另外一篇强贴:
Adware.Look2Me的分析与解决办法Look2Me的来历:
Look2Me为美国明尼阿波利斯市的NicTech网络公司所有,最早的源头来自于该公司发布的一款反间谍软件SpyBan,SpyBan曾经在国外最著名的下载网站Download.com收录下载过,由于SpyBan拒绝向Download.com透露安装部件细节等原因,被Download.com撤了下来。SpyBan也的确能清除一些间谍软件,但同时也把这个顽固的Look2Me给用户装了上去
流氓特性:
悄悄在用户机器上安装后,不停弹出各种网页,但大多是由www.a-d-w-a-r-e.com来指向的页面,页面内容就是广告内容,五花八门,要啥有啥,另外还收集根据用户访问网页的信息,并反馈到服务器上,再根据信息进行调整
电脑表现:
在\WINDOWS\system32\下随机生成变量的dll文件,并隐藏为只读文件,并让winlogon.exe调用它
在Hijackthis日志里表现为
O20 - Winlogon Notify: Run - C:\WINNT\system32\f6l0lg3m16.dll
在注册表里表现为【dll文件名及键值会变化】
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
.........
上面这些并不全,只是简单的描述了下,但对我们来说,如何处理它才是最关键的
解决办法:
还没有找到完全手工处理它的方法,有一些但并没有效果,那么只有借助工具了。
工具一:借助F-Secure公司发布的专杀工具,运行f-look2me.exe后,按“Y”继续,完成后重新启动
专杀工具下载页面
【注意:网上比较多的look2me专杀工具,比如cleanup、L2MRemover、、spy sweeper、KillLook2Me、l2mfix等等,并非有效,可能是由于变种的缘故,但f-look2me应该是目前更有效】
工具二:借助http://www.a-d-w-a-r-e.com 解铃还须系铃人,NND,具体方法如下
进入页面 http://www.a-d-w-a-r-e.com/cgi-bin/UnInstaller
到页面最下端,点击“I Accept”
页面跳转后,该页面上有一个KEY,比如KEY: wZcI1v33yhpI 下载UnInstaller,安装并输入KEY,完事之后重新启动即可
