Pop–upy z yyyxx.html w adresie – usuwanie Look2me
Jako, źe ostatnio epidemia w polskim Internecie nowej odmiany tego śmiecia, a delikatnie mówiąc jestem juź lekko znuźony ciągłym tępieniem tego dziadostwa tworze ten topic.
Update: Ad@$ wynalazł automata, który całkiem niezle radzi sobie z usuwaniem Look2me – Look2Me Remover
Update2: Kolejne narzędzie Look2Me–Destroyer
Nowe wersja VX2 jest w większosci odporna na automatycznego fixa, co nie znaczy źe u niektórych moźe on zadziałać w pełni skutecznie.
Program o którym mowa to L2MFIX do ściągnięcia tutaj: download
Jak go uźyć? Ściągamy archiwum, rozpakowywujemy, w katalogu znajdziemy plik l2mfix.bat którego uruchamiamy
Na początku aplikujemy opcję 2. Run fix, resetujemy system i sprawdzamy czy operacja się udała, jeśli nie przechodzimy dalej. Warto tego fixa uruchomić po zastartowaniu do trybu awaryjnego.
Jeśli operacja się nie powiedzie czeka nas ręczna robota, odpalamy bata, i dajemy opcję 1. Run find log.
Przykładowy log wygląda tak: download
Co teraz trzeba usunąć? Postaram się to wyjaśnić.
1. W sekcji zaczynającej się od HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ szukamy podklucza który posiada wartość DllName po pierwsze zapisaną w formie nie hexa, po drugie jako nazwa biblioteki widnieje plik dll o dziwnej oryginalnej nazwie. Przykład:
Cały klucz ModuleUsage oraz biblioteka dnnq0155e.dll znika.
ModuleUsage to oczywiście przykład, klucz moźe przybierać inną nazwę oraz bibliotekę.
2. W sekcji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform program podaje wart. W formie ciągu CLSID. Wartość którą w tym miejscu pokaźe powinna być usunięta. Przykład:
3. W sekcji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved szukamy ciągów które nie posiadają w danych nazwy. Przykład
Dla porównia podam takie które go posiadają:
4. W sekcji HKEY_CLASSES_ROOT\CLSID\... program pobiera CLSIDa i eksportuje jego dane. Naleźy usunać cały klucz, przyklądowo HKEY_CLASSES_ROOT\CLSID\{8A19D8CC–6CDA–4FCE–A5B5–9C1F00D51CF4}
5. Ostatnia częśc loga to pliki zamaskowane znajdujące się w katalogu systemowym, jak głosi napis "Files Found are not all bad files" nie wszystkie muszą być szkodnikami. Tutaj naleźy rozwaźnie je sprawdzić, na pewno usuwamy te które juź we wcześniejszych wpisach się pojawiły, moźliwe jest teź istnienie dodatkowych plików, które zazwyczaj posiadajć nazwy skłądajce się z losowych kombinacji cyfr i liter.
Update: Ad@$ wynalazł automata, który całkiem niezle radzi sobie z usuwaniem Look2me – Look2Me Remover
Update2: Kolejne narzędzie Look2Me–Destroyer
Nowe wersja VX2 jest w większosci odporna na automatycznego fixa, co nie znaczy źe u niektórych moźe on zadziałać w pełni skutecznie.
Program o którym mowa to L2MFIX do ściągnięcia tutaj: download
Jak go uźyć? Ściągamy archiwum, rozpakowywujemy, w katalogu znajdziemy plik l2mfix.bat którego uruchamiamy
Na początku aplikujemy opcję 2. Run fix, resetujemy system i sprawdzamy czy operacja się udała, jeśli nie przechodzimy dalej. Warto tego fixa uruchomić po zastartowaniu do trybu awaryjnego.
Jeśli operacja się nie powiedzie czeka nas ręczna robota, odpalamy bata, i dajemy opcję 1. Run find log.
Przykładowy log wygląda tak: download
Co teraz trzeba usunąć? Postaram się to wyjaśnić.
1. W sekcji zaczynającej się od HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ szukamy podklucza który posiada wartość DllName po pierwsze zapisaną w formie nie hexa, po drugie jako nazwa biblioteki widnieje plik dll o dziwnej oryginalnej nazwie. Przykład:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ModuleUsage]
"Asynchronous"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\dnnq0155e.dll"
"Impersonate"=dword:00000000
"Logon"="WinLogon"
"Logoff"="WinLogoff"
"Shutdown"="WinShutdown"
Cały klucz ModuleUsage oraz biblioteka dnnq0155e.dll znika.
ModuleUsage to oczywiście przykład, klucz moźe przybierać inną nazwę oraz bibliotekę.
2. W sekcji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform program podaje wart. W formie ciągu CLSID. Wartość którą w tym miejscu pokaźe powinna być usunięta. Przykład:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]
"{795FA9BD–6E22–43A9–9B73–B1143997DE2A}"=""
3. W sekcji HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved szukamy ciągów które nie posiadają w danych nazwy. Przykład
"{8A19D8CC–6CDA–4FCE–A5B5–9C1F00D51CF4}"=""
Dla porównia podam takie które go posiadają:
"{1E9B04FB–F9E5–4718–997B–B8DA88302A48}"="nView Desktop Context Menu"
"{F0CB00CD–5A07–4D91–97F5–A8C92CDA93E4}"="Shell Extensions for RealOne Player"
4. W sekcji HKEY_CLASSES_ROOT\CLSID\... program pobiera CLSIDa i eksportuje jego dane. Naleźy usunać cały klucz, przyklądowo HKEY_CLASSES_ROOT\CLSID\{8A19D8CC–6CDA–4FCE–A5B5–9C1F00D51CF4}
5. Ostatnia częśc loga to pliki zamaskowane znajdujące się w katalogu systemowym, jak głosi napis "Files Found are not all bad files" nie wszystkie muszą być szkodnikami. Tutaj naleźy rozwaźnie je sprawdzić, na pewno usuwamy te które juź we wcześniejszych wpisach się pojawiły, moźliwe jest teź istnienie dodatkowych plików, które zazwyczaj posiadajć nazwy skłądajce się z losowych kombinacji cyfr i liter.
Odpowiedzi: 0
Strona 0 / 0