iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

Привет всем, такие темы смешные уже с самого первого сообщения, против кого вы хотите вести борьбу? софт каждый день переделываеться.. каждый день модифицируеться, из 10000 тысяч человек 50-60% всеравно отправят смс, а "умные" которые пишут в подобных темах, просто 1% от всех тех кто попался на этот вирус, эту тему читают создали, и кейгены и генераторы перестают быть рабочими как только он попадает к создателям, и принцип снова меняеться.
Так же хотел отметить работу антивирусов, все антивирусы бесполезны, этот вирус как и все "активные" обходят все АВ созданые человеком.

улыбнул :)
на каждое действие есть противодействие..
тема полезна тем кто более-менее регулярно сталкивается с подобным вирусом..
переустанавливать винду на каждом зараженном компьютере - не мой метод..

[QUOTE=Юльча;555552]улыбнул :)
на каждое действие есть противодействие..
тема полезна тем кто более-менее регулярно сталкивается с подобным вирусом..
переустанавливать винду на каждом зараженном компьютере - не мой метод..[/QUOTE]

Само собой.. противодействие, ну темы такого плана, с описанием "подробных инструкций" по лечению,это просто работа на создателей вирусов,кто попался хоть раз на вирус тут, попадеться и еще еще и еще..

Посмотрим на вопрос под другим углом. Что вы предлагаете?

;)

У МЕНЯ НУБ ТЁТЯ ПОЗВАНИЛА В МТС И СПРОСТЛА ПАРОЛЬ И ВСЁ КОМП РОБИТ

[B]GOGINN[/B], т.е. МТС всё это дело и мутят)))) балин, ну богат мир, в своём многообразии))))

[QUOTE=samdurak;555558]кто попался хоть раз на вирус тут, попадеться и еще еще и еще..[/QUOTE]
не прав. тем знакомым которые попались на этот вирус я показала в скринах как можно заразиться подобным вирусом..
вроде усвоили урок.. повторных заражений пока не было :)

+ выложила скриншоты вариантов заражения на форуме местного провайдера (т.к. именно у провайдеров очень сложный контингент состоящий из очень неопытных пользователей), итог - на нашем форуме жалоб на заражение смс-вирусами с тех пор нет.. :smile:

Уважаемые выручайте!

Поймал эту заразу вчера, восьмого, пишет, что какой-то Internet Security нашел 64 вируса (даже показывает шкалу проверки) и для того, что от них избавиться надо отправить смс за 10 рублей на номер 4460
Текст такой K206114900 и три часа в обратном отсчете тикают.

Заблокировано всё (в safe mode тоже): реестр, таск менеджер, gpedit, compmgmt.
Работает только msconfig там в автозагрузке убрал syszyd32 (не помогло)
AVZ запускется только в безопасном режиме, и то пришлось в его папке все преименовать что бы не было букв AVZ (иначе рестарт).
Но не помогло, он запускается, но вместо всего текст в программе, в строках цифры, но я то помню какие галочки ставить и что нажимать надо, поставил нажал -- не работает.
Поставил на другом винте чистую винду, подключил к ней зараженный винт.

Прогнал полную проверку с последними базами сначала AVZ -- ничего серьезного не нашлось.

Проверил Norton'ом Corporate Edition'ом (последние базы) -- вообще ничего нет.

Сделал поиск по всему диску, удалил все подозрительные dll и прочие файлы за вчерашний день -- не помогло.

Нашёл эту ветку. Всё прочитал.

Попробывал подобрать код, ну чего-то не подходит, то ли алгоритм сменился или я плохой дешифратор, на всякий случай может кто подберет:
K206114900 на 4460.

Проверился последним removal tool'ом 2010 от касперского, он нашел два трояна.
Сейчас проверяю Microsoft Security Essentials, он еще одного трояна обнаружил.

Внимание вопрос:
Что еще можно сделать???
Реально я уже сутки бьюсь с этой фигней.
Сносить систему -- вообще не вариант.

Честно очень надо, кто может -- помогите советом.

Спасибо.

[QUOTE=Andy6556;556232]
Попробывал подобрать код, ну чего-то не подходит, то ли алгоритм сменился или я плохой дешифратор, на всякий случай может кто подберет:
K206114900 на 4460.
[/QUOTE]

[QUOTE]Для iLite get accelerator сработала следущая закономерность -
«0» в тексте – «8» в коде
«1» в тексте – «9» в коде
«2» в тексте – «1» в коде
«3» в тексте -«2»
«4» в тексте – «3»
«М»в тексте – «3»
«5» в тексте – «4»
«6» в тексте – «5»
«7» в тексте – «6»
«8» в тексте – «7»
«9» в тексте – «8»
«К» в тексте – «1″
[/QUOTE]
И вот генератор кодов:
[b][url]http://files.mail.ru/15CNRR[/url][/b]

sos!
та же проблема, что и у Andy6556. Только иной текст сообщения - K206114100 на номер 4460.
Кодировка, предложенная bolshoy kot, не сработала. Декодеры с сайтов касперского и DrWeb тоже.
DrWeb LiveCD не помогло, запуск AVZ приводит к моментальной перезагрузке, однако один раз все же удалось запустить проверку - результат нулевой...

прошу помощи...

[QUOTE=perselife;556279]
Кодировка, предложенная bolshoy kot, не сработала.[/QUOTE]
А это ( [url]http://files.mail.ru/15CNRR[/url] )?

Спасибо, друг! Один из кодов подошел. Комп загрузился, хоть и с ошибкой от winlogon. Avz и Kav теперь работают, бум лечить.

Друзья!

Победил я эту заразу,
правда на это ушло ровно сутки,
жесть, первый раз так долго.

Итак, парой постов выше я описал свою проблему.
Решилось всё так,
пришлось поставить чистую винду на соседний винт, загрузиться с него и прогнать проверку "больного" диска,
сначала -- AVPTool от Лаборатории Касперского 2010
[url]http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/[/url]
он нашел три трояна.
Затем скачал Microsoft Security Essentials
отсюда: [url]http://www.microsoft.com/Security_Essentials/[/url]
сразу обновил и запустил еще одну проверку зараженного диска.
Она заняла почти два часа, много раз "залипала",
я ели до терпел, пару раз чуть не выключил.
Но дождался.
Он нашел еще два других трояна и предложил очистить систему -- очистил (один убил, другой почистил, но как-то не до конца).

Перегрузился с "больного" винта -- перемены на лицо: в трее появился щит нортона, стали доступны gpedit, compmgmnt. но таск менеджер и regedit были всё еще "запрещены к запуску администратором".
Запустил AVZ и выполнил этот скрипт:
[color=red]удалено[/color]
после перезагрузки всё стало нормально.
только слетели настройки браузеров, но не смертельные.
Уфффф....
Это были ужасные сутки.
Надеюсь кому-нить мой опыт окажется полезным.

ps я думаю, в тэги этой темы можно добавить:
"4460" и "Internet Security" (такой у меня был заголовок окна вымогателей)

исправил кейген для номеров 4460 и 7373 (возможно и для 3649)
[url]http://mips.narod.ru/sms.html[/url]
правда выдает 9 кодов, но это лучше чем ничего. Алгоритм поменяли конкретно, в один и тот же день разные коды получаются. По ходу зависит еще и от первых трех цифр текста смс.

Если народу нужна разблокировка, нужны кейгены, то не логичнее писать их в виде скрипта для AVZ? Насколько я понял, запускают этий кейгены на здоровых машинах?
Если делать так, то и весу меньше, и доверия больше. Надеюсь, я никого не обидел.

Вставлю свои 5 копеек.
поймал заразу 08.01.10 Internet Security на номер 7373 к204114900
по [url]http://mips.narod.ru/sms.html[/url] второй код подошел 4426336222,вводил 11.01.10. комп завис, перезагрузил вроде нормально .
Спс Mips.

Удалить то удалил каспером с live CD, но как теперь вернуть права узеру? Не видит сетевых подключений, не видит рабочей сети, невозможно установить/удалить программы ("У вас нет прав...") Пробовал создать нового пользователя, все тоже самое.

[B]antanta[/B], AVZ (и др. ЕХЕ-файлы) не всегда запустишь, а интернет работает почти всегда (кроме сайтов антивирусов). Можно умудриться в свободном от баннера поле открыть сайт и ввести код. Собственно для этого я и написал. И с другой стороны, прийдешь к знакомому, а у него баннер этот. Флешка не всегда с собой же, да и некоторые зараженые компы флешку просто не видят/запрещают, а инет на таких компах почти всегда присутствует (иначе не заразились бы), вот и заходишь и генеришь код.

[B]mmc14[/B], спс за инфу.

[size="1"][color="#666686"][B][I]Добавлено через 23 минуты[/I][/B][/color][/size]

[B]f00ntic[/B], [B]gpedit.msc[/B] запускается? еще можно попробывать запустить [B]secpol.msc[/B]

[B]Mips[/B]
Всё запускается, но при двойном нажатии на любой параметр для редактирования - тишина, ни ошибок, ничего..

[B]f00ntic[/B], с такими проблемами обычно неплохо справляется avz:
"файл" - "мастер поиска и устранения проблем" пофиксить предложенное и
"файл" - "восстановление системы" п. 6, 14, 15 обязательно

а лучше обратись в раздел Помогите, там специалисты которые постоянно сталкиваются с такими проблемами они поточнее рецепт дадут :)

В канун НГ зараза [B]Download Master[/B] окромя неосторожных домашних юзеров зацепила уже машинку с работы.
Подцепили 30 числа, заниматься было не с руки – как моргнешь, рюмка в руках мерещится. Записал сообщение, которое надо было отослать «добрым» людям и отбыл в частично трезвый аут до сегодня.

С самого с ранья ручки чесались – ну что там наши мозго-мОлодцы понапридумывали?

Наблюдения:

1. Просто банят все, что возможно при запуске (отваливалось все вплоть до панелек иснтрументов от НР и вебкамеры). Ребят, в прошлый раз было изящнее. Антивирус пропадал как будто его и не было, а тут явно халтурка – знай только окна с ошибками закрывай. Так молодой непуганый юзверь и догадается, что ПО ваше не «лицензионное» или тупо переставит ось хоть и с 10 раза успешно.
2. Сообщение этого года отличается от прошлого ([I]К704113800[/I] от 30-го числа супротив [I]К706313100[/I] от 11-го). Но вот при откате на дату какую-либо сообщение уже не меняется, ни день, ни месяц, ни год не играют роли. Модный ход.

Лечил как и в прошлый раз, подбором кода по алгоритму соответствия цифр-букв и переменного основания. Народ писал, что по несколько кодов в день валидны и вроде одни и те же другим не подходят. Поэтому приготовился составлять-прибавлять-отнимать. Но первое же по основанию кода «-1» к исходному сообщению подошло (получилось сообщение [I]1685292988[/I]). Садопроцесс не удался.

Кстати, [B]SDA[/B] – кейген от Каспера какой-то мутный, там в ответе 8 цифр вместо 10 как надо. Ессесно, не помогло. Не в обиду, просто факт.

После кода сказали «Ждите» и… выдали «синий экран смерти». Я даже малость ох… хм, очень испугался, так было неожиданно. Вроде бы «отослал СМС за 10 руб.», а тут такое… Никакого сервиса.

После этого удачно загрузился, давай копаться:

1. Отрубил восстановление системы, что наши «системные» файлики опять не повылазили.
2. Почистил юзверские темпы, не во всех учетках гадость. Странно.
3. Ради интереса глянул что творится в system32. Ради интереса все что под подозрением переместил в левую папку кагбэ «карантин» (начинающие лечилки если не слушают добрых дядей с VirusInfo пусть хотя бы так делают, ессесно при наличии диска с WinPE). Этого добра невидимого, размера 144 384 байта, с рандомными названиями, датой от 02.04.2009 (хм, до сих пор фиксят дату подручными средствами, ай маладца) набралось [B]более 2000 файлов размером более 260 МБ[/B]. Какой размах…
4. Посмотрел что у нас в реестре в любимом разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. В параметре Shell опять добавлена бяка как параметр к Explorer.exe, а имеено [B]rundll32.exe bfwl.pgo jagktms[/B]. Файлик bfwl.pgo тоже спрятал к прочей заразе в левую папку, из параметра удаляем все лишнее кроме Explorer.exe.

Опосля со спокойной душой втиснул машинку в сетку, обновил KAV WS, и пошел полной проверкой по системе.

1. В папке «карантина» поголовно Picker.ayq, в файлах невидимках.
2. Файлик bfwl.pgo есть Троян Agent.deym. На «поле» вышел новый «игрок», на замену «привычному» sdra64.exe.
3. В system32 были файлики от сегодняшней датой, «любимого» размера, но без «стелс» режима. Тот же Picker.ayq.
4. В темпах Opera прорезались Exploit.JS.Pdfka.awv и Trojan.JS.Popupper.af. Первый был в фале формата PDF, вполне возможно, что маскировка. Хотя ходили слухи, что в самом формате дырку находили (точнее три способа внедрения вредоносного содержимого), не знаю, Adobe залатал или нет. А вот второй как раз связан с проникновением, ибо совпадает с показаниями жертвы. Это наша очень глубоко любимая всплывающая реклама накачать, скачать и послушать кое-что. Из разряда «закроешь-откроется-пять-вкладок». «Попаппернуло» товарища при закрытии, или при загрузке одной из открывшихся вкладок – сие науке неизвестно. К сведению - KAV WS (не R2, про него не знаю) хорошо блокирует подобные выкрутасы в Internet Explorer, единственное, что сам браузер не фонтан.

Механизм заражения может быть не единственным, так что, народ – бдительности не теряй.

Всем нам удачи, а паренькам ушлым – [B]шоб вас, ироды, кондратий хватил в новом году! [/B]

Столкнулся с такой же бякой. Принисли системник попросили посмотреть. Включаю через некоторое время вылазит окно с просьбой СМС отправить. Послал я их (попрошаек) подальше, снял жестяк, зацепил на другую тачку (свою), прогнал касперским 2010-тым полную проверку диска. Вернул на место и с помощью AVZ восстановил работоспособность диспечера задач и реестра. Вроде все пашет нормально. Да еще этот траян испрортил КИС 2009 через режим собственного восстановления исправил эту проблемку и с инета накатил обнавления. Сейчас еще раз уже на данной машине с этим антивирусом сделаю полную проверку и все должно быть в шоколаде. ИМХО.

[QUOTE=serik_pvl;566873]AVZ восстановил работоспособность диспечера задач и реестра.[/QUOTE]

а в реестре какие изменения ? не у кого не было таких проблем что новые драйвера не устанавливались, или новые установленные проги не моги через усб работать ?

Всё пролечено, но методикам, но!... Как разблокировать программы, например Avira?

в AVZ Файл Восст.системы - п.6 отметить и выполнить.

а если антивирусы блокируются через debugger в "Image File Execution Options"?

[QUOTE='Юльча;573833']а если антивирусы блокируются через debugger в "Image File Execution Options"?[/QUOTE]

ExecuteRepair(9)

ExecuteRepair(9) или п.9 в "Восст. системы"

[url]http://expert.com.ua/45317.html[/url]
Статья о аймаксе и реакции на него Киевстара.
"Компания «Киевстар» обратилась к «Майкрософт Украина» и “Лаборатории Касперского” с просьбой помочь в защите абонентов. “Лаборатория Касперского” предоставила коды для разблокировки работы ОС, а Microsoft представил бесплатную антивирусную программу Microsoft Security Essentials, которую теперь можно скачать не только с сайта Microsoft, но и с сайта «Киевстар»."

Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".

[QUOTE=Kory-V;588211][url]http://expert.com.ua/45317.html[/url]

Напоминает - в Африке эпидемия чумы, Америка прислала вагон бесплатного лука, а Росия аспирин...
После введения кодов активации вирус всё равно в системе, а Майкросовтовская программа - бесплатный сыр. Так что как обычно - "мы же предприняли действия!".[/QUOTE]

Наверное «Майкрософт Украина» должна была бесплатно раздать клиентам «Киевстар»

севен Ultimate, а “Лаборатория Касперского” KIS 2010 и денежную компенсацию пострадавшим в 100-кратном размере :L

Просто действия не приводящие к излечению подчас хуже отсутствию помощи. Уже проверил что лучше переустановить начисто чем ввести код активации и поверить в то что всё наладилось. Через неделю-месяц всё равно выплывают результаты.
А действия компаний напоминают отмазки.
Впрочем - миллионный штраф контент-провайдеру, предоставившему номер СМС, вместо штрафа хозяину номера, не смотря на то что оный контент провайдер первым начал свободно выкладывать коды активации, тоже говорит о том что нужно было найти козлов отпущения и провести акции "для галочки".