30-31 октября 2009 года зафиксирован всплеск активности новой модификации троянского вымогателя Get Accelerator (Trojan-Ransom.Win32.Agent.gc) (http://virusinfo.info/showthread.php?t=57724).

Наименование:
Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb (Лаборатория Касперского)Также известен как:
BehavesLike:Trojan.UserStartup (BitDefender)
Trojan.Botnetlog.11 (DrWeb)
Самоназвание:
uFast Download ManagerСимптомы:

Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы uFast Download Manager. Вредоносное ПО предлагает пользователю отправить SMS-сообщение с текстом


wf<набор цифр>на короткий номер 7122. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается. В некоторых случаях пострадавшие жалуются также на блокировку Диспетчера задач.

173992

Состав вредоносной программы:
Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage r.exe, размером 96256 байт, в протоколах AVZ отображаемого в списке активных процессов.

В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт, в протоколах AVZ отображаемый в списке элементов автозапуска.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ (http://virusinfo.info/showthread.php?t=7239):



var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Softwa re\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+'\zavupd32.exe','');
QuarantineFile('%UserProfile%\applic~1\ufastd~1\pr opet~1.exe','');
DeleteFile('%UserProfile%\applic~1\ufastd~1\propet ~1.exe');
DeleteFile(SP+'\zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.

Операционная система перезагрузится.

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:


В диспетчере устройств Windows удалите сетевой адаптер
Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.

Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса (http://virusinfo.info/pravila.html).Примеры жалоб на uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb):

http://virusinfo.info/showthread.php?t=58653
http://virusinfo.info/showthread.php?t=58800
http://virusinfo.info/showthread.php?t=58840
http://virusinfo.info/showthread.php?t=58846
http://virusinfo.info/showthread.php?t=58859

Простите, если не там пишу, у меня вышесказанная проблема, запустил скрипт, окно трояна пропало, диспетчер задач разблокировался, но подключение к интернету не восстановилось. У меня два вопроса: 1) в правилах оформления жалоб сказано, что надо отключить опцию восстановления системы, это удалит предыдущие точки восстановления или нет, ведь это риск, если он их удалит, а компьютер полетит; и 2) нельзя ли вернуть сетевые настройки , если восстановить систему с последней точки восстановления? Пожалуйста помогите разобраться.

У меня такая же проблемма как и у cska123 окно пропало а в инет(сеть вообще пропала) все равно не идет..... что делать то????? комп рабочий, да еще и база 1С на другом компе работа встала т.к. в базу зайти не могу!!!!!!!!!ЛЮДИ ВЫРУЧАЙТЕ!!!!!!!!!!!!!!!!!!

cska123,
Schef,
http://virusinfo.info/showthread.php?p=498164#post498164

Спасибо, помогло, но только для выделенного интернета, интернет через модем не стал работать через старое подключение, скорее всего надо установить новое, кстати хотел предупредить НЕ ЗАХОДИТЕ НА САЙТ WWW.MAGOMAEV.INFO, вирус появился после посещения этого сайта, браузер предупреждал о возможном заражении вирусом от этого сайта, но нужно было узнать иформацию, браузер не обманул.

P.S. Отличный сайт с отличными людьми!)

Ссылку убейте, чтобы другие не заразились.

Здраствуйте! Простите, если не там пишу, у меня проблема, появилось окно uFast Download Manager, запустил скрипт, окно трояна не пропало, помогите....

выполнила все пошагово.в итоге сносила сетевой адаптер -реально помогло.
НО - как быть с браузерами? ничего кроме IE не пашет!
Пожалуйста, ответьте.

Nik V,
amina_g,


Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

спасибо )

может быть кому то поможет: из всех вариаций установок удаления программ и настроек помог только банальный снос мозилы и повторная его установка с обновлением
пока все пашет (ТТТ)

У меня тоже проблема с этим трояном. Во-первых, у меня текст предполагаемого сообщение начинается с fw а не с wf и окно не голубое, а серое. Во-вторых, окно трояна не исчезает при введении скрипта. В-третьих, части сетевого адаптера не удаляются, отключены, а при включении вновь отключаются.

Что делать??

Werdna, Прочитать и выполнить правила (http://virusinfo.info/pravila.html)

Похоже что он автоматом ставится у тех у кого эти обновления не стоят
http://www.microsoft.com/technet/security/advisory/972890.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-032.mspx
http://www.microsoft.com/technet/security/Bulletin/MS09-037.mspx

5.11.09 словил пресловутый вирус, хорошо что не свиной. Но тот кто его написал конечно умная СВИНЬЯ. Доставил много переживаний. Скучно жить без сети. Благодоря вашим умным головам и рекомендациям свинья остался с пятачком. Спасибо за помощь.

ну что за народ,....
1. при работе из ограниченной учетки данное гуано неопасно! (проверенно на жоне ;))
2. и избавте себя, наконец-то, от дыры в акробате, (исполнение произвольного кода через pdf) ибо эта кака чаще всего идет через данную уязвимость.

Спасибо за данный радел!!!Тоже поймал этот вирус,точней сам его запустил не сохраняя, незнаю что на меня нашло)Все тоже самое появилось.проблема в том что когда человек подхватывает этот вирус он в интернет не может выйти что бы найти средство восстановления)Я сам избавился от этой программы... Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???

Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???
в AVZ Файл - Восст системы - есть пункт для этого.

Спасибо.А возможно ли без програм разблокировать?(вручную)

Да, возможно. Если есть доступ в regedit. Я самый простой путь указал.

Расскажи как это сделать если не сложно.

gpedit.msc - в нем есть соотв политики, либо раздел Policy в реестре через regedit.

Не сочтите за рекламу, но через AVZ гораздо проще и быстрее можно много чего сделать.

Утром 8 ноября обнаружил аналогичную хрень. Вроде бы избавился следующим образом: загрузил резервную операционку (Win2000), потер все папки с uFast. После загрузки WinXP сообщение исчезло, но комп перестал видеть соединение с интернет. Все наладилось с помощью мастера восстановления системы с параметрами,сохраненными на 7 ноября.
Может быть, кому-то это поможет!

Хочу выразить всем большую благодарность, специально для этого зарегестрировался на этом форуме. У меня получилось с первого раза все исправить (после загрузки скрипта).
Правда вместе с этой проблемой у меня ОС выдавала ошибку:

BCCode : 100000d1 BCP1 : ACFED55D BCP2 : 00000002 BCP3 : 00000000
BCP4 : B66FDB59 OSVer : 5_1_2600 SP : 2_0 Product : 768_

Вопрос: эта ошибка имеет отношение к этому вирусу?

и еще хотелось бы уточнить, если все получилось с первого раза имеет смысл профиксить или ненадо?

Словил аналогичного виря. Запрос отправить смс и отключение всех сетевых адаптеров. Так же закрыт доступ к диспетчеру задач. Руками в реестре снял запрет на запуск диспетчера, прибил процесс propet~.exe и удалил сами файлы. Сетку восстановил, окно с запрос отправить смс не появляется. Всё работает за исключением браузеров. Firefox и Opera вылетают с ошибкой при открытии. IE иногда закрывается, иногда нет, но страницы толком не посмотреть, на попытку открыть страницу может кратковременно появиться ее содержимое, а потом вкладка закрывается с сообщением от IE, что вкладка была закрыта вероятно какими-то вредоносными программами.

Заметил, что если, скажем, файл firefox.exe или opera.exe переименовать в другие, то соответствующие браузеры работают. Т.е. вирь подцепляется по имени запущенного файла. Для проверки взял стандартный блокнот notepad.exe, переименовал его в firefox.exe и запустил. Процесс сразу начал грузить систему и шустрить по винту.

Подскажите как найти, какая зараза цепляется к файлам по именам ?

Tulosba, может в раздел помогите надежней будет?

осле загрузки WinXP сообщение исчезло, но комп перестал видеть соединение с интернет.
Надо было заново переустановить сетевой адаптер.

_http://www.bluemovievideo.com/5/
Тут какую-то программу "uFast Download Manager" установить предлагают.
Что интересно, есть лицензионное соглашение и там вроде про sms.

Почитайте про неё в "Помогите!" :)

Почитайте про неё в "Помогите!" :)
Да я знаю, что это такое.

всем привет! тут такая шняга. завелся этот юфаст на компе. я нашел файлы,удалил. в реестре зачистил. после этого винда при запуске отправляется сразу на выключение даже не загружая рабочий стол. появилось сразу после проведенной операции по удалению юфаста. было ли у кого такое,может кто чего посоветует что мона сделать. заранее спс.

всем привет! тут такая шняга. завелся этот юфаст на компе. я нашел файлы,удалил. в реестре зачистил. после этого винда при запуске отправляется сразу на выключение даже не загружая рабочий стол. появилось сразу после проведенной операции по удалению юфаста. было ли у кого такое,может кто чего посоветует что мона сделать. заранее спс.
Надо как-нибудь войти в реестр (с livecd или другой Windows - Подключить куст) и поправить параметр Userinit в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon на C:\WINDOWS\system32\userinit.exe,
Там может быть прописан PropetyuFastManager.exe или propet~1.exe - из-за этого Windows и не загружается.
Кстати, вот официальный сайт этой программы (uFast): _http://www.ufast-soft.com/

У меня похожий вирус но после выполнения указанного скрипта, окно исчезает, но после перезагрузки появляется снова...

"Восст. системы" отключено?

Вот информация:
http://www.threatexpert.com/report.aspx?md5=ad7a8ac95233c8cf2bd015ce721aa0e9
Судя по всему, инсталлятор самоудаляется (deleteinstall.bat).
Также у программы есть "uninstall.exe", но он наверняка работает только в течении 5 часов после установки.

Добавлено через 16 минут

Изучил инсталлятор сей программы (uFast) с ее сайта.
Лицензионное соглашение не выводится, хотя на сайте оно есть.
Даже если программу удалить в течении 5 часов, удаляется лишь папка в Program Files, а там uninstall.exe и некая программа для скачивания файлов, именующая себя как uFast. Троян же остается в виде файла PropetyuFastManager.exe

Скажите пожалуйста, нашелся ли способ лечени данного вируса в его модифицированном виде? У меня как и у Werdena серый экран в углу и код fw

Добавлено через 54 минуты

Прошу прощения. Пытаюсь запустить систему в безопасном режиме для ее диагностики и создания логов для дальнейшей загрузки на Ваш сайт, но компьютер не хочет запускаться в безопасном режиме. Могу я провести диагностику при обычной загрузке компьютера?

Могу я провести диагностику при обычной загрузке компьютера?

да.

Здравствуйте, пресловутый uFast был удален после прохода по компьютеру AVP Removal Tool-ом, оказалось что вместе с ним мирно себе уживался и GetAccelerator и к сожалению живет до сих пор. Вопрос такой: Я не могу выполнить скрипт в AVZ так как экран вредоносной программы перекрывает окно AVZ, как быть?

Три волшебные клавиши - Ctrl+Alt+Del работают?
Если да, то там можно запустить AVZ как новую задачу.

Добрый день!
с помощью скрипта в AVZ удалил вирус, появилась проблемма с подключением к интернету - удалил сетевое подключение, создал новое, но не могу создать vpn-соединение. В чем может быть причина?

Сделайте логи. Или обращайтесь в "Горсвет" к Антону Городецкому, он через Сумрак поглядит.

У меня почти такое же было только Download manager v1.34 и при запуске винды таймер стоял (у меня по его истечении ничего не было, а у некоторых bsod ) я открыл: пуск программы download manager uninstall он удалился (я офигел вирус с самоудалением)

Убил через tasklist, taskkill и дальше AVZ-кой прошелся и все :)

Лечился с помощью LiveCD от DrWeb, грузился с него и сканировал, делал это долго, ориентировочно 10-20 часов, так как на работе я всё время не был =)

если не работает adsl соединение: после лечения и восстановления работоспособности сети все равно при создании нового высокоскоростного соединения (adsl) в его состоянии была надпись "не доступно - устройство не найдено" и соответственно соединение не работало (хотя локальная сеть работала). Исправил следующим образом: в диспетчере устройств->сетевые платы: Минипорт WAN (pppoe) и еще несколько других (не помню) были отключены. Нужно их включить (задействовать), затем удалить сам сетевой адаптер (отключить), затем перезагрузить (после перезагрузки сетевой адаптер должен появиться) и заново создать высокоскоростное подключение (adsl). у меня после этого зароботало.

ps сначала сеть восстанавливал с помощью WinsockFix

тоже поймал свинку.так как сетка пропала-- не мог прочесть ваших советов. компов дома два-- один для работы-- другой практически только для инета-- он и заболел.фаер-- аутпост. антивирь-- нод
нестал много думать--решил сразу винду снести (меняю раз в 2-3 месяца и так).
оказалось что диск со zver-ем после ребута не грузится.в биосе проверил-- бут первый должен идти с сд.но не идет. только с винта.
вобщем питание на винтах оставил, а шлейфы откинул--вот тогда бут пошел с cd-- а больше неоткуда))). поставил шлейф на винт -- закинул винду и фаер-- сижу опять с вами))))

Скажите пожалуйста, а какой ещё вред наносит данный вирус...?.....
(например удаляет мои файлы, крадёт информацию, пароли и т.д.)
Столкнулся с ним совсем недавно, искал программы для скачивания файлов типа FLV (видео, музыка) с ресурсов имеющими flash проигрователи вместо прямой ссылки на файл.

С вирусом вроде разобрался, с помощью автозагрузки в панели пуск и антивируса AVG я проследил путь данного экземпляра, который находился в папке E:/WINDOWS/Downloaded Installations, затем удалить его не получилось так как он находился в неком VIRUS VAULT у моего антивируса (тем не менее окно трояна все равно давало о себе знать), я сделал восстановление системы, (на положение вещей в состоянии за день до того как подцепил эту Х*#!% ), зашёл в ту же папку удалил EXE файл и вычистил её полностью...вроде всё хорошо больше ничего не появляется, но он мне полностью убил firefox (вначале просто начал интернет плохо себя чувствовать после перезагрузки на следующее утро окно и выскочило, а браузер пришлось вручную удалять, потом устанавливая заново, так как панель управления просто отказывалась делать это)...а там у меня пароли сохранённые, ссылки...и т.д. поэтому я и задал вопрос....надеюсь вы меня успокоите, что переживать незачем.

Решение проблемы с Порно Баннером для сообщения с текстом m20920007 на номер 3649 - вводим код 486686664 и вуаля разблокируем, потом по списку -антивирь - АВЗ логи.....фууууххх наепся я с ним 4 дня (

Здравствуйте. У меня очень похожая проблема. Скрипт на первой странице не помог, в безопасный режим перейти не могу, при нажатии F8 появлятся окно где я выбираю с чего загрузиться,т.е. с Сдрома, флоппи или жесткого. Так же внимательно перечитал всю ветку,но так как я ноль, то мало чего понял. Прошу помочь мне. Если от меня требуется какая то инфа,готов предоставить.

в безопасный режим перейти не могу, при нажатии F8 появлятся окно где я выбираю с чего загрузиться,т.е. с Сдрома, флоппи или жесткого.
Выберите жёсткий диск и продолжайте давить на F8.