|
|
L2mfix, look2Me Destroyer
|
Topics
|
L2mfix - Look2Me-Destroyer
Look2Me-Destroyer
Lade den L2Me Destroyer hier und speichere Ihn auf deinem Desktop:
Look2Me-Destroyer.exe
1 ) Schließe alle offenen Fenster und Doppel-klicke die Look2Me-Destroyer.exe um das Programm zu starten.
2 ) Setzte einen Haken bei run this program as a task
3 ) Es erscheint eine Nachricht in der steht, dass sich innerhalb der naechsten 10 Sekunden der Look2Me Destroyer öffnen
und schliessen wird.
4 ) Klicke auf OK
5 ) Wenn das Programm sich wieder öffnet, auf scan for L2Me klicken.
6 ) Wenn der Scan fertig ist, auf Remove L2Me klicken. Es erscheint danach eine "Done scanning" Nachricht.
Einfach auf "OK" klicken.
7) Nach Beendigung des Scans, kommt folgende Nachricht: Done removing infected files! Look2Me-Destroyer will now shutdown
your compute und der PC fährt herunter.
8 ) PC starten und den Inhalt der C:\Look2Me-Destroyer.txt
Problem:
das Programm lässt sich nicht ausführen. Es wird angezeigt:
Component mswinsck.ocx or one of its dependencies not correctly registered: a file is missing or invalid
Dann führe das aus, starte den PC und versuche es noch mal.
http://www.ascentive.com/support/new...e=MSCOMCTL.OCX
Du musst die MSCOMCTL.OCX --> in c:\windows\system32 --> einkopieren
oder:
du kannst die Datei auch hier direkt laden
http://www.ascentive.com/support/new...b/MSWINSCK.OCX
Beispiel:
Look2Me-Destroyer V1.0.12
Scanning for infected files.....
Infected! C:\WINNT\system32\f8l00i3me8.dll
Infected! C:\System Volume Information\_restore{722AA412-471D-4A46-A8B5-40C9B9885488}\RP24\A0026304.dll
Infected! C:\WINNT\System32\guard.tmp
L2mfix
http://www.downloads.subratam.org/l2mfix.exe
------------------------------------
L2MFix Tool By Shadowwar 051206
-----------------------------------
1. Run Find Log
2. Run Fix
3. View Readme
4. Remove L2MFIX Account
5. Fix Autoexec.nt/cmd.exe error
E. Exit
l2mfix.bat öffnen, beliebige Taste drücken, 1 = Notepad wird mit der Logdatei erstellt, 2 = fixt die Schädlinge (es folgt ein Neustart), 3 = Readme-Datei wird geöffnet, 4 = stellt den Standardwert der Winlogon wieder her, 5 = autoexec.nt/cmd.exe error, e = exit.
# Speichern der Datei auf dem Desktop und doppel-klicken l2mfix.exe.
# Klicken auf Installieren um die Dateien zu extrahieren und folgen Sie den Anweisungen während der Installation.
# Dann öffnen Sie den auf Ihrem Desktop neuerstellten Ordner l2mfix
# Doppel-klicken Datei l2mfix.bat und tippen sie eine 1 und drücken Sie [Enter], um Findlog laufen zu lassen. Dies wird Ihren Computer scannen. Es kann sein, das es so aussieht als ob nichts passiert, aber nach 1 oder 2 Minuten wird sich Notepad mit einem Log öffnen.
# Kopieren Sie den Inhalt durch Strg+A und fügen Sie den Inhalt in Ihren Thread durch Strg+V...oder einfach mit der Maus abkopieren.
# Schließen Sie alle offenen Programme , da der nächste Schritt einen Neustart erfordert. Klicken Sie erneut auf l2mfix.bat und tippen Sie 2 ein --- [Enter].
# Drücken Sie eine beliebige Taste, um einen Systemneustart einzuleiten.
# Nach dem Neustart, werden Ihre Icons auf dem Desktop kurz erscheinen und kurz verschwinden - dies ist NORMAL.
Zitat:
Nach dem Neustart, unmittelbar nach der Anmeldung ist jetzt eine DOS box gekommen, gleich danach eine Fehlermeldung. Fehlermeldung wurde von mir mit ok bestätigt und dann kam nach ein paar Minuten ein neues Log:
# L2mfix wird den Systemscan fortsetzen und wenn es fertig ist, wird sich Notepad öffnen und einen Log anzeigen.
wenn kein Log erscheinen sollte: doppelclick -> second.bat
Kopieren Sie auch diesen hier in den Thread/ins Forum (Strg+C & Strg+V) oder wieder mit der rechten Maustaste. Posten Sie ausserdem einen aktuellen HijackThis Log.
# Doppel-klicken Sie erneut auf l2mfix.bat und geben Sie 4 ein. Bestätigen Sie mit [Enter].
# Dies stellt die Winlogon Standardeinstellungen wieder her.
HostsXpert.zip anwenden - http://www.virus-protect.org/host.html
Combofix
http://virus-protect.org/artikel/tools/combofix.html
FILES REMOVED:
C:\WINDOWS\system32\wwasf.dll
C:\WINDOWS\system32\guard.tmp
Granting sedebugprivilege to Administratoren ... successful
VX2Finder XP/2000
http://www.downloads.subratam.org/VX2Finder.exe
VX2Finder 98/ME
http://www.downloads.subratam.org/VX2Finder9x.exe
Spysweeper trial
http://virus-protect.org/spysweeper.html
Ewido
http://virus-protect.org/ewido.html
symantec
http://securityresponse.symantec.com/avcenter/venc/data/adware.look2me.html
* Is an adware program that displays advertisements in your Web browser
* Downloads and executes its components and updates.
* Makes many changes to the registry.
CleanUp anwenden: http://virus-protect.org/cleanup.html
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O5MNSXE3\Installer[1].exe -> Adware.Look2Me
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8XAV4PYB\AppWrap[2].exe - Adware.Look2Me
Erkennen von Look2Me
1.
HijackThis (Beispiel)
O20 - Winlogon Notify: OfficeUpdate - C:\WINDOWS\system32\k608lgdu1608.dll
2.
Beispiel: L2mfix
http://www.downloads.subratam.org/l2mfix.exe
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{943D8FC1-CFE4-232F-0D59-354C9C384D4E}"=""
**********************************************************************************
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RunServicesOnce]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\h02olaf31d2.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
Files Found are not all bad files:
C:\WINDOWS\SYSTEM32\
mvcmcde.dll Fri 23 Sep 2005 10:40:14 ..S.R 237.008 231,45 K
cdfview.dll Sun 3 Jul 2005 4:15:24 A.... 152.064 148,50 K
C:\WINDOWS\SYSTEM32\
guard.tmp Fri 23 Sep 2005 10:39:34 ..S.R 237.008 231,45 K
Directory Listing of system files:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC96-86D2
3.
datfindbat
http://virus-protect.org/datfindbat.html
C:\WINDOWS\system32\ckodm.dll infected by "not-a-virus:AdWare.Look2Me.u"
C:\WINDOWS\system32\j6j6lg1s16.dll infected by "not-a-virus:AdWare.Look2Me.u"
C:\WINDOWS\system32\__delete_on_reboot__guard.tmp -> Adware.Look2Me
C:\windows\system32\guard.tmp -> Adware.Look2Me
4.
Lade echo.zip --> entpacken--> klicke echo.bat --> der Texteditor wird sich öffnen--> Text abkopieren
http://virus-protect.org/bat/echo.zip
C:\WINDOWS\Downloaded Program Files\pinstall.dll --> Adware:Adware/Look2Me
C:\WINDOWS\Downloaded Program Files\activex.ocx
C:\WINDOWS\Downloaded Program Files\activex.inf
5.
Winpfind:
Link: http://virus-protect.org/winpfind.html
6.
Registry
default.reg
http://virus-protect.org/artikel/tools/defaultreg.html
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken
REGEDIT4
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"SV1"=""
[-HKEY_CURRENT_USER\Software\Look2Me]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\H323TSP]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Guardian]
|
defaultreg
FindIt
Find It NT-2K-XP.zip
findit9xme
|
|
Startseite
Gästebuch
Kontakt
Protecus.de Forum
Virus Weltkarte
