Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 49.

Снова о Look2Me (заявка № 4407)

  1. #1
    ulet
    Guest

    Снова о Look2Me

    Народ, я почитал о вашей битве с w_w.ad-w-a-r-e.com (Look2Me). У меня всё тоже самое. Только сегодня пытался убить его. Новыми NAV, AdAvare, Spybot - Search & Destroy, и в рукопашную, всё бестолку. Если есть лекарство, отпишите плз. Если надо, завтра пришлю всё что просите в правилах. Судя по всему вам надо постоянную тему открывать.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Да пробегал тут один недавно,
    Убивается 3-мя способами -
    1. Webroot Spysweeper
    2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
    3. DrWeb`om с особо злостными настройками резидентного монитора.
    Для 2 и 3-го способа нортона придётся на время снести.
    Последний раз редактировалось RiC; 09.01.2006 в 00:41.

  4. #3
    ulet
    Guest
    Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
    AVZ нашёл AdURL.с
    Последний раз редактировалось ulet; 09.01.2006 в 00:49.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от ulet
    Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
    Их в Online никто и никогда не увидит, свои файлы L2M блокирурует для доступа поэтому прибить можно только или в памяти, как это делает касперский с последующим удалением с диска, или установив перехватчик до запуска L2M и удалить эту фигню в момент загрузки в память, как это делают Доктор или Webroot.

  6. #5
    ulet
    Guest
    А Norton их не ловит?
    Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от ulet
    А Norton их не ловит?
    Нортон вообще нихрена не ловит, он даже на более простые подвиги не способен, последние пару лет это вообще не более чем муляж антивируса...

    Цитата Сообщение от ulet
    Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.
    При заражании она цепляется только к Winlogon (авторизация), после 1-й перезагрузки интегрируется ещё в оболочку и если не ошибаюсь в систему печати. В результате паразит стартует очень рано, раньше большинства антивирусных мониторов, сразу после запуска блокирует доступ к своим файлам, а в итоге его никто попросту не видит.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    740
    Цитата Сообщение от RiC
    Да пробегал тут один недавно,
    Убивается 3-мя способами -
    1. Webroot Spysweeper
    2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
    3. DrWeb`om с особо злостными настройками резидентного монитора.
    Для 2 и 3-го способа нортона придётся на время снести.
    4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
    Если эта загрузка возможна - зависит от юзера.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Alexey P.
    4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
    Если эта загрузка возможна - зависит от юзера.
    Или с Recovery диска, в качестве которого можно использовать ERD или BartPE.

    Всё-равно спасибо за дополнение, это наверное самый простой снести L2M.

  10. #9
    ulet
    Guest
    Я пол ночи разбирался, как заархивировать по вашим инструкциям "каку", но так ни черта и не понял.
    Поработал с AVZ. Прога удобная, для рукопашной, молодцы. Правда "каку" так и не убил, она каждый раз восстанавливает ключи. Кстати, если при загрузке успеть срубить rundll.exe, то попапы не появляются, но левые обращения в сеть идут.
    Продолжаю битву.
    Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
    Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
    Вообще создатели "каки" молодцы, многое продумали.
    Последний раз редактировалось ulet; 09.01.2006 в 13:59.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Цитата Сообщение от ulet
    Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
    Так написали же уже -
    Цитата Сообщение от RiC
    Да пробегал тут один недавно,
    Убивается 3-мя способами -
    1. Webroot Spysweeper
    2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
    3. DrWeb`om с особо злостными настройками резидентного монитора.
    Для 2 и 3-го способа нортона придётся на время снести.
    и

    Цитата Сообщение от Alexey P.
    4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
    Если эта загрузка возможна - зависит от юзера.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3166
    RiC, а 5 Каспер про эту дрянь не ловит (у меня Workstations)?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от ulet
    Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
    Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
    Вообще создатели "каки" молодцы, многое продумали.
    описанные симптомы указывают на то, что у Вас там не только Look2Me, но и многое другое (в частности - Renos). так что крайне рекомендую сделать исследование системы с помощью AVZ и лог HijackThis и прикрепить их к этой теме, а файлы secure32.* и появляющиеся c:\*.exe прислать на virus@virusinfo.info с паролем virus

  14. #13
    Geser
    Guest
    Другими словами нужно было с самого начала выполнить правила и тогда можно было бы сказать что-то конкретное.

  15. #14
    ulet
    Guest

    ОК

    Я понял.
    Пожалуйста не посылайте логи и просьбы о помощи хелперам модераторам или администратору без непосредственной их просьбы
    Правда что то я порубил, так что логи могут быть не полными.
    Вложения Вложения

  16. #15
    Geser
    Guest
    Нужно прислать нам файлы:
    C:\WINDOWS\system32\ssclient.dll
    C:\WINDOWS\system32\i6jq0g15e6.dll
    C:\WINDOWS\system32\oubcjt32.dll
    C:\WINDOWS\system32\dqmsrpcn.dll

    А так же любые другие файлы в C:\WINDOWS\system32 созданные сегодня.

  17. #16
    ulet
    Guest
    Это трудно, т.к. злодея не скопировать.
    ssclient.dll
    oubcjt32.dll
    dqmsrpcn.dll
    Эти я перенёс и заблокировал ещё вчера.
    i6jq0g15e6.dll
    Этого нет
    Последний раз редактировалось ulet; 09.01.2006 в 17:22.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    пришлите файлы из этого списка (кроме тех, которые уже присылали; искать лучше из AVZ, по всему системному диску):

    de.*
    degbes.*
    gbesgr.*
    hosts.*
    it.*
    kl.*
    ms1.*
    ms2.*
    paytime.*
    secure32.*
    tool1.*
    tool2.*
    tool3.*
    tool4.*
    tool5.*
    toolbar.*
    us.*
    win32.exe
    proxy.exe
    search.exe
    tibs*.exe
    tool.exe
    web.exe
    winlogon.exe
    winlogon1.exe
    ztool*.exe
    zgame*.exe
    ef.exe
    killer.exe
    mm.exe
    child.*
    qaz1.exe
    ase3.exe
    sys32.exe
    w16.dll
    win32.dll
    msctl32.dll
    msarch.exe
    ibm0000*.*
    fldrsys.dll
    drsmartload.exe
    loadadv*.*

  19. #18
    ulet
    Guest
    Из всего списка только то, что я уже оттослал. остального нет. Письма проходят? У меня возвраты.
    Последний раз редактировалось ulet; 09.01.2006 в 19:08.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    135
    Цитата Сообщение от ulet
    Письма проходят? У меня возврат.
    попробуйте воспользоваться этой формой для отправки файла
    http://www.virusinfo.info/index.php?page=upload_clean
    а потом сообщите в этой теме название отправленного файла

  21. #20
    ulet
    Guest
    Я наверно не оригинален. Zip.ы называются "вирус" 3.71м ; "вирус-2" 348кб. Отпишите, получили?
    Последний раз редактировалось ulet; 09.01.2006 в 19:52.

  • Уважаемый(ая) ulet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Brief Description of Look2Me
      От MAPKOBKA^^ в разделе Custom descriptions of malware
      Ответов: 0
      Последнее сообщение: 03.12.2007, 20:22
    2. Look2Me
      От Dark_Blaze в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 19.04.2006, 02:39
    3. Краткое описание Look2Me
      От Geser в разделе Описания вредоносных программ
      Ответов: 4
      Последнее сообщение: 13.02.2006, 11:58
    4. Удаление look2me
      От Geser в разделе Антивирусы
      Ответов: 4
      Последнее сообщение: 05.11.2005, 00:01
    5. AdWare.look2me.ab
      От Зайцев Олег в разделе Описания вредоносных программ
      Ответов: 0
      Последнее сообщение: 17.10.2005, 12:01

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00115 seconds with 17 queries