look2me...

nestle · 23-10-2003, 09:45

ho un maledetto spyware che all'avvio tenta di connettersi al sito look2me.com.
credo che sia uno spywre, e ho ovviamente lanciato adaware ma ogni volta mi elimina qualche file poi riavvio e tenta di riconnettersi e rilanciando adaware mi ritrova i file.

che posso fare

digitalfx · 23-10-2003, 10:02

hai controllato (anche con il regcleaner) che all'avvio non ti parte qualcosa di anomalo nella startup list?

nestle · 23-10-2003, 16:37

no non mi parte niente di anomalo...

qualcuno mi sa consigliare qualcosa per trovare questo programminoi che lancia la connesione?

hylis · 23-10-2003, 17:29

ciao

ancora prima di installare un programma antispyware specifico
(a volte fanno casino)

ti consiglio di installare un firewall(io mi trovo bene con zone alarm ma sento parlare bene anche di kerio e altri)

a quel punto quando il firewall in esecuzione trovera' lo spyware o simile ti avvisera' e tu gli dirai di bloccarlo per sempre creando un apposito filtro

almeno cosi' hai una protezione contro gli spyware e per tutto il resto

ingpeo · 23-10-2003, 17:33

Buona l'idea del firewall. Però ti consiglio una pulizia con spybot, è il migliore e non mi ha mai fatto danni.

nestle · 23-10-2003, 17:40

grazie a tutti ma ho risolto...

era un programmino "rasautou" che lanciava la connessione...

l'ho eliminato.

strano che ad aware non l'avesse trovato...

Deckard · 25-10-2003, 11:19

ce l'ho anch'io..con cosa l'hai eliminato dato che spybot, spywareblaster, adaware non me lo segnalano? Me l'ha beccato Dialer Control

nestle · 25-10-2003, 14:24

ho eliminato fisicamente i due file...

Deckard · 26-10-2003, 10:38

uno è rasautou.exe e l'altro è un file .pf giusto?

ma come facciamo ad essere sicuri di averlo cancellato totalmente?

Deckard · 26-10-2003, 10:39

grazie dell'aiuto comunque....

nestle · 26-10-2003, 10:40

io dopo averli cancellati non ho più avuto richiesta di connessione, quindi credo sia andata a buon fine

Deckard · 27-10-2003, 11:45

ok, ho fatto come. Speriamo bene

krumbalende · 29-10-2003, 19:35

io i sudetti file li cancello sempre ma al riavvio prontamente me li riritrovo li com'e possibile???? c'e anche un rasauto.dll ma quello non si puo cancellare che sia quello il problema???

help!!!!!!!!

Deckard · 30-10-2003, 12:49

in effetti hai ragione..........

e poi non si riesce nemmeno a capire se sono di sola lettura, guardando gli attributi

krumbalende · 30-10-2003, 22:11

forse ho trovato la soluzione potrebbe essere sta cosa qui le cose che avete postato voi le avevo gia lette ma grazie comunque se beccate qualcosa di nuovo postatelo!!!!

questo è preso dal sito della trend micro!!!

QUICK LINKS Solution

--------------------------------------------------------------------------------

Virus type: Backdoor

Destructive: No

Pattern file needed: 643

Scan engine needed: 6.100

Overall risk rating: Low

--------------------------------------------------------------------------------

Reported infections: Low

Damage Potential: Medium

Distribution Potential: Low

--------------------------------------------------------------------------------

Description:

This backdoor listens to a random port on infected systems. It waits for remote commands to execute locally. This malicious routine allows remote users to access and manipulate infected systems.

This backdoor program is known to be dropped into visiting systems from malicious Web pages by the Visual Basic Script Malware detected as VBS_LARSLP.A. The malicious Web pages contain an exploit to the Object Data Remote Execution Vulnerability.

The vulnerability allows executable code to be executed automatically on visiting systems from Web pages. It affects systems running:

Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 for Windows Server 2003
This backdoor program runs on Windows 95, 98, ME, NT, 2000, and XP.

Solution:

Terminating the Malware Program

This procedure terminates the running malware process from memory.

Open Windows Task Manager.
On Windows 9x/ME systems, press
CTRL+ALT+DELETE
On Windows NT/2000/XP systems, press
CTRL+SHIFT+ESC, and click the Processes tab.
In the list of running programs*, locate the process:
LLASS.EXE
Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system.
To check if the malware process has been terminated, close Task Manager, and then open it again.
Close Task Manager.
*NOTE: On systems running Windows 9x/ME, Windows Task Manager may not show certain processes. You may use a third party process viewer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions.

Removing Autostart Entries from the Registry

Removing autostart entries from the registry prevents the malware from executing during startup.

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>Run
In the right panel, locate and delete the entry:
lar = “\llass.exe”
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>Software>Microsoft>
Windows>CurrentVersion>RunServices
In the right panel, locate and delete the entry:
lar = “\llass.exe”
Close Registry Editor.
NOTE: If you were not able to terminate the malware process from memory, as described in the previous procedure, restart your system.
Removing Other Malware Entries from the Registry

Use this procedure to remove additional malware entries on systems running Windows NT, 2000, and XP.

Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter.
In the left panel, double-click the following:
HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control
In the right panel, locate and delete the entry:
SLP
Close Registry Editor.
Additional Windows ME/XP Cleaning Instructions

Running Trend Micro Antivirus

Scan your system with Trend Micro antivirus and delete all files detected as BKDR_LARSLP.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner.

Applying Patches

This malware can arrive on systems vulnerable to the Object Data Remote Execution Vulnerability, which affects systems running:

Internet Explorer 5.01
Internet Explorer 5.5
Internet Explorer 6.0
Internet Explorer 6.0 for Windows Server 2003
A cumulative Internet Explorer patch in Microsoft Security Bulletin MS03-032 addresses this vulnerability.

Trend Micro offers best-of-breed antivirus and content-security solutions for your corporate network or home PC.

For additional information about this threat, see Technical Details.

23-10-2003, 09:45	#1
nestle Senior Member Iscritto dal: Oct 2000 Città: Roma Messaggi: 1587	look2me... ho un maledetto spyware che all'avvio tenta di connettersi al sito look2me.com. credo che sia uno spywre, e ho ovviamente lanciato adaware ma ogni volta mi elimina qualche file poi riavvio e tenta di riconnettersi e rilanciando adaware mi ritrova i file. che posso fare __________________ il mio blog: http://gabrireef.blogspot.com/

23-10-2003, 10:02	#2
digitalfx Senior Member Iscritto dal: Mar 2003 Città: un posto di merda Messaggi: 1378	hai controllato (anche con il regcleaner) che all'avvio non ti parte qualcosa di anomalo nella startup list? __________________ Solo due cose sono infinite: l'universo e la stupidità umana e non sono sicuro della prima. Einstein

23-10-2003, 16:37	#3
nestle Senior Member Iscritto dal: Oct 2000 Città: Roma Messaggi: 1587	no non mi parte niente di anomalo... qualcuno mi sa consigliare qualcosa per trovare questo programminoi che lancia la connesione? __________________ il mio blog: http://gabrireef.blogspot.com/

23-10-2003, 17:33	#5
ingpeo Senior Member Iscritto dal: Feb 2002 Città: Bassano del Grappa (VI) Messaggi: 6613	Buona l'idea del firewall. Però ti consiglio una pulizia con spybot, è il migliore e non mi ha mai fatto danni. __________________ RunningForum.it

23-10-2003, 17:40	#6
nestle Senior Member Iscritto dal: Oct 2000 Città: Roma Messaggi: 1587	grazie a tutti ma ho risolto... era un programmino "rasautou" che lanciava la connessione... l'ho eliminato. strano che ad aware non l'avesse trovato... __________________ il mio blog: http://gabrireef.blogspot.com/

23-10-2003, 17:29	#4
hylis Senior Member Iscritto dal: Jun 2002 Città: Firenze Messaggi: 445	ciao ancora prima di installare un programma antispyware specifico (a volte fanno casino) ti consiglio di installare un firewall(io mi trovo bene con zone alarm ma sento parlare bene anche di kerio e altri) a quel punto quando il firewall in esecuzione trovera' lo spyware o simile ti avvisera' e tu gli dirai di bloccarlo per sempre creando un apposito filtro almeno cosi' hai una protezione contro gli spyware e per tutto il resto

25-10-2003, 11:19	#7
Deckard Senior Member Iscritto dal: Mar 2000 Città: Friulano cosmopolita Messaggi: 1427	ce l'ho anch'io..con cosa l'hai eliminato dato che spybot, spywareblaster, adaware non me lo segnalano? Me l'ha beccato Dialer Control __________________ Collegati a www.hungersite.com - basta un clic per aiutare chi soffre \| Altre iniziative solidali, nel web e non Per chi preferisce il FREEWARE\| La mia photogallery \|FORZA DRAGO

25-10-2003, 14:24	#8
nestle Senior Member Iscritto dal: Oct 2000 Città: Roma Messaggi: 1587	ho eliminato fisicamente i due file... __________________ il mio blog: http://gabrireef.blogspot.com/

26-10-2003, 10:38	#9
Deckard Senior Member Iscritto dal: Mar 2000 Città: Friulano cosmopolita Messaggi: 1427	uno è rasautou.exe e l'altro è un file .pf giusto? ma come facciamo ad essere sicuri di averlo cancellato totalmente? __________________ Collegati a www.hungersite.com - basta un clic per aiutare chi soffre \| Altre iniziative solidali, nel web e non Per chi preferisce il FREEWARE\| La mia photogallery \|FORZA DRAGO

26-10-2003, 10:39	#10
Deckard Senior Member Iscritto dal: Mar 2000 Città: Friulano cosmopolita Messaggi: 1427	grazie dell'aiuto comunque.... __________________ Collegati a www.hungersite.com - basta un clic per aiutare chi soffre \| Altre iniziative solidali, nel web e non Per chi preferisce il FREEWARE\| La mia photogallery \|FORZA DRAGO

26-10-2003, 10:40	#11
nestle Senior Member Iscritto dal: Oct 2000 Città: Roma Messaggi: 1587	io dopo averli cancellati non ho più avuto richiesta di connessione, quindi credo sia andata a buon fine __________________ il mio blog: http://gabrireef.blogspot.com/

27-10-2003, 11:45	#12
Deckard Senior Member Iscritto dal: Mar 2000 Città: Friulano cosmopolita Messaggi: 1427	ok, ho fatto come. Speriamo bene __________________ Collegati a www.hungersite.com - basta un clic per aiutare chi soffre \| Altre iniziative solidali, nel web e non Per chi preferisce il FREEWARE\| La mia photogallery \|FORZA DRAGO

29-10-2003, 19:35	#13
krumbalende Senior Member Iscritto dal: Nov 2002 Messaggi: 2737	io i sudetti file li cancello sempre ma al riavvio prontamente me li riritrovo li com'e possibile???? c'e anche un rasauto.dll ma quello non si puo cancellare che sia quello il problema??? help!!!!!!!! __________________

30-10-2003, 12:49	#14
Deckard Senior Member Iscritto dal: Mar 2000 Città: Friulano cosmopolita Messaggi: 1427	in effetti hai ragione.......... e poi non si riesce nemmeno a capire se sono di sola lettura, guardando gli attributi __________________ Collegati a www.hungersite.com - basta un clic per aiutare chi soffre \| Altre iniziative solidali, nel web e non Per chi preferisce il FREEWARE\| La mia photogallery \|FORZA DRAGO

30-10-2003, 22:11	#15
krumbalende Senior Member Iscritto dal: Nov 2002 Messaggi: 2737	forse ho trovato la soluzione potrebbe essere sta cosa qui le cose che avete postato voi le avevo gia lette ma grazie comunque se beccate qualcosa di nuovo postatelo!!!! questo è preso dal sito della trend micro!!! QUICK LINKS Solution -------------------------------------------------------------------------------- Virus type: Backdoor Destructive: No Pattern file needed: 643 Scan engine needed: 6.100 Overall risk rating: Low -------------------------------------------------------------------------------- Reported infections: Low Damage Potential: Medium Distribution Potential: Low -------------------------------------------------------------------------------- Description: This backdoor listens to a random port on infected systems. It waits for remote commands to execute locally. This malicious routine allows remote users to access and manipulate infected systems. This backdoor program is known to be dropped into visiting systems from malicious Web pages by the Visual Basic Script Malware detected as VBS_LARSLP.A. The malicious Web pages contain an exploit to the Object Data Remote Execution Vulnerability. The vulnerability allows executable code to be executed automatically on visiting systems from Web pages. It affects systems running: Internet Explorer 5.01 Internet Explorer 5.5 Internet Explorer 6.0 Internet Explorer 6.0 for Windows Server 2003 This backdoor program runs on Windows 95, 98, ME, NT, 2000, and XP. Solution: Terminating the Malware Program This procedure terminates the running malware process from memory. Open Windows Task Manager. On Windows 9x/ME systems, press CTRL+ALT+DELETE On Windows NT/2000/XP systems, press CTRL+SHIFT+ESC, and click the Processes tab. In the list of running programs, locate the process: LLASS.EXE Select the malware process, then press either the End Task or the End Process button, depending on the version of Windows on your system. To check if the malware process has been terminated, close Task Manager, and then open it again. Close Task Manager. NOTE: On systems running Windows 9x/ME, Windows Task Manager may not show certain processes. You may use a third party process viewer to terminate the malware process. Otherwise, continue with the next procedure, noting additional instructions. Removing Autostart Entries from the Registry Removing autostart entries from the registry prevents the malware from executing during startup. Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>Run In the right panel, locate and delete the entry: lar = “\llass.exe” In the left panel, double-click the following: HKEY_LOCAL_MACHINE>Software>Microsoft> Windows>CurrentVersion>RunServices In the right panel, locate and delete the entry: lar = “\llass.exe” Close Registry Editor. NOTE: If you were not able to terminate the malware process from memory, as described in the previous procedure, restart your system. Removing Other Malware Entries from the Registry Use this procedure to remove additional malware entries on systems running Windows NT, 2000, and XP. Open Registry Editor. To do this, click Start>Run, type REGEDIT, then press Enter. In the left panel, double-click the following: HKEY_LOCAL_MACHINE>System>CurrentControlSet>Control In the right panel, locate and delete the entry: SLP Close Registry Editor. Additional Windows ME/XP Cleaning Instructions Running Trend Micro Antivirus Scan your system with Trend Micro antivirus and delete all files detected as BKDR_LARSLP.A. To do this, Trend Micro customers must download the latest pattern file and scan their system. Other Internet users can use HouseCall, Trend Micro's free online virus scanner. Applying Patches This malware can arrive on systems vulnerable to the Object Data Remote Execution Vulnerability, which affects systems running: Internet Explorer 5.01 Internet Explorer 5.5 Internet Explorer 6.0 Internet Explorer 6.0 for Windows Server 2003 A cumulative Internet Explorer patch in Microsoft Security Bulletin MS03-032 addresses this vulnerability. Trend Micro offers best-of-breed antivirus and content-security solutions for your corporate network or home PC. For additional information about this threat, see Technical Details. __________________

Strumenti
Mostra una versione stampabile Invia questa pagina per email