iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

звонил с городского, там тоже городской номер. Не думаю что в Москве есть спец-тарифы при звонке на московский же номер МГТС.
Собственно, я дождался ответа оператора, и только заикнулся о коде, как она меня переключила на какого-то мужика. Я мужику объяснил, он печальным голосом сказал "да, есть такое, диктуйте код". В ответ получил номер, ввел, вирусняк самоудалился как описал выше.

В связи с этим есть несколько подозрений:
- их операторы уже явно затраханы этим делом, и моментально переключают на "кого надо".
- с другой стороны, откуда у них генераторы ответного кода? Вот я чего не пойму.

Я подцепил тоже где то подобный вирус. Тот же банер только текст другой про порно. Я полез в инет с телефона. Прочитал, что с этой дрянью справляется AVZ, в инструкции было написано, что надо кинуть на диск или карту памяти. Дисковод правда не работал и я кинул на карту (mikro SD) вставил в картридер а на адаптете который под SD поставил ползунок на lock. Этим защетил карту от перезаписи. Возможно из за этого я благополучно запустил утилиту. Поставил на всем, что можно галочку. Перезапустил. Бонер пропал. Только иногда появляются глюки с интернетом. У меня 3G модем. Он переодически отключается. А так все нормальо :) . Я точно не уверен, что глюки из за вируса. Так, что пробуйте может поможет. Уничтожил в общей сложности где то за 2 часа. Правда испугался сначала такой надписи.

Хорошо, что у вас вообще инет работает после[QUOTE=ЕвгенийКаф;538886]Поставил на всем, что можно галочку[/QUOTE]

[QUOTE=PavelA;538697]Чувствую, что полетят "камни": Сколько стоит звонок в [url]http://www.a1agregator.ru/?[/url][/QUOTE]
[url]http://www.a1agregator.ru/main/support[/url]
[QUOTE]8-800-555-01-02 (Звонок из России бесплатный)[/QUOTE]

Трубку там в принципе берут, в 19 нуль нуль по Москве звонил. Жаль что давно не занимаюсь телефонными станциями, а то можно было по качеству автоответчика сказать что там стоит :)

[QUOTE=craftix;539094]Хорошо, что у вас вообще инет работает после[/QUOTE]

Ну а, что еще оставалось делать ;)

Для номера 3649 - стоимость СМС для МТС 258.30руб, Мегафон - 150руб.
[url]http://www.a1agregator.ru/main/abonent/4846/3649[/url]

тоже возникла проблема с [B]Packed.Win32.Krap.w[/B]- легко удалил, за час Malwarebytes' Anti-Malware, все просто - скачиваешь - обнавляеш - запускаеш и все, червя больше НЕТ....

Да хреновые зловреды!!!вот занакомый поймал еще один похожий,это уже на виндовс7 залезла,находится по середине экрана,она появляется через минут 30,можно ее закрыть,в инет можно зайти но как заходишь в инет сразу появляется,убил эту заразку обновленным авз.Вопщем это рекламма всяких изделий секшопа))).

странное наблюдение: мешающая табличка с полем ввода и счетчиком времени исчезает в небытие после запуска "Сетевого окружения" (iLite и iMax). Появляется доступ к проводнику.

P.S. Данное сообщение носит ИНФОРМАТИВНЫЙ характер, а не РЕКОМЕНДАЦИОННЫЙ!!! Это не совет к лечению!!! Вирус этим НЕ ЛЕЧИТСЯ!!! а то есть тут некоторые....

хм, а какой ещё можно попробовать live cd, если Kaspersky Rescue Disk (с базами от 11.12.09) и DrWeb Live cd (от 20.12.09) ничего не находят? что ещё можно попробовать, в ожидании ответа от А1А?)

Можно, наверное и с успехом, попробовать утилиту от Касперского (AVPTool или другую-специальную).

Аналогично, коллеги. Загрузил XPE, прошел сканером DrWeb cureit - нашел Autoruner. Снял винт, просканил на чистой машине Каспером - нашел, удалил зараженный файл sdra64.exe. Эффект - 0. Подождал 3 часа - исчез. Попробовал запустить AVZ - Ничего нет, запустил мастер поиска и устранения проблем, - исправить отмеченные проблемы. Повис, после перезагрузки -вуаля счетчик снова на экране. И ничего не дает запустить! Поэтому всякие утилиты, антивири - побоку!!
нашел совет:

[COLOR="Red"][moderated][/COLOR]

Такими советами можно и систему убить.

Поймал iLite, требует СМС на номер 4460, как узнать, чей он?
И что будет, когда счётчик времени закончится?

Victor 100
Исчезнет.
Потом появится снова. И снова. И снова.

Надо обращаться в раздел "Помогите" за профессинальными советами. Если не знаете и не хотите убить систему воспользовавшись непрофессиональными советами.

[QUOTE=yeas;541710]
нашел совет:
[COLOR="Red"][moderated][/COLOR]
[/QUOTE]
[COLOR="Red"][moderated][/COLOR]

Пару слов про такое "лечение" (распространённые советы типа - найди такие-то файлы там-то, найди такую-то ветку реестра).

[COLOR="Red"]Данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.[/COLOR]

странно, но вроде как AVZ лечит же (не совсем полностью, нужно немного руками дочищать, но тем не менее). Поймал второй раз на одном из компов iLite. Каким то боком картинку с экрана вышиб запуск сетевого окружения. Появился доступ к рабочему столу, проводнику и пр., но запуск AVZ вызывал перезагрузку. перезагрузился под админской учеткой - на удивление без всяких iLite. Запуск AVZ, полное сканирование с исправлением проблем и т. п. - нашел несколько зараженных файлов. Перезагрузка. Далее дочистил temp'ы (несколько файлов потребовали "отложенного удаления" с помощью опять же AVZ), удалил строку на автозапуск. Вроде пока работает. Поменял антивирус, обновил браузеры. Все. Кстати, при подключении флешки на флешку записалось 3 файла для автозапуска для заражения следующей машины, но были отловлены на другой ОС (Linux). Файлы запаковал в архив - проверка VirusTotal - одна сработка и та на autorun.inf. Что это такое - проверять негде, виртуалок нету:(
PS. ИМХО, после указанных несколькими постами выше советов по лечению (в частности от yeas) лучше таки делать sfx /scannow с оргинальным установочным диском Win.
PPS. Информация в данном сообщении представлена для ознакомления, а не в качестве рекомендаций!!!

Да, у меня тоже проблемка, новая версия, походу дела, посит отослать на 4460, запускается при любом открытии файла кроме моего компьютера и панели управления, ждёт 3 часа)) Почему-то запускается также и в безопасном режиме, флешки комп не видит вообще, биос тоже почемуто просто игнорится, сделать вообще ничего не могу...

Не подскажите, как создавать логи AVZ, Hijack если их запуск блокируется? Вирус передается через флэшку?

У меня вышло окно iLite Net Accelerator с 3-х часовым отсчетом времени и блокировкой диспетчера, антивируса, реестра, браузеров. Дня 3 мучился ничего не помогало, и Каспера Rescue и LiveCd д. вэба пробовал и всякое др.

[COLOR="Red"][moderated][/COLOR]

Для iLite сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

Попал в руки комп где эта штука(iLite Net Accelerator) уже изрядно повеселилась: реестр и диспетчер задач залочены, при запуске любого ехе файла выскакивает окно с запросом денег на смс. Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials :). Справился, однако.
В общем заметил баг (или фичу :)) вируса - когда окно его висело в полэкрана и мешало обзору, я нажал на мой компьютер правой кнопкой мыши и выбрал свойства. Окно вируса пропало. Проверил несколько раз - срабатывало. Если кому "повезет" еще раз, проверьте баг :)

Спасибо, теперь я буду а курсе

[QUOTE=Almind;542493]Для iLite сработала следущая закономерность -

«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188[/QUOTE]

Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.

Всем привет.
Столкнулся с iLite Net Accelerator.

Притащили зараженную машину, умудрились заразить админскую учетку встроенную, отослать СМС, пожить немного без него, и повторно заразившись или просто став дойной коровой.

Наблюдения по поведению зверя:
1. Присоединяюсь к жалобам - залочено восстановление системы, редактирование реестра, вызов диспетчера задач.
2. При вызове свойств экрана по клику на рабочем столе надоедливое окошко пропадает. Но при попытках лечить, запустить что-то вываливается во всей красе.
3. Заражается только учетка, под которой схватили троянца. На других воздействия не заметил.

В приницпе как все, сначала пытался лечить "как есть". Ставил Анлокер, Курита... Запуск с грехом пополам при помощи переименования их в "spryachmenya.pif", "etonelechilka.exe" , функционала никакого - все схлопывается и появляется окно вымогания.

Дальше скачал образ Kasp Restore LiveCD с "народа" ([url]http://narod.ru/disk/16224480000/rescuecd.iso.html[/url], выложено на форуме Касперсокого), базы не обновлял, были от 15.12.2009. Записал на болванку, загрузился - буйный цвет зверья, что-то сразу снеслось, что-то под защитой было.. Прошелся два раза, эффекта по своему вопросу ноль.

Потом в башку ударила идея - у меня что-то подобное есть в KAV WS... Создал свой (по действиям - скачал с сайта, обновил базы), проехался еще раз, удалилось порядка 50 библиотек с рандомными нечитаемыми названиями из system32. И тут-то всплывает неудаляемый файлик "sysmgr.exe". Каким уже не помню образом - удалил. При следующем запуске - окна нету, но ошибка запуска файлика "csrcs.exe". Такого действительно нигде не оказалось, навреное удалился в той куче библиотек.

Если что запускается не через пусковую "Автозагрузку" - прямая дорога в Run в реестре... А как?
Таким образом при помощи оснастки "Управление компьютером" (Пуск, Выполнить - compmgmt.msc) была создана учетка с админиским правами. Под ней уже определил - эта учетка полностью здорова. Запустил редактирование реестра, стал искать эти две бяки.

Так как пишу постфактум, опишу не все, из картины, необычной для меня заметил следующее:
1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer обнаружилась папочка "Run" с "вредным для здоровья" содержимым (на здоровой машине такого не было).
2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell добавлена бяка как параметр к Explorer.exe (опять же на здоровой машине такого не было).

Провел зачистку.
Все, собсна с присутствием гада покончено. НО... Остались еще последствия от его действий.

Троянец понижает права зараженной учетки (какого ранга она не была) применимо к действиям, вредным для него самого.
Все это можно настроить в групповых политиках или через реестр. Но внимательней - политики на то и групповые, если вы измените что-то в них с "Не задана" на определенное значение, политика будет применима КО ВСЕМ учеткам на компе, независимо от ранга. Разрешать манипуляции с настройками Винды рядовым юзерам "не кошерно".

Значит, так. Восстанавливаем:
1. Редактирование реестра
1.1 Под "больной" учеткой через политики:

Пуск –> Выполнить… –> в поле Открыть: введите gpedit.msc –> OK –> Групповая политика –> Политика «Локальный компьютер» –> Конфигурация пользователя –> Административные шаблоны –> Система –> справа в окне Система двойным щелчком левой кнопки мыши по строке Сделать недоступными средства редактирования реестра вызовите окно Свойства: Сделать недоступными средства редактирования реестра –> установите переключатель Отключен (или Не задан) –> Применить –>OK. Закройте окно Групповая политика.

Для вступления в силу изменений без перезагрузки ПК сверните все открытые окна (щелкнув кнопку Свернуть все окна на панели Быстрый запуск, или нажав сочетание клавиш – клавиши с логотипом Windows+D), нажмите клавишу F5 (или щелкните правой кнопкой мыши по свободной от значков поверхности Рабочего стола, в открывшемся контекстном меню щелкните Обновить).

(отсюда, тут раскрыто поширше [url]http://shkolazhizni.ru/archive/0/n-10576/[/url])

1.2 Под "живой" учеткой ищем в реестре параметры DisableRegistryTools, удаляем или ставим значение в 0.

2. Вызов Диспетчера задач
Под "больной" учеткой в уже реанимированном Редактировании реестра или под "живой" ищем параметр DisableTaskMgr, удаляем их или ставим значение в 0.

Можно как в пункте 1.1 только в разделе Административные шаблоны –> Система –> Возможности Ctrl+Alt+Del –> справа в окне Возможности Ctrl+Alt+Del двойным щелчком левой кнопки мыши по строке Удалить диспетчер задач (Состояние по умолчанию – Не задана) вызовите окно Свойства: Удалить Диспетчер задач –> установлен переключатель Включен –> поставьте Отключен (или Не задан) –> Применить –> OK.

(отсюда, тут раскрыто поширше [url]http://www.kinofans-club.ru/forums/showthread.php?t=2490[/url])

3. Вкладка Восстановление системы
Запускаем Редактирование реестра, в разделе HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsNT\SystemRestore удаляем ключи DisableConfig и DisableSR.

(взял отсюда [url]http://windowsxp.mvps.org/srpolicy.htm[/url])

4. "Забаненые лечилки", антивирусы и прочие полезные вирусоборы

После восстановления базовых функций ставил антивирус Касперского, поставился, после перзагрузки не запускается. Окно о "...ограничении запуска ПО политикой..." Так, опять политики... В оснастке "Просмотр событий" нашел ошибку, по хэш-ключу нашел в реестре правило в разделе HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths. Кроме бана на Каспера, был бан на Симантек, который тут в смертных судорогах бился уже, наверное, 3 года без обновлений. Все правила связанные с анитивирусами из это раздела удалил.

Заработало.

Вроде бы все.

Хочется напомнить, что изменения после манипуляций с реестром вступают в силу только после перезагрузки, манипуляции с политиками - почти сразу, как описано в тексте выше.

Критикам, любителям по AVZ - ничего не имею, против. Не привык просто им пользоваться. Сие есть стандартизированное лечение, юзал - уважаю. Но я как-то по максимуму сам люблю. Помогает на предмет ликбеза алгоритмов действий "зверья" и "из чего же сделаны наши виндишки".

Присоединяюсь к создателю темы, что вышеописанное не панацея, не 100% корректное решение проблемы.

На страх и риск. Поможет - на здоровье. Не поможет - пардон. Все испортит - бэкапиться надо...

у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял.
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.
вызов строки свойства помогает) поганое сообщение уходит до следующего запуска какой нибудь программы.

может кто нибудь подсказать четкие действия по устранению данного вируса? на русском плз языке)

подхватил вирус по моему когда какую то порнушку 18 метровую качал(не знаю что за файл был, загрузку обрубил, не докачал. антивирус отключал на это время ибо комп слабый, тормозти) с депозита, а иначе хз как она у меня появилась

[QUOTE=xjaglowaquex;542904]у меня iLite Net Accelerator. прочитал тут посты ничего толком не понял.
да и диск как создать, если вирус блокирует любую прогу. мой касперский с обновлением за вчерашний день, вилить вирусы все кроме этого.
[/QUOTE]

У тебя Касперский запускается?
Может тогда cureit от веба помочь... Попробуй качни.
Если не поможет, давай я выложу свежесобранный Kav LiveCD на обменник какой-нить...

[QUOTE=Буквоедов;542733]Мне помогло. Буду советовать во всем интернете этот способ. Только вот я еще в БИОСЕ дату ставил перед этим 15.12.2009
Мучился два дня, и c DrWeb Live CD (скачивал разные образы), и с avz, и zbotkiller еще использовал. Ничего не помогало. А простой ввод кода помог. Только надо после этого (естественно) почистить всё новым KIS.[/QUOTE]

Мне не помогло. Для K705813900 на 4460 - не работает.

[QUOTE=surgutfred;542727] Вылечил, подсоеденив хард к другому компу. Заодно протестировал Микрософтовский антивирус Microsoft Security Essentials :). Справился, однако.[/QUOTE]
Большущее спасибо, [B]surgutfred! :friends:[/B]

Третий день мучаюсь с этим вирусом, никак не хотел удаляться. Спасла эта штука от Майкрософт. Сканировал с рабочего компьютера, подключив к нему зараженный жесткий диск.

[QUOTE=SDA;531826]Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. [b]То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".[/b]
И здесь профессионально может помочь только специалист.
Это впрямую касается любителей давать непрофессиональные советы.
[b]Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.[/b][/QUOTE
Млин. а я то все так и сделал, теперь боюсь перезапуска, ПОМОГАЙТЕ!!!!!!! прошу вас

Привет всем.
Словил я iLite Net Accelerator. Не знаю где, особо по инету не лазил. Одну флешку приносили, но на том компе такой проблемы нет. Avira промолчал, хотя обновляется каждый день. В общем весь день мучался. Начитался, наэксперементировался вдоволь. Винду переустанавливать крайне не хотелось. Полчаса назад решился позвонить в А1агрегатор или как его там?
Позвонил по бесплатному номеру 8-800-555-01-02, минут через 7 ответила девушка, минут 10 мне мозг парила. В общем максимум, что я от неё смог добиться - это она заполнила заявку, которую будут рассматривать до трех дней, а потом типа перезвонят мне. Меня это не устроило особо и тогда она поделилась номером их спецов. Позвонил я на номер [B]8(495)363-14-27[/B] (добавочный [B]555[/B]), сразу ответил Евгений. Приветливый такой, ему не пришлось долго объяснять что к чему. Сказал ему текст смс и номер и он мне дал код активации. Минута делов короче и всё встало на свои места, всё заработало нормально ;)
Текст смс был [B]K705913500 [/B]на номер [B]4460[/B]. При активации я ввел [B]3816124611[/B]. Т.е. получается [B]К[/B] меняется на цифру [B]три[/B], все остальные цифры увеличены на единицу, кроме девятки. Она заменилась на единичку. Тут по ходу методом подбора надо.
ps: Терь буду чистить что недоудалилось. :biggrinsanta:

не так все просто с кодом для ilite: позвонил дали код - не подходит. позвонил еще, сказали дату и время выставить, и тот же код - подошло. Код, который дали не под один из описанных алгоритмов не подходит. sms М204412800 -> активация 6426634122

Тоже словил iLite Net Accelerator. Эта сволочь заблочила Биос, ну и соответственно все остальное.
Текст смс K705113900 на номер 4460. Коды никакие не подходят. Время не удается поменять. Live CD не грузится - вирус блокирует его загрузку. Все остальное - тоже не запускается...
Как теперь лечить?

K705913800 на номер 4460
сейчас буду пробовать звонить евгению

сутки стоял КАВ, куреит , долго медленно безрезультатно, запускаюсь со второго винта
вот выложил длл из темп директории
[color=red]удалено[/color]
размер 957740

[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]

позвонил, алексей дал код 4927235422, сейчас буду перегружаться с опасного винта.

имеется подобная проблема с кодом K705813900 4460

MBAM не ставится, на машине был корпоративный Симантек, который убит вирусом. Подключение диска к другому компу и скинарование МБАМом и АВЗ результатов не дало:
[CODE]
Просканировано файлов: 63664, извлечено из архивов: 51342, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 25.12.2009 13:12:50
Сканирование длилось 00:05:13
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info[/CODE]

Добрый день!
Сразу прошу прощения если написал не в ту тему...
Вчера поймал такой же вирус, только немного другой - Вы нарушили лицензионное соглашение Download Master, повторю не [U]iMax Download Manager[/U] и не [U]uFast Download Manager[/U], а просто [U]Download Master[/U]...
Каким способом можно избавиться от этого вымагателя?
Надеюсь на вашу помощь, заранее спасибо!

в а1агрегаторе сообщили для [B]K705813900 4460[/B]
код: [B]4927135222[/B]