iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

[COLOR="Red"][SIZE="3"][B]Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.[/B][/SIZE][/COLOR]


8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

[I]Наименование:[/I]
[INDENT][s]Packed.Win32.Krap.w[/s] (Лаборатория Касперского)[/INDENT]

[I]Самоназвание:[/I]
[INDENT][s]iMax Download Manager[/s] или [s]iLite Net Accelerator[/s][/INDENT]

[I]Симптомы:[/I]
[INDENT]Как и в случае заражения [s]Get Accelerator (Trojan-Ransom.Win32.Agent.gc)[/s] или [s]uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb)[/s], на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер [s]3649[/s].

[IMG]http://www.rublya.net/uploads/posts//1260297859_x_0e61f5dc.jpg[/IMG]

Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows
[/INDENT][I]Состав вредоносной программы:[/I][INDENT]Типичный образец вредоносного ПО [s]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/s] состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл [s]%system32%\sdra64.exe[/s].

[COLOR="Red"][SIZE="3"][B]Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.[/B][/SIZE][/COLOR]
[/INDENT][I]Рекомендации в случае заражения:[/I][INDENT]Если ваш ПК заражен вредоносным ПО [s]iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w)[/s], то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

[CENTER][B]* * *[/B][/CENTER]

[B]1)[/B] Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: [url]http://support.kaspersky.ru/viruses/avptool2010?level=2[/url], ссылка для загрузки: [url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url] );
[B]2)[/B] Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: [url]http://virusinfo.info/showthread.php?t=15927[/url] ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
[B]3)[/B] Запустить утилиту AVPTool и провести полное сканирование ПК;
[B]4)[/B] Перезагрузить компьютер.

[CENTER][B]* * *[/B][/CENTER]

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool [B]не позволяет полностью излечить[/B] пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с [URL="http://virusinfo.info/pravila.html"]Правилами оформления запроса[/URL].

Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно [URL="http://www.mts.ru/services/short_numbers/3649"]данным компании МТС[/URL], наиболее часто используемый мошенниками номер [s]3649[/s] принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


[COLOR="Red"]Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского [url]http://virusinfo.info/deblocker/[/url][/COLOR]
После разблокирования необходимо провести полноценное лечение по нашим "[URL="http://virusinfo.info/showthread.php?t=1235"]Правилам[/URL]"[/INDENT]

[I]Примеры жалоб:[/I][INDENT][url]http://virusinfo.info/showthread.php?t=62862[/url]
[url]http://virusinfo.info/showthread.php?t=62903[/url]
[url]http://virusinfo.info/showthread.php?t=62937[/url]
[url]http://virusinfo.info/showthread.php?t=62957[/url]
[url]http://virusinfo.info/showthread.php?t=62981[/url]

[url]http://virusinfo.info/showthread.php?t=63396[/url]
[url]http://virusinfo.info/showthread.php?t=63565[/url]
[url]http://virusinfo.info/showthread.php?t=63722[/url]
[url]http://virusinfo.info/showthread.php?t=63791[/url]
[url]http://virusinfo.info/showthread.php?t=63827[/url][/INDENT]

Спасибо огромное :clapping:мучался два дня с этим iMAX`сом, но Ваш способ сработал.

А я у себя руками sdra64 убил... Dr. web определял его как «Panda». Не знал, что он еще не всеми антивирусами определялся.

[QUOTE=esslmik;530893]К стати дллки сохранил, при необходимости могу выложить для анализа.[/QUOTE]

Как поделиться написано там: [url]http://virusinfo.info/showthread.php?t=37678[/url]

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
[I]rx.bat[/I] - 65 байт с текстом [QUOTE]Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start
[/QUOTE]
и [I]w.bat[/I] - 61 байт с текстом [QUOTE]Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open[/QUOTE], которые запускают две dll-ки соответственно. Обе размером [B]135 198[/B] байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\[I]имя пользователя[/I]\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

[QUOTE=New Angel;530955]1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт[/QUOTE]

Говорят что такой алгоритм подходит:[QUOTE]По поводу кодов если программа просит ввести к примеру М204111300 у меня было так то в строку ввода кода деактивации вводим 4294111399, тоесть подставляем по маске:

М204111x00 4294111x99[/QUOTE]

Внимание важная информация :-)
Номер 3649 принадлежит компании [url]http://www.a1agregator.ru/[/url]
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.

Информация от пострадавших и отправивших SMS-сообщение:
[b]При отправке 10 рублей - снимается 300 рублей.[/b]

[QUOTE=SDA;531155]Информация от пострадавших и отправивших SMS-сообщение:
[B]При отправке 10 рублей - снимается 300 рублей.[/B][/QUOTE]

и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

[QUOTE=Ksi2;531179]и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.[/QUOTE]

Не уходит ;) Концы остаются, нет гарантии, что не попадет повторно, или его новая разновидность. Зачищаться надо в разделе "Помогите".
Насчет отправки 10 рублей - это простой психологический расчет - 10 рублей не деньги, а вот насчет 300 еще надо подумать. Кроме того, практически у каждого есть на счете сумма в размере 10 рублей, а 300 может и не оказаться.
"Без лоха и жизнь плоха, а с миру по нитке нищему рубаха" ;)

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

[QUOTE=Ksi2;531179]и что? вирус уходит?

у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.[/QUOTE]

После перезагрузки все может повториться, пример - [url]http://forum.kaspersky.com/index.php?showtopic=148667[/url]
Поэтому настоятельно рекомедую обратиться в раздел "Помогите". Других, кто занимается самолечением, это тоже касается.

[B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

а есть какая-нибудь инфо как оно распространяется?

а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

[B]cryker,[/B] хард проверь. потом лезь в реестр через тотал, например, и по адресам
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"="1 перепиши на "0"
и там же будет Task Manager. тоже присваиваешь "0".

[QUOTE=Ksi2;531273][B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))[/QUOTE]
Мое дело порекомендовать, а остальное пусть смотрят безопасники в "большой организации" :)
Мои рекомендации по обращению в раздел "Помогите" касается обычных пользователей, без крыши "большой организации, с большой кучей безопасников". Хотя порой один опытный админ, умнее и профессиональнее "этой большой кучи" бывших ментов ;)
А насчет прохождения смс, можно еще раз проверить самому после перезагрузки :)
Большой флаг в руки! ;)

[b]Еще раз рекомедую, кто читает этот пост, не слушать всякие "недоделанные, некомпетентные советы" самоучек, а обратиться к профессионалам в раздел "Помогите". Будет гораздо проще и дешевле потраченной нервной энергии.[/b]

[QUOTE=cryker;531338]а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, [B]но незапускаются редактор реестра и диспетчер задач[/B] и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня[/QUOTE]

Используйте AVZ , Файл -> Восстановление. Не всегда стоит лазить в реестр руками.

[QUOTE=Ksi2;531273][B]SDA[/B], у нас большая организация) и куча безопасников сидит) они деньги не просто так получают;)
а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))[/QUOTE]

Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал!

[QUOTE=Jolly Rojer;531776]Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
А SDA Вам правильно сказал![/QUOTE]

Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились :)

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...
:give_rose:

[QUOTE=Ksi2;531811]Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились :)

просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...
:give_rose:[/QUOTE]
Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. [b]То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".[/b]
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
[b]Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.[/b]

у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему

[QUOTE=MAKAP;531861]у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему[/QUOTE]

Здесь помогут [url]http://virusinfo.info/forumdisplay.php?f=46[/url]

Поймал пару часов назад новый(?) аналогичный вирус видимо того же происхождения.
Пока могу приложить только скрины.

[IMG]http://www.ljplus.ru/img4/l/i/lith1um/FD2.jpg[/IMG]

Также блокируется интернет, некоторые системные команды, процессор грузится на 100%, антивирус(Avira) безмолвствует.
Вирус цепляется к winlogon.

[IMG]http://www.ljplus.ru/img4/l/i/lith1um/FD.jpg[/IMG]


Есть ли информация по заразе, уважаемые?

[QUOTE=PixRaider;531974]Есть ли информация по заразе, уважаемые?[/QUOTE]

Всегда и только для Вас - [url]http://virusinfo.info/forumdisplay.php?f=46[/url]

по поводу номера 1350
[url]http://smscost.ru/number/1350[/url]
Далее написано :

Уважаемые жертвы мошеннических действий! Наша фирма ООО «ИнкорМедиа» является владельцем данного короткого номера. Мы приносим свои извинения всем пострадавшим от неправомерного использования данного номера нашими клиентами. Поймите, мы не можем контролировать законность действий всех, кто использует данный номер! Но мы очень дорожим своей репутацией и готовы вернуть незаконно снятые с ваших счетов средства. Для этого вам нужно обратиться в наш офис и рассказать о факте мошенничества. Наш адрес - Москва, улица Радио, дом 24, к.1, подъезд 1, этаж 3, офис 302. Телефон: +7 (495) 982-38-86 Факс: +7 (495) 982-38-87 Карту проезда можно посмотреть на нашем сайте [url]http://www.incore.ru/contacts[/url]

Отзывы по поводу короткого номера прикольные (300 руб смс)

затем:
FAN: Так, господа. Всем, кто умудрился поймать вирь, который требует отправить СМС на номер 1350 сообщаю, что код, который нужно ввести - 6523. После этого тварь троянская успокаивается. P.S. Автору сего трояна желаю ********************************.

Не факт что поможет. Но пока все что есть

[B]PixRaider[/B], намекните, где схватили, не в контакте ли, случайно?

Не знаю, ЗАКАЗЧИК. говорит почта (Outlook) или ?

[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]

Word и др. оф. пакеты работают (Акробат, фотошоп, плееры(3) архиваторы) спецпрограмм нет (не знаю их поведение) (сам проектировщик), (но скорее всего будут работать) (все таки думаю на Flash Plaer, т. к. заметил, что папка(вышеуказанная) изменила дату, хотя файлы в паке другой даты (2006, 2007г.), но пока система работает и сней можно делать АДмин (но см. службы и т. п. выше)

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

В инет пока не заходил с системой!!! не знаю как поведёт

Это конечно оффтоп, но я не понимаю, почему люди не смотрят что было написано в теме до их сообщения? Неужели тяжело хотя бы первое сообщение автора темы прочитать? Там же все написано что делать. Тогда не придется ждать ответа на вопрос, на который уже ответили.

Возвращаясь к теме "iMax Download Manager"
У нас на работе появился 9го числа. Сначала на одном, потом на 5 компьютерах. Пытался вылечить по стандарту - темпы чистил, сканил Авастом, удалял точки восстановления системы, просматривал на подозрительные файлы в "ручном" режиме и т.д. и т.п. Не помогло. Скрипты не запускаются - выгружает программы из процессов, антивирусники не запускаются, впрочем как и большинство приложений, открытие папок с названиями "антивир...", "Аваст", "Касперский", и пр. - инициирует закрытие процессов вплоть до разлогинивания пользователя. При попытке переустановки системы с диска с восстановлением - выдавало ошибки и не могло продолжить установку. На первом компьютере начал переустановливать Винду начисто.
В среду и четверг пришлось отложить, в пятницу полистав инет нашёл упоминания о компании "А1 Агрегатор", как владельца одного из коротких номеров. Заглянул по ссылкам [url]http://www.a1agregator.ru/main/support[/url] , решился и позвонил по украинскому номеру. Скажем так - доверия по началу было мало, особенно при том что при первом звонке смогли дать код активации на один из номеров запроса банера, на второй не было. И обещали позвонить "в течение 3х дней". Но - отзвонились на контактный мобильный в течение часа, дали правильный код активации, дали код активации на второй код запроса. Аргументировали тем что "мы не знали что там номера генерятся каждый день". Что вызвало уже некоторое недоумение.
После введения кодов активации в поле введения появляется надпись "Ждите", комп думает и перезагружается. После следующей загрузки вирусы при сканировании не обнаруживаются, все функции системы что были заблокированы вновь доступны. Вирус как-бы деинсталлируется.
Итог - любыми другими способами что я перепробовал кроме переустановки "начисто" работоспособность системы не была восстановлена. Введение кода данного службой поддержки "А1 Агрегатор" - её восстановило, но не известно что за настройки остались глубоко внутри. Судя по тому что за компьютеры были поражены - не было установлено какое-то критическое обновление безопасности. Вывод - шо то усё подозрительно...

[QUOTE=Lexxus;532429][B]PixRaider[/B], намекните, где схватили, не в контакте ли, случайно?[/QUOTE]

Нет, как ни странно искал электронные компоненты на eFind.ru

Аналочичная ситуация случилась у меня на работе (я сисадмин). После разных способов вылечить этот вирусняк я пришел к 2 выходам: 1 Начисто переставлять винду. 2 Позвонить по номеру компании А1 Агрегатор как писали раньше... Ну и что выдумаете?))) Сказали 2 кода один из них подошел(!) Все вернулось на свои места...
Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......
P. S. Привожу те коды которые мне диктовали (для Украины)
2971588777
3182699888 - этот мне подошел
Желаю всем избавится от этой зверюшки!

[QUOTE=Shu_b;531100]Говорят что такой алгоритм подходит:[/QUOTE]

У меня подошло
m204712900 ввел 4294712999

Эта гадость сливает логины-пароли на ftp из тотал командера и фара, спустя полчаса - начинает ходить по ним (извне конечно-же), и править все найденные index.php, вставляя в них код для скачивания себя-же.
Будьте бдительны...
Каждая сессия чтение index.php-правка-запись происходит с разных ip (ботнет видимо)
PS: надеюсь правила не нарушил?

У меня попалась таже бяка iLite Net Accelerator , а в правилах написано [QUOTE]*Делая запрос, Вы должны открыть новую тему в разделе "Помогите"[/QUOTE] нужно ли её создавать или можно логи тут разместить?

[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]

Самое странное, что после удаления виря иногда самопроизвольно начинает набираться текст из произвольных символов или замещаться таковыми выделенные слова:O

[QUOTE=Klyam;536626]У меня попалась таже бяка iLite Net Accelerator , а в правилах написано нужно ли её создавать или можно логи тут разместить?

[
[/QUOTE]
Нужно создавать в разделе "Помогите".

[QUOTE=Soulfly91;535733]
Сказать хочу одно - это ВИРУСНЫЙ МАРКЕТИНГ!!! (вирусный не в плане программы, есть маркетинговые ходы такие) Вот такой не очень чесный способ РАСКРУТИТЬ КОМПАНИЮ и сайт + операторы очень дружелюбные и вежливые а это для того что бы человек потом обращался к ихним услугам (психологический ход). Вот и повысился рейтинг конторы за счет чужих нервов.......[/QUOTE]
Моё мнение аналогичное. Хоть я его и не прямо озвучил, а намекнул в своём первом посте.:censored:
При удалении вируса путём введения кода активации на слабых компьютерах процесс "деинсталяции" может зависать и приводить к неполному восстановлению функций. На одной из заражённых машин привело к тому что на следующий день после восстановления работоспособности не загружался профиль пользователя. Висло на "Применение личных настроек", создание нового пользователя или сканирование на ошибки системного диска, возврат к предыдущей удачной конфигурации - решали проблемму на полчаса-час-два. Также комп вис во время работы. После переустановки системы начисто - проблема решена.
То есть если компом пользовается рядовой пользователь, работает в основном с офисом, не требуется повышенная конфиденциальность - можно и кодами активации разлочивать. Если требуется повышенная отказоустойчивость системы, конфиденциальность и пр. - только переустановка начисто, возможно с форматом С.

Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься!

[QUOTE=koscheck;536889]Cтранно я подбираю коды по алгоритму успешно и у меня пропадает белая табличка ,а так же все значки со стола и остается голый background ,на этом все останавливается, другие же говорят компьютер должен перезапуститься![/QUOTE]
Как я и писал выше - на некоторых компах самоудаление вируса происходит не полностью. После введения кода появляеться надпись "ждите", табличка рекламы исчезает, комп начинает готовится к перезагрузке и зависает. При насильной перезагрузке спустя полчаса-час - позже выявляются сбои в работе системы, в частности в загрузке и применении параметров профилей пользователей. В том числе и новосозданных. Может зависит от мощности железа и стабильности ситемы, может ещё от чего, но я решил полностью переставив систему. Установка с восстановлением - восстанавливает и приобретённые "глюки".

подцепил вчера [B] iLite Net Accelerator [/B]весь день боролся с ним,много чего перепробовал,но решил всё один звонок обладателю номера на который нужно СМС отправить. номер 3649 принадлежит вот этой компании [URL]http://alt1.ru/[/URL] позвонил им по номеру указанному внизу страницы. обьяснил проблему.так мол и так ... ваш номер у меня на мониторе... у меня спросили текст смс который нужно отправить,в ответ я получил код который нужно ввести,ввёл и всё,звонил с городского,так что не знаю платный звонок или нет)). теперь собираюсь комп чистить,тк чувствую не до конца эта дрянь удалилась. код который вводил 5315213211 мб кому подойдёт..

[QUOTE=Johnny_spb;531152]Внимание важная информация :-)
Номер 3649 принадлежит компании [URL]http://www.a1agregator.ru/[/URL]
если позвонить (или написать) в тех. поддержку и описать проблему
они скажут код.
Мне помогло только это
Описанные выше методы лечения - не прокатили.[/QUOTE]

Аналогично, спасибо за идею. Я заметил, что после ввода кода открылась папочка с линком на какой-то Pincho GUI, и вирусняк самоудалился. Следов вирусняка после этого не осталось, и что интересно, восстановились возможность запуска regedit, taskmanager и т.п.

DrWeb свежайший (от сегодня, 18.12.2009) нашел другие вирусы на компе, но этот не обнаружил.

И, все правда про то что этот вирусняк блокирует вход в безопасном режиме. Мне вообще ничего не удалось запустить или сделать - блокируется все что можно, и политики безопасности, и запуск сервисов, и msc, вообще все напрочь, в т.ч. и в безопасном режиме.

Поэтому, вариантов было три
- вылечить антивирусом с LiveCD, не вылечило
- переустановить ОС, решили не спешить
- позвонить "негодяям", помогло 100%

Чувствую, что полетят "камни": Сколько стоит звонок в [url]http://www.a1agregator.ru/?[/url]