uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение

30-31 октября 2009 года зафиксирован всплеск активности новой модификации троянского вымогателя [s][URL="http://virusinfo.info/showthread.php?t=57724"]Get Accelerator (Trojan-Ransom.Win32.Agent.gc)[/URL][/s].

[I]Наименование:[/I][INDENT][s]Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb[/s] (Лаборатория Касперского)[/INDENT][I]Также известен как:[/I][INDENT][s]BehavesLike:Trojan.UserStartup[/s] (BitDefender)
[s]Trojan.Botnetlog.11[/s] (DrWeb)[/INDENT][I]Самоназвание:[/I][INDENT][s]uFast Download Manager[/s][/INDENT][I]Симптомы:[/I][INDENT]
Как и в случае заражения [s]Get Accelerator (Trojan-Ransom.Win32.Agent.gc)[/s], на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы uFast Download Manager. Вредоносное ПО предлагает пользователю отправить SMS-сообщение с текстом

[CODE]wf<набор цифр>[/CODE]на короткий номер [s]7122[/s]. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается. В некоторых случаях пострадавшие жалуются также на блокировку Диспетчера задач.

[ATTACH]173992[/ATTACH]
[/INDENT][I]Состав вредоносной программы:[/I][INDENT]Вредоносное ПО [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s] состоит из одного основного компонента - исполняемого файла [s]%UserProfile%\APPLIC~1\UFASTD~1\PropetyuFastManager.exe[/s], размером 96256 байт, в протоколах AVZ отображаемого в списке активных процессов.

В некоторых случаях в системе сохраняется также и дроппер - исполняемый файл [s]%UserProfile%\Главное меню\Программы\Автозагрузка\zavupd32.exe[/s], размером 32000 байт, в протоколах AVZ отображаемый в списке элементов автозапуска.[/INDENT][I]Рекомендации в случае заражения:[/I][INDENT]Если ваш ПК заражен вредоносным ПО [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s], то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Для удаления типичного представителя [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s] с обычного домашнего или офисного ПК необходимо [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт в AVZ[/URL]:

[code]
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+'\zavupd32.exe','');
QuarantineFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe','');
DeleteFile('%UserProfile%\applic~1\ufastd~1\propet~1.exe');
DeleteFile(SP+'\zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/code]

Операционная система перезагрузится.

Если после этих действий у Вас возникнет проблема соединения с сетью, сделайте следующее:

[LIST=1][*]В диспетчере устройств Windows удалите сетевой адаптер[*]Обновите конфигурацию оборудования. Старое соединение исчезнет и появится новое, которое можно переименовать в привычный вид.[/LIST]
Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с [URL="http://virusinfo.info/pravila.html"]Правилами оформления запроса[/URL].[/INDENT][I]Примеры жалоб на [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s]:[/I][INDENT]
[URL]http://virusinfo.info/showthread.php?t=58653[/URL]
[URL]http://virusinfo.info/showthread.php?t=58800[/URL]
[URL]http://virusinfo.info/showthread.php?t=58840[/URL]
[URL]http://virusinfo.info/showthread.php?t=58846[/URL]
[URL]http://virusinfo.info/showthread.php?t=58859[/URL][/INDENT]

Простите, если не там пишу, у меня вышесказанная проблема, запустил скрипт, окно трояна пропало, диспетчер задач разблокировался, но подключение к интернету не восстановилось. У меня два вопроса: 1) в правилах оформления жалоб сказано, что надо отключить опцию восстановления системы, это удалит предыдущие точки восстановления или нет, ведь это риск, если он их удалит, а компьютер полетит; и 2) нельзя ли вернуть сетевые настройки , если восстановить систему с последней точки восстановления? Пожалуйста помогите разобраться.

У меня такая же проблемма как и у [B]cska123[/B] окно пропало а в инет(сеть вообще пропала) все равно не идет..... что делать то????? комп рабочий, да еще и база 1С на другом компе работа встала т.к. в базу зайти не могу!!!!!!!!!ЛЮДИ ВЫРУЧАЙТЕ!!!!!!!!!!!!!!!!!!

[B]cska123[/B],
[B]Schef[/B],
[url]http://virusinfo.info/showthread.php?p=498164#post498164[/url]

Спасибо, помогло, но только для выделенного интернета, интернет через модем не стал работать через старое подключение, скорее всего надо установить новое, кстати хотел предупредить НЕ ЗАХОДИТЕ НА САЙТ WWW.MAGOMAEV.INFO, вирус появился после посещения этого сайта, браузер предупреждал о возможном заражении вирусом от этого сайта, но нужно было узнать иформацию, браузер не обманул.

P.S. Отличный сайт с отличными людьми!)

Ссылку убейте, чтобы другие не заразились.

Здраствуйте! Простите, если не там пишу, у меня проблема, появилось окно [B]uFast Download Manager[/B], запустил скрипт, окно трояна не пропало, помогите....

выполнила все пошагово.в итоге сносила сетевой адаптер -реально помогло.
НО - как быть с браузерами? ничего кроме IE не пашет!
Пожалуйста, ответьте.

[B]Nik V[/B],
[B]amina_g[/B],

[QUOTE]Если предложенные действия не помогли, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.
[/QUOTE]

спасибо )

может быть кому то поможет: из всех вариаций установок удаления программ и настроек помог только банальный снос мозилы и повторная его установка с обновлением
пока все пашет (ТТТ)

У меня тоже проблема с этим трояном. Во-первых, у меня текст предполагаемого сообщение начинается с fw а не с wf и окно не голубое, а серое. Во-вторых, окно трояна не исчезает при введении скрипта. В-третьих, части сетевого адаптера не удаляются, отключены, а при включении вновь отключаются.

Что делать??

[B]Werdna[/B], Прочитать и выполнить [B][url=http://virusinfo.info/pravila.html]правила[/url][/B]

Похоже что он автоматом ставится у тех у кого эти обновления не стоят
[url]http://www.microsoft.com/technet/security/advisory/972890.mspx[/url]
[url]http://www.microsoft.com/technet/security/Bulletin/MS09-032.mspx[/url]
[url]http://www.microsoft.com/technet/security/Bulletin/MS09-037.mspx[/url]

5.11.09 словил пресловутый вирус, хорошо что не свиной. Но тот кто его написал конечно умная СВИНЬЯ. Доставил много переживаний. Скучно жить без сети. Благодоря вашим умным головам и рекомендациям свинья остался с пятачком. Спасибо за помощь.

ну что за народ,....
1. при работе из ограниченной учетки данное гуано неопасно! (проверенно на жоне ;))
2. и избавте себя, наконец-то, от дыры в акробате, (исполнение произвольного кода через pdf) ибо эта кака чаще всего идет через данную уязвимость.

Спасибо за данный радел!!!Тоже поймал этот вирус,точней сам его запустил не сохраняя, незнаю что на меня нашло)Все тоже самое появилось.проблема в том что когда человек подхватывает этот вирус он в интернет не может выйти что бы найти средство восстановления)Я сам избавился от этой программы... Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???

[QUOTE='kos33aas1;503856']Расскажите пожалуйста как в ручную включить диспетчер задач когда он заблокирован???[/QUOTE]
в AVZ Файл - Восст системы - есть пункт для этого.

Спасибо.А возможно ли без програм разблокировать?(вручную)

Да, возможно. Если есть доступ в regedit. Я самый простой путь указал.

Расскажи как это сделать если не сложно.