iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

[rafiki]

Словился eKAV Antivirus просит отослать
код к20411400 на номер 7373

утилитки и алгоритм неподходят помогите!!!

Добавлено через 6 часов 18 минут

Загрузился с загрузочной флешки запустил Касперский ремовал тул нашел гадость в:
1. C:\Documents and Settings\username\Application Data\Sun\Java\Deployment\cache\6.0\35(скорее всего папка произвольная как и имя файла)
2. C:\Documents and Settings\username\Application Data\Adobe\(в папках с апдейтами)
3. C:\Temp
4. C:\Windows\system32\в корне 1 файл
5. C:\Windows\system32\dllcache тоже й файл который как потом выяснилось при помощи Autoruns от sysinternals был в автозагрузке

удачной борьбы

[pods]

после лечения не помню чем вылезла сложность, переставил мышь теперь не ставит драйвер, точнее мышь работает но каждый раз пытается найти драйвер , не находит, Установка из указанного места не запускается, да и ладно вообщем перегружаюсь не часто, но не знаю связанно ли с этим, но пытался установить wimax от комстара, их программа не видет модем, UsbIDCheck показывает, устройство видно на усб, а программа тупит.

Вирус от начала декабря что портил в реестре ? Есть воставновитель реестра после вирусов ?
Товарищ perkus расказал о HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
там же в shell у меня "Explorer.exe rundll32.exe cdav.ixo ukqudnn"
явно что-то не то. поменял на Explorer.exe

[etv100582]

МНЕ ПОМОГЛО!!!!!
Для iLite get accelerator сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

[yurku]

Здравсвуйте ребята, помогите с кодом К705813900. Выложенный на народовском сайте кейген выдает код 5249357444 не помогает может опять что поменялось???

[Vladimir4]

Вот утилита (eKavGenerator) по автоматическому подбору кода к eKAV вирусу:
http://www.fileshare.in.ua/3089327
Выдаёт 8 вариантов. Один из них должен подойти!

[antanta]

но незапускаются редактор реестра и диспетчер задач

Про то, как это лечится с помощью AVZ знают все. Про скрипты, разблокирующие эти ветки тоже знают многие. Но, есть еще забавный вариант - запуск программ через планировщик.
Вот пример скрипта:

Dim objDialog
Dim WshShell
On Error resume next
Set objDialog = CreateObject("UserAccounts.CommonDialog")
objDialog.Filter = "All Files|*.*"
objDialog.InitialDir = "C:\"
intResult = objDialog.ShowOpen

If intResult = 0 Then
Wscript.Quit
Else

Set WshShell = CreateObject("WScript.Shell")

WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer\NoFolderOptions"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\Explorer\NoBrowserOptions"
WshShell.RegDelete "HKCU\Software\Microsoft\Windows\CurrentVersion\Po licies\System\DisableTaskMgr"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\Hidden", "1", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\HideFileExt", "0", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\ShowSuperHidden", "1", "REG_DWORD"
WshShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Ex plorer\Advanced\WebViewBarricade", "1", "REG_DWORD"


sReg = WshShell.RegRead("HKLM\SYSTEM\Select\Current")
min = Minute(Time)
If min = 59 then
m = CStr(0)
h = Hour(Time)
h = h +1
h =CStr(h)
else
m = CStr(min+1)
h = CStr(Hour(Time))
end if
t = "at " + h + ":" +m+ " /interactive "+objDialog.FileName
Set mess=WshShell.Exec (t)
MsgBox mess

End If

Основное назначение - запустить нужную программу от имени пользователя SYSTEM, что позволяет:
1) Запустить диспетчер задач, редактор реестра и проч, если это заблокировано для текущего пользователя.
2) Запустить проводник от имени System, что дает доступ к документам других пользователей (это чтобы с правами не париться)
3) В редакторе реестра запросто посещать ветки, куда пытаются блокировать доступ некоторые злодеи типа kido
Работает только из-под админа. Повышение прав с использованием планировщика в NT давно прикрыли
Советую иметь на защищенном носителе свой regedit и прочая, запускать только их.
Ой... Кто не знает - открыть блокнот, сохранить скрипт, переименовать получившийся файл в любой, но с расширением vbs. Ну и запустить.

[vlad23sh]

после недельного мной борьбы с этими смс вымагателями я нашёл хорошее средство по очищению всех этих троянов. что нужно для этого: др. комп на котором гарантировано нет вирусяков и на нём должно быть установлено drweb с последней базой, .... загрузиться в безопасном режиме. начать ПОЛНУЮ проверку drweb.
....
moderated

[SDA]

просматриваем каждую папку вручную все подозрительные в том числе скрытые *.dll, *.exe анализируем и удаляем, особенно в папке C:\WINDOWS\system32\

Можно очень "хорошо" удалить, особенно в папке C:\WINDOWS\system32\
За такие советы надо "расстреливать на месте"

[vlad23sh]

я ж написал "анализируем и удаляем" и у меня сработало 2 компа уже неделю работают . Пока без происшествий

[SDA]

я ж написал "анализируем и удаляем" и у меня сработало 2 компа уже неделю работают . Пока без происшествий

проанализировать и удалить сможет далеко не каждый, для этого хелперы работающие на форуме проходят специальное обучение. Для обычного пользователя такой совет просто окончательно добьет систему. Поэтому еще раз повторяю такой совет является непрофессиональным и более того вредным.
Дальнейшая дискуссия закончена.

[ScorpioN]

Поймал этот тупой вирусняк "Downloder Master" уж 2 недели капаюсь так и не могу решить проблему.. Блокирует просто все.
Просит отправить на номер 4460 K704813900
Может кто знает код для разблокировки. Помогите плиц уж крышняк поехал ...

[Юльча]

Поймал этот тупой вирусняк "Downloder Master" уж 2 недели капаюсь так и не могу решить проблему.. Блокирует просто все.
Просит отправить на номер 4460 K704813900
Может кто знает код для разблокировки. Помогите плиц уж крышняк поехал ...

мне помогли эти два совета
http://virusinfo.info/showpost.php?p...&postcount=143
http://virusinfo.info/showpost.php?p=549783&postcount=1
на их основе сгенерила 9 вариантов ответных кодов и сработал 4-й по счету
главное не ошибиться в расчетах, пропускать 0 при расчете


примерно так
для K704813900

1683792888
2794813999
3815924111
4926135222
и т.д.

[ScorpioN]

4 вариант подошел.. Комп ребутунлся.. пытаюсь проверить всеми антирвирусами.. Спасибо огромное

[Илья34]

Вирус просит денег по смс на 4460 в окне написано K704113300 - подошел пароль4926335522 т.е. k меняем на 4 а к остальным цифрам прибавляем по 2 (тк сумм свыше 10 не получалось то писать вместо 10-1 или 11-2 не пришлось)... по кускам из форумов подобрал решение для своего ящика... вроде перегружается нормально и работает без проблем... но по хорошему ситуация требует вмешательства правоохранительных органов похоже в ближайшее времяч этот вид вымогательства станет массовым...

[Mips]

так, поменяли таки алгоритм. Или он хитрее, чем кажется. Не всё мы учли.
Сегодня восьмое, мой кейген естесна не срабатывает.
В техподдержке щас сказали, что для текста 706113600 на номер 4460 код активации будет 4928335822. Причем какая буква впереди меня не спросили, значит она не важна.
Везде добавляется два, кроме первой цифры - там +4. Что это? год+месяц чтоль? 0+1+2+0+1+0=4. А почему в остальном плюс два? день-1+месяц+год чтоль? Число седня 8-1=7... 0+7+0+1+2+0+1+0=11=1+1=2. Но это метод подбора получился.
Надо проверить еще на нескольких кодах.
Возможно то, что мы решили что число надо уменьшать на один - ошибочно и код активации зависит еще и от года.
ps: работоспособность кода не проверял, но техподдержке верю, еще не подводили.
pss: Народ, на счет моего кейгена (на 7 странице) - на компе устанавливайте дату на 2009 год на 25 декабря например, тогда он должен работать. Когда найду правильный алгоритм - перепишу кейген.

Добавлено через 11 минут

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

вот тут по всем цифрам мой алгоритм срабатывает(04+01+2010=, а по первой цифре - нет. Должно было получиться 4(год+месяц), а получается 1. Неувязочка вышла или автор ошибся?
Будем думать.

[sirius]

Mips,
друже а офлайн кейген мона сделать?

[Mips]

sirius, ну да, сохрани ту страницу на компе и будет те оффлайн кейген. Тока он в данный момоент работает для 2009 года. Я еще не разобрал до конца алгоритм шифрования. Нужно больше правильных кодов за разные даты. Потому что алгоритм 2010 года не подходит к алгоритму 2009 и наоборот. Вот переделаю кейген, подпишу там когда доработан.
Я б конечно в дельфях набросал, но это будет экзешник. Испугается еще народ
ps: дописал чуток кейген, он выдает только для 8 января код активации.

[Юльча]

2Mips

"Тестовый код активации ТОЛЬКО для 8 января" под K704513000 - сработал, смена даты на декабрь и код под декабрь - нет

[Mips]

сегодня в пять вечера получил новый код. На этот раз почему-то попросили первую букву сказать, грят важно (хотя я не верю). Сказал "К".
текст K204414000 (номер не говорил, подразумевалось 4460) - дали код активации 5537747333, как ни странно подошел. Цифры отличаются на три, первая пятерка.
А ведь сегодня в обед проверял другой код... К706113600 - дали код 4928335822. Тут цифры отличаются на два, первая четверка.
Да и вон у Юльча код сработал (там различие на два). Причем он код проверял уже после 17 часов.
Че-то я уже ниче не понимаю. По нью-Йоркскому времени код работает чтоль? гринвич+9часов.

Добавлено через 1 час 47 минут

Нашел вот кейген для eKav (~170kb). Правильность выдаваемых кодов проверить не могу, ибо не заражён. Архив на virustotal.com проверил - вирусов нет.
Он выдает несколько кодов, а хотелось бы один. В техподдержке же один код дают и он подходит.
Народ, если уж вы вылечились от смс-напасти, это не означает, что вы еще раз не попадетесь (или ваши друзья). Так что, пожалуйста, пишите какая программа, какой текст надо отправить, на какой номер, дату (можно и время) ввода кода активации, ну и собсна сам код активации. Только тот код, который вам реально помог. Соберем побольше инфы и состряпаем нормальный кейген.

[sirius]

а дайте в пм ссылочку на eKav ...
поиграюсь на виртуалке