Saule Опубликовано 23 июля, 2006 Жалоба Поделиться Опубликовано 23 июля, 2006 Look2Me описание и лечение Краткое описание: Достаточно распространенная инфекция, перед которой антивирусы и антитрояны обычно просто бессильны (несмотря на то, что существует она уже около года). Своё название получила благодаря серверу, с которым связывались более ранние версии (www.Look2Me.com). Тип: Adware Категория: Spyware Платформа: Windows 2000/2003/XP Автор: NicTech Networks Inc. (nictechnetworks.com) Симптомы: Огромное количество всплывающих рекламных окошек (pop-up), даже при отключении интернета (характер рекламы очень разнообразный; приложения: ErrorSafe, ErrorGuard, WinFixer, SafetyDefender, WinAntivirus, WinantiSpyware и др.). примеры возможных: Некоторые сайты, с которыми происходит соединение: a-d-w-a-r-e.com adware.com errorsafe.com winfixer.com Действия: Скрытная установка .dll-библиотек в папку WINDOWS\system32 (примерный размер .exe-файла инсталляции - 577кб; dll-библиотек - 228кб-231кб) и их регистрация в системном реестре в качестве расширения проводника + модуля уведомления Winlogon в разделе: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Названия .dll-файлов: произвольные! Но для примера и по причине поисковиков, наиболее часто встречающиеся я всё-таки укажу: 6oo4svc.dll, avsetupc.dll, dn6m01j1e.dll, dp7vb.dll, dwintf.dll, dwscript.dll, dynlobby.dll, ebentlog.dll, en04l1dq1.dll, en20l1fm1.dll, en4sl1h71.dll, en6ol1j31.dll, fp6q03j5e.dll, gplsl3371.dll, h0j4la1q1d.dll, h0n0la5m1d.dll, h62o0gf3e62.dll, hltplug.dll, hrn0055me.dll, hrn4055qe.dll, hrnu0559e.dll, hrp6057se.dll, iieshare.dll, j80s0id7e80.dll, jt2u07f9e.dll, k0nola531d.dll, k4080edueh080.dll, k8jsli1718.dll, k8pm0i71e8.dll, kt46l7hs1.dll, kt6ol7j31.dll, ktp6l77s1.dll, ktpml7711.dll, kxdhe.dll, kzdcr.dll, l00u0ad9ed0.dll, l46o0ej3eho.dll, l4j8le1u1h.dll, l4r00e9meh.dll, l8n40i5qe8.dll, l8n4li5q18.dll, laadperf.dll, lv2o09f3e.dll, lv6809jue.dll, m0280afued280.dll, m2julc191f.dll, m2nqlc551f.dll, m6lslg3716.dll, m8rm0i91e8.dll, midsrv32.dll, mrmefilt.dll, msdemui.dll, msg116.dll, mtrdim.dll, mv4ul9h91.dll, mvpql9751.dll, mvr0l99m1.dll, mzjetoledb40.dll, n02ulaf91d2.dll , n4p40e7qeh.dll, ngtmsg.dll, o066lajs1do6.dll, o0pqla751d.dll, o684lglq16qe.dll, o6lulg3916.dll, owbcconf.dll , p06slaj71do.dll, p44uleh91h4.dll, pp2037oe.dll, r8r60i9se8.dll , rbssapi.dll, rdvpperf.dll, rhmps.dll, rnfsaps.dll, rp4l57q1.dll, sebiop.dll, sgellstyle.dll, spmpapi.dll, szdocvw.dll, uchisapi.dll, uervoica.dll, ulrlbva.dll, wmwfaxui.dll, wuadmod.dll, wyerrenu.dll Плюс еще один характерный файл: guard.tmp Антивирусами детектируется как: Avast: Win32:Lookme-gen BitDefender: Adware.Dinky.A DrWeb: Adware.Look2me Kaspersky: not-a-virus:AdWare.Win32.Look2Me.ab McAfee: potentially unwanted program Adware-Look2Me NOD32v2: Win32/Adware.Look2Me Panda: Adware/Look2Me Более подробно можно посмотреть здесь: Также заражение фиксируется программой HijackThis и в логе выглядит примерно следующим образом: O20 - Winlogon Notify: Group Policy - C:\WINDOWS\system32\h0n0la5m1d.dll Вместо "Group Policy" и "h0n0la5m1d.dll" могут быть любые значения, которые к тому же еще и изменяются после каждого выхода из системы (Log Out). ---------------- Лечение: Те, кто сталкивался с этой инфекцией, наверняка знают, насколько сложно она удаляется. Про обычное удаление вручную сразу же можно забыть, так как у пользователя не будет на это нужных прав. А попытки избавиться с помощью антивируса - заканчиваются зависанием компьютера при его загрузке, после чего история с рекламными окошками повторяется. Вроде бы и программ для удаления тоже создано достаточно, но в большинстве случаев их эффективность оставляет желать лучшего... Именно поэтому я и хочу рассказать о самом простом и, главное, надежном способе лечения - Look2Me-Destroyer от Atribune: Скачиваем Look2Me-Destroyer.exe на рабочий стол, после чего закрываем все открытые окна и запускаем программу. Ставим галочку рядом с надписью "Run this program as a task". Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute...". Нажимаем OK (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно. Если у вас не активирована служба Планировщика Задач/Task Scheduler , то перед этим сообщением дополнительно будет другое, в котором говорится об активации этой службы. Там также необходимо нажать на ОК: При повторном включении программы нажимаем на кнопку "Scan for L2M". После этого рабочий стол и иконки на время исчезнут. Это нормально. Когда сканирование закончится, нажимаем следующую кнопку - "Remove L2M". Затем ОК и, когда программа закончить работать и появится следующее сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer", снова ОК. После этого компьютер выключится. Включаем его обратно, чтобы удостовериться, что от Look2Me не осталось и следа. 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 28 июля, 2006 Автор Жалоба Поделиться Опубликовано 28 июля, 2006 (изменено) Virtumonde/Vundo описание и лечение Краткое описание: Достаточно распространенная инфекция, которая многими антивирусами даже не детектируется. Имеет огромное количество версий, большинство из которых совершенно невидимы для пользователя (как файлы, так и процессы). Тип: Adware Категория: Spyware Платформа: все существующие на сегодняшний день ОС Windows Автор: Virtumonde (virtumonde.com) Симптомы: Огромное количество всплывающих рекламных окошек (pop-up), даже при отключении интернета (характер рекламы очень разнообразный; приложения: WinFixer, WinAntivirus и др.). пример возможного: Названия файлов: произвольные! Но для примера и по причине поисковиков, наиболее часто встречающиеся я всё-таки укажу: accepx.dll, akcore.dll, aklsp.dll, akupd.dll, apcuo800.dll, awsgasfg.exe, awtst.dll, awvvs.dll, ayggaaaa.exe, bad-baby.dll, cidrules.dll, cutil.dll, ddaya.dll, dssoundi.dll, dwteepbb.exe, egjlcmba.dll, evhhapft.dll, fdconfig.dll, fdepheme.dll, gebcy.dll, gebya.dll, geeda.dll, getui.dll, grsqaaaa.exe, grtvumjk.exe, hgboxjfv.dll, hgded.dll, hggfg.dll, hvzjmguj.dll, icmppgrd.dll, inetadpt.dll, jkhfc.dll, jnwptjsf.exe, jpmthfgn.exe, jrbkvsrs.dll, jtwcaaaa.exe, keytapi.dll, khfff.dll, ljjji.dll, lspak.dll, mcconfig.dll, med.dll, mfc4hell.dll, mljjk.dll, mllmm.dll, msexfilt.dll, mshttcpl.exe, nwwkdb40.dll, opnnk.dll, pakfkrdr.dll, pentilcr.dll, pmkjg.dll, pmkjk.dll, quickbrowser.exe, QuickBrowserUpgrader.exe, scvi50.exe, setdrv32.dll, sjxwnaaa.exe, ssqrs.dll, ssttu.dll, systetup.dll, virtu000__.exe, vtsrr.dll, vtsts.dll, vturs.dll, wincore.dll, WindowsUpd1.exe, WindowsUpd2.exe, WindowsUpd4.exe, wavejava.dll, winhost32.exe, winupd.dll, xod.dll, yabba58.exe, yayyyab.dll, zz40.exe, zz50.exe Антивирусами детектируется как: DrWeb: Trojan.Virtumod Kaspersky: not-a-virus:AdWare.Win32.Virtumonde.bw McAfee: Vundo Panda: Spyware/Virtumonde Sophos: Troj/AgentSpy-A Symantec: Adware.VirtuMonde; Trojan.Vundo При этом некоторые версии многими антивирусами не детектируются. Более подробно можно посмотреть здесь: Также заражение фиксируется программой HijackThis и в логе обычно выглядит примерно следующим образом (зависит от версии): O2 - BHO: MSEvents Object - {8DBF02DA-4360-4A7E-BEA1-347B87816327} - C:\WINDOWS\System32\ddaya.dll O20 - Winlogon Notify: ddaya - C:\WINDOWS\System32\ddaya.dll Вместо "ddaya.dll" может быть любое значение. ---------------- Лечение: В тех случаях, когда ативирус помочь не в состоянии, используем постоянно обновляющуюся утилиту VundoFix от Atribune. Скачиваем VundoFix.ехе. Закрываем все открытые окна и запускаем программу. Ставим галочку напротив "Run VundoFix as a task" Появится сообщение: "VundoFix will now close and re-open in 1 minute or less..." Нажимаем ОК (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно). При её повторном включении нажимаем на кнопку "Scan for Vundo" Когда сканирование закончится, нажимаем на следующую кнопку - "Remove Vundo" Затем программа спросит у вас, действительно ли вы хотите удалить эти файлы, нажимаем на "Yes" После чего начнется удаление инфекции. Когда программа закончит, появится сообщение о выключении компьютера, нажимаем ОК, и ваш компьютер выключится. Включаем его обратно и проверяем исчезла ли инфекция. ___________________ Если VundoFix вдруг вам не помог, то скачиваем то скачиваем на рабочий стол VirtumundoBegone и перезагружаем компьютер в безопасный режим: При появлении меню загрузки Windows нужно нажать клавишу F8. И на экране появится меню дополнительных режимов загрузки. Передвигаемся с помощью клавиш вверх/вниз и, остановившись на надписи Safe Mode, нажимаем Enter. Запускаем программу, ждем когда она закончит, после чего перезагружаемся обратно в нормальный режим и проверяем исчезла ли инфекция. Изменено 5 марта, 2007 пользователем Saule 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Saule Опубликовано 21 сентября, 2006 Автор Жалоба Поделиться Опубликовано 21 сентября, 2006 ГНОЙ и трояны ему подобные (Trojan.Plastix, Trojan.Krotten, Trojan.Griven, Win32/KillFiles.NAB, Trojan.Agent.il, Trj/Sirery и др.) Распространяется под видом самых разнообразных программ, в основном универсального назначения для каких-либо несанкционированных действий (генераторы кодов пополнения к любым(!) компаниям мобильной связи; сброс любого(!) пароля для входа в систему; бесплатный доступ к различным платным интернет-ресурсам; взлом любого(!) почтового ящика и т.п.), т.е. в качестве приманки для любителей халявы. Скачивается преимущественно с различных файло-обменников, где администрация не несет ответственности за содержимое файлов (crack-keygen.com; 4ru.info; dumpz.ru). Неприятен тем, что избавиться от вредоносных последствий с помощью антивируса невозможно, так как удаления самих исполняемых файлов для восстановления нормальной работы системы в этом случае недостаточно. А всё дело в том, что в случае запуска этой троянской программы происходит изменение целого ряда настроек системы, "благодаря" чему использовать многие функции вашей операционной системы становится не возможным. И нормальную работу компьютера предлагается восстановить лишь за небольшое денежное вознаграждение, перечисленное на счет авторов "вируса"... Наиболее распространенные действия: блокирует запуск системных утилит (в частности Task Manager/Диспетчер Задач, RegEdit/системный реестр, cmd/запуск командной строки и возможность воспользоваться функцией System Restore/Восстановления Системы). при каждой загрузке системы выводит сообщение примерно следующего содержания: "Если вы хотите востановить работу вашего компьютера и не потерять все файлы то по адресу <email> вышлите 10 wmz в течении 12 часов на ваш адрес будет выслана программа для удаления" блокирует доступ ко многим настройкам системы. изменяет содержание меню кнопки Пуск/Start (в частности становятся невозможными завершение и перезагрузка системы через стандартный графический интерфейс). блокирует закрытие окон проводника и окон IE. изменяет атрибуты директорий Windows и Program Files на скрытый и создает посторонние папки (примеры: "Типа WINDOWS", "Типа WINDOWS2", "Типо Мои Докумены"). изменяет настройки отображения системных часов, из-за чего в трее и использующих время программах вместо часов появляется ненормативная лексика. изменяет ряд настроек IE (в частности заголовок окна и стартовая страница). изменяет ряд настроек рабочего стола пользователя (в частности с рабочего стола, а также в системном трее исчезают иконки). При этом троян постоянно модифицируется (т.е. постоянно появляются новые версии), поэтому нужно иметь в виду, что любые его деструктивные действия также могут слегка изменятся. Если запущенный вами троян был с .exe расширением*, то во время процесса его инсталляции в вашу автозагрузку прописываются два исполняемых файла (используется стандартный ключ автозапуска в системном реестре: HKLM\Software\Microsoft\Windows\CurrentVersion\Run) Параметры, как и сами файлы, в каждой версии могут быть совершенно различными, но обычно автор пытается маскировать их под процессы системы, давая им схожие имена. Примеры: "svchost"="<путь к exe. файлу троянской программы>" "winlogon.exe"="<путь к exe. файлу троянской программы>" "Explorer"="<путь к exe. файлу троянской программы>" "RUNDLL32.EXE AudioHQ"="<путь к exe. файлу троянской программы>" "ALG"="<путь к exe. файлу троянской программы>" "AVPCC"="<путь к exe. файлу троянской программы>" "SERVICES"="<путь к exe. файлу троянской программы>" Оба файла практически идентичны (отличается только их местоположение и название). И после выполненных изменений в системе они автоматически завершаются (т.е. в активных процессах вы их можете и не найти). -------------------- Лечение: 1. Скачиваем HijackThis, распаковываем и запускаем. Нажимаем на кнопку "Do a system scan only" и отмечаем галочкой следующие строки, если такие присутствуют: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://poetry.rotten.com/failed-mission/ (или любая другая страница сайта rotten.com) R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = :::::::::::::::::: <НЕНОРМАТИВНАЯ ЛЕКСИКА> :::::::::::::::::: O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 Плюс самое главное: нужно найти два посторонних исполняемых файла в секции O4. Возможные примеры: O4 - HKLM\..\Run: [svchost] C:\WINDOWS\Web\rundll32.exe O4 - HKLM\..\Run: [AVPCC] C:\WINDOWS\Cursors\avp.exe или O4 - HKLM\..\Run: [ALG] C:\WINDOWS\ime\imkr6_1\dicts\SVCHOST.exe O4 - HKLM\..\Run: [sERVICES] C:\WINDOWS\WinSxS\Manifests\SMSS.exe или O4 - HKLM\..\Run: [RUNDLL32.EXE AudioHQ] C:\WINDOWS\system32\AudioHQ.dll.exe O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\system32\oobe\explorer.exe или O4 - HKLM\..\Run: [winlogon.exe] C:\WINDOWS\system32\services.db.exe O4 - HKLM\..\Run: [svchost] C:\WINDOWS\inf\svchost.exe или др. (если есть какие-либо сомнения, обратитесь в топик: Помощь в лечении систем... ) Затем нажимаем на кнопку "Fix Checked". 2. Скачиваем AVZ, распаковываем и запускаем. В верхнем меню программы нажимаем: Файл > Восстановление системы В открывшемся приложении отмечаем галочками все присутствующие там пункты и нажимаем на кнопку "Выполнить отмеченные операции". 3. Перезагружаем компьютер. 4. Удаляем два .ехе файла, автозапуск которых вы отменили в помощью HijackThis в пункте первом (т.е. из секции O4), если они еще будут присутствовать. Также удаляем пустые посторонние папки, если такие были где-либо созданы (например, "Типа WINDOWS", "062014622823780" и т.п.). 5. Теперь избавляемся от оставшихся последствий трояна, которые в каждом случае могут быть немного различны. Если нужно исправить часы в системном трее: Открываем: Control Panel > Regional and Language Options (Панель управления > Язык и региональные стандарты) И временно изменяем региональные настройки (т.е. сначала выбираем любой другой регион, сохраняем, а затем меняем обратно на тот, который у вас был установлен). Это вернет часам их прежний вид. Если папки Windows и Program Files стали невидимыми: Start > Run (Пуск > Выполнить) Вписываем cmd Нажимаем ОК. В появившемся приложении вписываем, либо копируем с помощью мышки, следующее (после каждой строчки нажимаем на ENTER): attrib -s -h -r c:\windows attrib -s -h -r "c:\program files" Если сместились обои на рабочем столе (это изменение вступит в силу только после перезагрузки компьютера): Копируем в Блокнот/Notepad следующий код: REGEDIT 4[HKEY_CURRENT_USER\Control Panel\Desktop]"WallpaperOriginX"=-"WallpaperOriginY"=- Затем сохраняем, но с расширением .reg (либо изменяем расширение файла вручную - с .txt на .reg). Запускаем его и на вопрос Windows о том, действительно ли вы желаете добавить эту информацию в свой реестр, отвечаете Yes/Да. Либо можете просто скачать уже готовый reg-файл: wallpaper.rar Или, если вы хорошо знаете, что такое реестр (Start > Run; вписать regedit ; нажать на ОК), то просто удалите параметры " WallpaperOriginX " и " WallpaperOriginY " из следующего ключа: HKEY_CURRENT_USER\Control Panel\Desktop -------------------- Как вариант, попробуйте воспользоваться для удаления некоторых запретов хорошей программой-твикером для вашей ОС (например, XP Tweaker; Neo Tweaker и др.), т.к. большинство команд, используемых трояном для блокировки функций системы идентичны заложенным в твикерах. Поэтому не исключено, что кое-что будет возможно исправить именно таким образом. Например, наиболее простое возобновление работы System Restore: i Уведомление:Если у кого-либо есть дополнительная информация, касающаяся модернизаций трояна, либо рекомендации выше избавили вас не от всех изменений, присутствующих в вашей системе, обращайтесь, пожалуйста, через ПМ. Saule -------------------- * - в некоторых случаях злоумышленниками используются командные файлы или файлы с расширением .reg, которые ничего в системе не устанавливают, а лишь выполняют заданные команды wallpaper.rar 1 Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения