-
Adware.look2me как это было у меня
Вообщем в процессе поиска кряка на www.astalavista.am была нйдена ссылка на кряк. При переходе на неё выскочило стандартное окно с предложением установить языки требуемые для правильного отображение страницы. Нажал кнопку “Yes” увидел совсем нестандартное окошко представляющее собой круг в диаметре сантиметра 3, который буквально в течение секунды заполнился и пропал. Тут у меня появились некие подозрения что падцепил что-то не то. Подозрения подтвердились буквально через три минуты когда сами по себе стали вываливаться разные окна. Причем с такой быстротой что делать что либо в Internet Explorer было вообще невозможно. Перегрузив компьютер c помощью Opera 7.51 кое как нашел и скачал Avira AntiVir Personal Edition Classic (До єтого момента на машине вообще не стояло никакого антивируса, а ОС была проинсталирована три-четыре дня назад.
После обновления баз Avira нашла и 89 зараженных объектов и 7 разных вирусов. Большинство зараженных файлов она вылечила штук 5 поместила в карантин так как вылечить не могла. После завершения сканирования предложила удалить файлы находящиеся в карантине. Что я и сделал с радостной мыслью что избавился о вируса.
Однако при запуске Internet Explorer окна снова стали всплывать, хотя и не с такой частотой как до этого.
Решил скачать другой антивирус. Нашел и скачал Bit Defender 8.0.202 .
После обновления баз он нашел еще 9 зараженных вирусом Adware.Dinky.A.Trojan файлов. Bit Defender сообщил что не может их вылечить и предложил удалить. Что я и сделал. Но все таки окна продолжали всплывать. Повторно запустил Bit Defender и он нашел 6 совсем других файлов заражённых тем же вирусом. Попробовал найти в интернете информацию по вирусу Adware.Dinky.A.Trojan но нашел тока англоязычные сайты на которых с моим убогим знанием английского языка ничего не понял. Следующим скачанным антивирусом стал Ewido Anti-malware 3.5. Именно этот антивирус и распознал в зараженных файлах вирус Adware.Look2Me. Но ситуация с леченим этого вируса была такая же как и у Bit Defender. То есть при сканировании он находит несколько инфицированных файлов, удаляет их и тут же при новом сканировании находит еще несколько файлов стем же вирусом. Поискав информацию про Adware.Look2Me попал на Ваш форум. Тут нашел рекамендацию скачать AVZ. Скачал AVZ 4.15, но судя по всему не разобрался с настройкой программы – AVZ ничего у меня не нашел.
Решил обратится за помощью на Вашем форуме и полез читать правила. Там увидел в рекомендациях что необходимо скачать несколько программ, одной из которых была HijackThis. Скачал HijackThis v1.99.1 просканировал систему и получил следующее:
Logfile of HijackThis v1.99.1
Scan saved at 11:39:33, on 04.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Winamp\Winampa.exe
C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Softwin\BitDefender8\bdmcon.exe
C:\Program Files\Softwin\BitDefender8\bdnagent.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\COMMON~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\COMMON~1\Nokia\MPAPI\MPAPI3s.exe
C:\Program Files\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Program Files\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\Program Files\Common Files\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDMCon] "C:\Program Files\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Program Files\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [PcSync] C:\Program Files\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: AquariumDesktop2006.lnk = C:\Program Files\Stardock\DesktopGadgets\AquariumDesktop2006\ AquariumDesktop2006.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program Files\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Отправить через &Bluetooth - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\btsendto_ie.htm
O9 - Extra button: ReGet - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\Program Files\ReGet\ReGet.exe (HKCU)
O9 - Extra 'Tools' menuitem: &Re&Get - {38AAF320-C5B4-11D1-B75E-111111111111} - C:\Program Files\ReGet\ReGet.exe (HKCU)
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll
O20 - Winlogon Notify: Reliability - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\nctmsg.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Программное обеспечение Bluetooth\bin\btwdins.exe
O23 - Service: Журнал событий (Eventlog) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: Служба COM записи компакт-дисков IMAPI (ImapiService) - Корпорация Майкрософт - C:\WINDOWS\System32\imapi.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NetMeeting Remote Desktop Sharing (mnmsrvc) - Корпорация Майкрософт - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Служба сетевого DDE (NetDDE) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: Диспетчер сетевого DDE (NetDDEdsdm) - Корпорация Майкрософт - C:\WINDOWS\system32\netdde.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Корпорация Майкрософт - C:\WINDOWS\system32\services.exe
O23 - Service: Диспетчер сеанса справки для удаленного рабочего стола (RDSessMgr) - Корпорация Майкрософт - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Модуль поддержки смарт-карт (SCardDrv) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Смарт-карты (SCardSvr) - Корпорация Майкрософт - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Журналы и оповещения производительности (SysmonLog) - Корпорация Майкрософт - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Теневое копирование тома (VSS) - Корпорация Майкрософт - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Адаптер производительности WMI (WmiApSrv) - Корпорация Майкрософт - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Common Files\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
С помощью кнопки “info on selected item…” просмотрел все строки, в которых не был уверен что это мои программы и заинтересовался следующими тремя:
O20 - Winlogon Notify: Reliability - C:\WINDOWS\
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\nctmsg.dll
В описании этих строк присутвовало название Adware.Look2Me.Trojan
Нажал Fix checked. И сделал новое сканирование. Верхние две строки исчезли а нижняя осталась. Нашел в ручную файл nctmsg.dll пропробовал удалить – не получилось. Сообщалось что файл занят другим приложением. C помощью Reset перегрузил компьютер и загрузился с загрузочного компакта. Под VC удалил файл nctmsg.dll, а также обнаружил еще два файла: reset5.dll и reset5.exe которые тоже удалил. Загрузил компьютер и снова запустил Ewido Anti-malware 3.5. Он нашел и удалил следующее:
C:\WINDOWS\system32\wisapi32.dll -> Adware.Look2Me : Cleaned without backup
C:\WINDOWS\system32\en26l1fs1.dll -> Adware.Look2Me : Cleaned without backup
C:\WINDOWS\system32\lv2q09f5e.dll -> Adware.Look2Me : Cleaned without backup
C:\Documents and Settings\Эрвэл\Cookies\эрвэл@yadro[1].txt -> TrackingCookie.Yadro : Cleaned without backup
C:\Documents and Settings\Эрвэл\Cookies\эрвэл@spylog[2].txt -> TrackingCookie.Spylog : Cleaned without backup
C:\Documents and Settings\Эрвэл\Cookies\эрвэл@hotlog[2].txt -> TrackingCookie.Hotlog : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003080.dll -> Adware.Look2Me : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003088.dll -> Adware.Look2Me : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003113.dll -> Adware.Look2Me : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003136.dll -> Adware.Look2Me : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0003137.dll -> Adware.Look2Me : Cleaned without backup
C:\System Volume Information\_restore{D5A0B931-8BCD-4B6B-B673-24C7465CA0EA}\RP2\A0005113.dll -> Adware.Look2Me : Cleaned without backup
При повторном сканировании Ewido Anti-malware 3.5 ничего не нашел.
Подозревая что в реестре остались какие-то записи почистил его с помощью Spy Remover 2.53. В процессе сканирования обнаружилось
Look2Me.Topconverting: Temporary file (File, fixing failed)
C:\WINDOWS\system32\guard.tmp
Нашел файл вручную и удалил. Перезагрузился сделал сканирование EwidoAnti-malware 3.5. Ничего обнаружено не было. И всплывающие окна пропали.
Может подскажете не осталось ли еще какихто хвостов от него?
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. Снесенный Вами Reset5 - это кряк винды ХР Sp1. Без него затребует денег. До ХР sp2 давно пора бы обновить систему, Ваша уже слишком дырява, чтобы долго жить.
2. Сомнительно, что look2me Вы действительно удалили, хотя чем черт не шутит. Перезагрузитесь и попробуйте снова провериться. Думаю, оно снова возникнет.
Я бы прибил look2me, скачав и установив бета-версию дрвеба. Для этого надо зарегистрироваться вот тут: http://beta.drweb.com, затем, используя полученный в е-мейл пароль (и свой е-мейл как логин), скачать вот это:
http://beta.drweb.com/win/drweb-433-win-ru-beta.exe
http://beta.drweb.com/win/drweb32-betatesting.key
Установить, обновить вирусные базы, перезагрузиться в обычный (не безопасный) режим и все проверить. Думаю, еще чего-нибудь вполне может найтись, да и look2me заодно прибьется.
К слову - реалтайм монитор (он же спайдер) и прочее - спайдер-мейл, веб-гейт и шедулер устанавливать необязательно, это строго по Вашему желанию и вкусу. Для вышеописанной чистки Вам фактически достаточно одного сканера.
-
-
Несколько раз перегрузился и просканровал систему. Все чисто. И окон нету.
Начет денег - пока не просит. Поживем увидим.
-
-
Visiting Helper
- Вес репутации
- 76
АВЗ ненаходит т.к 3 монитора Ж) блокируют к нему доступ.
Рекомендация -
1. снести все 3 антивируса и перезагрузится
2. установить КАВ6 http://downloads0.kaspersky-labs.com...av6.0/russian/
KAV License keys:
5742E3E6-59FF-4879-91C0-C9C39FB7FC6B7
6B174F68-063B-4EDC-967D-81D9AAC339952
97AC7293-9308-4579-A151-F40B5B8EB637B
3. обновить базы
4. просканировать компьютер и показать здесь логи еще раз (для уверенности).
Последний раз редактировалось Sanja; 04.05.2006 в 22:17.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Visiting Helper
- Вес репутации
- 76
PS: Alexey P:
Я бы прибил look2me, скачав и установив бета-версию дрвеба
Угу.... радость будет двойная
1. дрвеб не вылечит систему и после рестарта у человека пропадет интернет.
2. Дрвеб ненайдер вирус т.к к нему блокируют доступ 3 антивирусных монитора Ж)
3. Вирус всеравно оживет т.к дрвеб удаляит файл (как и все выше опробованные АВ) но файл появится вновь Ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Sanja
За KAV6 спасибо. у меня был но ключа рабочего не было. А на момент сканрования AVZ-том я все из трея позакрывал. Даже аську.
-
-
Visiting Helper
- Вес репутации
- 76
Позакрывать - не значит остановить Ж)
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Похоже все таки не убил. Сегодня HijackThis нашол вот это: klogon.dll Никакой из антивирусов этот файл не замечал. Сам фал лежит в архиве в приложении. Там же и скрин описания этого файла HijackThis. Специально попробовал найти его AVZ-том. Не нашел. Лог тоже лежит в архиве, а так же два файла CatchOp.dll и MouseDll.dll на которые AVZ посоветовал обратить внимание.
Последний раз редактировалось anton_dr; 29.06.2006 в 12:36.
-
-
Сообщение от
Эрвэл
а так же два файла CatchOp.dll и MouseDll.dll на которые AVZ посоветовал обратить внимание.
Всё безвредное, впредь попрошу на форум исполняемых файлов не выкладывать, только логи.
-
-
Оки принял к сведению. Ток я не знал вредные они или безвередные)
Похоже что найденный сегодня klogon.dll это не остаток от предыдущего а что то новое было. По крайней мере окна не всплывали и новые файлы в System32 не появлялись.
Прошелся Касперским 6 и обнаружил в
c:\documents and settings\Эрвэл\Рабочий стол\snd-hideipplatinum1.xx.universalpatch2.exe
вот эту дрянь Trojan-Downloader.Win32.Adload.as Пристрелил.
-
-
Visiting Helper
- Вес репутации
- 76
klogon - от Кава - показывать логопит при логине.
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Сообщение от
Sanja
klogon - от Кава - показывать логопит при логине.
Чет ни понял ниче. Подробней мона?
-
-
Visiting Helper
- Вес репутации
- 76
Ну когда система загрузилась, если у вас стоит онко выбора пользователей то эта дллка показывет логотип каспера в верхнем правом углу..
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
А понял. Тока окна выбора пользователя у меня нету. Пользователь один.
Кстати а что тогда в описании написано которое на скрине в архиве?
-
-
Visiting Helper
- Вес репутации
- 76
Это недочет HijackThis.. он все что прописано в WinLogon / Notify считает за возможно Look2Me
Всего один дурной бит - и гигабайты лежат в маразме.
Скажи мне свою OS и я скажу тебе КТО ты.
-
-
Процесс слишком муторный. Мне эту радость жена подцепила вместе с программой "прикольных смайликов".
Поможет ли мне переустановка ХР без формата диска?
Или надо будет делать все, что сделал Эрвэл?
-
-
Сообщение от
Theri0n
Процесс слишком муторный. Мне эту радость жена подцепила вместе с программой "прикольных смайликов".
Поможет ли мне переустановка ХР без формата диска?
Или надо будет делать все, что сделал Эрвэл?
В принципе достаточно поставить временно КАВ6. Можно и ДрВеб, но там процесс более сложный.
-
-
У меня эта гадость легко обнаруживается Windows Defender, но при попытке удалить винда вылетает в перезапуск. Соответственно guard.tmp и пойманные дефендером дллки не удаляются - говорят процесс сначала убей.
Как, кстати найти процесс по PID? Может просто ушатать процесс и втупую вручную ушатать файлы?
Найти бы этого козла, что написал такое - убил бы голыми руками
-
-
look2me нельзя удалить вручную см. выше
-
-
Сообщение от
Geser
В принципе достаточно поставить временно КАВ6.
КАВ устанавливать муторно и ресурсы у компа он забирает будь здоров. Кстати, симантековская утила вроде ничего не может сделать.
-