ничего страшного нет

Да сам догадался... Чай далеко не полный чайник... И командной строки у него нет - значит запускался не из файла, правильно?

По DrWeb:
msupdate32.dll - инфицирован Trojan.Proxy.656
i386p.sys - инфицирован Trojan.Spambot

msupdate32.dll и i386p.sys - такое чувство, что их Look2Me восстанавливает после прибивания. Остается вопрос как прибить Look2Me вручную, запретив через Regedt32 доступ к ветке \Notify - потому что Windows Installer не работает нормально - а это значит что я не могу, например, 6-го Каспера поставить...

[QUOTE=Волк]msupdate32.dll и i386p.sys - такое чувство, что их Look2Me восстанавливает после прибивания. [/QUOTE]
я так думаю, что msupdate32.dll и i386p.sys никакого отношения к L2M не имеют.

самое надежное убиение L2M - подключив HDD к другому компьютеру или с загрузочного диска.

Так, хорошо. Переставить диск на другой компьютер пока не представляется возможным ибо заражен единственный мой рабочий ноутбук. Но - есть плюс. Есть возможность ковыряться в реестре НТ и в файловой системе. Вопрос только в том, что те файлы, в которых Кав5 определяет вирус я удаляю после ресета по питанию (он вроде как к логоффу тоже что-то привязывает). DLL упоминающийся в \Notify\Run и guard.tmp прибиваются. Перезагрузка - и в системе опять Look2Me. Мать его... Похоже, что он сидит в чем-то, что прогружается, но не детектируется Кав5, и это что-то как раз и восстанавливает ключи реестра и файлы.

[url]http://virusinfo.info/showthread.php?t=4481[/url]

УРРАААА Я ВЫВЕЛ Look2Me!!!

Спасибо премудрому Гесеру за повторную ссылку, но там не все написано - там еще что-то есть в реестре кроме того ключа в \Notify как мне кажется - ибо без Logoff'a его значение совсем не меняется и там осталось упоминание про тот файл, что я прибил пару перезагрузок назад до полной победы. Итак,вот что я вынес и что, возможно, стоит добавить в FAQ по Look2Me:

1.Делаем проверку системы Кав5 с расширенными базами.
2.Ищем на кого он ругается про Look2Me (все имена упоминаемых файлов DLL переписываем на волшебную бомажку)
3.НЕ УДАЛЯЕМ ЭТИ ФАЙЛЫ, а переходим к п.4
4.Делаем жесткую перезагрузку по питанию (чтобы избежать Logoff'a)
5.Грузимся с чистого компакт-диска так, чтобы получить доступ к жесткому диску - и удаляем эти файлы вручную.

После пары таких жестких перезагрузок (хз откуда он повторно вылезал в новых файлах) вирус тихо помирает. guard.tmp появляется только при попытке антивируса прибить зараженные файлы. Похоже, что переименование файлов происходило только при попытке их удаления либо при нормальной мягкой перезагрузке Windows.

Реестр дочищу потом. Вопрос -

"The Windows Installer Service could not be accessed. This can occur if you are running Windows in safe mode, or if the Windows Installer is not correctly installed. Contact your support personnel for assistance."
Соответственно, программы не удаляются и не устанавливаются. Похоже, что в процессе изживания сего зоопарка пострадал Инсталлер... Так что я все-таки проиграл? :( Ну очень уж не хочется систему переустанавливать... Есть идеи? Завтра попробую реинсталл Винды с сохранением настроек (реинсталл сервис-пака пробовал - не помогает)