пальцами можно только тараканов давить, а вот L2M это покруче будетСообщение от GrAnd
значит надо удалить ключи из реестра, чтобы они нас не смущали
пальцами можно только тараканов давить, а вот L2M это покруче будет
значит надо удалить ключи из реестра, чтобы они нас не смущали
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Это было еще до того, как получилось... Просто протоколы AVZ не успевают за моими действиями
.
Вобщем, кажется я его нашел ... или что-то очень похожее.
Менеджер автозапуска в разделе WinLogon показывает следующий элемент: C:\WINNT\system32\r4r6le9s1h.dll. Файл заблокирован. Не могу его даже скопировать. Удалить из реестра запись не получается - самовосстанавливается. Пытался заменить права доступа для SYSTEM - установить запрет на создание подразделов разделов Notify - тоже не прокатило. Эта зараза действует от имени SYSTEM и заменяет права доступа на полный доступ. Попытался сделать такой запрет на более высоком уровне (в разделе Software) - все равно не дало результата. Хоть права доступа с этого раздела на дочерние переносятся, но эта зараза просто создает дополнительно в добавку к переносимым еще и локальные полные права.
Вобщем, пока в тупике. Как почистить реестр не знаю. Как удалить контролирующий процесс, запущенный через WinLogon тоже не имею понятия.
Разве что попытаться подключить диск к другой машинке и удалить этот файл. Но этого делать ой как не хочется ... Или через консоль восстановления попробывать?
Просто нужно нас слушать, всё бы давно уже было удалено. ЕСли используется ДрВеб то нужно включить его минитор и изменить режим работы на проверку при доступе. Если нет, то скачать КАВ6, установить и почистить им.
вышлите этот файл как описано в правилах..
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
А я всегда слушаю опытных. Потому что "опыт сын ошибок трудных". А учиться на чужих ошибках несоизмеримо приятнее.
Да нет у меня монитора у DrWeber. Лицензию покупали без монитора - только на сканер. Мне, вообще, больше всего его консольный сканер нравится. Его прекрасно можно прикрутить к другим программам, для обработки проходящих файлов.
Только я сомневаюсь, что он сильно бы мне сейчас помог.
Дело в том, что этот стремный файл, похоже, не единственная компонента вируса. Я для эксперимента отключил менеджером автозапуска все программы из автозагрузки (кроме системных userinit.exe и explorer.exe) и из WinLogon (ту стремную неотключаемую dll удалил через консоль восстановления). И перезагрузился. Ну и что ... В WinLogon опять появилась неучтожимая dll. теперь под именем WJNSRV.DLL. Она меняет имена, при этом иногда маскируясь под легальные сервисы.
Так что, ее я сейчас вышлю, только пока не обнаружу, кто на самом деле контролирует реестр и восстанавливает ключи права и эту самую dll, дела не будет. А как это сделать - не понимаю. Уже все поотключал, но ведь кто-то остался.
Похожая ситуация случилась более полутора лет назад. Тоже 2 процесса контролировали друг друга и реестр. Только тогда это было на Win98SE. Оба процесса были прописаны в ключе Run. В безопасном режиме вычистить реестр было очень легко. Здесь же безопасный режим не помагает. Даже придумать не могу, когда грузится контролирующий процесс, к чему он прицепился.
Короче, качайте КАВ и лечиитесь
Немного слукавил ...
Если после всех указанных телодвижений (отключений автозагрузки, WinLogon, удаления левой библиотеки) загрузиться в безопасном режиме, то эта библиотека не восстанавливается и реестр не контролируется.
Только зачем мне сейчас этот безопасный режим нужен, если я не знаю, кто в "опасном" режиме этими бяками занимается ...
я не очень понял, для чего вы пишете свои сообщения.
есть два варианта - 1) вы хотите вылечиться от заразы и 2) вы хотите просто потрепаться.
пока не заметил ничего, что бы указывало на пункт номер 1.
после выполнения рекомендаций из http://virusinfo.info/showthread.php?t=5824 никаких Look2Me остаться не должно.
Уважаемый!
Если бы я не хотел вылечить комп, то не потратил бы на это дело уже почти 20 часов, и не писал бы сюда посты в надежде получить совет и помощь. А просто бы переустановил бы операционную систему. Поверьте пожалуйста, это потребовало бы меньше времени, сил и нервов.
Если у Вас возникло ощущение, что я только треплюсь, то смею уверить Вас, что это далеко не так. В конце концов мне была обещана помощь, которой я и вправе поэтому ожидать. До сих пор мне только уже который раз даются ссылки на лечение Look2Me. Да нет у меня этого Look2Me. Во всяком случае, ни DrWeber, ни AVZ уже его в системе больше не детектируют. Вылечил я его, похоже ...
Так что, если и есть что-то у меня, так это, в лучшем случае, его клон. В худшем - неизвестный науке зверь. Поэтому предложенный способ борьбы с ним редактированием реестра и не действовал.
Кстати, предложенным Вами способ чистки при помощи AVZGuard я воспользоваться не могу. Если Вы внимательно читали мои посты, то видели, что я жаловался на то, что при попытке его запуска выдается сообщение об ошибке активации, после чего перестают запускаться прочие программы. И никто даже не подсказал, в чем может быть причина.
Вместо этого я провел удаление подозрительных файлов из режима консоли восстановления. Пока это сработало. Загрузка в безопасном режиме стала чистой. Но нет уверенности, что она такой и останется. По всей видимости, я опять столкнулся с многокомпонентным вирусом, каждая часть которого контролирует и восстанавливает работу остальных частей.
Так что, по прежднему надеюсь на Вашу помощь. А тем временем предпринимаю собственные шаги по выявлению всех компонент.
L2M вылечить вручную невозможно, так что можете продолжать тешить себя мыслью, что вы его удалили
предложенные методы действуют для любых модификаций и аналогов L2M
AVZGuard и предназначен для блокирования запуска любых посторонних программ. так что это не баг, а фича.
скриншота "ошибки активации" вы нам не присылали, так что для нас это все неочевидно и виртуально.
присылайте скриншоты и логи - будем разбираться.
это НЕ вирус
Так оно и есть:По всей видимости, я опять столкнулся с многокомпонентным вирусом, каждая часть которого контролирует и восстанавливает работу остальных частей.
http://www.viruslist.com/ru/viruses/...?virusid=75772
Возможно у вас действительно новая разновидность Look2Me. Поэтому нужно еще раз повторить логи по пунктам Правил 10-13.
Надеюсь, те подозрительные файлы которые вы удаляли это C:\WINNT\system32\guard.tmp и dll-файлы из C:\WINNT\system32, созданные вчера-сегодня?...провел удаление подозрительных файлов из режима консоли восстановления
ну НЕ вирус это, НЕ вирус!!!
там даже так и написано: not-a-virus:AdWare.Look2Me.ab
Присланную вчера вечером dll, и DrWeb и KAV прекрасно детектируют как Look2Me, её даже AV от Microsoft знает...
Если с AVZ не получается, то используте DrWeb, KAV... но без активного антивирусного монитора переведённого в режим проверки запускаемых и создаваемых файлов Вы не сможете побороть его.
И ещё, не понятно выполнили Вы рекомендации данные в сообщении #16, если нет, то вам будут поставляться "самые свежие" экземпляры того что удаляете.
ps. Без адекватной реакции на предложенные методы лечения (т.е. выполнения рекомендованного и отчёта о проведённых операциях) реальная помощь врятли возможна.
Дрвеб детектит новую модификацию старой записью. Вот только удалить можно либо монитором в агрессивном режиме, либо новым сканером из беты, который с шилдом.
Хм, можно поподробнее, что за бета такая(в новой теме
Пока она в бетах, вроде рано говорить в новой теме
Авенджер смотрел ? Вот его аналог добавили к сканеру. Только работает без перезагрузки, прямо по ходу проверки. Установки не требует, точнее, сканер при запуске этот свой шилд ставит, потом убирает, т.е. может работать с шилдом в режиме CureIt-а (и в безопасном режиме). Правда, только под 2000/ХР.
И еще, кроме убиения, сканер умеет через этот драйвер читать недоступные файлы - нотифайеры, look2me и т.п.
(Убираешь шилд - в логе сканера read error. Возвращаешь на место - Adware.Look2me).
Cool
Это смотря какие руки ... Насколько широко пальцы расстопырены. Если не шире ушей, то можно и попробывать. У меня, во всяком случае, получилось. Уже 4,5 часа ни одного всплывшего окна. Вроде бы даже сетевой трафик слегка уменьшился.
Ну я же русским по белому написал, что эта шняга перехватывала управление реестром и восстанавливала не только ключи в HKLM\Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify, но и изменяла права допуска учетной записи SYSTEM к этой ветви. Именно про это я писал, что данный способ не помог. Вы хотя бы внимательнее читайте.
Хорошая фича, если после данной ошибки я уже не могу AVZGuard отключить. Только перезагрузкой. В меню остается доступным только первый пункт "Включить AVZGuard". Пункты "Запустить приложение как доверенное" и "Отключть AVZGuard" остаются неактивными.
Я действительно не высылал скриншоты и логи, потому что не знал, что это необходимо делать. Просто описал проблемму (см. выше по теме). Раз нужно, то скриншот прилагаю. Если нужны логи, то скажите, куда и какие высылать.
Да пусть его не вирус. Формально, действительно, не вирус. Но больному все равно от чего умирать - от вируса СПИДа, холерного вибриона, палочки Коха или бледной спирохеты. Пусть это будет "not-a-virus:AdWare.Look2Me.ab" - мои личные отношения к нему нисколько от этого не потеплели.
Так что, не в словах счастье.
Сегодня мой DrWeb тоже стал его детектировать. Еще вчера он этого еще не делал. Странно. Лицензионный. Обновления 2 раза в сутки.
Почему же? Очень даже поборол. Не сказал бы, что было легко, но все-таки ...
Если бы было побольше опыта, до достаточно было бы только редактора реестра и загрузочного реанимационного диска для запуска консоли восстановления. Или загрузочной дискеты с драйвером NTFS. Но такой у меня не было, поэтому пользовался установочным CD. Причем даже не для Win2K, а для XP.
Но это минимум. На самом деле AVZ и Total Commander тоже лишними не будут.
Примерные мои действия (сейчас уже не помню подробно, ибо начинал почти 2-е суток назад, действия не фиксировал):
- В ветви HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify найти ключи, содержащие в качестве значения параметра DLLName c именем dll размером около 230K и созданную в последнее время (распологаются в %WinRoot%\system32). Попытаться удалить эти разделы. Если они самовосстанавливаются, то это именно то, что ищем.
Вместо этого, если есть AVZ, то отключить с помощью менеджера автозагрузки все WinLogon. Нажать на кнопку обновления. Если какие-то элементы самопроизвольно включились, то это именно то, что надо.- Запомнить имена этих dll и с помощью TC или другого подходящего файл-менеджера снять атрибут "system". Но это не обязательно.
- Найти подозрительные ссылки на {CLSID} в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved и удалить их. Может быть подозрительными являются ссылки на {CLSID}, содержащие в ключе InprocServer32 имена тех самых файлов, но за это поручиться не могу. Скорее всего, там будут другие имена, не зря же эта шняга две свои копии держит. Лично я просто интуичил.
- Удалить соответствующие {CLSID} в HKLM\SOFTWARE\Classes\CLSID.
- Выключить компьютер и загрузить с загрузочного диска установки Win2K/XP. Войти в режим восстановления и запустить консоль восстановления.
- Войти в директорию system32 и удалить найденные dll-файлы. Если системный атрибут не был снят, то можно вместо удаления их просто переименовать - так даже быстрее.
- Перезагрузить компьютер в безопасном режиме и подчистить все хвосты - файлы, ключи реестра ... Все.
Судя по данному описанию, ссылку на которую Вы мне дали, это действительно может быть другая разновидность. Насчет многокомпонентности это мне и померещиться могло - устал, начал делать ошибки, вот и принял свои страхи за реальность. Но вот {CLSID}, которые были у меня, действительно отличаются от приведенных в описании. Не помню их точно, но, кажется, они начинались с 62EB. Во всяком случае, за 3-ю и 4-ю цифру точно поручусь
Кстати, моя шняга, в отличии от приведенного в описании, создавала в HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify не только раздел ModuleUsage, но 3 или 4 различных раздела. Помню только имя одного: Uninstall.
Вобщем, хорошо все, что хорошо заканчивается. Спасибо всем, кто помог мне советом и своими знаниями. Без этого я бы мог провозиться еще дольше.
Последний раз редактировалось GrAnd; 07.07.2006 в 15:08.
Последний раз Шилд лажался на л2м судя по бета форуму.. (ред-еррор) выдавалПока она в бетах, вроде рано говорить в новой теме
Авенджер смотрел ? Вот его аналог добавили к сканеру. Только работает без перезагрузки, прямо по ходу проверки. Установки не требует, точнее, сканер при запуске этот свой шилд ставит, потом убирает, т.е. может работать с шилдом в режиме CureIt-а (и в безопасном режиме). Правда, только под 2000/ХР.
И еще, кроме убиения, сканер умеет через этот драйвер читать недоступные файлы - нотифайеры, look2me и т.п.
(Убираешь шилд - в логе сканера read error. Возвращаешь на место - Adware.Look2me).
А вобще - я уже писал - там много радости Ж) Совет вроде включите спайдера на проверку всего и перезагрузитесь приводит к пропаданию И-нета т.к спайдер реестр не чистит.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
Уважаемый(ая) GrAnd, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
