Одно из наиболее сложноудаляемых вредоносных приложений категории AdWare:

• блокировка доступа к файлам с помощью открытия их в режиме эксклюзивного доступа;
• переименование файлов после каждой перезагрузки системы;
• механизм непрерывное пересоздание своих ключей в реестре;

Симптомы:

Огромное количество всплывающих сообщений и рекламных окон IE (pop-ups), которые не перестают появляться даже при отключении интернета.
Характер демонстрируемой рекламы может быть разнообразным, но в основном речь идет о приложениях класса ErrorSafe и WinFixer (WinAntivirus, ErrorGuard, SafetyDefender, WinantiSpyware, SysProtect, SystemDoctor, DriveCleaner и др.).

Примеры возможных всплывающих окон:

Переодически устанавливается соединение с сервером a-d-w-a-r-e.com, откуда уже идет переадресация на сайты рекламодателей.

Технические детали

Во время инсталляции, протекающей скрытым образом, в системную директорию (%WINDIR%\system32) устанавливаются две DLL-библиотеки, одна из которых регистрируется как модуль уведомления Winlogon (ключ реестра: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify), а другая в качестве расширения проводника (размер EXE-инсталлятора: около 577 кб, DLL-библиотек - 228кб-231 кб; установлены атрибуты "системный"/"system" и "только для чтения"/"read-only").
Названия файлов - произвольные(!), т.е. выбираются случайным образом, что делает поиск и удаление файлов по характерным именам неэффективным:

6oo4svc.dll, avsetupc.dll, dn6m01j1e.dll, dp7vb.dll, dwintf.dll, dwscript.dll, dynlobby.dll, ebentlog.dll, en04l1dq1.dll, en20l1fm1.dll, en4sl1h71.dll, en6ol1j31.dll, fp6q03j5e.dll, gplsl3371.dll, h0j4la1q1d.dll, h0n0la5m1d.dll, h62o0gf3e62.dll, hltplug.dll, hrn0055me.dll, hrn4055qe.dll, hrnu0559e.dll, hrp6057se.dll, iieshare.dll, j80s0id7e80.dll, jt2u07f9e.dll, k0nola531d.dll, k4080edueh080.dll, k8jsli1718.dll, k8pm0i71e8.dll, kt46l7hs1.dll, kt6ol7j31.dll, ktp6l77s1.dll, ktpml7711.dll, kxdhe.dll, kzdcr.dll, l00u0ad9ed0.dll, l46o0ej3eho.dll, l4j8le1u1h.dll, l4r00e9meh.dll, l8n40i5qe8.dll, l8n4li5q18.dll, laadperf.dll, lv2o09f3e.dll, lv6809jue.dll, m0280afued280.dll, m2julc191f.dll, m2nqlc551f.dll, m6lslg3716.dll, m8rm0i91e8.dll, midsrv32.dll, mrmefilt.dll, msdemui.dll, msg116.dll, mtrdim.dll, mv4ul9h91.dll, mvpql9751.dll, mvr0l99m1.dll, mzjetoledb40.dll, n02ulaf91d2.dll , n4p40e7qeh.dll, ngtmsg.dll, o066lajs1do6.dll, o0pqla751d.dll, o684lglq16qe.dll, o6lulg3916.dll, owbcconf.dll , p06slaj71do.dll, p44uleh91h4.dll, pp2037oe.dll, r8r60i9se8.dll , rbssapi.dll, rdvpperf.dll, rhmps.dll, rnfsaps.dll, rp4l57q1.dll, sebiop.dll, sgellstyle.dll, spmpapi.dll, szdocvw.dll, uchisapi.dll, uervoica.dll, ulrlbva.dll, wmwfaxui.dll, wuadmod.dll, wyerrenu.dll

Исключение состовляет только временный файл: guard.tmp, который также создаётся в директории %WINDIR%\system32, но только в том случае, если вы уже пытались удалить Look2Me.

В логах HijackThis заражение фиксируется в секции O20 и выглядит примерно следующим образом:

O20 - Winlogon Notify: произвольное название - %WINDIR%\system32\произвольное название.dll

Детектируется антивирусами примерно следующим образом:

Тем не менее, попытки удалить вредоносные файлы при помощи антивируса, как правило, не приводят к успешному результату. Так как Look2Me использует для своей защиты сразу несколько технологий.
Во-первых, доступ к одной из библиотек блокируется путём открытия этого файла в режиме эксклюзивного (Exclusive) доступа. В этом случае файл можно будет удалить только после перезагрузки компьютера. Однако, в момент выхода пользователя из системы (Log Off) названия вредоносных объектов, а также созданные ими ключи, каждый раз изменяют значения. Что делает отоложенное удаление бесполезным, так как на момент загрузки системы новые имена файлов всё равно не известны. В результате, после каждого запуска Windows, количество библиотек Look2Me только лишь увеличивается.
Что касается попыток удалить информацию автозапуска библиотек из реестра, то они тоже будут напрасны, так как эти ключи непрерывно пересоздаются (с частотой около раза в секунду).

Способ удаления

Наиболее простой и, главное, эффективный метод, это использование утилиты Look2Me-Destroyer от Atribune.org:

1. Скачиваем Look2Me-Destroyer на рабочий стол, после чего закрываем все открытые окна и запускаем программу.



2. Ставим галочку рядом с надписью "Run this program as a task"



3. Появится сообщение с надписью "Look2Me-Destroyer will close and re-open in approximately 1 minute..."
   Нажимаем 'ОК' (в сообщение говорится о том, что программа закроется и приблизительно через минуту включится повторно.

Если у вас не активирована служба Планировщика Задач/Task Scheduler, то перед этим сообщением дополнительно будет другое, в котором говорится об активации этой службы. Там также необходимо нажать на 'ОК':



4. При повторном включении программы нажимаем на кнопку "Scan for L2M"
   После этого рабочий стол и иконки на время исчезнут (это нормально). И когда сканирование закончится, нажимаем на следующую кнопку - "Remove L2M" и 'ОК'.
   Ждем пока появится сообщение: "Done removing infected files! Look2Me-Destroyer will now shutdown your computer..." и снова 'ОК'.
   После этого компьютер выключится.


5. Включаем его обратно, чтобы удостовериться, что лечение было успешным.

Saule