# Форум на русском языке  > Угрозы информационной безопасности  > Вредоносные программы  >  iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

## NickGolovko

*Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не  исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.*


8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

_Наименование:_
Packed.Win32.Krap.w (Лаборатория Касперского)
_Самоназвание:_
iMax Download Manager или iLite Net Accelerator
_Симптомы:_
Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc) или uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер 3649. 



Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows
_Состав вредоносной программы:_Типичный образец вредоносного ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe.

*Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не  исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.*
_Рекомендации в случае заражения:_Если ваш ПК заражен вредоносным ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

** * **
*1)* Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
*2)* Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
*3)* Запустить утилиту AVPTool и провести полное сканирование ПК;
*4)* Перезагрузить компьютер.

** * **
Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool *не позволяет полностью излечить* пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского http://virusinfo.info/deblocker/
После разблокирования необходимо провести полноценное лечение по нашим "Правилам"
_Примеры жалоб:_http://virusinfo.info/showthread.php?t=62862
http://virusinfo.info/showthread.php?t=62903
http://virusinfo.info/showthread.php?t=62937
http://virusinfo.info/showthread.php?t=62957
http://virusinfo.info/showthread.php?t=62981

http://virusinfo.info/showthread.php?t=63396
http://virusinfo.info/showthread.php?t=63565
http://virusinfo.info/showthread.php?t=63722
http://virusinfo.info/showthread.php?t=63791
http://virusinfo.info/showthread.php?t=63827

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## HaBaxTe

Спасибо огромное  :Clapping: мучался два дня с этим iMAX`сом, но Ваш способ сработал.

----------


## H2O

А я у себя руками sdra64 убил... Dr. web определял его как «Panda». Не знал, что он еще не всеми антивирусами определялся.

----------


## Shu_b

> К стати дллки сохранил,  при необходимости могу выложить для анализа.


Как поделиться написано там: http://virusinfo.info/showthread.php?t=37678

----------


## New Angel

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
_rx.bat_ - 65 байт с текстом 


> Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start


и _w.bat_  - 61 байт с текстом 


> Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open


, которые запускают две dll-ки соответственно. Обе размером *135 198* байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\_имя пользователя_\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

----------


## Shu_b

> 1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт


Говорят что такой алгоритм подходит:


> По поводу кодов если программа просит ввести к примеру М204111300 у меня было так то в строку ввода кода деактивации вводим 4294111399, тоесть подставляем по маске:
> 
> М204111x00 4294111x99

----------


## Johnny_spb

Внимание важная информация :-)
Номер 3649 принадлежит компании http://www.a1agregator.ru/
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.

----------


## SDA

Информация от пострадавших  и отправивших SMS-сообщение:
*При отправке 10 рублей - снимается 300 рублей.*

----------


## Ksi2

> Информация от пострадавших  и отправивших SMS-сообщение:
> *При отправке 10 рублей - снимается 300 рублей.*


и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

----------


## SDA

> и что? вирус уходит?
> 
> у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.


Не уходит  :Wink:  Концы остаются, нет гарантии, что не попадет повторно, или его новая разновидность. Зачищаться надо в разделе "Помогите".
Насчет отправки 10 рублей - это простой  психологический расчет - 10 рублей не деньги, а вот насчет 300 еще надо подумать. Кроме того, практически у каждого есть на счете сумма в размере 10 рублей, а 300 может и не оказаться.
"Без лоха и жизнь плоха, а с миру по нитке нищему рубаха"  :Wink: 

*Добавлено через 15 минут*




> и что? вирус уходит?
> 
> у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.


После перезагрузки все может повториться, пример - http://forum.kaspersky.com/index.php?showtopic=148667
Поэтому настоятельно рекомедую обратиться в раздел "Помогите". Других, кто занимается самолечением, это тоже касается.

----------


## Ksi2

*SDA*, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают :Wink: 
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

----------


## alethedis

а есть какая-нибудь инфо как оно распространяется?

----------


## cryker

а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

----------


## Ksi2

*cryker,* хард проверь. потом лезь в реестр через тотал, например, и по адресам 
[HKCU\Software\Microsoft\Windows\CurrentVersion\Pol  icies\System]
"DisableRegistryTools"="1 перепиши на "0"
и там же будет Task Manager. тоже присваиваешь "0".

----------


## SDA

> *SDA*, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
> а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))


Мое дело порекомендовать, а остальное пусть смотрят безопасники в "большой организации"  :Smiley:  
Мои рекомендации по обращению в раздел "Помогите" касается обычных пользователей, без крыши "большой организации, с большой кучей безопасников". Хотя порой один опытный админ, умнее и профессиональнее "этой большой кучи" бывших ментов  :Wink: 
А насчет прохождения смс, можно еще раз проверить самому после перезагрузки  :Smiley:  
Большой флаг в руки!  :Wink: 

*Еще раз рекомедую, кто читает этот пост, не слушать всякие "недоделанные, некомпетентные советы" самоучек, а обратиться к профессионалам в раздел "Помогите". Будет гораздо проще и дешевле потраченной нервной энергии.*

----------


## thetoken12

> а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, *но незапускаются редактор реестра и диспетчер задач* и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня


Используйте AVZ , Файл -> Восстановление. Не всегда стоит лазить в реестр руками.

----------


## Jolly Rojer

> *SDA*, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
> а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))


Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал!

----------


## Ksi2

> Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
> А SDA Вам правильно сказал!


Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились  :Smiley: 

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...

----------


## SDA

> Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились 
> 
> просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...


Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. *То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".*
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
*Ресурс virusinfo.info не несет ответственности, перед теми  пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.*

----------


## MAKAP

у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate  - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему

----------


## SDA

> у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate  - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему


Здесь помогут http://virusinfo.info/forumdisplay.php?f=46

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## PixRaider

Поймал пару часов назад новый(?) аналогичный вирус видимо того же происхождения.
Пока могу приложить только скрины.



Также блокируется интернет, некоторые системные команды, процессор грузится на 100%, антивирус(Avira) безмолвствует. 
Вирус цепляется к winlogon.




Есть ли информация по заразе, уважаемые?

----------


## Shu_b

> Есть ли информация по заразе, уважаемые?


Всегда и только для Вас - http://virusinfo.info/forumdisplay.php?f=46

----------


## Trap75

по поводу номера 1350 
http://smscost.ru/number/1350
Далее написано :

Уважаемые жертвы мошеннических действий! Наша фирма ООО «ИнкорМедиа» является владельцем данного короткого номера. Мы приносим свои извинения всем пострадавшим от неправомерного использования данного номера нашими клиентами. Поймите, мы не можем контролировать законность действий всех, кто использует данный номер! Но мы очень дорожим своей репутацией и готовы вернуть незаконно снятые с ваших счетов средства. Для этого вам нужно обратиться в наш офис и рассказать о факте мошенничества. Наш адрес - Москва, улица Радио, дом 24, к.1, подъезд 1, этаж 3, офис 302. Телефон: +7 (495) 982-38-86 Факс: +7 (495) 982-38-87 Карту проезда можно посмотреть на нашем сайте http://www.incore.ru/contacts

Отзывы по поводу короткого номера прикольные (300 руб смс) 

затем:
FAN: Так, господа. Всем, кто умудрился поймать вирь, который требует отправить СМС на номер 1350 сообщаю, что код, который нужно ввести - 6523. После этого тварь троянская успокаивается. P.S. Автору сего трояна желаю ********************************.

Не факт что поможет. Но пока все что есть

----------


## Lexxus

*PixRaider*, намекните, где схватили, не в контакте ли, случайно?

----------


## Spirgen

Не знаю, ЗАКАЗЧИК. говорит почта (Outlook) или ?

*Добавлено через 7 минут*

Word и др. оф. пакеты работают (Акробат, фотошоп, плееры(3) архиваторы) спецпрограмм нет (не знаю их поведение) (сам проектировщик), (но скорее всего будут работать) (все таки думаю на Flash Plaer, т. к. заметил, что папка(вышеуказанная) изменила дату, хотя файлы в паке другой даты (2006, 2007г.), но пока система работает и сней можно делать АДмин (но см. службы и т. п. выше)

*Добавлено через 4 минуты*

В инет пока не заходил с системой!!! не знаю как поведёт

----------


## craftix

Это конечно оффтоп, но я не понимаю, почему люди не смотрят что было написано в теме до их сообщения? Неужели тяжело хотя бы первое сообщение автора темы прочитать? Там же все написано что делать. Тогда не придется ждать ответа на вопрос, на который уже ответили.

----------


## Kory-V

Возвращаясь к теме "iMax Download Manager"
У нас на работе появился 9го числа. Сначала на одном, потом на 5 компьютерах. Пытался вылечить по стандарту - темпы чистил, сканил Авастом, удалял точки восстановления системы, просматривал на подозрительные файлы в "ручном" режиме и т.д. и т.п. Не помогло. Скрипты не запускаются - выгружает программы из процессов, антивирусники не запускаются, впрочем как и большинство приложений, открытие папок с названиями "антивир...", "Аваст", "Касперский", и пр. - инициирует закрытие процессов вплоть до разлогинивания пользователя. При попытке переустановки системы с диска с восстановлением - выдавало ошибки и не могло продолжить установку. На первом компьютере начал переустановливать Винду начисто. 
 В среду и четверг пришлось отложить, в пятницу полистав инет нашёл упоминания о компании "А1 Агрегатор", как владельца одного из коротких номеров. Заглянул по ссылкам http://www.a1agregator.ru/main/support , решился и позвонил по украинскому номеру. Скажем так - доверия по началу было мало, особенно при том что при первом звонке смогли дать код активации на один из номеров запроса банера, на второй не было. И обещали позвонить "в течение 3х дней". Но - отзвонились на контактный мобильный в течение часа, дали правильный код активации, дали код активации на второй код запроса. Аргументировали тем что "мы не знали что там номера генерятся каждый день". Что вызвало уже некоторое недоумение.
 После введения кодов активации в поле введения появляется надпись "Ждите", комп думает и перезагружается. После следующей загрузки вирусы при сканировании не обнаруживаются, все функции системы что были заблокированы вновь доступны. Вирус как-бы деинсталлируется. 
 Итог - любыми другими способами что я перепробовал кроме переустановки "начисто" работоспособность системы не была восстановлена. Введение кода данного службой поддержки "А1 Агрегатор" - её восстановило, но не известно что за настройки остались глубоко внутри. Судя по тому что за компьютеры были поражены - не было установлено какое-то критическое обновление безопасности. Вывод - шо то усё подозрительно...

----------


## PixRaider

> *PixRaider*, намекните, где схватили, не в контакте ли, случайно?


Нет, как ни странно искал электронные компоненты на eFind.ru

----------


## Soulfly91

Аналочичная ситуация случилась у меня на работе (я сисадмин). После разных способов вылечить этот вирусняк я пришел к 2 выходам: 1 Начисто переставлять винду. 2 Позвонить по номеру компании А1 Агрегатор как писали раньше... Ну и что выдумаете?))) Сказали 2 кода один из них подошел(!) Все вернулось на свои места...
Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......
P. S. Привожу те коды которые мне диктовали (для Украины) 
2971588777
3182699888 - этот мне подошел
Желаю всем избавится от этой зверюшки!

----------


## antonic

> Говорят что такой алгоритм подходит:


У меня подошло
m204712900  ввел  4294712999

----------


## василий1

Эта гадость сливает логины-пароли на ftp из тотал командера и фара, спустя полчаса - начинает ходить по ним (извне конечно-же), и править все найденные index.php, вставляя в них код для скачивания себя-же. 
Будьте бдительны...
Каждая сессия чтение index.php-правка-запись происходит с разных ip (ботнет видимо)
PS: надеюсь правила не нарушил?

----------


## Klyam

У меня попалась таже бяка iLite Net Accelerator ,  а в правилах написано 


> *Делая запрос, Вы должны открыть новую тему в разделе "Помогите"


 нужно ли её создавать или можно логи тут разместить?

*Добавлено через 3 минуты*

Самое странное, что после удаления виря иногда самопроизвольно начинает набираться текст из произвольных символов или замещаться таковыми выделенные слова :Shocked:

----------


## SDA

> У меня попалась таже бяка iLite Net Accelerator ,  а в правилах написано  нужно ли её создавать или можно логи тут разместить?
> 
> [


Нужно создавать в разделе "Помогите".

----------


## Kory-V

> Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......


Моё мнение аналогичное. Хоть я его и не прямо озвучил, а намекнул в своём первом посте. :Censored: 
При удалении вируса путём введения кода активации на слабых компьютерах процесс "деинсталяции" может зависать и приводить к неполному восстановлению функций. На одной из заражённых машин привело к тому что на следующий день после восстановления работоспособности не загружался профиль пользователя. Висло на "Применение личных настроек", создание нового пользователя или сканирование на ошибки системного диска, возврат к предыдущей удачной конфигурации - решали проблемму на полчаса-час-два. Также комп вис во время работы. После переустановки системы начисто - проблема решена. 
То есть если компом пользовается рядовой пользователь, работает в основном с офисом, не требуется повышенная конфиденциальность - можно и кодами активации разлочивать. Если требуется повышенная отказоустойчивость системы, конфиденциальность и пр. - только переустановка начисто, возможно с форматом С.

----------


## koscheck

Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься!

----------


## Kory-V

> Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься!


Как я и писал выше - на некоторых компах самоудаление вируса происходит не полностью. После введения кода появляеться надпись "ждите", табличка рекламы исчезает, комп начинает готовится к перезагрузке и зависает. При насильной перезагрузке спустя полчаса-час  - позже выявляются сбои в работе системы, в частности в загрузке и применении параметров профилей пользователей. В том числе и новосозданных. Может зависит от мощности железа и стабильности ситемы, может ещё от чего, но я решил полностью переставив систему. Установка с восстановлением - восстанавливает и приобретённые "глюки".

----------


## bandicat

подцепил вчера * iLite Net Accelerator* весь день боролся с ним,много чего перепробовал,но решил всё один звонок обладателю номера на который нужно СМС отправить. номер 3649 принадлежит вот этой компании http://alt1.ru/  позвонил им по номеру указанному внизу страницы. обьяснил проблему.так мол и так ... ваш номер у меня на мониторе... у меня спросили текст смс который нужно отправить,в ответ я получил код который нужно ввести,ввёл и всё,звонил с городского,так что не знаю платный звонок или нет)). теперь собираюсь комп чистить,тк чувствую не до конца эта дрянь удалилась. код который вводил 5315213211 мб кому подойдёт..

----------


## kdv

> Внимание важная информация :-)
> Номер 3649 принадлежит компании http://www.a1agregator.ru/
> если позвонить (или написать) в тех. поддержку и описать проблему
> они скажут код.
> Мне помогло только это
> Описанные выше методы лечения - не прокатили.


Аналогично, спасибо за идею. Я заметил, что после ввода кода открылась папочка с линком на какой-то Pincho GUI, и вирусняк самоудалился. Следов вирусняка после этого не осталось, и что интересно, восстановились возможность запуска regedit, taskmanager и т.п. 

DrWeb свежайший (от сегодня, 18.12.2009) нашел другие вирусы на компе, но этот не обнаружил.

И, все правда про то что этот вирусняк блокирует вход в безопасном режиме. Мне вообще ничего не удалось запустить или сделать - блокируется все что можно, и политики безопасности, и запуск сервисов, и msc, вообще все напрочь, в т.ч. и в безопасном режиме.

Поэтому, вариантов было три
- вылечить антивирусом с LiveCD, не вылечило
- переустановить ОС, решили не спешить
- позвонить "негодяям", помогло 100%

----------


## PavelA

Чувствую, что полетят "камни": Сколько стоит звонок в  http://www.a1agregator.ru/?

----------


## kdv

звонил с городского, там тоже городской номер. Не думаю что в Москве есть спец-тарифы при звонке на московский же номер МГТС.
Собственно, я дождался ответа оператора, и только заикнулся о коде, как она меня переключила на какого-то мужика. Я мужику объяснил, он печальным голосом сказал "да, есть такое, диктуйте код". В ответ получил номер, ввел, вирусняк самоудалился как описал выше.

В связи с этим есть несколько подозрений:
- их операторы уже явно затраханы этим делом, и моментально переключают на "кого надо".
- с другой стороны, откуда у них генераторы ответного кода? Вот я чего не пойму.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## ЕвгенийКаф

Я подцепил тоже где то подобный вирус. Тот же банер только текст другой про порно. Я полез в инет с телефона. Прочитал, что с этой дрянью справляется AVZ, в инструкции было написано, что надо кинуть на диск или карту памяти. Дисковод правда не работал и я кинул на карту (mikro SD) вставил в картридер а на адаптете который под SD поставил ползунок на lock. Этим защетил карту от перезаписи. Возможно из за этого я благополучно запустил утилиту. Поставил на всем, что можно галочку. Перезапустил. Бонер пропал. Только иногда появляются глюки с интернетом. У меня 3G модем. Он переодически отключается. А так все нормальо  :Smiley:  . Я точно не уверен, что глюки из за вируса. Так, что пробуйте может поможет. Уничтожил в общей сложности где то за 2 часа. Правда испугался сначала такой надписи.

----------


## craftix

Хорошо, что у вас вообще инет работает после


> Поставил на всем, что можно галочку

----------


## Alex_Goodwin

> Чувствую, что полетят "камни": Сколько стоит звонок в  http://www.a1agregator.ru/?


http://www.a1agregator.ru/main/support



> 8-800-555-01-02 (Звонок из России бесплатный)

----------


## valho

Трубку там в принципе берут, в 19 нуль нуль по Москве звонил. Жаль что давно не занимаюсь телефонными станциями, а то можно было по качеству автоответчика сказать что там стоит  :Smiley:

----------


## ЕвгенийКаф

> Хорошо, что у вас вообще инет работает после


Ну а, что еще оставалось делать  :Wink:

----------


## PavelA

Для номера 3649 - стоимость СМС для МТС 258.30руб, Мегафон - 150руб.
http://www.a1agregator.ru/main/abonent/4846/3649

----------


## Ron09

тоже возникла проблема с *Packed.Win32.Krap.w*- легко удалил, за час Malwarebytes' Anti-Malware, все просто - скачиваешь - обнавляеш - запускаеш и все, червя больше НЕТ....

----------


## xast

Да хреновые зловреды!!!вот занакомый поймал еще один похожий,это уже на виндовс7 залезла,находится по середине экрана,она появляется через минут 30,можно ее закрыть,в инет можно зайти но как заходишь в инет сразу появляется,убил эту заразку обновленным авз.Вопщем это рекламма всяких изделий секшопа))).

----------


## makstor

странное наблюдение: мешающая табличка с полем ввода и счетчиком времени исчезает в небытие после запуска "Сетевого окружения" (iLite и iMax). Появляется доступ к проводнику.

P.S. Данное сообщение носит ИНФОРМАТИВНЫЙ характер, а не РЕКОМЕНДАЦИОННЫЙ!!! Это не совет к лечению!!! Вирус этим НЕ ЛЕЧИТСЯ!!! а то есть тут некоторые....

----------


## kkka

хм, а какой ещё можно попробовать live cd, если Kaspersky Rescue Disk (с базами от 11.12.09) и DrWeb Live cd (от 20.12.09) ничего не находят? что ещё можно попробовать, в ожидании ответа от А1А?)

----------


## PavelA

Можно, наверное и с успехом, попробовать утилиту от Касперского (AVPTool или другую-специальную).

----------


## yeas

Аналогично, коллеги. Загрузил XPE, прошел сканером DrWeb cureit - нашел Autoruner. Снял винт, просканил на чистой машине Каспером - нашел, удалил зараженный файл sdra64.exe. Эффект - 0. Подождал 3 часа - исчез. Попробовал запустить AVZ - Ничего нет, запустил мастер поиска и устранения проблем, - исправить отмеченные проблемы. Повис, после перезагрузки -вуаля счетчик снова на экране. И ничего не дает запустить! Поэтому всякие утилиты, антивири - побоку!!
нашел совет:

[moderated]

----------


## SDA

Такими советами можно и систему убить.

----------


## Victor-100

Поймал iLite, требует СМС на номер 4460, как узнать, чей он?
И что будет, когда счётчик времени закончится?

----------


## yeas

Victor 100
 Исчезнет.
Потом появится снова. И снова. И снова.

----------


## SDA

Надо обращаться в раздел "Помогите" за профессинальными советами. Если не знаете и не хотите убить систему воспользовавшись непрофессиональными советами.

----------


## tom

> нашел совет:
> [moderated]


[moderated]

----------


## PavelA

Пару слов про такое "лечение" (распространённые советы типа - найди такие-то файлы там-то, найди такую-то ветку реестра). 

Данным способом не  исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.

----------


## makstor

странно, но вроде как AVZ лечит же (не совсем полностью, нужно немного руками дочищать, но тем не менее). Поймал второй раз на одном из компов iLite. Каким то боком картинку с экрана вышиб запуск сетевого окружения. Появился доступ к рабочему столу, проводнику и пр., но запуск AVZ вызывал перезагрузку. перезагрузился под админской учеткой - на удивление без всяких iLite. Запуск AVZ, полное сканирование с исправлением проблем и т. п. - нашел несколько зараженных файлов. Перезагрузка. Далее дочистил temp'ы (несколько файлов потребовали "отложенного удаления" с помощью опять же AVZ), удалил строку на автозапуск. Вроде пока работает. Поменял антивирус, обновил браузеры. Все. Кстати, при подключении флешки на флешку записалось 3 файла для автозапуска для заражения следующей машины, но были отловлены на другой ОС (Linux). Файлы запаковал в архив - проверка VirusTotal - одна сработка и та на autorun.inf. Что это такое - проверять негде, виртуалок нету :Sad: 
PS. ИМХО, после указанных несколькими постами выше советов по лечению (в частности от yeas) лучше таки делать sfx /scannow с оргинальным установочным диском Win.
PPS. Информация в данном сообщении представлена для ознакомления, а не в качестве рекомендаций!!!

----------


## Дмитрий Lightarsi

Да, у меня тоже проблемка, новая версия, походу дела, посит отослать на 4460, запускается при любом открытии файла кроме моего компьютера и панели управления, ждёт 3 часа)) Почему-то запускается также и в безопасном режиме, флешки комп не видит вообще, биос тоже почемуто просто игнорится, сделать вообще ничего не могу...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Vapio

Не подскажите, как создавать логи AVZ, Hijack если их запуск блокируется? Вирус передается через флэшку?

----------


## rydi2006

У меня вышло окно iLite Net Accelerator с 3-х часовым отсчетом времени и блокировкой диспетчера, антивируса, реестра, браузеров. Дня 3 мучился ничего не помогало, и Каспера Rescue и LiveCd д. вэба пробовал и всякое др.

[moderated]

----------


## Almind

Для iLite сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

----------


## surgutfred

Попал в руки комп где эта штука(iLite Net Accelerator) уже изрядно повеселилась: реестр и диспетчер задач залочены, при запуске любого ехе файла выскакивает окно с запросом денег на смс. Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials  :Smiley: . Справился, однако.
В общем заметил баг (или фичу  :Smiley: ) вируса - когда окно его висело в полэкрана и мешало обзору, я нажал на мой компьютер правой кнопкой мыши и выбрал свойства. Окно вируса пропало. Проверил несколько раз - срабатывало. Если кому "повезет" еще раз, проверьте баг  :Smiley:

----------


## SergT

Спасибо, теперь я буду а курсе

----------


## Буквоедов

> Для iLite сработала следущая закономерность -
> 
> «0» в тексте – «8» в коде
> «1» в тексте – «9» в коде
> «2» в тексте – «1» в коде
> «3» в тексте -«2»
> «4» в тексте – «3»
> «М»в тексте – «3»
> «5» в тексте – «4»
> ...


Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.

----------


## perkus

Всем привет.
Столкнулся с iLite Net Accelerator.

Притащили зараженную машину, умудрились заразить админскую учетку встроенную, отослать СМС, пожить немного без него, и повторно заразившись или просто став дойной коровой.

Наблюдения по поведению зверя:
1. Присоединяюсь к жалобам - залочено восстановление системы, редактирование реестра, вызов диспетчера задач.
2. При вызове свойств экрана по клику на рабочем столе надоедливое окошко пропадает. Но при попытках лечить, запустить что-то вываливается во всей красе.
3. Заражается только учетка, под которой схватили троянца. На других воздействия не заметил.

В приницпе как все, сначала пытался лечить "как есть". Ставил Анлокер, Курита... Запуск с грехом пополам при помощи переименования их в "spryachmenya.pif", "etonelechilka.exe"  , функционала никакого - все схлопывается и появляется окно вымогания.

Дальше скачал образ Kasp Restore LiveCD с "народа" (http://narod.ru/disk/16224480000/rescuecd.iso.html, выложено на форуме Касперсокого), базы не обновлял, были от 15.12.2009. Записал на болванку, загрузился - буйный цвет зверья, что-то сразу снеслось, что-то под защитой было.. Прошелся два раза, эффекта по своему вопросу ноль.

Потом в башку ударила идея - у меня что-то подобное есть в KAV WS... Создал свой (по действиям - скачал с сайта, обновил базы), проехался еще раз, удалилось порядка 50 библиотек с рандомными нечитаемыми названиями из system32. И тут-то всплывает неудаляемый файлик "sysmgr.exe". Каким уже не помню образом - удалил. При следующем запуске - окна нету, но ошибка запуска файлика "csrcs.exe". Такого действительно нигде не оказалось, навреное удалился в той куче библиотек.

Если что запускается не через пусковую "Автозагрузку" - прямая дорога в Run в реестре... А как?
Таким образом при помощи оснастки "Управление компьютером" (Пуск, Выполнить - compmgmt.msc) была создана учетка с админиским правами. Под ней уже определил - эта учетка полностью здорова. Запустил редактирование реестра, стал искать эти две бяки.

Так как пишу постфактум, опишу не все, из картины, необычной для меня заметил следующее:
1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr  entVersion\policies\Explorer обнаружилась папочка "Run" с "вредным для здоровья" содержимым (на здоровой машине такого не было).
2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell добавлена бяка как параметр к Explorer.exe (опять же на здоровой машине такого не было).

Провел зачистку.
Все, собсна с присутствием гада покончено. НО... Остались еще последствия от его действий.

Троянец понижает права зараженной учетки (какого ранга она не была) применимо к действиям, вредным для него самого. 
Все это можно настроить в групповых политиках или через реестр. Но внимательней - политики на то и групповые, если вы измените что-то в них с "Не задана" на определенное значение, политика будет применима КО ВСЕМ учеткам на компе, независимо от ранга. Разрешать манипуляции с настройками Винды рядовым юзерам "не кошерно".

Значит, так. Восстанавливаем:
1. Редактирование реестра 
1.1 Под "больной" учеткой через политики:

Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установите переключатель Отключен (или Не задан) –> Применить –>OK. Закройте окно Групповая политика. 

Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

(отсюда, тут раскрыто поширше http://shkolazhizni.ru/archive/0/n-10576/)

1.2 Под "живой" учеткой ищем в реестре параметры DisableRegistryTools, удаляем или ставим значение в 0.

2. Вызов Диспетчера задач
Под "больной" учеткой в уже реанимированном Редактировании реестра или под "живой" ищем параметр DisableTaskMgr, удаляем их или ставим значение в 0.

Можно как в пункте 1.1 только в разделе Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

(отсюда, тут раскрыто поширше http://www.kinofans-club.ru/forums/s...ead.php?t=2490)

3. Вкладка Восстановление системы
Запускаем Редактирование реестра, в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Win  dowsNT\SystemRestore удаляем ключи DisableConfig и DisableSR.

(взял отсюда http://windowsxp.mvps.org/srpolicy.htm)

4. "Забаненые лечилки", антивирусы и прочие полезные вирусоборы

После восстановления базовых функций ставил антивирус Касперского, поставился, после перзагрузки не запускается. Окно о "...ограничении запуска ПО политикой..." Так, опять политики... В оснастке "Просмотр событий" нашел ошибку, по хэш-ключу нашел в реестре правило в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Win  dows\Safer\CodeIdentifiers\0\Paths. Кроме бана на Каспера, был бан на Симантек, который тут в смертных судорогах бился уже, наверное, 3 года без обновлений. Все правила связанные с анитивирусами из это раздела удалил.

Заработало.

Вроде бы все.

Хочется напомнить, что изменения после манипуляций с реестром вступают в силу только после перезагрузки, манипуляции с политиками - почти сразу, как описано в тексте выше.

Критикам, любителям по AVZ - ничего не имею, против. Не привык просто им пользоваться. Сие есть стандартизированное лечение, юзал - уважаю. Но я как-то по максимуму сам люблю. Помогает на предмет ликбеза алгоритмов действий "зверья" и "из чего же сделаны наши виндишки".

Присоединяюсь к создателю темы, что вышеописанное не панацея, не 100% корректное решение проблемы.

На страх и риск. Поможет - на здоровье. Не поможет - пардон. Все испортит - бэкапиться надо...

----------


## xjaglowaquex

у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял. 
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого. 
вызов строки свойства помогает) поганое сообщение уходит до следующего запуска какой нибудь программы. 

может кто нибудь подсказать четкие действия по устранению данного вируса? на русском плз языке) 

подхватил вирус по моему когда какую то порнушку 18 метровую качал(не знаю что за файл был, загрузку обрубил, не докачал. антивирус отключал на это время ибо комп слабый, тормозти) с депозита, а иначе хз как она у меня появилась

----------


## perkus

> у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял. 
> да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.


У тебя Касперский запускается?
Может тогда cureit от веба помочь... Попробуй качни.
Если не поможет, давай я выложу свежесобранный Kav LiveCD на обменник какой-нить...

----------


## Beck2006

> Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
> Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.


Мне не помогло. Для K705813900 на 4460 - не работает.

----------


## Pingvin

> Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials . Справился, однако.


Большущее спасибо, *surgutfred!* 

Третий день мучаюсь с этим вирусом, никак не хотел удаляться. Спасла эта штука от Майкрософт. Сканировал с рабочего компьютера, подключив к нему зараженный жесткий диск.

----------


## SergT

[QUOTE=SDA;531826]Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. *То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".*
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
*Ресурс virusinfo.info не несет ответственности, перед теми  пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.*[/QUOTE
 Млин. а я то все так и сделал, теперь боюсь перезапуска, ПОМОГАЙТЕ!!!!!!! прошу вас

----------


## Mips

Привет всем.
Словил я iLite Net Accelerator. Не знаю где, особо по инету не лазил. Одну флешку приносили, но на том компе такой проблемы нет. Avira промолчал, хотя обновляется каждый день. В общем весь день мучался. Начитался, наэксперементировался вдоволь. Винду переустанавливать крайне не хотелось. Полчаса назад решился позвонить в А1агрегатор или как его там?
Позвонил по бесплатному номеру 8-800-555-01-02, минут через 7 ответила девушка, минут 10 мне мозг парила. В общем максимум, что я от неё смог добиться - это она заполнила заявку, которую будут рассматривать до трех дней, а потом типа перезвонят мне. Меня это не устроило особо и тогда она поделилась номером их спецов. Позвонил я на номер *8(495)363-14-27* (добавочный *555*), сразу ответил Евгений. Приветливый такой, ему не пришлось долго объяснять что к чему. Сказал ему текст смс и номер и он мне дал код активации. Минута делов короче и всё встало на свои места, всё заработало нормально  :Wink: 
Текст смс был *K705913500* на номер *4460*. При активации я ввел *3816124611*. Т.е. получается *К* меняется на цифру *три*, все остальные цифры увеличены на единицу, кроме девятки. Она заменилась на единичку. Тут по ходу методом подбора надо.
ps: Терь буду чистить что недоудалилось.

----------


## aqualang

не так все просто с кодом для ilite: позвонил дали код - не подходит.  позвонил еще, сказали дату и время выставить, и тот же код -  подошло. Код, который дали не под один из описанных алгоритмов не подходит. sms М204412800 -> активация 6426634122

----------


## DMX_Krew

Тоже словил iLite Net Accelerator. Эта сволочь заблочила Биос, ну и соответственно все остальное.
Текст смс K705113900 на номер 4460. Коды никакие не подходят. Время не удается поменять. Live CD не грузится - вирус блокирует его загрузку. Все остальное - тоже не запускается...
Как теперь лечить?

----------


## pods

K705913800 на номер 4460
сейчас буду пробовать звонить евгению

сутки стоял КАВ, куреит , долго медленно безрезультатно, запускаюсь со второго винта
вот выложил длл из темп директории 
удалено
размер 957740

*Добавлено через 18 минут*

позвонил, алексей дал код 4927235422, сейчас буду перегружаться с опасного винта.

----------


## drog

имеется подобная проблема с кодом K705813900 4460

MBAM не ставится, на машине был корпоративный Симантек, который убит вирусом. Подключение диска к другому компу и скинарование МБАМом и АВЗ результатов не дало:


```
Просканировано файлов: 63664, извлечено из архивов: 51342, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.12.2009 13:12:50
Сканирование длилось 00:05:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info
```

----------


## pashgan

Добрый день!
Сразу прошу прощения если написал не в ту тему...
Вчера поймал такой же вирус, только немного другой - Вы нарушили лицензионное соглашение Download Master, повторю не iMax Download Manager и не uFast Download Manager, а просто Download Master...
Каким способом можно избавиться от этого вымагателя?
Надеюсь на вашу помощь, заранее спасибо!

----------


## drog

в а1агрегаторе сообщили для *K705813900 4460*
код: *4927135222*

----------


## DMX_Krew

> в а1агрегаторе сообщили для *K705813900 4460*
> код: *4927135222*


А для моего K705113900 интересно какой код будет???

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## drog

*(495)3631427* добавочный *555*
звоните без всяких матов сообщили код очень быстро, саппорт видимо только этим и занимается что вирусы и спамы разгребает работающие через их смс биллинг..

----------


## DMX_Krew

Дали код - подошел. Сканирую систему AVPTool. Нашел пока 4 подозрительных файла.

----------


## t1tus

> Дали код - подошел. Сканирую систему AVPTool. Нашел пока 4 подозрительных файла.


   А какой код дали? уж больно их коды представляют из себя логическую закономерность. Если бы понять какую, то можно написать что-то наподобие key-gen.

----------


## DMX_Krew

Был текст *K705113900,* дали код *4927335222.* т.е. наскока я понял - ко всем цифрам надо прибавлять 2.

----------


## xjaglowaquex

> У тебя Касперский запускается?
> Может тогда cureit от веба помочь... Попробуй качни.
> Если не поможет, давай я выложу свежесобранный Kav LiveCD на обменник какой-нить...


спс канеш) я уже винду нах снес) вирус вроде удалился

----------


## zencmp

у меня был K704713100 на номер 4460
позвонил в поддержку на московский номер. дали код активации:

4926935322

подошел.
то есть К заменена на 4, остальные увеличены на 2.
сутки пытался решить проблему - помогло только это решение.

----------


## JakeS

Ко мне тоже вчера заползла эта дрянь. Пришиб её с помощью кода, выложенного в этой теме. Потом стал сканировать систему Авирой; выдалось сообщение, что, мол, обнаружены скрытые объекты
c:\windows\system32\sdra64.exe
c:\windows\system32\lowsec\local.ds
c:\windows\system32\lowsec\user.ds
c:\windows\system32\lowsec
Авира предложила скопировать их в карантин  - именно скопировать, но не переместить (видимо, потому что это системные файлы). Естественно, раз эти файлы остались на месте, вирус нельзя было считать вылеченным. Вручную их уничтожить оказалось невозможно - их просто не было видно. Мне помогла вот эта утилита. Уничтожила файлы (правда, папка c:\windows\system32\lowsec почему-то уцелела), и залечила даже повреждения в регистре.

----------


## photocanon

доброй ночи всем хорошо дома два компа а то реально крыша съезжает 
уже часа 4 бьюсь с этим кодом...
запускал лайв сиди ничего не нашел, все похожие симптомы...
у меня просит код на номер 
k706113200    пробовал подбирать +2 и даже как заметил +3 в определенных:
4928335422
4928335522
4928435422
4928435522
4929335422
+

коды которые на форуме насобирал
K706113200 это мой злощастный жду еще час по таймеру потом разбиваю клаву...
K705813900 - 4927135222 этот и следующие увидел на форуме
K705913800 - 4927235422
K705113900 - 4927335222
K704113300 - 4926935322

сходство замечено ответные коды х.з. как всетаки набираются.
K70__13_00

выслал Тикет в службу поддержки со следующим текстом, жду ответа, если ктото будет звонить поможите моим кодом тоже пожалуйста, а то звонить в москву блин нехочу покачто...
=======
Связь со службой поддержки
Заявка успешно отправлена службе поддержки

Тип заявки: Технические проблемы
Тема: вирус заблокировал компьютер и требует ввода кода на номере зарегестрированном у вас
Имя: хххх
Эл.почта: @ru
---------------------------------------------------------------
вирус заблокировал компьютер и требует ввода кода на номере зарегестрированном у вас 4460
текст K706113200
пришлите мне код пожалуйста 8-))))
*Выслать ещё одну заявку *
======



==================================================  ========
проторчав 7часов с окошком нервы сдали позвонил евгению...
дал код 5139446533

от моего можно сделать вывод
K706113200
5139446533
получается добавлено!
5433333333

у кого код начинается с К706хххххх думаю 100% поможет!

после ввода кода есть одна попытка перезагрузиться после второй все па новой начинается...
замкнутый круг

----------


## robur

> Для iLite сработала следущая закономерность -
> 
> «0» в тексте – «8» в коде
> «1» в тексте – «9» в коде
> «2» в тексте – «1» в коде
> «3» в тексте -«2»
> «4» в тексте – «3»
> «М»в тексте – «3»
> «5» в тексте – «4»
> ...


Этот способ работает только при переведенном времени на 15.12.09

Автору спасибо. Вот бы знать где его люди ципляют. и как закрыться от этого.

----------


## pods

Вылечил или нет не знаю
Но перегрузаться дал, для запуска регедита использовал gpedit.msc поле "Сделать не доступным средства редактирования реестра" в значение отключить, потом регедитом поле в Policies удалил всю папку где был запрещающий ключь на запуск таскменеджера.
потом еще прогнал касперским как предлагают в http://virusinfo.info/showpost.php?p...5&postcount=88 хрен его знает исправил или нет.

*Добавлено через 1 минуту*

Вот бы знать где его люди ципляют. >> на сколько понял заражает при просмотре сайтов, сам особо не верил, но наверно как-то джаваскриптом переполняют буфер.

----------


## DMX_Krew

Ну меня в безопаснике запускался норма, вирус не выскакивал. Virus Removal Tool от Касперского нашел и убил один экзешник в корневом каталоге С, и кучу dll в System32  Local Settings

----------


## skoo

Нужен код  для К706013300 на номер 4460, пробовала все коды, что выше, не помогло. На московском номере автоответчик.. Может кто уже смог узнать код?

----------


## photocanon

> Нужен код для К706013300 на номер 4460, пробовала все коды, что выше, не помогло. На московском номере автоответчик.. Может кто уже смог узнать код?


 от моего можно сделать вывод
K706013300
+
5433333333

попробуйте:

5139346633 -если не подойдет звоните на городской телефон.

----------


## skoo

> от моего можно сделать вывод
> K706013300
> +
> 5433333333
> 
> попробуйте:
> 
> 5139346633 -если не подойдет звоните на городской телефон.


К сожалению, не подошел. Номер городской не берут, выходной что-ли?  :Smiley:

----------


## adhafera

Дамы, Господа и Товарищи

Любопытно, все обсуждают коды, необходимость звонков жуликам, а отчего никому в голову не приходит такое простое и приятное решение, как пойти и начистить этим гусям рожу (при этом, начав с той компании, что предоставила эти смс-номерки, очевидно легко добраться и до искомого получателя тех денег, что снимаются с простодушных пользователей, чей комп заразился этой хорошо продуманной дрянью - думаю люди в этой компании, чей телефонный номер (и адрес) известен, с радостью постараются избегнуть повреждения собственных морд, и расскажут, кому же они сдают эти номера (или не сдают, а пользуют сами?)). 

Вот о чём надо поразмыслить интернет-сообществу, поскольку обиженных, похоже, уже много, а бенефициаров (получателей этих неправых денег) скорее всего небольшая группка.

Или стоит задействовать наши доблестные органы, поскольку налицо факт чистого мошенничества со всеми необходимыми признаками? Разве кто-то давал согласие на установку на свой комп этого ср-ного акселератора (предположим что он существует)? Или же кто-то осознанно скачивал его из сети? Мошенничество, вымогательство, нарушение прав личности, порча имущества (в том числе наверняка государственного), и прочее - вот список того, что сгененрирован этим вирусом, а статьи пускай подбирают прокуроры - им будет чем заняться вместо того чтобы валять дурака и изобретать дела на пустом месте в надежде слупить деньжат (кстати, если у кого есть знакомый прокурор и он разведет этих ребятишек на хорошие деньги за нарушение закона, вымогательство и киберпреступность, все, наверное, будут безумно рады).

Полагаю, что это не оффтоп, а концентрация самой насущной проблемы борьбы с вирусами.

----------


## techie

> К сожалению, не подошел. Номер городской не берут, выходной что-ли?


  нашел ли кто код???

----------


## bolshoy kot

Откуда берется вирус iLite?
С сайтов с предложением установки кодека?

----------


## ser_dus

Пробовал звонит на тех поддержку, но ответа нет. Может кто-то поможет с кодом для текста К706013000 ?

----------


## techie

> Пробовал звонит на тех поддержку, но ответа нет. Может кто-то поможет с кодом для текста К706013000 ?


 тоже ищу

----------


## skoo

Код для К706013300 для 4460 9574781177, только дату на 28.12.2009г необходимо поставить. Баннер ушел, сканирую на заразу.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## omorsik

> у меня просит код на номер 
> k706113200  
> дал код 5139446533


?
Прога выглядит так же, тока пишет не про iMax Download Manager, а про Download Master.
Код просит k706113200, приведенный выше 5139446533 не хавает. 
С Livecd последние AVP, AVZ и CureIt не помогли. Есть какие нить идеи?

----------


## skoo

> ?
> Прога выглядит так же, тока пишет не про iMax Download Manager, а про Download Master.
> Код просит k706113200, приведенный выше 5139446533 не хавает. 
> С Livecd последние AVP, AVZ и CureIt не помогли. Есть какие нить идеи?


Позвони (495)3631427, назови все данные и тебе без проблем ответят код. У меня подошел. Только у меня К706113300, код был 9574781177

----------


## techie

> Код для К706013300 для 4460 9574781177, только дату на 28.12.2009г необходимо поставить. Баннер ушел, сканирую на заразу.


все помогло!!!

----------


## Kozyavka

вчера со мной случилось:
download master
K 7 0 6 3 1 3 1 0 0
8 4 6 3 9 7 9 7 6 6 - код активации
Касперский ничего не находит,  диспечер задач по прежнему заблокирован

----------


## andref

Принесли ноутбук а на нем вылазит  окно:
"Внимание Вы нарушили лицензионное соглашение программного продукта Download Master. Для продолжения работы необходимо активировать Вашу копию...." итд
Загрузился с LiveCD В директории "c:\Documents and Settings\Имя пользователя\Local Settings\Application Data\.Temp." нашел кучу скрытых dll вида sxkyfc.dll. Посмотрев в c:\Windows\system32 нашел такие же dll. Все снес. После перезагрузки окно пропало.Стал запускаться AVZ:C его помощью восстановил запуск regedita и диспетчера задач и убрал ограничения прав ппользователя.
Запустил autoruns: Оказалось dll запускалась через ключ:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
"Appinit_Dlls"="C:\\WINDOWS\\system32\\sxkyfc.  dll"
Вот что прочитал про этот ключ:"ОС сама внедряет указанную dll во все без исключения процессы операционной системы, даже защищенные. Для реализации необходимо прописать в реестре по пути Hkey_local_machine\software\microsoft\windowsnt\cu  rrentversion\windows в ключе AppInit_DLLs полный путь к своей dll"
PS Ни Касперский ни avast  ни avira вирусов не находили.

----------


## photocanon

Только для этой заразы с кодом К706хххххххх
"Внимание Вы нарушили лицензионное соглашение программного продукта Download Master


*Никакие dll сносить сразу не надо!!! вирь убирает родные в скрытую папку и подставляет свои модификации в рабочие*, у меня например в атапи и уэсбишники прописался гад.


люди не сочтите опять за тупой совет но это именно то что скрыто:
Documents and Settings\*имя зараженного юзера*\Главное меню\Программы\Автозагрузка\siszyd32.exe (из под винды файл не видно если зыркать из проводника)

Эту пакость Скосить в миднайт командере с лайвсиди доктора веба,
И идеально на его место воткнуть пустой NULL файл 0 байт с таким-жэ названием переименованный текстовый документ например с пустым текстом. по крайней мере если процесс будет смотреть файл и увидит что он есть вероятность повторного копирования есть, но мала.

*причем если дозвониться и получить код и подставить ему его вирусня сама разблокирует все что натворила в реестре... идиотизм.*

 далее перезагрузиться, и просканировать комп AVZ новым с обновленными базами, и желательно с флешки у которой есть защита от записи типа SD MMC

это рецепт для тех у кого как у меня нет времени и нервов чтоб звонить в техподдержку.

2 дня полет нормальный тьфу тьфу тьфу...  :Smiley: 


П.С. мой код работает на утро 26числа часики в биосе перевести надо... эт кому надо будет

*Добавлено через 7 минут*




> вчера со мной случилось:
> download master
> K 7 0 6 3 1 3 1 0 0
> 8 4 6 3 9 7 9 7 6 6 - код активации
> Касперский ничего не находит, диспечер задач по прежнему заблокирован


K706313100
8463979766 
8767666666
на лицо:зависимость есть но подбирать смысла ноль.

----------


## VV2006

Свежая зараза. Приносили комп с этой нечистью, обошёлся с ней примерно как и *andref*. 
Автораном вызывалось: Open=Rundll32.exe .\RECYCLER\k.dll,Setup.  В упомянутых *andref* папках скрытых файлов библиотек с рэндомными названиями (от 1 до 9 символов в имени файла) было свыше двухсот. Причём размер (140836) и содержание их абсолютно идентичное "корзиночному" k.dll. Зараза попала на комп 25.12.2009 г. а 28.12.2009 г. он уже палился CureIt'ом и Авирой.  
WinPE+AVZ+CurIt помогли сковырнуть отладчика, снять ограничения, восстановить нормальную работу пользователя в системе и убить Trojan.Packed.19247.

----------


## ser_dus

> тоже ищу


Есть успехи? 
Если есть возможностьЖ, то узнайте код разблокировки на К706013000, а то мне звонить из Украины как-то не очень...

----------


## techie

> Есть успехи? 
> Если есть возможностьЖ, то узнайте код разблокировки на К706013000, а то мне звонить из Украины как-то не очень...


читаем ветку внимательно

код 9574781177, на 28 числло

вводим, ребутаем и чистим заразу

----------


## ekolog10

У меня было заражено 3 машины. На одной форматировал жесткий диск, все работает ок. 
На двух других подобрал ключ - вирь пропал...Но сегодня на один из этих двух пришла зараженная флешка, и все по новой. Деактивировал опять подбором ключа.
Судя по всему это может повторяться бесконечно.

----------


## Som

Здорова Уважаемые! 
изучил  форум  
есть предположение , что новый код генерится каждый день  
только что отзвонил знакомый  у него  просит 06013300  на 4460 
причём отображается стрёмно, у кода  видно только половинку  0  и  часть 4ки  начала короткого номера 
никто не  нашёл каким образом эта гадость попадает на машину ? 
лоадером  или используется дырка в браузерах ?

----------


## Kozyavka

И так, сначала не могла в интернет выйти, браузеры сворачиваются и не открываются, при входе в эта зараза вчера опять вылезла код у нее изменился естественно, если 27го числа прибавлялись "6", то 28го я прибавляла "7", все заработало после перезагрузки все работает в том числе и диспечер задач

----------


## Som

Разблокировал ящик знакомого,  было К706013300 для 4460
перевели время на 28 число и вбили код      9574781177

----------


## Som

> И так, сначала не могла в интернет выйти, браузеры сворачиваются и не открываются, при входе в эта зараза вчера опять вылезла код у нее изменился естественно, если 27го числа прибавлялись "6", то 28го я прибавляла "7", все заработало после перезагрузки все работает в том числе и диспечер задач


всё понятно  компании владельцы этих номеров явно в сговоре c создателем локера ,  создатели российско-украинская команда , которая знает   и отлеживает реакцию  местных популярных антивирей   на их поделку , это подтверждается выключением машины как только локер  чует процесс утилиты Зайцева , не удивлюсь что они читают этот форум (приветик педикам ,   как поётся в одной песне )
локер  генерит для   компании код разблокировки на каждый день,  а его другая  часть  распространяется  в инете  классическими способами ( ботнеты,  соцсети, спам в аське, дыры в сайтах    и так далее ) 
в общем  мало верю что  эти 2 компании стали "жертвами"  (сидят довольные,   культурно отвечают единицам дозвонившихся   по  бесплатной линии , пока основная масса юзеров   шлёт смс и оплачивает  их вежливый разговор )
 короче враги и негодяи   мягко выражаясь
их бы за это прижать капитально  с юридической точки зрения  
но законов таких у нас насколько я знаю  пока что нет

----------


## kernal200

Здраствуйте у меня таже проблема. Live CD drWeb и Касперский не помог. Я перевел часы на 28 так как советовали, но чего-то подобрать код не получаеться. Позвонить (на тот номер в Москве) не могу, живу за пределами РФ.  Мой текст - K705813100
Подскажите пожалуйста нужный активационный код, очень нужен комп именно в эти дни.
Заранее спасибо!

----------


## koscheck

Только что звонил ,у меня уже эта тема в 3-ий раз))Но подобрать код не смог!

*29.12.2009
Download Master:
K714113900

1683992888 ответ*

Как видите закономерности уже практически нет.
А вообще нужно этой конторе key generators выложить в нет!

----------


## perkus

Всем в этой теме снова здрасте.

Принесли машинку с заразой Download Master что есть малость за темой, но оказалось теми же яйцами, только в профиль. И более с душой сделанное.

Решил я по собственной же инструкции отсюда воспользоваться.

http://virusinfo.info/showpost.php?p...4&postcount=68

Ибо уже лечил один-в-один буквально на днях.
Спешу «обрадовать» - уже не актуально.
«Мальчики с клавами» умеют делать работу над ошибками. Они, как и мы, умеют гуглить и искать лекарство+способы излечения от их же заразы. Ай, маладца…

Что же они пропатчили?

1. Теперь заражаются *ВСЕ* учетки (у меня во всяком случае). Даже созданная только что учетка с админскими правами подвисла при применении параметров по умолчанию (мелкое информационное окошко слева верху), но зараза на весь экран и тут.
2. Оснастка «Групповых политик» нынче не вызывается. Пробовал на некоторых – команды вызова работают. Значит мОлодцы доперли, что им страшны не только Редактирование реестра, Диспетчер задач, Восстановление системы, но и манипуляции с политиками.
3. Свежий Касперский с LiveCD нашел одну какую-то разновидность _Packed.Win32_, но _не Krap.w_, как _iLite Net Accelerator_. Значит «бородатые пацаны» в курсе, это радует.

Кстати камень в их огород – пересобрал образ на основе существующего, не пашет. Пришлось залить новый, собрать – тогда все заработало. Трошки неприятно.

Время мне на лечение дали мало, разбирать на кирпичики, как в прошлый раз - на протяжении 3-х дней - мне было некогда.

Воспользовался инструкцией отсюда

http://virusinfo.info/showpost.php?p...3&postcount=64

Респект, братишке *Almind*, что поделился.

У меня было другое сообщение, К704113800. По алгоритму ответ, если б после раскулачивания путем СМС, получился как 168992788.
Окошко сказало «ждите…», все схлопнулось. Были какие-то закулисные действия, видать тотальная зачистка к состоянию «меня тут не було». Повисело все полчаса, я поребутился.
Алилуя, работает. Все вызывается… НО.

Чистил перед лечением Темпы «Очисткой диска» (доверия нет, но все же). Пошел ручками – ох согласен с *andref* и *VV2006*, в темпах полно файлА как они и описали, «любимого размера» и названий язык сломаешь (в новосозданной учетке в темпе тоже валялось). Такой же диагноз для system32, плюс наш любимый sdra64.exe оттуда же.

Просмотрел реестр, нашел в любимом месте _HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon_, но уже в параметре _Userinit_ значение «_C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\ sdra64.exe_». Подправить на «_C:\WINDOWS\system32\userinit.exe,_» (именно с запятой)

По поводу ситуации в целом:

1. *Виноват ли агрегатор?* Возможно, пиар он хоть и чорный. Но тогда грузится телефонный саппорт этой ахинеей. Хотя если замешаны в разработке – вопрос экономической выгоды. Нанять дополнительных людей, или просто их, вконец затрахавшихся по телефону отвечать, менять на свеженьких. Смотря какой навар, сколько людей шлют все-таки СМС.
2. *Виноваты ли производители антивирусов?* Есть мнение такое. Но тогда бы пиарился какой-либо антивирус, как панацея от сей заразы. Причем лечил бы все – и заразу и последствия. Хотя опять же есть мнение – нагнетают обстановку, ждут пика эпидемии. Маловероятно, другие могут сделать лекарство сами и на чужом пиаре выехать.
3. *Виноват ли кто-то на стороне?* Вероятнее. Причем видно люди динамичные, серьезные. Начиналось с простых батников, закончилось полиморфным расползанием. Причем теперь по классификации Касперского это уже три отдельных вируса.

А именно:
1. *Trojan-Downloader. Win32.Packed.** (прямо как бабуля Пакет (ударение на а) из «Красной шапки». Бабуля, помнится, была – отвал башки). Ищется по моему опыту с Касперского Live CD на ура, валяется в темпах одной учетки, видать под которой машинка заразилась. Выдвигаю версию – «закатчик тела» трояна, инструмент для проникновения.
2. *Trojan-Downloader. Win32.Piker.axy* (эта та самая куча скрытых библиотек). Обнаружился установленным и обновленным до 29/12/2009 KIS’ом 2010 уже после отсылки сообщения во всех темпах учеток, в_ C:\WINDOWS\temp_, в _C:\WINDOWS\system32_. А также осевший в файлах восстановления системы, так что прежде чем лечить – вырубите на всех диска, пролечите, потом включите. Выдвигаю версию – «инструмент для расползания по машинке», комплексное полиморфное заражение, вырубание защиты и прочие прелести. 
3. *Trojan-Banker.Win32.Bankos.kwc* (собственно sdra64.exe). Ищется тоже при помощи KIS 2010. Уверен почти на 100% - это наш дорогой «вымогатель», модуль принимающий «активирующие» коды, в нем и изменяемый код подбора/соответствия.

По подбору кода. Я так понял что это вроде кода Цезаря, только с плавающим основанием. Было.

*koscheck* выложил инфу – что-то явно посложнее уже.

Алгоритм/программульку подбора делать лень – они могут поменять. Самое успешное – это откат на определенную дату, ввод уже найденного или сообщенного по телефону текста для этой даты. И последующая чистка.

----------


## levasil

*koscheck*, есть закономерность, которая была описана чуть выше:
29 число. черем базу 28. Складываем значения, еслти получаем больше 9, то складываем дополнительно уифры полученного числа. Для К просто находим сумму базы. База на 1 меньше текущей даты. Третий день по такому алгоритму подбирал пароли, разблокировал эту ерунду, а уже потом проверял антивирусом. 

Пример:
K = 2+8=10=1+0=1
7 = 7+8=15=1+5=6
1 = 1+8=9
4 = 4+8=12=1+2=3
1 = 1+8=9
1 = 1+8=9
3 = 3+8=11=1+1=2
9 = 9+8=17=1+7=8
0 = 0+8=8
0 = 0+8=8
===============
мой ответ был таким методом перебора. 1693992888.

В данном посте надеюсь никто не узреет попытки навредить чужому компьютеру. Хотя данный совет может быть уже неуместен, так как конец года и врядли все останется по такому же алгоритму.

----------


## fun4mass

> *koscheck*, есть закономерность, которая была описана чуть выше:
> 29 число. черем базу 28. Складываем значения, еслти получаем больше 9, то складываем дополнительно уифры полученного числа. Для К просто находим сумму базы. База на 1 меньше текущей даты. Третий день по такому алгоритму подбирал пароли, разблокировал эту ерунду, а уже потом проверял антивирусом. 
> 
> Пример:
> K = 2+8=10=1+0=1
> 7 = 7+8=15=1+5=6
> 1 = 1+8=9
> 4 = 4+8=12=1+2=3
> 1 = 1+8=9
> ...


Огромное спасибо за закономерность , все заработало, с Новым Годом!

----------


## Antibiotik47

на Download Master 30 число

знает кто код?)))) K706313300 на 4460

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## fun4mass

> на Download Master 30 число
> 
> знает кто код?)))) K706313300 на 4460


База 30-1=29

K = 2+9=11=1+1=2
7 = 7+9=16=1+6=7
0= 0+9=9
6= 6+9=15=1+5=6
3= 3+9=12=1+2=3
1 = 1+9=10=1+0=1
3= 3+9=12=1+2=3
3= 3+9=12=1+2=3
0= 0+9=9
0= 0+9=9
итого 2796313399
Пробуй, и не забудь проверить потом каспером

----------


## drog

Спасибо за алгоритм, сработало для K705813900: *2795813999*

вирус вылез после введения кода 25 числа, на тот момент никакие антивирусы ничего не находили. Пробую на этот раз КИС2010, однако он чего-то не обновляется...

update:
Кис2010 нашёл 29 штампов вроде всё вылечил...  пока полёт нормальный.

Кстати вирус перепругнул на флешку с АВЗ, которая была вставлена в попытках вылечить так, что будте аккуратнее.

----------


## Tyrrel

> Или стоит задействовать наши доблестные органы, поскольку налицо факт чистого мошенничества со всеми необходимыми признаками?


Уважаемый Adhafera, приносите Вы в районную милицию или даже городскую прокуратуру Ваш компьютер и показываете пальцем в монитор - "вот, не работает, помогите разобраться с нехорошими людьми". 
Хорошо себе представили? Вот и я о том же. Пока этот вирус не всплывет на компьютере по крайней мере Генпрокурора, или хотя бы его сына, никто ничего делать не будет. Потому что у них "уже 15 изнасилований и 25 убийств" по району, а тут вы со своим компьютером и несчастной смс-кой "всего" за 500 рублей. 
Как я справилась с этим вирусом? Как настоящая женщина. Снесла виндовз и перешла на линукс. Давно хотела, а тут - такой случай.... 
Надеюсь, мое сообщение ничего не нарушило....

*Добавлено через 5 минут*

Словила вирус с "Download Master" 25 декабря.  По моим подозрениям, сама себе его и загрузила - под видом обновления адоб ридера. Не буду грешить именно на эту программу, НО - эта прога никогда никаких обновлений у меня не просила (потому что я сама отключила эту опцию), а тут - раз 10 за 20 минут. Я была занята, вот и кликнула "обновить". Ведь адоб - компания солидная, разве может он что-то плохое закинуть мне на компьютер? 
Так что нужно быть внимательней. 
Информация просто для размышления.

----------


## Antibiotik47

> База 30-1=29
> 
> K = 2+9=11=1+1=2
> 7 = 7+9=16=1+6=7
> 0= 0+9=9
> 6= 6+9=15=1+5=6
> 3= 3+9=12=1+2=3
> 1 = 1+9=10=1+0=1
> 3= 3+9=12=1+2=3
> ...


Спасибо огромное!!! всё подошло
после чего проверился каспером чё только не нашел 
вроде сейчас всё нормально стало

----------


## Fifti1

к706113100 
не могли бы на 31 число подобрать, а то чагота на 30 у мну не подошло((

*Добавлено через 12 минут*




> к706113100 
> не могли бы на 31 число подобрать, а то чагота на 30 у мну не подошло((


2796113199 - подошел, мозг!

----------


## Vitalick87

Пробовал на 30 число для K705813500, получилось 2795813599,изменил дату в биосе на 28, ничего не вышло, подцепил 25, различные Live cd не помогают!помогите,мб закономерность изменилась?

----------


## ermax

А зачем вообще мучаться, подбирать какието коды, если етот вирус надо лечить и удалять. Если машина уже заражена то я с помощью Zillya! Антивирус (на зараженную машину), устанавливаю его и все чищу, от всех вредоносных прописей. После лечения с AVZ или xptweaker-ом восстанавливаю доступ к системным утилитам (можно и в реестре покапаться, но дольше). Вот в целом и все.
найти можно здесь - http://zillya.com/ru/download.html
обновление правда доступно, только с Украины, но альтернатива:
удалено

----------


## valho

> А зачем вообще мучаться,


Listed domains on com TLD -> spammers

----------


## SDA

*Всем пострадавшим сюда, на сервис разблокировки SMS-вымогателей * 
http://support.kaspersky.ru/viruses/deblocker

----------


## f00ntic

Три дня удалял с бука iLite Net Accelerator (Packed.Win32.Krap.w)
Удалился только с помощью kasp rescue disc с последними обновлениями. Помимо sdra64.exe, dll в system32 и local settings и %windir%\Temp, лежал еще один файл вида c_1147.nls: XinaW8jfsS (точно не помню, примерно), он то и запускался из реестра с помощью AppInit (выше писалось).

----------


## Mips

час назад звонил в техподдержку 8(495)363-14-27 (добавочный 555), всё тому же Жеке (кейген не даёт).
Для Download Master на 31.12.2009 текст K706113600 на номер 4460 -> код активации 3817224711. Подошел, комп заработал.
А проверил по сервису, что SDA дал, там код активации 42985739 получился. Он по алгоритму вообще не подходит и далёк от правильного. Более того, попробовал для трех разных кодов - код активации один и тот же.
ps: Ща еще проверю алгоритм на других кодах. Мошь потом состряпаю кейген как у каспера, тока правильный.
pss: * С НАСТУПАЮЩИМ ВСЕХ!*  

*Добавлено через 4 часа 13 минут*

ps: побёг я бухать  :Wink:  всех еще раз с наступающим!

----------


## sergicus

Код активации Download Master на 31 декабря для текста K705413900 вот такой:
3816524111.

Телефон тех поддержки А1: Первый альтернативный контент-провайдер работеат без праздников.
 363-14-27 доб. 555
Звоните и вам скажут код.

----------


## Kamiljan

Скачал игру и словил вирус - Екав Антивирус просит послать код на номер 4469 с текстом К205114900.
Virus Removal Tool который раньше помог удалить уже похожий вирус,на этот раз не помог( Dr.web тоже ничего не видит.Причем вирус работает как антивирус)) сканит систему и якобы находит зараженные файлы...
Что делать хз,щас попробую ввести коды...может поможет

----------


## aboema

История одного удачного излечения.

Попал ко мне компьютер зараженный  вирусом (aekgoprn.dll).
Все симптомы на лицо: жадный баннер "отправьте смс" перекрывающий весь рабочий стол, инет не работает, антивирусы не запускаются.
Баннер убирается если открыть свойства настройки экрана, но не навсегда. Как же найти и убить заразу? AVZ запускается только при входе в систему с ключом ag=y, иначе никак, но ничего не находит. CureIt!, не запускаются. HiJackThis (предварительно смотрю IgnoreList, зараза там прячется) нашел какую-то левую dll в разделе AppInit, убираю. RootKitUnhooker при запуске ругается на зараженную ntdll.dll, лечу, в разделе Drivers нахожу два непонятных драйвера размером 0 и 2881. GMER находит тоже два непонятных драйвера без имени. Запускаю ProcessExporer. Ищу aekgoprn.dll, почти все процессы заражены этой заразой. ProcessExporer показывает путь "\\.\70.103.101.103\aekgoprn.dll", что за путь такой странный? Запускаю утилиту WinObj и вижу в ветке GLOBAL?? cтранный девайс "70.103.101.103". Придется пойти другим путем.
Подключаю флешку с антивирусами и загружаю CD c WinPE. Запускаю CureIt, сканирую Windows каталог. CureIt находит в файле C:\Windows\system32\drivers\nvata.sys вирус "BackDoor.Tdss.1365", лечит. Для верности сканирую AVIRA (AVCLS.EXE). AVIRA находит троян "TR/Rootkit.Gen" в  файле C:\WINDOWS\system32\drivers\kbdclass.sys. Заменяю из дистрибутива Windows файл kbdclass.sys. Перегружаюсь. ProcessExporer не находит aekgoprn.dll, WinObj не показывает устройства "70.103.101.103". Проверяю систему AVZом, CureIt, AVIRA, ничего не нашли. Система чистая! Интернет работает!


ЗЫ: Может моя история кому-то поможет.

----------


## koscheck

> База 30-1=29
> 
> K = 2+9=11=1+1=2
> 7 = 7+9=16=1+6=7
> 0= 0+9=9
> 6= 6+9=15=1+5=6
> 3= 3+9=12=1+2=3
> 1 = 1+9=10=1+0=1
> 3= 3+9=12=1+2=3
> ...




eKav antivirus 
сообщение от 2 января(сегодня)

К204114900

Вычисляем База (2 января) = 2 -1 = 1
К = 0+1 = 1
2 = 2+1 = 3
0 = 0+1 = 1
4 = 4+1 = 5
1 = 1+1 = 2
1 = 1+1 = 2
4 = 4+1 = 5
9 = 9+1=10 = 1
0 = 0+1 = 1
0 = 0+1 = 1

получается 1315225111 , но почему то не подходит,где FAIL

Номер компании не берет трубку на время 13:51

----------


## PavelA

Народ-то трудится, днем и ночью. Дорабатывает "заразу".

----------


## SergeyVV

K706113200 номер 4460

попробуйте вот этот номер:
2796113299

Всем удачи! И с Новым Годом!!!

----------


## Mips

брр.... тока отошел....
*AndreyKa*, извиняюсь, дело было перед новым годом, спешил, в онлайне не проверил, да и плюс яндекс всякую фигню дописывает в конец. (фигню яндекса убрал)
Так вот, подправил *кейген* (ну чтоб народ не парился с вычислениями)
http://mips.narod.ru/sms.html
никакой рекламы, тока благие цели  :Wink: 
Кстати, народ отпишитесь работает ли для других ноимеров, а не только для 4460.

*Добавлено через 3 минуты*




> K706113200 номер 4460
> 
> попробуйте вот этот номер:
> 2796113299


3928335422 на третье января

*Добавлено через 5 минут*




> eKav antivirus 
> К204114900
> ...
> получается 1315225111 , но почему то не подходит,где FAIL


2315225111 на второе января.

----------


## koscheck

> брр.... тока отошел....
> *AndreyKa*, извиняюсь, дело было перед новым годом, спешил, в онлайне не проверил, да и плюс яндекс всякую фигню дописывает в конец. (фигню яндекса убрал)
> Так вот, подправил *кейген* (ну чтоб народ не парился с вычислениями)
> http://mips.narod.ru/sms.html
> никакой рекламы, тока благие цели 
> Кстати, народ отпишитесь работает ли для других ноимеров, а не только для 4460.
> 
> *Добавлено через 3 минуты*
> 
> ...


Сегодня 4-е января,сообщение появилось 2-го ,код не работает!

----------


## rafiki

Словился eKAV Antivirus просит отослать 
код к20411400 на номер 7373 

утилитки и алгоритм неподходят  :Sad:  помогите!!!

*Добавлено через 6 часов 18 минут*

Загрузился с загрузочной флешки запустил Касперский ремовал тул нашел гадость в:
1. C:\Documents and Settings\username\Application Data\Sun\Java\Deployment\cache\6.0\35(скорее всего папка произвольная как и имя файла)
2. C:\Documents and Settings\username\Application Data\Adobe\(в папках с апдейтами)
3. C:\Temp
4. C:\Windows\system32\в корне 1 файл
5. C:\Windows\system32\dllcache тоже й файл который как потом выяснилось при  помощи Autoruns от sysinternals был в автозагрузке 

удачной борьбы

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## pods

после лечения не помню чем вылезла сложность, переставил мышь теперь не ставит драйвер, точнее мышь работает но каждый раз пытается найти драйвер , не находит, Установка из указанного места не запускается, да и ладно вообщем перегружаюсь не часто, но не знаю связанно ли с этим, но пытался установить wimax от комстара, их программа не видет модем, UsbIDCheck показывает, устройство видно на усб, а программа тупит.

Вирус от начала декабря что портил в реестре ? Есть воставновитель реестра после вирусов ?
Товарищ perkus расказал о HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
там же в shell у меня "Explorer.exe rundll32.exe cdav.ixo ukqudnn"
явно что-то не то. поменял на Explorer.exe

----------


## etv100582

МНЕ ПОМОГЛО!!!!!
Для iLite get accelerator сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

----------


## yurku

Здравсвуйте ребята, помогите с кодом К705813900.  Выложенный на народовском сайте кейген выдает код *5249357444* не помогает может опять что поменялось???

----------


## Vladimir4

Вот утилита (eKavGenerator) по автоматическому подбору кода к eKAV вирусу:
http://www.fileshare.in.ua/3089327
Выдаёт 8 вариантов. Один из них должен подойти!

----------


## antanta

> но незапускаются редактор реестра и диспетчер задач


  Про то, как это лечится с помощью AVZ знают все. Про скрипты, разблокирующие эти ветки тоже знают многие. Но, есть еще забавный вариант - запуск программ через планировщик.
 Вот пример скрипта:



> Dim objDialog
> Dim WshShell
> On Error resume next
>  Set objDialog = CreateObject("UserAccounts.CommonDialog")
>  objDialog.Filter = "All Files|*.*"
>  objDialog.InitialDir = "C:\"
>  intResult = objDialog.ShowOpen
> 
> If intResult = 0 Then
> ...


  Основное назначение - запустить нужную программу от имени пользователя SYSTEM, что позволяет:
 1) Запустить диспетчер задач, редактор реестра и проч, если это заблокировано для текущего пользователя.
 2) Запустить проводник от имени System, что дает доступ к документам других пользователей (это чтобы с правами не париться)
 3) В редакторе реестра запросто посещать ветки, куда пытаются блокировать доступ некоторые злодеи типа kido
 Работает только из-под админа. Повышение прав с использованием планировщика в NT давно прикрыли 
 Советую иметь на защищенном носителе свой regedit и прочая, запускать только их.
Ой... Кто не знает - открыть блокнот, сохранить скрипт, переименовать получившийся файл в любой, но с расширением vbs. Ну и запустить.

----------


## vlad23sh

после недельного мной борьбы с этими смс вымагателями я нашёл хорошее средство по очищению всех этих троянов. что нужно для этого: др. комп на котором гарантировано нет вирусяков и на нём должно быть установлено drweb с последней базой, .... загрузиться в безопасном режиме. начать ПОЛНУЮ проверку drweb.
....
moderated

----------


## SDA

> просматриваем каждую папку вручную все подозрительные в том числе скрытые *.dll, *.exe анализируем и удаляем, особенно в папке C:\WINDOWS\system32\


Можно очень "хорошо" удалить, особенно в папке C:\WINDOWS\system32\   :Wink: 
За такие советы надо "расстреливать на месте"  :262:

----------


## vlad23sh

я ж написал "анализируем и удаляем" и у меня сработало 2 компа уже неделю работают . Пока без происшествий

----------


## SDA

> я ж написал "анализируем и удаляем" и у меня сработало 2 компа уже неделю работают . Пока без происшествий


проанализировать и удалить сможет далеко не каждый, для этого хелперы работающие на форуме проходят специальное обучение. Для обычного пользователя такой совет просто окончательно добьет систему. Поэтому еще раз повторяю такой совет является *непрофессиональным и более того вредным.*
Дальнейшая дискуссия закончена.

----------


## ScorpioN

Поймал этот тупой вирусняк "Downloder Master"  уж 2 недели капаюсь  так и не могу решить проблему.. Блокирует просто все.  
Просит  отправить на номер 4460  K704813900
Может кто знает код для разблокировки. Помогите плиц уж крышняк поехал ...

----------


## Юльча

> Поймал этот тупой вирусняк "Downloder Master" уж 2 недели капаюсь так и не могу решить проблему.. Блокирует просто все.
> Просит отправить на номер 4460 K704813900
> Может кто знает код для разблокировки. Помогите плиц уж крышняк поехал ...


мне помогли эти два совета 
http://virusinfo.info/showpost.php?p...&postcount=143
http://virusinfo.info/showpost.php?p=549783&postcount=1
на их основе сгенерила 9 вариантов ответных кодов и сработал 4-й по счету  :Smiley: 
главное не ошибиться в расчетах, пропускать 0 при расчете


примерно так
для K704813900

1683792888
2794813999
3815924111
4926135222
и т.д.

----------


## ScorpioN

4 вариант подошел.. Комп ребутунлся.. пытаюсь проверить всеми антирвирусами.. Спасибо огромное

----------


## Илья34

Вирус просит денег по смс на 4460 в окне написано K704113300 -  подошел пароль4926335522 т.е. k меняем на 4 а к остальным цифрам прибавляем по 2 (тк сумм свыше 10 не получалось то писать вместо 10-1 или 11-2 не пришлось)... по кускам из форумов подобрал решение для своего ящика... вроде перегружается нормально и работает без проблем... но по хорошему ситуация требует вмешательства правоохранительных органов похоже в ближайшее времяч этот вид вымогательства станет массовым...

----------


## Mips

так, поменяли таки алгоритм. Или он хитрее, чем кажется. Не всё мы учли.
Сегодня восьмое, мой кейген естесна не срабатывает.
В техподдержке щас сказали, что для текста 706113600 на номер 4460 код активации будет 4928335822. Причем какая буква впереди меня не спросили, значит она не важна.
Везде добавляется два, кроме первой цифры - там +4. Что это? год+месяц чтоль? 0+1+2+0+1+0=4. А почему в остальном плюс два? день-1+месяц+год чтоль? Число седня 8-1=7... 0+7+0+1+2+0+1+0=11=1+1=2. Но это метод подбора получился. 
Надо проверить еще на нескольких кодах.
Возможно то, что мы решили что число надо уменьшать на один - ошибочно и код активации зависит еще и от года.
ps: работоспособность кода не проверял, но техподдержке верю, еще не подводили.
pss: Народ, на счет моего кейгена (на 7 странице) -  на компе устанавливайте дату на 2009 год на 25 декабря например, тогда он должен работать. Когда найду правильный алгоритм - перепишу кейген.

*Добавлено через 11 минут*




> текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188


вот тут по всем цифрам мой алгоритм срабатывает(04+01+2010= :Cool: , а по первой цифре - нет. Должно было получиться 4(год+месяц), а получается 1. Неувязочка вышла или автор ошибся?
Будем думать.

----------


## sirius

*Mips*, 
друже а офлайн кейген мона сделать?

----------


## Mips

*sirius*, ну да, сохрани ту страницу на компе и будет те оффлайн кейген. Тока он в данный момоент работает для 2009 года. Я еще не разобрал до конца алгоритм шифрования. Нужно больше правильных кодов за разные даты. Потому что алгоритм 2010 года не подходит к алгоритму 2009 и наоборот. Вот переделаю кейген, подпишу там когда доработан.
Я б конечно в дельфях набросал, но это будет экзешник. Испугается еще народ  :Wink: 
ps: дописал чуток кейген, он выдает только для 8 января код активации.

----------


## Юльча

*2Mips* 

*"Тестовый код активации ТОЛЬКО для 8 января"* под K704513000 - сработал, смена даты на декабрь и код под декабрь - нет

----------


## Mips

сегодня в пять вечера получил новый код. На этот раз почему-то попросили первую букву сказать, грят важно (хотя я не верю). Сказал "К".
текст K204414000 (номер не говорил, подразумевалось 4460) - дали код активации 5537747333, как ни странно подошел. Цифры отличаются на три, первая пятерка.
А ведь сегодня в обед проверял другой код... К706113600 - дали код 4928335822. Тут цифры отличаются на два, первая четверка.
Да и вон у *Юльча* код сработал (там различие на два). Причем он код проверял уже после 17 часов.
Че-то я уже ниче не понимаю. По нью-Йоркскому времени код работает чтоль? гринвич+9часов.

*Добавлено через 1 час 47 минут*

Нашел вот кейген для eKav (~170kb). Правильность выдаваемых кодов проверить не могу, ибо не заражён. Архив на virustotal.com проверил - вирусов нет.
Он выдает несколько кодов, а хотелось бы один. В техподдержке же один код дают и он подходит.
Народ, если уж вы вылечились от смс-напасти, это не означает, что вы еще раз не попадетесь (или ваши друзья). Так что, пожалуйста, *пишите какая программа, какой текст надо отправить, на какой номер, дату (можно и время) ввода кода активации, ну и собсна сам код активации*. Только тот код, который вам реально помог. Соберем побольше инфы и состряпаем нормальный кейген.

----------


## sirius

а дайте в пм ссылочку на eKav ...
поиграюсь на виртуалке

----------


## samdurak

Привет всем, такие темы смешные уже с самого первого сообщения, против кого вы хотите вести борьбу? софт каждый день переделываеться.. каждый день модифицируеться, из 10000 тысяч человек 50-60% всеравно отправят смс, а "умные" которые пишут в подобных темах, просто 1% от всех тех кто попался на этот вирус, эту тему читают создали, и кейгены и генераторы перестают быть рабочими как только он попадает к создателям, и принцип снова меняеться.
Так же хотел отметить работу антивирусов, все антивирусы бесполезны, этот вирус как и все "активные" обходят все АВ созданые человеком.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Юльча

улыбнул  :Smiley: 
на каждое действие есть противодействие.. 
тема полезна тем кто более-менее регулярно сталкивается с подобным вирусом..
переустанавливать винду на каждом зараженном компьютере - не мой метод..

----------


## samdurak

> улыбнул 
> на каждое действие есть противодействие.. 
> тема полезна тем кто более-менее регулярно сталкивается с подобным вирусом..
> переустанавливать винду на каждом зараженном компьютере - не мой метод..


Само собой.. противодействие, ну темы такого плана, с описанием "подробных инструкций" по лечению,это просто работа на создателей вирусов,кто попался хоть раз на вирус тут, попадеться и еще еще и еще..

----------


## NickGolovko

Посмотрим на вопрос под другим углом. Что вы предлагаете? 

 :Wink:

----------


## GOGINN

У МЕНЯ НУБ ТЁТЯ ПОЗВАНИЛА В МТС И СПРОСТЛА ПАРОЛЬ И ВСЁ КОМП РОБИТ

----------


## Rampant

*GOGINN*, т.е. МТС всё это дело и мутят)))) балин, ну богат мир, в своём многообразии))))

----------


## Юльча

> кто попался хоть раз на вирус тут, попадеться и еще еще и еще..


не прав. тем знакомым которые попались на этот вирус я показала в скринах как можно заразиться подобным вирусом.. 
вроде усвоили урок.. повторных заражений пока не было  :Smiley: 

+ выложила скриншоты вариантов заражения на форуме местного провайдера (т.к. именно у провайдеров очень сложный контингент состоящий из очень неопытных пользователей), итог - на нашем форуме жалоб на заражение смс-вирусами с тех пор нет..

----------


## Andy6556

Уважаемые выручайте!

Поймал эту заразу вчера, восьмого, пишет, что какой-то Internet Security нашел 64 вируса (даже показывает шкалу проверки) и для того, что от них избавиться надо отправить смс за 10 рублей на номер 4460 
Текст такой K206114900 и три часа в обратном отсчете тикают.

Заблокировано всё (в safe mode тоже): реестр, таск менеджер, gpedit, compmgmt.
Работает только msconfig там в автозагрузке убрал syszyd32 (не помогло) 
AVZ запускется только в безопасном режиме, и то пришлось в его папке все преименовать что бы не было букв AVZ (иначе рестарт).
Но не помогло, он запускается, но вместо всего текст в программе, в строках цифры, но я то помню какие галочки ставить и что нажимать надо, поставил нажал -- не работает.
Поставил на другом винте чистую винду, подключил к ней зараженный винт.

Прогнал полную проверку с последними базами сначала AVZ -- ничего серьезного не нашлось.

Проверил Norton'ом Corporate Edition'ом (последние базы) -- вообще ничего нет.

Сделал поиск по всему диску, удалил все подозрительные dll и прочие файлы за вчерашний день -- не помогло.

Нашёл эту ветку. Всё прочитал.

Попробывал подобрать код, ну чего-то не подходит, то ли алгоритм сменился или я плохой дешифратор, на всякий случай может кто подберет:
K206114900 на 4460.

Проверился последним removal tool'ом 2010 от касперского, он нашел два трояна.
Сейчас проверяю Microsoft Security Essentials, он еще одного трояна обнаружил.

Внимание вопрос:
Что еще можно сделать???
Реально я уже сутки бьюсь с этой фигней.
Сносить систему -- вообще не вариант.

Честно очень надо, кто может -- помогите советом.

Спасибо.

----------


## bolshoy kot

> Попробывал подобрать код, ну чего-то не подходит, то ли алгоритм сменился или я плохой дешифратор, на всякий случай может кто подберет:
> K206114900 на 4460.





> Для iLite get accelerator сработала следущая закономерность -
> «0» в тексте – «8» в коде
> «1» в тексте – «9» в коде
> «2» в тексте – «1» в коде
> «3» в тексте -«2»
> «4» в тексте – «3»
> «М»в тексте – «3»
> «5» в тексте – «4»
> «6» в тексте – «5»
> ...


И вот генератор кодов:
*http://files.mail.ru/15CNRR*

----------


## perselife

sos!
та же проблема, что и у Andy6556. Только иной текст сообщения - K206114100 на номер 4460.
Кодировка, предложенная bolshoy kot, не сработала. Декодеры с сайтов касперского и DrWeb тоже.
DrWeb LiveCD не помогло, запуск AVZ приводит к моментальной перезагрузке, однако один раз все же удалось запустить проверку - результат нулевой...

прошу помощи...

----------


## bolshoy kot

> Кодировка, предложенная bolshoy kot, не сработала.


А это ( http://files.mail.ru/15CNRR )?

----------


## perselife

Спасибо, друг! Один из кодов подошел. Комп загрузился, хоть и с ошибкой от winlogon. Avz и Kav теперь работают, бум лечить.

----------


## Andy6556

Друзья!

Победил я эту заразу,
правда на это ушло ровно сутки,
жесть, первый раз так долго.

Итак, парой постов выше я описал свою проблему.
Решилось всё так,
пришлось поставить чистую винду на соседний винт, загрузиться с него и прогнать проверку "больного" диска,
сначала -- AVPTool от Лаборатории Касперского 2010
http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
он нашел три трояна.
Затем скачал Microsoft Security Essentials
отсюда: http://www.microsoft.com/Security_Essentials/
сразу обновил и запустил еще одну проверку зараженного диска.
Она заняла почти два часа, много раз "залипала",
я ели до терпел, пару раз чуть не выключил.
Но дождался.
Он нашел еще два других трояна и предложил очистить систему -- очистил (один убил, другой почистил, но как-то не до конца).

Перегрузился с "больного" винта -- перемены на лицо: в трее появился щит нортона, стали доступны gpedit, compmgmnt. но таск менеджер и regedit были всё еще "запрещены к запуску администратором".
Запустил AVZ и выполнил этот скрипт:
удалено
после перезагрузки всё стало нормально.
только слетели настройки браузеров, но не смертельные.
Уфффф....
Это были ужасные сутки.
Надеюсь кому-нить мой опыт окажется полезным.

ps я думаю, в тэги этой темы можно добавить:
"4460" и "Internet Security" (такой у меня был заголовок окна вымогателей)

----------


## Mips

исправил кейген для номеров 4460 и 7373 (возможно и для 3649)
http://mips.narod.ru/sms.html
правда выдает 9 кодов, но это лучше чем ничего. Алгоритм поменяли конкретно, в один и тот же день разные коды получаются. По ходу зависит еще и от первых трех цифр текста смс.

----------


## antanta

Если народу нужна разблокировка, нужны кейгены, то не логичнее писать их в виде скрипта для AVZ? Насколько я понял, запускают этий кейгены на здоровых машинах?
 Если делать так, то и весу меньше, и доверия больше. Надеюсь, я никого не обидел.

----------


## mmc14

Вставлю свои 5 копеек. 
поймал заразу 08.01.10  Internet Security на номер 7373 к204114900
 по  http://mips.narod.ru/sms.html  второй код подошел 4426336222,вводил 11.01.10. комп завис, перезагрузил вроде нормально .
Спс Mips.

----------


## f00ntic

Удалить то удалил каспером с live CD, но как теперь вернуть права узеру? Не видит сетевых подключений, не видит рабочей сети, невозможно установить/удалить программы ("У вас нет прав...") Пробовал создать нового пользователя, все тоже самое.

----------


## Mips

*antanta*, AVZ (и др. ЕХЕ-файлы) не всегда запустишь, а интернет работает почти всегда (кроме сайтов антивирусов). Можно умудриться в свободном от баннера поле открыть сайт и ввести код. Собственно для этого я и написал. И с другой стороны, прийдешь к знакомому, а у него баннер этот. Флешка не всегда с собой же, да и некоторые зараженые компы флешку просто не видят/запрещают, а инет на таких компах почти всегда присутствует (иначе не заразились бы), вот и заходишь и генеришь код.

*mmc14*, спс за инфу.

*Добавлено через 23 минуты*

*f00ntic*, *gpedit.msc* запускается? еще можно попробывать запустить *secpol.msc*

----------


## f00ntic

*Mips*
Всё запускается, но при двойном нажатии на любой параметр для редактирования - тишина, ни ошибок, ничего..

----------


## Юльча

*f00ntic*, с такими проблемами обычно неплохо справляется avz:
"файл" - "мастер поиска и устранения проблем"  пофиксить предложенное и 
"файл" - "восстановление системы" п. 6, 14, 15 обязательно

а лучше обратись в раздел Помогите, там специалисты которые постоянно сталкиваются с такими проблемами они поточнее рецепт дадут  :Smiley:

----------


## perkus

В канун НГ зараза *Download Master* окромя неосторожных домашних юзеров зацепила уже машинку с работы.
Подцепили 30 числа, заниматься было не с руки – как моргнешь, рюмка в руках мерещится. Записал сообщение, которое надо было отослать «добрым» людям и отбыл в частично трезвый аут до сегодня.

С самого с ранья ручки чесались – ну что там наши мозго-мОлодцы понапридумывали?

Наблюдения:

1. Просто банят все, что возможно при запуске (отваливалось все вплоть до панелек иснтрументов от НР и вебкамеры). Ребят, в прошлый раз было изящнее. Антивирус пропадал как будто его и не было, а тут явно халтурка – знай только окна с ошибками закрывай. Так молодой непуганый юзверь и догадается, что ПО ваше не «лицензионное» или тупо переставит ось хоть и с 10 раза успешно.
2. Сообщение этого года отличается от прошлого (_К704113800_ от 30-го числа супротив _К706313100_ от 11-го). Но вот при откате на дату какую-либо сообщение уже не меняется, ни день, ни месяц, ни год не играют роли. Модный ход.

Лечил как и в прошлый раз, подбором кода по алгоритму соответствия цифр-букв и переменного основания. Народ писал, что по несколько кодов в день валидны и вроде одни и те же другим не подходят. Поэтому приготовился составлять-прибавлять-отнимать. Но первое же по основанию кода «-1» к исходному сообщению подошло (получилось сообщение _1685292988_). Садопроцесс не удался.

Кстати, *SDA* – кейген от Каспера какой-то мутный, там в ответе 8 цифр вместо 10 как надо. Ессесно, не помогло. Не в обиду, просто факт.

После кода сказали «Ждите» и… выдали «синий экран смерти». Я даже малость ох… хм, очень испугался, так было неожиданно. Вроде бы «отослал СМС за 10 руб.», а тут такое… Никакого сервиса.

После этого удачно загрузился, давай копаться:

1. Отрубил восстановление системы, что наши «системные» файлики опять не повылазили.
2. Почистил юзверские темпы, не во всех учетках гадость. Странно.
3. Ради интереса глянул что творится в system32. Ради интереса все что под подозрением переместил в левую папку кагбэ «карантин» (начинающие лечилки если не слушают добрых дядей с VirusInfo пусть хотя бы так делают, ессесно при наличии диска с WinPE). Этого добра невидимого, размера 144 384 байта, с рандомными названиями, датой от 02.04.2009 (хм, до сих пор фиксят дату подручными средствами, ай маладца) набралось *более 2000 файлов размером более 260 МБ*. Какой размах…
4. Посмотрел что у нас в реестре в любимом разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В параметре Shell опять добавлена бяка как параметр к Explorer.exe, а имеено *rundll32.exe bfwl.pgo jagktms*. Файлик bfwl.pgo тоже спрятал к прочей заразе в левую папку, из параметра удаляем все лишнее кроме Explorer.exe.

Опосля со спокойной душой втиснул машинку в сетку, обновил KAV WS, и пошел полной проверкой по системе.

1. В папке «карантина» поголовно Picker.ayq, в файлах невидимках.
2. Файлик bfwl.pgo есть Троян Agent.deym. На «поле» вышел новый «игрок», на замену «привычному» sdra64.exe.
3. В system32 были файлики от сегодняшней датой, «любимого» размера, но без «стелс» режима. Тот же Picker.ayq.
4. В темпах Opera прорезались Exploit.JS.Pdfka.awv  и Trojan.JS.Popupper.af. Первый был в фале формата PDF, вполне возможно, что маскировка. Хотя ходили слухи, что в самом формате дырку находили (точнее три способа внедрения вредоносного содержимого), не знаю, Adobe залатал или нет. А вот второй как раз связан с проникновением, ибо совпадает с показаниями жертвы. Это наша очень глубоко любимая всплывающая реклама накачать, скачать и послушать кое-что. Из разряда «закроешь-откроется-пять-вкладок». «Попаппернуло» товарища при закрытии, или при загрузке одной из открывшихся вкладок – сие науке неизвестно. К сведению - KAV WS (не R2, про него не знаю) хорошо блокирует подобные выкрутасы в Internet Explorer, единственное, что сам браузер не фонтан.

Механизм заражения может быть не единственным, так что, народ – бдительности не теряй.

Всем нам удачи, а паренькам ушлым – *шоб вас, ироды, кондратий хватил в новом году!*

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## serik_pvl

Столкнулся с такой же бякой. Принисли системник попросили посмотреть. Включаю через некоторое время вылазит окно с просьбой СМС отправить. Послал я их (попрошаек) подальше, снял жестяк, зацепил на другую тачку (свою), прогнал касперским 2010-тым полную проверку диска. Вернул на место и с помощью AVZ восстановил работоспособность диспечера задач и реестра. Вроде все пашет нормально. Да еще этот траян испрортил КИС 2009 через режим собственного восстановления исправил эту проблемку и с инета накатил обнавления. Сейчас еще раз уже на данной машине с этим антивирусом сделаю полную проверку и все должно быть в шоколаде. ИМХО.

----------


## pods

> AVZ восстановил работоспособность диспечера задач и реестра.


а в реестре какие изменения ? не у кого не было таких проблем что новые драйвера не устанавливались, или новые установленные проги не моги через усб работать ?

----------


## КАДМИй

Всё пролечено, но методикам, но!... Как разблокировать программы, например Avira?

----------


## PavelA

в AVZ Файл Восст.системы - п.6 отметить и выполнить.

----------


## Юльча

а если антивирусы блокируются через debugger в "Image File Execution Options"?

----------


## Гриша

> а если антивирусы блокируются через debugger в "Image File Execution Options"?


ExecuteRepair(9)

----------


## PavelA

ExecuteRepair(9)  или п.9 в "Восст. системы"

----------


## Kory-V

http://expert.com.ua/45317.html
Статья о аймаксе и реакции на него Киевстара.
"Компания «Киевстар» обратилась к «Майкрософт Украина» и “Лаборатории Касперского” с просьбой помочь в защите абонентов. “Лаборатория Касперского” предоставила коды для разблокировки работы ОС, а Microsoft представил бесплатную антивирусную программу Microsoft Security Essentials, которую теперь можно скачать не только с сайта Microsoft, но и с сайта «Киевстар»."

Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".

----------


## SDA

> http://expert.com.ua/45317.html
> 
> Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
> После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".


Наверное «Майкрософт Украина» должна была бесплатно раздать клиентам «Киевстар»

севен Ultimate, а “Лаборатория Касперского” KIS 2010 и денежную компенсацию пострадавшим в 100-кратном размере  :lol:

----------


## Kory-V

Просто действия не приводящие к излечению подчас хуже отсутствию помощи. Уже проверил что лучше переустановить начисто чем ввести код активации и поверить в то что всё наладилось. Через неделю-месяц всё равно выплывают результаты. 
А действия компаний напоминают отмазки.
Впрочем - миллионный штраф контент-провайдеру, предоставившему номер СМС, вместо штрафа хозяину номера, не смотря на то что оный контент провайдер первым начал свободно выкладывать коды активации, тоже говорит о том что нужно было найти козлов отпущения и провести акции "для галочки".

----------

