# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение

## NickGolovko

30-31 октября 2009 года зафиксирован всплеск активности новой модификации троянского вымогателя Get Accelerator (Trojan-Ransom.Win32.Agent.gc).

_Наименование:_Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb (Лаборатория Касперского)_Также известен как:_BehavesLike:Trojan.UserStartup (BitDefender)
Trojan.Botnetlog.11 (DrWeb)_Самоназвание:_uFast Download Manager_Симптомы:_
Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы uFast Download Manager. Вредоносное ПО предлагает пользователю отправить SMS-сообщение с текстом 



```
wf<набор цифр>
```

на короткий номер 7122. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается. В некоторых случаях пострадавшие жалуются также на блокировку Диспетчера задач.

DSC_1444.jpg
_Состав вредоносной программы:_Вредоносное ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) состоит из одного основного компонента - исполняемого файла %UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManage  r.exe, размером 96256 байт, в протоколах AVZ отображаемого в списке активных процессов. 

В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл %UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe, размером 32000 байт, в протоколах AVZ отображаемый в списке элементов автозапуска._Рекомендации в случае заражения:_Если ваш ПК заражен вредоносным ПО uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер. 

Для удаления типичного представителя uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:



```
var
 SP: string;
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
 QuarantineFile(SP+'\zavupd32.exe','');
 QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe','');
 DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe');
 DeleteFile(SP+'\zavupd32.exe');
 BC_ImportALL;
 ExecuteSysClean;
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.
```

Операционная система перезагрузится.

 Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:

В диспетчере устройств Windows удалите сетевой адаптерОбновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.
Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса._Примеры жалоб на uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb):_
http://virusinfo.info/showthread.php?t=58653
http://virusinfo.info/showthread.php?t=58800
http://virusinfo.info/showthread.php?t=58840
http://virusinfo.info/showthread.php?t=58846
http://virusinfo.info/showthread.php?t=58859

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## cska123

Простите, если не там пишу, у меня вышесказанная проблема, запустил скрипт, окно трояна пропало, диспетчер задач разблокировался, но подключение к интернету не восстановилось. У меня два вопроса: 1) в правилах оформления жалоб сказано, что надо отключить опцию восстановления системы, это удалит предыдущие точки восстановления или нет, ведь это риск, если он их удалит, а компьютер полетит; и 2) нельзя ли вернуть сетевые настройки , если восстановить систему с последней точки восстановления? Пожалуйста помогите разобраться.

----------


## Schef

У меня такая же проблемма как и у *cska123* окно пропало а в инет(сеть вообще пропала) все равно не идет..... что делать то????? комп рабочий, да еще и база 1С на другом компе работа встала т.к. в базу зайти не могу!!!!!!!!!ЛЮДИ ВЫРУЧАЙТЕ!!!!!!!!!!!!!!!!!!

----------


## Alex_Goodwin

*cska123*, 
*Schef*, 
http://virusinfo.info/showthread.php...164#post498164

----------


## cska123

Спасибо, помогло, но только для выделенного интернета, интернет через модем не стал работать через старое подключение, скорее всего надо установить новое, кстати хотел предупредить НЕ ЗАХОДИТЕ НА САЙТ WWW.MAGOMAEV.INFO, вирус появился после посещения этого сайта, браузер предупреждал о возможном заражении вирусом от этого сайта, но нужно было узнать иформацию, браузер не обманул.

P.S. Отличный сайт с отличными людьми!)

----------


## PavelA

Ссылку убейте, чтобы другие не заразились.

----------


## Nik V

Здраствуйте! Простите, если не там пишу, у меня проблема, появилось окно *uFast Download Manager*, запустил скрипт, окно трояна не пропало, помогите....

----------


## amina_g

выполнила все пошагово.в итоге сносила сетевой адаптер -реально помогло.
НО - как быть с браузерами? ничего кроме IE не пашет!
Пожалуйста, ответьте.

----------


## NickGolovko

*Nik V*, 
*amina_g*, 




> Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

----------


## amina_g

спасибо ) 

может быть кому то поможет: из всех вариаций установок удаления программ и настроек помог только банальный снос мозилы и повторная его установка с обновлением
пока все пашет (ТТТ)

----------


## Werdna

У меня тоже проблема с этим трояном. Во-первых, у меня текст предполагаемого сообщение начинается с fw а не с wf и окно не голубое, а серое. Во-вторых, окно трояна не исчезает при введении скрипта. В-третьих, части сетевого адаптера не удаляются, отключены, а при включении вновь отключаются.

Что делать??

----------


## Никита Соловьев

*Werdna*, Прочитать и выполнить *правила*

----------


## valho

Похоже что он автоматом ставится у тех у кого эти обновления не стоят
http://www.microsoft.com/technet/sec...ry/972890.mspx
http://www.microsoft.com/technet/sec.../MS09-032.mspx
http://www.microsoft.com/technet/sec.../MS09-037.mspx

----------


## Юшкеев АНАТОЛИЙ

5.11.09 словил пресловутый вирус, хорошо что не свиной. Но тот кто его написал конечно умная СВИНЬЯ. Доставил много переживаний. Скучно жить без сети. Благодоря вашим умным головам и рекомендациям свинья остался с пятачком. Спасибо за помощь.

----------


## Virtual

ну что за народ,....
1. при работе из ограниченной учетки данное гуано неопасно! (проверенно на жоне  :Wink: )
2. и избавте себя, наконец-то, от дыры в акробате, (исполнение произвольного кода через pdf) ибо эта кака чаще всего идет через данную уязвимость.

----------


## kos33aas1

Спасибо за данный радел!!!Тоже поймал этот вирус,точней сам его запустил не сохраняя, незнаю что на меня нашло)Все тоже самое появилось.проблема в том что когда человек подхватывает этот вирус он в интернет не может выйти что бы найти средство восстановления)Я сам избавился от этой программы... Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???

----------


## PavelA

> Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???


в AVZ Файл - Восст системы - есть пункт для этого.

----------


## kos33aas1

Спасибо.А возможно ли без програм разблокировать?(вручную)

----------


## PavelA

Да, возможно. Если есть доступ в regedit. Я самый простой путь указал.

----------


## kos33aas1

Расскажи как это сделать если не сложно.

----------


## PavelA

gpedit.msc - в нем есть соотв политики, либо раздел Policy в реестре через regedit.

Не сочтите за рекламу, но через AVZ гораздо проще и быстрее можно много чего сделать.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Griz

Утром 8 ноября обнаружил аналогичную хрень. Вроде бы избавился следующим образом: загрузил резервную операционку (Win2000), потер все папки с uFast. После загрузки WinXP сообщение исчезло, но комп перестал видеть соединение с интернет. Все наладилось с помощью мастера восстановления системы с параметрами,сохраненными на 7 ноября.
Может быть, кому-то это поможет!

----------


## Airatka

Хочу выразить всем большую благодарность, специально для этого зарегестрировался на этом форуме. У меня получилось с первого раза все исправить (после загрузки скрипта). 
Правда вместе с этой проблемой у меня ОС выдавала ошибку:

BCCode : 100000d1     BCP1 : ACFED55D     BCP2 : 00000002     BCP3 : 00000000
BCP4 : B66FDB59     OSVer : 5_1_2600     SP : 2_0     Product : 768_

Вопрос: эта ошибка имеет отношение к этому вирусу?

и еще хотелось бы уточнить, если все получилось с первого раза имеет смысл профиксить или ненадо?

----------


## Tulosba

Словил аналогичного виря. Запрос отправить смс и отключение всех сетевых адаптеров. Так же закрыт доступ к диспетчеру задач. Руками в реестре снял запрет на запуск диспетчера, прибил процесс propet~.exe и удалил сами файлы. Сетку восстановил, окно с запрос отправить смс не появляется. Всё работает за исключением браузеров. Firefox и Opera вылетают с ошибкой при открытии. IE иногда закрывается, иногда нет, но страницы толком не посмотреть, на попытку открыть страницу может кратковременно появиться ее содержимое, а потом вкладка закрывается с сообщением от IE, что вкладка была закрыта вероятно какими-то вредоносными программами. 

Заметил, что если, скажем, файл firefox.exe или opera.exe переименовать в другие, то соответствующие браузеры работают. Т.е. вирь подцепляется по имени запущенного файла. Для проверки взял стандартный блокнот notepad.exe, переименовал его в firefox.exe и запустил. Процесс сразу начал грузить систему и шустрить по винту. 

Подскажите как найти, какая зараза цепляется к файлам по именам ?

----------


## Virtual

*Tulosba*, может в раздел помогите надежней будет?

----------


## PavelA

> осле загрузки WinXP сообщение исчезло, но комп перестал видеть соединение с интернет.


Надо было заново переустановить сетевой адаптер.

----------


## bolshoy kot

_http://www.bluemovievideo.com/5/
Тут какую-то программу "uFast Download Manager" установить предлагают.
Что интересно, есть лицензионное соглашение и там вроде про sms.

----------


## pig

Почитайте про неё в "Помогите!"  :Smiley:

----------


## bolshoy kot

> Почитайте про неё в "Помогите!"


Да я знаю, что это такое.

----------


## RZD

всем привет! тут такая шняга. завелся этот юфаст на компе. я нашел файлы,удалил. в реестре зачистил. после этого винда при запуске отправляется сразу на выключение даже не загружая рабочий стол. появилось сразу после проведенной операции по удалению юфаста. было ли у кого такое,может кто чего посоветует что мона сделать. заранее спс.

----------


## bolshoy kot

> всем привет! тут такая шняга. завелся этот юфаст на компе. я нашел файлы,удалил. в реестре зачистил. после этого винда при запуске отправляется сразу на выключение даже не загружая рабочий стол. появилось сразу после проведенной операции по удалению юфаста. было ли у кого такое,может кто чего посоветует что мона сделать. заранее спс.


Надо как-нибудь войти в реестр (с livecd или другой Windows - Подключить куст) и поправить параметр *Userinit* в разделе *HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon* на *C:\WINDOWS\system32\userinit.exe,*
Там может быть прописан *PropetyuFastManager.exe* или *propet~1.exe* - из-за этого Windows и не загружается.
Кстати, вот официальный сайт этой программы (uFast): _http://www.ufast-soft.com/

----------


## Smok3r

У меня похожий вирус но после выполнения указанного скрипта, окно исчезает, но после перезагрузки появляется снова...

----------


## PavelA

"Восст. системы" отключено?

----------


## bolshoy kot

Вот информация:
http://www.threatexpert.com/report.a...d015ce721aa0e9
Судя по всему, инсталлятор самоудаляется (deleteinstall.bat).
Также у программы есть "uninstall.exe", но он наверняка работает только в течении 5 часов после установки.

*Добавлено через 16 минут*

Изучил инсталлятор сей программы (uFast) с ее сайта.
Лицензионное соглашение не выводится, хотя на сайте оно есть.
*Даже если программу удалить в течении 5 часов, удаляется лишь папка в Program Files, а там uninstall.exe и некая программа для скачивания файлов, именующая себя как uFast*. Троян же остается в виде файла PropetyuFastManager.exe

----------


## teoREtik

Скажите пожалуйста, нашелся ли способ лечени данного вируса в его модифицированном виде? У меня как и у Werdena серый экран в углу и код fw

*Добавлено через 54 минуты*

Прошу прощения. Пытаюсь запустить систему в безопасном режиме для ее диагностики и создания логов для дальнейшей загрузки на Ваш сайт, но компьютер не хочет запускаться в безопасном режиме. Могу я провести диагностику при обычной загрузке компьютера?

----------


## Shu_b

> Могу я провести диагностику при обычной загрузке компьютера?


да.

----------


## teoREtik

Здравствуйте, пресловутый uFast был удален после прохода по компьютеру AVP Removal Tool-ом, оказалось что вместе с ним мирно себе уживался и GetAccelerator и к сожалению живет до сих пор. Вопрос такой: Я не могу выполнить скрипт в AVZ так как экран вредоносной программы перекрывает окно AVZ, как быть?

----------


## PavelA

Три волшебные клавиши - Ctrl+Alt+Del работают?
Если да, то  там можно запустить AVZ как новую задачу.

----------


## galandets

Добрый день!
с помощью скрипта в AVZ удалил вирус, появилась проблемма с подключением к интернету - удалил сетевое подключение, создал новое, но не могу создать vpn-соединение. В чем может быть причина?

----------


## pig

Сделайте логи. Или обращайтесь в "Горсвет" к Антону Городецкому, он через Сумрак поглядит.

----------


## Danil777

У меня почти такое же было только  Download manager v1.34 и при запуске винды таймер стоял (у меня по его истечении ничего не было, а у некоторых bsod )  я открыл: пуск программы download manager  uninstall  он удалился (я офигел вирус с самоудалением)

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Duke_DiZel

Убил через tasklist, taskkill и дальше AVZ-кой прошелся и все  :Smiley:

----------


## pluG089

Лечился с помощью LiveCD от DrWeb, грузился с него и сканировал, делал это долго, ориентировочно 10-20 часов, так как на работе я всё время не был =)

----------


## llx_

если не работает adsl соединение: после лечения и восстановления работоспособности сети все равно при создании нового высокоскоростного соединения (adsl) в его состоянии была надпись "не доступно - устройство не найдено" и соответственно соединение не работало (хотя локальная сеть работала). Исправил следующим образом: в диспетчере устройств->сетевые платы: Минипорт WAN (pppoe) и еще несколько других (не помню) были отключены. Нужно их включить (задействовать), затем удалить сам сетевой адаптер (отключить), затем перезагрузить (после перезагрузки сетевой адаптер должен появиться) и заново создать высокоскоростное подключение (adsl). у меня после этого зароботало.

ps сначала сеть восстанавливал с помощью WinsockFix

----------


## ettap

тоже поймал свинку.так как сетка пропала-- не мог прочесть ваших советов.  компов дома два-- один для работы-- другой практически только для инета-- он и заболел.фаер-- аутпост. антивирь-- нод
нестал много думать--решил сразу винду снести (меняю раз в 2-3 месяца и так). 
оказалось что диск со zver-ем после ребута  не грузится.в биосе проверил-- бут первый должен идти с сд.но не идет. только с винта.
вобщем питание на винтах оставил, а шлейфы  откинул--вот тогда бут пошел с cd-- а больше неоткуда))). поставил шлейф на винт -- закинул винду и фаер-- сижу опять  с вами))))

----------


## Anti-†

*Скажите пожалуйста, а какой ещё вред наносит данный вирус...?.....
(например удаляет мои файлы, крадёт информацию, пароли и т.д.)*
Столкнулся с ним совсем недавно, искал программы для скачивания файлов типа FLV (видео, музыка) с ресурсов имеющими flash проигрователи вместо прямой ссылки на файл.

С вирусом вроде разобрался, с помощью автозагрузки в панели пуск и антивируса AVG я проследил путь данного экземпляра, который находился в папке E:/WINDOWS/Downloaded Installations, затем удалить его не получилось так как он находился в неком VIRUS VAULT у моего антивируса (тем не менее окно трояна все равно давало о себе знать), я сделал восстановление системы, (на положение вещей в состоянии за день до того как подцепил эту Х*#!% ), зашёл в ту же папку удалил EXE файл и вычистил её полностью...вроде всё хорошо больше ничего не появляется, но он мне полностью убил firefox (вначале просто начал интернет плохо себя чувствовать после перезагрузки на следующее утро окно и выскочило, а браузер пришлось вручную удалять, потом устанавливая заново, так как панель управления просто отказывалась делать это)...а там у меня пароли сохранённые, ссылки...и т.д. поэтому я и задал вопрос....надеюсь вы меня успокоите, что переживать незачем.

----------


## Мирослав

Решение проблемы с Порно Баннером для сообщения с текстом m20920007 на номер 3649 - вводим код 486686664 и вуаля разблокируем, потом по списку -антивирь - АВЗ логи.....фууууххх наепся я с ним 4 дня (

----------


## MicroMegas

Здравствуйте. У меня очень похожая проблема. Скрипт на первой странице не помог, в безопасный режим перейти не могу, при нажатии F8 появлятся окно где я выбираю с чего загрузиться,т.е. с Сдрома, флоппи или жесткого. Так же внимательно перечитал всю ветку,но так как я ноль, то мало чего понял. Прошу помочь мне. Если от меня требуется какая то инфа,готов предоставить.

----------


## pig

> в безопасный режим перейти не могу, при нажатии F8 появлятся окно где я выбираю с чего загрузиться,т.е. с Сдрома, флоппи или жесткого.


Выберите жёсткий диск и продолжайте давить на F8.

----------

