Народ, я почитал о вашей битве с w_w.ad-w-a-r-e.com (Look2Me). У меня всё тоже самое. Только сегодня пытался убить его. Новыми NAV, AdAvare, Spybot - Search & Destroy, и в рукопашную, всё бестолку. Если есть лекарство, отпишите плз. Если надо, завтра пришлю всё что просите в правилах. Судя по всему вам надо постоянную тему открывать.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да пробегал тут один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.
Последний раз редактировалось RiC; 09.01.2006 в 00:41.
Каспер онлайн не видит их (я их нашёл) Спасибо, почитаю сначала ссылку.
Их в Online никто и никогда не увидит, свои файлы L2M блокирурует для доступа поэтому прибить можно только или в памяти, как это делает касперский с последующим удалением с диска, или установив перехватчик до запуска L2M и удалить эту фигню в момент загрузки в память, как это делают Доктор или Webroot.
Нортон вообще нихрена не ловит, он даже на более простые подвиги не способен, последние пару лет это вообще не более чем муляж антивируса...
Сообщение от ulet
Кстати, я понял, что эта кака запускается без ребота, т.е. сразу при загрузке.
При заражании она цепляется только к Winlogon (авторизация), после 1-й перезагрузки интегрируется ещё в оболочку и если не ошибаюсь в систему печати. В результате паразит стартует очень рано, раньше большинства антивирусных мониторов, сразу после запуска блокирует доступ к своим файлам, а в итоге его никто попросту не видит.
Да пробегал тут один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.
4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.
Я пол ночи разбирался, как заархивировать по вашим инструкциям "каку", но так ни черта и не понял.
Поработал с AVZ. Прога удобная, для рукопашной, молодцы. Правда "каку" так и не убил, она каждый раз восстанавливает ключи. Кстати, если при загрузке успеть срубить rundll.exe, то попапы не появляются, но левые обращения в сеть идут.
Продолжаю битву.
Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.
Последний раз редактировалось ulet; 09.01.2006 в 13:59.
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Так написали же уже -
Сообщение от RiC
Да пробегал тут один недавно,
Убивается 3-мя способами -
1. Webroot Spysweeper
2. Свежей бетой касперского (КАВ 2006, логин с паролем в бета зону см. у них на форуме)
3. DrWeb`om с особо злостными настройками резидентного монитора.
Для 2 и 3-го способа нортона придётся на время снести.
и
Сообщение от Alexey P.
4. Загрузка с чистого диска и удаление DrWebCureIT-ом.
Если эта загрузка возможна - зависит от юзера.
Я заметил что при заражении, в качестве стартовой ставится secure32.html, которая вместе с двумя .exe сначала появляется в корневом C:\, а потом уходит на \system32\
Я думаю до выхода лекарства, вам надо написать инструкцию "по применению", на основе накопленного опыта.
Вообще создатели "каки" молодцы, многое продумали.
описанные симптомы указывают на то, что у Вас там не только Look2Me, но и многое другое (в частности - Renos). так что крайне рекомендую сделать исследование системы с помощью AVZ и лог HijackThis и прикрепить их к этой теме, а файлы secure32.* и появляющиеся c:\*.exe прислать на [email protected] с паролем virus
Нужно прислать нам файлы:
C:\WINDOWS\system32\ssclient.dll
C:\WINDOWS\system32\i6jq0g15e6.dll
C:\WINDOWS\system32\oubcjt32.dll
C:\WINDOWS\system32\dqmsrpcn.dll
А так же любые другие файлы в C:\WINDOWS\system32 созданные сегодня.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: