Показано с 1 по 5 из 5.

Краткое описание Look2Me

  1. #1
    Geser
    Guest

    Краткое описание Look2Me

    Краткое описание Look2Me
    Устанавливается файлом Installer.exe, размером около 577 кб, установка идет скрытно. В разделе "Установка и удаление программ" не создается записи для удаления. DLL размещается в %WINDIR%\system32 (здесь и в дальнейшем %WINDIR% обозначает папку, в которую установлена ОС Windows) и регистрируется в ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Также в реестре создается CLSID и регистрируется как модуль расширения проводника (при этом имя элемента не указывается). DLL не имеет описания и копирайтов.

    "Антивирус Касперского" детектирует последние версии Look2Me как not-a-virus:AdWare.Win32.Look2Me.ab.

    Определение присутствия в системе
    Определить наличие Look2Me в системе можно по логам программы HijackThis (HijackThis.log) и логу исследования системы программы AVZ (avz_sysinfo.htm).
    В логе HijackThis присутсвует строка вида
    O20 - Winlogon Notify: произвольное название - %WINDIR%\system32\произвольная строка.dll
    В логе AVZ в списке процессов присутствуют 2-3 DLL и/или файл guard.tmp, зарегистрированные в папке %WINDIR%\system32\, имеющие размер около 228кб-231кб, у которых в столбцах "Описание" и "Copyright" информация отсутствует. Все эти файлы являются компонентами троянской программы Look2Me.

    Лечение
    Существует несколько способов противодействия, различающихся своей эффективностью.

    Пример алгоритма лечения Look2me с применением AVZGuard:
    1. Закрыть все приложения, запустить AVZ, включить AVZGuard
    2. Пролечить компьютер, при необходимость применить отложенное удаление файлов Look2me
    3. При необходимости удалить элементы автозапуска Look2me в диспетчере автозапуска и диспетчере расширений Explorer
    4. Выйти из AVZ не отключая AVZGuard и перезагрузить компьютер
    5. После перезагрузки при необходимости "добить" оставшиеся файлы



    1. Загрузка с CD/DVD и проверка антивирусной программой.
    Метод хорош, когда есть LiveCD и антивирус на нем.

    2. Подключение зараженного HDD к чистому ПК и проверка антивирусной программой.
    Метод хорош, когда под рукой есть чистый ПК, HDD имеет стандартный (такой же) интерфейс, можно вскрывать системный блок и вообще выключать компьютер.

    3. Правка реестра.
    (Проверено на Windows 2000, на других версиях названия пунктов могут отличаться)
    Запустить программу regedt32.exe, перейти к ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify. Выбрать в меню программы "Безопасность\Разрешения...". Нажать кнопку "Дополнительно", на закладке появившегося окна (закладка "Разрешения") нажать "Добавить", выбрать пользователя "Все". После добавления в списке "Элементы разрешений" появится позиция "Все", нужно выбрать ее и нажать "Показать/Изменить". После этого появляется окно с заголовком "Элемент разрешения для Notify", в столбце "Запретить" поставить галки для "Задание значения" и "Создание подраздела". Это блокирует создание разделов, но не блокирует их удаление - т.е. далее можно не выходя из редактора реестра удалить в Notify ключи, ссылающиеся на файлы Look2Me. После этого необходимо перезагрузить компьютер.

    4. Использование антивируса DrWeb.
    Необходимо установить ознакомительную версию "Dr.Web для рабочих станций Windows" ( http://download.drweb.com/win/ ).
    В настройках Spider (правая кнопка на паука): настройки - Режим проверки на лету - переставить с "оптимального" на "другие", поставить галку "запуск и открытие" и "создание и запись", поставить "Запретить режим расширенной защиты" и снять "Проверять работающие программы и модули". Потом зайти в раздел "Действия", выбрать "Вредноносные программы" - "Рекламные программы", там выбрать "Первое действие" - "Переместить в карантин" и нажать "Изменить". После этого необходимо перезагрузить компьютер.

    При составлении описания использованы материалы Олега Зайцева и RiC.

    (c) MOCT
    Последний раз редактировалось Geser; 22.02.2006 в 12:41.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Вот здесь пошаговая инструкция для Dr.Web`a, кстати действует не только на Look2Me, а ещё и на Rootkit`ы (к примеру Apropos и HackDef) да и на прочих глубоко окопавшихся в системе. После применения желательно выкладывать логи в "Помогите!" т.к. хвосты Web не чистит и желательно зачищать руками

    Так-же добавлю что в п. 4 надо все манипуляции с настройками нужно сделать до перезагрузки, сразу после установки.
    Последний раз редактировалось RiC; 17.01.2006 в 19:14.

  4. #3
    Visiting Helper Репутация
    Регистрация
    03.10.2004
    Сообщений
    699
    Вес репутации
    53
    А теперь кароче ж)

    Краткая инструкция с КАВ 2006

    1. качаем последний билд ftp://kav2006:Fynb02dbhec60@data.kaspersky.ru/
    2. ставим

    3. обновляем базы

    4. запускаем проверку..

    Вирус будет удален, а за ним будет почищен реестр
    Последний раз редактировалось Sanja; 19.01.2006 в 17:30.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Ну и ещё один способ - Shadowwar`овский L2M killer - во вложении, поправлен для работы c русской Windows.
    Запускать l2mfix.bat после из меню выбрать "2". Использовать, если вы на 100% уверены что у Вас действительно L2M.
    Вложения Вложения
    • Тип файла: zip l2mfix.zip (298.1 Кб, 88 просмотров)

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Ещё одна утилита -
    Simplytech Look2Me Remover

    Утилита от F-Secure для удаления Look2me - http://www.f-secure.com/tools/f-look2me.zip
    Последний раз редактировалось RiC; 06.05.2006 в 11:15.

Похожие темы

  1. Краткое описание Virus.Win32.Sality.aa
    От mbabichev в разделе Описания вредоносных программ
    Ответов: 6
    Последнее сообщение: 27.11.2010, 23:51
  2. Brief Description of Look2Me
    От MAPKOBKA^^ в разделе Custom descriptions of malware
    Ответов: 0
    Последнее сообщение: 03.12.2007, 20:22
  3. Look2Me
    От Dark_Blaze в разделе Помогите!
    Ответов: 2
    Последнее сообщение: 19.04.2006, 02:39

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00225 seconds with 17 queries