[Resolvido] Look2Me.

[jgarcia 1]

Removendo o Look2Me.

 

 

Sintomas da Infecção.

 

Várias páginas com propagandas (em português e inglês) não param de abrir, até mesmo com o IE fechado.

 

 

Ferramentas necessárias à remoção:

 

1. Adware SE Personal – Plugin VX2 Adware SE Personal

Clique aqui para baixar o Adware.

Clique aqui para baixar o plugin relativo ao VX2 que deve ser instalado para melhores resultados.

 

Baixe e atualize, mas não execute ainda.

 

2. FindIt

--> 2000/XP Clique aqui para baixar.

--> 9X Clique aqui para baixar.

 

3. KillBox

Clique aqui para baixar o Killbox.

 

Baixe, mas não execute ainda.

 

4. HijackThis

Clique aqui para baixar o HijackThis.

 

Baixe, colocando-o em uma pasta própria, mas não execute ainda.

 

5. VX2Finder

--> 2000/XP Clique aqui para baixar.

--> 9X Clique aqui para baixar.

 

Baixe, mas não execute ainda.

 

6. Removal tool Spyware.Look2Me

Clique aqui para baixar o tool.

 

Baixe, mas não execute ainda.

 

 

Ações para Remoção:

 

Habilite o Windows para mostrar todos os arquivos (até ocultos).

 

Nova informação - 04/11/2005: o SpySweeper está removendo a versão mais avançada do Look2Me. Caso não dê certo, execute as ações abaixo.

 

1ª Etapa

 

Execute o Adware SE Personal.

 

O log gerado irá proporcionar uma visão clara dos arquivos pertencentes ao Look2Me.

 

2ª Etapa

 

Execute o FindIt.

 

Na pasta de arquivos dê duplo clique em find.bat.

 

Quando o exame acabar, abrir-se-á a janela com o output.text. Copie e cole no Bloco de Notas.

 

No MÓDULO 01 as entradas pertencentes à praga aparecerão assim:

 

Warning! This utility will find legitimate files in addition to malware.

Do not remove anything unless you are sure you know what you're doing.

 

Find.bat is running from: C:\Find It NT-2K-XP

 

------- System Files in System32 Directory -------

 

O volume na unidade C ‚ XXXX

O n£mero de s‚rie do volume ‚ XXXX-XXXX

 

Pasta de C:\WINDOWS\System32

 

07/03/2005 16:41 228.629 cxact.dll

07/03/2005 17:48 228.866 lvn5295qr.dll

07/03/2005 17:16 228.629 j6p00e7mrl.dl

07/03/2005 17:05 229.484 mqoert5.dll

07/03/2005 15:16 228.778 wtavsue.dll

25/02/2005 21:45

dllcache

25/08/2004 12:09

Microsoft

5 arquivo( s) 1.373.150 bytes

2 pasta( s) 11.673.255.936 bytes dispon¡veis

 

--> Todas estas entradas dirão respeito ao Look2Me.

No MÓDULO 02 aparecerá somente a entrada C:\WINDOWS\system32\guard.tmp ou D:\WINDOWS\system32\guard.tmp dependendo da configuração de cada máquina.

 

O MÓDULO 03 mostrará a chave e sub-chaves contidas no registro (utilizaremos o HijackThis para encontrar e remover esta antrada).

 

No MÓDULO 04 poderão aparecer entradas que também pertecem á praga.

 

------------- Locate.com Results -------------

 

--> Todas as entradas aleatórias.dll pertencerão à praga.

 

-------- Strings.exe Qoologic Results --------

 

--> Todas as entradas contidas aqui pertencerão à praga.

 

--------- Strings.exe Aspack Results ---------

 

C:\WINDOWS\system32\ntdll.dll: .aspack

C:\WINDOWS\system32\ntdll.dll: .aspack

 

--> Somente estas são legítimas. Não as coloque no Killbox.

3ª Etapa

 

Execute o KillBox:

1) Selecione Replace on reboot;

2) Full path of file to delete;

3) Marque Use Dummy;

4) Coloque:

C:\WINDOWS\system32\guard.tmp - Aperte X. Responda “não” à pergunta.

 

Repita a operação para as entradas encontradas no:

 

MÓDULO 01 (todas aquelas dll´s como mostrado acima).

 

-e-

 

MÓDULO 04 (em Locate.com Results e Strings.exe Qoologic Results).

 

- e para estas também:

 

C:\WINDOWS\system\UpdInst.exe

C:\RECYCLER\Desktop.ini

 

Caso o Killbox acuse a não existência de algum arquivo/pasta, apenas passe para o próximo.

 

4ª Etapa

 

1. Vá em Iniciar --> Executar --> digite regedit --> dê Ok.

 

2. Navegue até a seguinte chave:

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

 

Delete todas as subchaves diferentes das abaixo listadas (somente estas são legítimas – qualquer outra deve ser apagada, sendo que as contidas por padrão coloquei em azul):

 

crypt32chain

cryptnet

cscdll

ScCertProp

Schedule

sclgntfy

SensLogn

termsrv

wlballoon

ckpNotify

PCANotify

reset5

scrdll

igfxcui

IntelWireless

loginkey

NavLogon

nwprovau

WB

OdysseyClient

 

Geralmente as subchaves do Look2Me são (mais pode haver outra):

 

Nls

Reliability

NetCache

Run

Windows Update

IntlRun

OfficeUpdate

 

3. Saia do Editor do Registro.

 

4. Execute o HijackThis e verifique se há uma linha parecida com esta:

 

O20 - Winlogon Notify: Nls - C:\WINDOWS\system32\fpp6037se.dll

Se houver, marque-a e Fix Checked.

 

5. Coloque a entrada encontrada no Killbox – neste caso C:\WINDOWS\system32\fpp6037se.dll – mas desta vez responda “sim” e “sim”.

 

6. Execute o tool da Symantec.

 

5ª Etapa

 

Quando retornar execute o Find It novamente e verifique se ainda há dll´s no MÓDULO 01. Se houverem repita a operação conforme descrito na Etapa 03, incluindo a entrada C:\WINDOWS\system32\guard.tmp (quando passar de azul para cinza o arquivo terá sido definitivamente removidp do PC).

 

6ª Etapa

 

Execute o VX2Finder.

 

Clique em Restore Policy.

 

Depois User Agent$.

 

Bem, agora o Look2Me já deve ter sido removido de sua máquina.