Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение

[Makarenya]

Данная гадость, помимо вышеперечисленных файлов, также упоминается в реестре.
Ветка: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dmgr134]
А убить её можно легко и без стороннего ПО. Файл dmgr134.sys не держится системой, поэтому достаточно убить его проводником. После перезагрузки проблемма исчезнет, видимо .sys - файл является загрузчиком .dll файла. Для чистоты души сможете убивать {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, тем самым распрощавшись с самим трояном полностью. (Корзину почистите под конец)

[hiera]

Мне позвонила подруга, сказала, что у нее гетакселератор требует активации и заблокировал интернет. Я приезжала 30 октября в пятницу, ничего не смогла сделать... приехала домой нашла ваш форум, все переписала. А вчера ездила к ней еще раз, но по какой-то счастливой случайности гетакселератор написал,что активация произошла и все..... Интернет работает, все замечательно. Я поставила антивирус Zonealarm он благополучно нашел и удалил так называемый Trojan-Ransom.Win32.Agent.gc.

[osv2]

Здравствуйте господа! Я за последнее время дважды столкнулся с этой дрянью. Я не всё читал в этом посте, но надо начинать с владельца номера 7122 и тому подобных. Эти подонки просто и тупо имеют доход. Можно позвонить любому сотовому оператору и выяснить чей номер. После звонка контент провайдеру, владеещему сим номером, с некоторым трудом я выяснил, что достаточно перевести часы вперед на 3 дня, перегрузиться п, потом назад, и эта зараза будет самостоятельно удалена. Проверил - получилось. Я ОТ ВСЕХ РАЗУМНЫХ ЛЮДЕЙ ТРЕБУЮ ПОДГОТОВИТЬ ИНФОРМАЦИЮ ДЛЯ ОБРАЩЕНИЯ В МИЛИЦИЮ, ЧТО-БЫ ДАВИТЬ ЭТИХ ГАДОВ. у МЕНЯ ДВА СКРИНШОТА С ПОРНОГРАФИЕЙ И ДВА ВИРУСА ГЕТ АКСЕЛЕРАТОР И uFast Download Manager. Не давайте себя трахать!

[grolin]

всем привет.
есть еще признаки присутствия зловреда?
все описанные выше файл и ветка в реестре отсутствуют, да и картинка приведенная в принтскрине отличается...
НОД не находит, в безопасном режиме кстати оно тоже картинку показывает (((
подцепил 16 ноября, если интересно...

спасибо.

упс.. оказывается мне сюда http://virusinfo.info/showthread.php?t=60452, сорри

[max0099]

goshMAN,
КАК это вручную сделать? где найти эти файлы?

Добавлено через 1 минуту

как найти файл dmgr134? поиском не находится

[PavelA]

goshMAN,
КАК это вручную сделать? где найти эти файлы?

Может лучше просто в "Помогите!" к нам сходить. Три лога и практически гарантированное лечение от этого вируса.

Приходите к нам в "Помогите", логи с собою приносите.
Рецепт, или скрипт в помощь получите и
"Спасибо" скажите.

[Hatchet]

Добрый день дамы и господа, вот и мы с женой попали на удочку этого вируса.
Т.к. интернет занимает в жизни многое, мы конечно отправили эти смс и их было аж 2 шт. всё "удовольствие" обошлось в 1.5 т.р.
Опишу проблему и что я делал. В ПК я не силён, так что мб. каму то будет и смешно.
Есть диск С с системой и разбитый второй хард с диском D и F.
Н диске F появилась папка с набором букв и цифр(переименовал в ВИРУС), в ней ещё 2 папки(amd64 и i386) в этих папках файлы(filterpipelineprintproc.dll и т.д.) они не удалаются, ни файлы ни папки. Я так понимаю что вирус идёт из них.
У меня антивирус nod32, каждый день, он находит в system32 троян в файле {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, после удалить ,просит перезагрузку, после перезагрузки он или удаляется или нет, когда как, но даже если он удаляется, то потом опять появляется.
В system32 полно файлов с DLL и много синих файлов, это нормально? меня пугает.
Скачал утилиту AVZ она ни чего не нашла, потом выполнил скрипт в AVZ, как написано у вас, файл на диске C пропал, но папка на диске F осталась.
Сейчас вот скачал всё остальное что у вас написано в теме "Перейти к созданию темы с просьбой о помощи" и читаю инструкцию, буду делать всё как там написано.
Мб. что-то ещё посоветуете, только по проще) я не всё понял в выше написанных постах) хотел бы узнать про синие папки, что такое DLL и вирус ли та папка, про которую написал.

[VV2006]

Hatchet

Н диске F появилась папка с набором букв и цифр(переименовал в ВИРУС), в ней ещё 2 папки(amd64 и i386) в этих папках файлы(filterpipelineprintproc.dll и т.д.) они не удалаются, ни файлы ни папки. Я так понимаю что вирус идёт из них.

Такая папка остаётся обычно после обновления системы. И filterpipelineprintproc.dll - обычно мелкософтовский файл (Print Filter Pipeline Proxy).
Синим цветом отображаются системные файлы Windows.
По поводу Нода... Что сказать, популярный антивирус. Ну прям как Филипп Киркоров.
А с {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll - точно в раздел "Помогите".

[Ymorozoff]

Доброго времени суток! Схватил сие чудо 23.11. Просили отправить СМС 261019622 на ном 1350. Перепробовал все, что здесь говорилось - не помогло. DrWeb (CureIt) ничего не нашел. Таких файлов (dmgr134) в системе просто не было... Помогло простое решение - перевел системные часы на 3 дня вперед - все пропало, потом обратно... Пока все работает...

[McCormak]

Помогло простое решение - перевел системные часы на 3 дня вперед - все пропало, потом обратно... Пока все работает...

Это что то из разряда - прыжки с бубнами. Хотя попробую

[PavelA]

Помогло простое решение - перевел системные часы на 3 дня вперед - все пропало, потом обратно... Пока все работает...

Перестанет работать, приходите в "Помогите!" или опять сдвигайте часы.

[josex]

Сегодня в ICQ появился баннер, предлагающий скачать "шкурку" для аськи. Нажав на ссылку у меня вылетел интернет и все зависло...когда перезагрузила комп, вылезла эта гадость со своим требованием отправить СМС. Хорошо, что дома есть еще и ноутбук. Поискала в инете, как избавиться от этой дряни. Но найти какие-либо подозрительные файлы вручную не удалось. Пробовала DrWeb (CureIt) - не помогло. В итоге переустановила дату на месяц назад, заработал интернет. Как выставила дату на актуальну., снова появилось это же сообщение и заблокировался интернет. Тогда я опять переставила даты, перезагрузила компьютер, зашла в интернет и скачала с официального сайта Avast! ознакомительную версию антивируса. Установила его и запустила проверку. В итоге обнаружено и удалено 7 файлов, зараженные трояном((( Сейчас дату вернула на актуальную, все работает, сообщение больше не вылезает. Попробуйте таким же способом. Желаю удачи!

[Anti-†]

Скажите пожалуйста, а какой ещё вред наносит данный вирус...?.....
(например удаляет мои файлы, крадёт информацию, пароли и т.д.)
Столкнулся с ним совсем недавно, искал программы для скачивания файлов типа FLV (видео, музыка) с ресурсов имеющими flash проигрователи вместо прямой ссылки на файл.

С вирусом вроде разобрался, с помощью автозагрузки в панели пуск и антивируса AVG я проследил путь данного экземпляра, который находился в папке E:/WINDOWS/Downloaded Installations, затем удалить его не получилось так как он находился в неком VIRUS VAULT у моего антивируса (тем не менее окно трояна все равно давало о себе знать), я сделал восстановление системы, (на положение вещей в состоянии за день до того как подцепил эту Х*#!% ), зашёл в ту же папку удалил EXE файл и вычистил её полностью...вроде всё хорошо больше ничего не появляется, но он мне полностью убил firefox (вначале просто начал интернет плохо себя чувствовать после перезагрузки на следующее утро окно и выскочило, а браузер пришлось вручную удалять, потом устанавливая заново, так как панель управления просто отказывалась делать это)...а там у меня пароли сохранённые, ссылки...и т.д. поэтому я и задал вопрос....надеюсь вы меня успокоите, что переживать незачем.

[Пьяный бурундук]

Приветствую всех!
Потратил сегодня целый день на борьбу с модифицированной дрянью.
Бонусом к окошку с отсчетом времени шел заблокированный диспетчер задач и невозможность запустить regedit
Попытка запустить любой антивирь ознаменовывалась появлением порнобаннера.
Весело, в общем
Гад был обнаружен CureIt'ом в файле C:\Windows\System32\drivers\qinmuuca.sys
CureIt обозвал его Troyan.Winlock.495
В борьбе с букетом троянов отличились так же товарищи ERD Commander и HijackThis, за что им респект и уважуха.

[SergPRM]

также потратил весь день на борьбу с GA, который вывесил свой баннер, заблокировал regedit, запретил диспетчер задач, и походу отключил многие службы в WinXP, запретил исполнение файлов*.exe и *.com, при попытке зайти в папку AVZ или HijackThis - комп выключался. Антивирусник оказался выгруженным из системы. Вирус позволял работать с msconfig благодаря чему я сразу отключил авторан. При запуске IExploer, Opera или попытке запуска каких либо *.exe *.com *.doc файлов вываливался порно банер с еще одним требованием отправить смс с кодом на указанный в нем номер. При загрузке в режиме защиты от сбоев комп выключался в течении 1 минуты после включения (было уведомление о предстоящем выключении). Пришлось грузится с флешки, но хотя базы были обновлены на 27.11.09 г. AVZ помог лишь частично, нашелся рад троянов и подозрительных файлов (например zlib.dll в sys32), которые были удалены, удалил папку с произвольным набором символов которая была на диске C: , но баннеры не пропали.
Помогло следующее - при загрузки с флешки переименовал папки в которых был AVZ и HijackThis просто по цифрам (1 и 2) соответственно. и exe-файлы аналогично обозвал 1 и 2 и сохранил их на диск C: загрузился и запустил 2.exe (HijackThis). банер пропал, появилась возможность запуска *.exe
затем сканил всем подряд, начиная с AVZ u CureIt, чистил реестр, temp и прочая -прочая (находил антивирь и модификацию Troyan.Winlock.495)...как побочный эффект борьбы с вирусом - оказались отключены все службы, которые пришлось включать в ручную....

[Ingener]

Не проще ли сразу обратиться в раздел Помогите! и получить быструю, качественную и квалифицированную помощь, а не заниматься самолечением...

[Пьяный бурундук]

Не проще ли сразу обратиться в раздел Помогите! и получить быструю, качественную и квалифицированную помощь, а не заниматься самолечением...

Не спортивно это

[Воланд]

Сегодня 30.11.09 подцепил эту дрянь.....скрипт не помог...излечился Вэбом в безопасном режиме + Аваст проверкой...чаго и всем искренне желаю

[east17]

28.11.2009 знакомый подхватил
букет Get Accelerator 1350 и 3649 как у http://virusinfo.info/showthread.php?t=61136 , ко всему этому флэшки блокированы, попутка запустить AVZ приводила к перезагрузке компа. taskmgr regedit gpedit.msc SAV или не запускались или схлопывались. Как лечил:
1) LiveCD (у меня от Philka) , удалил все временные папки , потом запускал CureIt (CureIt LIVECD проверял 2 часа и ничегооо ) - нашел 1 вирус в "C:\Documents and Settings\" и 2 в C:\WINDOWS\system32\
2) LiveCD , regedit - подключил как куст C:\WINDOWS\system32\config\software , в нем ишем SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon там должно быть C:\WINDOWS\System32\userinit.exe, у меня сидел там еще один exe, причем CureIt его за вирус не признал. Сносите все и оставляйте только C:\WINDOWS\System32\userinit.exe
3) Перезагрузка в Safe mode. Get Accelerator пропал, но все еще вылетала непристойщина с 3649. Запуск прог все еще блокирован.
4) Переименовываю azv а 1234.exe и запуска с параметрами ag=y am=y. Выполняю скрипт:

begin
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\windows7addon.exe','');
QuarantineFile('D:\WINDOWS\system32\csrcs.exe','') ;
QuarantineFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\vtmini .sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\sysdrv 32.sys','');
QuarantineFile('D:\WINDOWS\dmgr134.sys','');
QuarantineFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
QuarantineFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('D:\WINDOWS\system32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('D:\WINDOWS\dmgr134.sys');
DeleteFile('D:\WINDOWS\system32\drivers\sysdrv32.s ys');
DeleteFile('D:\RECYCLER\S-1-5-21-0318687194-1276497934-191686497-7654\mwau.exe');
DeleteFile('D:\WINDOWS\system32\csrcs.exe');
DeleteFile('D:\WINDOWS\system32\sysmgr.exe');
DeleteFile('D:\WINDOWS\windows7addon.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Policies\Explorer\Run ','csrcs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Micr osoft\Windows\CurrentVersion\Policies\Explorer\Run ','sysmgr');
BC_Importall;
BC_DeleteSvc('sysdrv32');
BC_DeleteSvc('Microsoft Network Driver');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

5) Комп перезагрузился
6) Запуск AZV и Фаил->Восстановление системы - все кроме 5,10,14,15,18
7) Запуск Фаил->Сканирование. В логах есть подозрение на nguns.dll, снес ее к чертям.

РЕЗЮМЕ: система восстановлена, убито времени 8 часов.

[Gnomo]

Народ, Get Accelerator - это не совсем вирус, а программа у которой есть возможность деинсталяции.
Вопрос решается просто, нужна программа jv16 Power Tools, подойдёт даже триальная версия!
После установки выбираем в jv16 Power Tools пункт - Диспетчер Программ, находим в нём GA / Get Accelerator,
ставим возле него галочку и нажимаем кнопку - деинсталировать.
После деинсталяции нужно перезагрузить компьютер.
Вот и всё...
:-)
P.S. не пытайтесь найти Get Accelerator в установке/удалении программ Windows, так как он тщательно скрыт!
И будет неплохо, если после удаления Get Accelerator, вы почистите реестр Windows и просканируете систему на вирусы!!!

Удачи вам!