Inviato June 11, 2006 Rimozione di Look2Me Nome: Trojan.Win32.Look2Me.B Tipologia: Trojan Stato: X Nomefile: guard.tmp - [random].dll Startup: Unimodem - ShellCompatibility - ShellScrap - Explorer - MS-DOS Emulation - Controls Folder - Welcome - OfficeUpdate Dimensione: 225631 byte Descrizione: Questo trojan crea un serie di DLL con nomi casuali (es. cgbsolet.dll, d2j02c1mgf.dll) ed il file guard.tmp. Il trojan viene eseguito all'interno del processo WinLogon come DLL. Le dimensioni delle DLL sono variabili (es. 225631, 225951, 226021 byte). Il trojan Look2Me visualizza finestre PopUp di pubblicità Prima di tutto provate con questo tool: (Il programma è freeware e gira su Windows 2000/XP) http://majorgeeks.com/downloadget.php?id=4...b45d924716a2924 Consigliato DISABILITARE il System Restore prima di utilizzare questo tool Name: Look2Me Trojan (also known as VX2.Look2Me) Company: www.look2me.comLook2me è un Trojan che è usato per scaricarei componenti adware/spyware di altri trojan e. Ad ogni avvio, contattaun server (Rackspace.com). Scarica altri componenti di spyware Eapplicazioni (che installa automaticamente). Alla fine il computer diventa instabile. Anche se look2me è un Malware documentato le versioni recentissime di NAV ed Adware non lo rivelevano. Soltanto PestPatrol è in grado di rilevare alcune versioni di esso, ma comunque è incapace di toglierlo perchè il Trojan interferisce con le operazioni di pulizia di PestPatrol Questo Malware è anche uno spyware è disegnato per vedere come usa il suo computer o come naviga su Internet, e riferisce queste informazioni ad hacker, o a società o altri individui che hanno collocato lo spyware sul suo computer. Può impiegare rootkit o tecniche di "stealth" per nascondersi e rendere quindi problematico localizzare i files infetti Se il primo Tool dovesse fallire, eccone un secondo: http://www.softpedia.com/progDownload/Kill...load-10653.html Questo tool rimuove le versioni 115, 116, 117 118, 120, 121 e122 in tutte le versioni di Windows E qui un terzo.... http://www.atribune.org/ccount/click.php?id=7 * Chiudere tutti i programmi prima di continuare. * Cliccare su Look2Me-Destroyer.exe per eseguirlo. * Mettere la spunta a "next to Run this program as a task" * Riceverete un messaggio messaggio che Look2Me-Destroyer si chiuderà e riaprirà in 1 minuto. CliccateOK * Quando Look2Me-Destroyer si riapre, Clicca sul bottone "Scan for L2M " , le icone del desktop scompariranno, questo è normale. * Una volta fatta la scansione, cliccare su "Remove L2M". * Riceverete il messaggio scansione effettuata, cliccare OK. * Quando completato, vedrete messaggio: " Done removing infected files! Look2Me-Destroyer will now shutdown your computer", cliccare OK. * Al riavvio, postare sul forum, se richiesto il contenuto di Look2Me-Destroyer.txt ed un log HiJackThis nuovo . ______________________________________________________________ RIMOZIONE MANUALE: Queste sono le chiavi del registro che lo interssano: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDFFA75A-E81D-4454-89FC-B9FD0631E726} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A7CD5137-D2D6-4E2F-8279-4E7631159712} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E79061BA-B6E7-4A9D-A07C-C3CB561013B4} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0421701D-CF13-4E70-ADF0-45A953E7CB8B} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\HP.EXE HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{C81CFF28-6DF1-402F-B78C-D9493EF59882} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{1423903E-86CC-4470-8AB0-257C10D77D45} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{4DEA7CA1-3372-4204-937C-2DD4A6ED6562} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A42DC659-33B5-409E-A433-650AC42ECCA4} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{A8516F49-8046-4295-8EE9-C59D5041C9E2} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{FB82CCD5-174B-4379-BC37-72D9B5ADAEDA} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{47350D97-09E9-4590-864E-3431DA53BF37} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{FA777197-4BF7-4AA9-A088-A0D803198DE0} HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HP.Hopper HKEY_LOCAL_MACHINE\SOFTWARE\Classes\HP.Hopper.1 HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SP.SmartPops HKEY_LOCAL_MACHINE\SOFTWARE\Classes\SP.SmartPops.1 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0421701D-CF13-4E70-ADF0-45A953E7CB8B} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Recommended Hotfix - 421701D HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\{DDFFA-E81D-4454-89FC-B9FD0631E726} HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellExtensions\Approved\[Random number] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\{Random name] HKEY_CLASSES_ROOT\CLSID\[Random number] HKEY_CURRENT_USER\Software\Look2Me HKEY_CURRENT_USER\Software\Hopper Crea inoltre i seguenti files: %Temp%nsdtmp09.dll %Program Files%\Recommended Hotfix - 421701D\v15\RH.DLL %Program Files%\Recommended Hotfix - 421701D\v15\RH.exe %Program Files%\SED\SE.exe %Program Files%\SED\SED.exe %Windir%\Digital Signature [8 digit number].htm %Windir%\system\UpdInstall.exe %System%\InetFuel.exe %System%\[random file name].dll Crea i seguenti files nella cartella > Temporary Internet Files\Content.IE5\[Random Folder Name] : Installer[1].exe nictech_bundle[1].exe [*]Aggiunge questo valore: "SESync" = "%Program Files%\SED\SED.exe" in questa chiave del registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ________________________________________________________________ TOOL DI RIMOZIONE BY SYMANTEC: http://securityresponse.symantec.com/avcenter/FxSpL2Me.exe ________________________________________________________________ Altro Link con spiegazioni dettagliate: http://www.avira.com/it/threats/section/fu...k2me.ab.67.html Condividi questo messaggio Link di questo messaggio Condividi su altri siti