Adware.look2me как это было у меня

[SIZE=3][FONT=Times New Roman]Вообщем в процессе поиска кряка на [URL="http://www.astalavista.am/"][COLOR=#800080]www.astalavista.am[/COLOR][/URL] была нйдена ссылка на кряк. При переходе на неё выскочило стандартное окно с предложением установить языки требуемые для правильного отображение страницы. Нажал кнопку “Yes” увидел совсем нестандартное окошко представляющее собой круг в диаметре сантиметра 3, который буквально в течение секунды заполнился и пропал. Тут у меня появились некие подозрения что падцепил что-то не то. Подозрения подтвердились буквально через три минуты когда сами по себе стали вываливаться разные окна. Причем с такой быстротой что делать что либо в Internet Explorer было вообще невозможно. Перегрузив компьютер c помощью Opera 7.51 кое как нашел и скачал Avira AntiVir Personal Edition Classic (До єтого момента на машине вообще не стояло никакого антивируса, а ОС была проинсталирована три-четыре дня назад.[/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]После обновления баз Avira нашла и 89 зараженных объектов и 7 разных вирусов. Большинство зараженных файлов она вылечила штук 5 поместила в карантин так как вылечить не могла. После завершения сканирования предложила удалить файлы находящиеся в карантине. Что я и сделал с радостной мыслью что избавился о вируса.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Однако при запуске Internet Explorer окна снова стали всплывать, хотя и не с такой частотой как до этого.[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]Решил скачать другой антивирус. Нашел и скачал Bit Defender 8.0.202 .[/SIZE][/FONT]
[FONT=Times New Roman][SIZE=3]После обновления баз он нашел еще 9 зараженных вирусом Adware.Dinky.A.Trojan файлов. Bit Defender сообщил что не может их вылечить и предложил удалить. Что я и сделал. Но все таки окна продолжали всплывать. Повторно запустил Bit Defender и он нашел 6 совсем других файлов заражённых тем же вирусом. Попробовал найти в интернете информацию по вирусу Adware.Dinky.A.Trojan но нашел тока англоязычные сайты на которых с моим убогим знанием английского языка ничего не понял. Следующим скачанным антивирусом стал Ewido Anti-malware 3.5. Именно этот антивирус и распознал в зараженных файлах вирус Adware.Look2Me. Но ситуация с леченим этого вируса была такая же как и у Bit Defender. То есть при сканировании он находит несколько инфицированных файлов, удаляет их и тут же при новом сканировании находит еще несколько файлов стем же вирусом. Поискав информацию про Adware.Look2Me попал на Ваш форум. Тут нашел рекамендацию скачать AVZ. Скачал AVZ 4.15, но судя по всему не разобрался с настройкой программы – AVZ ничего у меня не нашел.[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman]Решил обратится за помощью на Вашем форуме и полез читать правила. Там увидел в рекомендациях что необходимо скачать несколько программ, одной из которых была HijackThis. Скачал HijackThis v1.99.1 просканировал систему и получил следующее:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Logfile of HijackThis v1.99.1[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Scan saved at 11:39:33, on 04.05.2006[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Platform: Windows XP SP1 (WinNT 5.01.2600)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Running processes:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\System32\smss.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\winlogon.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\services.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\lsass.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\svchost.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\System32\svchost.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\rundll32.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\spoolsv.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\AntiVir PersonalEdition Classic\sched.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\ewido anti-malware\ewidoctrl.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\ewido anti-malware\ewidoguard.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\System32\nvsvc32.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\Explorer.EXE[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Winamp\Winampa.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\ICQLite\ICQLite.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Softwin\BitDefender8\bdmcon.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Softwin\BitDefender8\bdnagent.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\DAEMON Tools\daemon.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Program Files\Hijackthis\HijackThis.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = [url]http://google.icq.com/search/search_frame.php[/url][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://google.icq.com[/url][/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [nwiz] nwiz.exe /install[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - Startup: AquariumDesktop2006.lnk = C:\Program Files\Stardock\DesktopGadgets\AquariumDesktop2006\AquariumDesktop2006.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\Program Files\ReGet\ReGet.exe (HKCU)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\Program Files\ReGet\ReGet.exe (HKCU)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: Reliability - C:\WINDOWS\[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\nctmsg.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]С помощью кнопки “info on selected item…” просмотрел все строки, в которых не был уверен что это мои программы и заинтересовался следующими тремя:[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: Reliability - C:\WINDOWS\[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\nctmsg.dll[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]В описании этих строк присутвовало название Adware.Look2Me.Trojan[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT=Times New Roman][SIZE=3]Нажал Fix checked. И сделал новое сканирование. Верхние две строки исчезли а нижняя осталась. Нашел в ручную файл nctmsg.dll пропробовал удалить – не получилось. Сообщалось что файл занят другим приложением. C помощью Reset перегрузил компьютер и загрузился с загрузочного компакта. Под VC удалил файл nctmsg.dll, а также обнаружил еще два файла: reset5.dll и reset5.exe которые тоже удалил. Загрузил компьютер и снова запустил Ewido Anti-malware 3.5. Он нашел и удалил следующее:[/SIZE][/FONT]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\wisapi32.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\en26l1fs1.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\WINDOWS\system32\lv2q09f5e.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Documents and Settings\Эрвэл\Cookies\эрвэл@yadro[1].txt -> TrackingCookie.Yadro : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Documents and Settings\Эрвэл\Cookies\эрвэл@spylog[2].txt -> TrackingCookie.Spylog : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\Documents and Settings\Эрвэл\Cookies\эрвэл@hotlog[2].txt -> TrackingCookie.Hotlog : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003080.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003088.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003113.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003136.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003137.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0005113.dll -> Adware.Look2Me : Cleaned without backup[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]При повторном сканировании Ewido Anti-malware 3.5 ничего не нашел.[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Подозревая что в реестре остались какие-то записи почистил его с помощью Spy Remover 2.53. В процессе сканирования обнаружилось[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman]Look2Me.Topconverting: Temporary file (File, fixing failed)[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] C:\WINDOWS\system32\guard.tmp[/FONT][/SIZE]
[SIZE=3][FONT=Times New Roman] [/FONT][/SIZE]
[FONT='Times New Roman']Наш[/FONT][FONT='Times New Roman']ел файл вручную и удалил. Перезагрузился сделал сканирование [/FONT][FONT='Times New Roman']Ewido[/FONT][FONT='Times New Roman'] [/FONT][FONT='Times New Roman']Anti[/FONT][FONT='Times New Roman']-[/FONT][FONT='Times New Roman']malware[/FONT][FONT='Times New Roman'] 3.5. Ничего обнаружено не было. И всплывающие окна пропали.[/FONT]
[FONT='Times New Roman'][/FONT]
[FONT='Times New Roman']Может подскажете не осталось ли еще какихто хвостов от него?[/FONT]

1. Снесенный Вами Reset5 - это кряк винды ХР Sp1. Без него затребует денег. До ХР sp2 давно пора бы обновить систему, Ваша уже слишком дырява, чтобы долго жить.
2. Сомнительно, что look2me Вы действительно удалили, хотя чем черт не шутит. Перезагрузитесь и попробуйте снова провериться. Думаю, оно снова возникнет.

Я бы прибил look2me, скачав и установив бета-версию дрвеба. Для этого надо зарегистрироваться вот тут: [url]http://beta.drweb.com[/url], затем, используя полученный в е-мейл пароль (и свой е-мейл как логин), скачать вот это:
[url]http://beta.drweb.com/win/drweb-433-win-ru-beta.exe[/url]
[url]http://beta.drweb.com/win/drweb32-betatesting.key[/url]
Установить, обновить вирусные базы, перезагрузиться в [B]обычный[/B] (не безопасный) режим и все проверить. Думаю, еще чего-нибудь вполне может найтись, да и look2me заодно прибьется.

К слову - реалтайм монитор (он же спайдер) и прочее - спайдер-мейл, веб-гейт и шедулер устанавливать необязательно, это строго по Вашему желанию и вкусу. Для вышеописанной чистки Вам фактически достаточно одного сканера.

Несколько раз перегрузился и просканровал систему. Все чисто. И окон нету.
Начет денег - пока не просит. Поживем увидим.

АВЗ ненаходит т.к 3 монитора Ж) блокируют к нему доступ.

Рекомендация -
1. снести все 3 антивируса и перезагрузится
2. установить КАВ6 [url]http://downloads0.kaspersky-labs.com/beta/kav6.0/russian/[/url]
KAV License keys:
5742E3E6-59FF-4879-91C0-C9C39FB7FC6B7
6B174F68-063B-4EDC-967D-81D9AAC339952
97AC7293-9308-4579-A151-F40B5B8EB637B

3. обновить базы
4. просканировать компьютер и показать здесь логи еще раз (для уверенности).

PS: Alexey P:
Я бы прибил look2me, скачав и установив бета-версию дрвеба
Угу.... радость будет двойная
1. дрвеб не вылечит систему и после рестарта у человека пропадет интернет.
2. Дрвеб ненайдер вирус т.к к нему блокируют доступ 3 антивирусных монитора Ж)
3. Вирус всеравно оживет т.к дрвеб удаляит файл (как и все выше опробованные АВ) но файл появится вновь Ж)

Sanja
За KAV6 спасибо. у меня был но ключа рабочего не было. А на момент сканрования AVZ-том я все из трея позакрывал. Даже аську.

Позакрывать - не значит остановить Ж)

Похоже все таки не убил. Сегодня HijackThis нашол вот это: klogon.dll Никакой из антивирусов этот файл не замечал. Сам фал лежит в архиве в приложении. Там же и скрин описания этого файла HijackThis. Специально попробовал найти его AVZ-том. Не нашел. Лог тоже лежит в архиве, а так же два файла CatchOp.dll и MouseDll.dll на которые AVZ посоветовал обратить внимание.

[QUOTE=Эрвэл]а так же два файла CatchOp.dll и MouseDll.dll на которые AVZ посоветовал обратить внимание.[/QUOTE]
Всё безвредное, впредь попрошу на форум исполняемых файлов не выкладывать, только логи.

Оки принял к сведению. Ток я не знал вредные они или безвередные:))
Похоже что найденный сегодня klogon.dll это не остаток от предыдущего а что то новое было. По крайней мере окна не всплывали и новые файлы в System32 не появлялись.
Прошелся Касперским 6 и обнаружил в
c:\documents and settings\Эрвэл\Рабочий стол\snd-hideipplatinum1.xx.universalpatch2.exe
вот эту дрянь Trojan-Downloader.Win32.Adload.as Пристрелил.

klogon - от Кава - показывать логопит при логине.

[quote=Sanja]klogon - от Кава - показывать логопит при логине.[/quote]

Чет ни понял ниче. Подробней мона?

Ну когда система загрузилась, если у вас стоит онко выбора пользователей то эта дллка показывет логотип каспера в верхнем правом углу..

А понял. Тока окна выбора пользователя у меня нету. Пользователь один.

Кстати а что тогда в описании написано которое на скрине в архиве?

Это недочет HijackThis.. он все что прописано в WinLogon / Notify считает за возможно Look2Me ;)

Процесс слишком муторный. Мне эту радость жена подцепила вместе с программой "прикольных смайликов".

Поможет ли мне переустановка ХР без формата диска?

Или надо будет делать все, что сделал Эрвэл?

[QUOTE=Theri0n]Процесс слишком муторный. Мне эту радость жена подцепила вместе с программой "прикольных смайликов".

Поможет ли мне переустановка ХР без формата диска?

Или надо будет делать все, что сделал Эрвэл?[/QUOTE]
В принципе достаточно поставить временно КАВ6. Можно и ДрВеб, но там процесс более сложный.

У меня эта гадость легко обнаруживается Windows Defender, но при попытке удалить винда вылетает в перезапуск. Соответственно guard.tmp и пойманные дефендером дллки не удаляются - говорят процесс сначала убей.

Как, кстати найти процесс по PID? Может просто ушатать процесс и втупую вручную ушатать файлы?

Найти бы этого козла, что написал такое - убил бы голыми руками

look2me нельзя удалить вручную см. выше

[QUOTE=Geser]В принципе достаточно поставить временно КАВ6.[/QUOTE]

КАВ устанавливать муторно и ресурсы у компа он забирает будь здоров. Кстати, симантековская утила вроде ничего не может сделать.

[QUOTE=Therion]КАВ устанавливать муторно и ресурсы у компа он забирает будь здоров. Кстати, симантековская утила вроде ничего не может сделать.[/QUOTE]
Кав 6 ничего не забирает. Устанавливается за считанные секунды, так же и деинсталируется.

можно воспользоваться прогой Look2Me remover, сканирует компьютер на предмет обнаружения вредоносных процессов Look2Me.
скачать можно [url=http://www.majorgeeks.com/Look2Me_Remover_d4856.html]здесь[/url]
Можно удалить и вручную для этого надо:
1)Закрыть все запущенные приложения
2)Запустить AVZ и активировать AVZ Guard
3)При помощи отложенного удаления AVZ (Файл/отложенное удаление) произвести удаления принадлежащих Look2me файлов.
4)В диспетчере автозапуска в секции Winlogon удалить элементы, ссылающиеся на файлы look2me
5)В диспетчере расширений проводника удалить элементы, ссылающиеся на файлы look2me
6)Выйти из AVZ не выключая AVZ Guard
7)ну и перезагрузиться

//где-то это я уже видел...

Спасибо за советы.

АВЗ не помог. Он даже не нашел гадость, зато заблокировал все подряд в режиме гарда.

Просто для эксперимента поставил чешский Spyware Terminator. Быстро нашел луктуми, еще пару скриптов в засаде и зачистил, чего не мог мелкомягкий Вынь Дефендер.

[QUOTE=Therion]Спасибо за советы.

АВЗ не помог. Он даже не нашел гадость, зато заблокировал все подряд в режиме гарда.

Просто для эксперимента поставил чешский Spyware Terminator. Быстро нашел луктуми, еще пару скриптов в засаде и зачистил, чего не мог мелкомягкий Вынь Дефендер.[/QUOTE]
АВЗ и не должен был искать. Нужно было удалять ручками используя его защиту и его инструманты для удаления.

[QUOTE=Geser]look2me нельзя удалить вручную см. выше[/QUOTE]

Подцепил эту заразу давеча с варезного сайта...
Вылечил воспользовавшись инструкцией с сайта Симантека: перезагрузил комп в безопасном режиме и прогнал весь диск симантековским антивирем . Нашел 2 файла: один ЕХЕшник и DLLку на 230 кило. После перезагрузки все удалилось.