Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 56.

Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838

    Exclamation Get Accelerator (Trojan-Ransom.Win32.Agent.gc): описание и лечение

    19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.

    Наименование:

    Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)

    Также известен как:

    Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
    Trojan.Winlock.366 (DrWeb)

    Самоназвание:

    Get Accelerator


    Симптомы:

    На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом

    Код:
    acv<набор цифр>
    на короткий номер 9099. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.


    Состав вредоносной программы:

    Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.

    1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
    2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.


    Рекомендации в случае заражения:

    Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

    Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('%WinDir%\dmgr134.sys','');
     QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
     DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
     DeleteFile('%WinDir%\dmgr134.sys');
     BC_ImportALL;
     ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    Операционная система перезагрузится.

    Если предложенный скрипт не помог, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.


    Примеры жалоб на Trojan-Ransom.Win32.Agent.gc (Get Accelerator):

    Последний раз редактировалось NickGolovko; 23.10.2009 в 11:25.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    17
    Вес репутации
    55
    А как распространяется данный зловред?

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2009
    Сообщений
    1
    Вес репутации
    53
    скажите, пож-та, как можно проделать все манипуляции по лечению, если эта вредная прога не пускает в интернет?

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,698
    Вес репутации
    1837
    Семенова Елена,
    Логи можно на флешку копировать и отсылать с незараженного компьютера с выходом в и-нет.
    The worst foe lies within the self...

  6. #5
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для DVi
    Регистрация
    28.08.2006
    Адрес
    moscow
    Сообщений
    3,698
    Вес репутации
    2174
    Цитата Сообщение от Семенова Елена Посмотреть сообщение
    скажите, пож-та, как можно проделать все манипуляции по лечению, если эта вредная прога не пускает в интернет?
    Выполните Правила оформления запроса. Для скачивания указанных в Правилах программ воспользуйтесь любым незараженным компьютером, подключенным к сети Интернет, и перенесите их на свой компьютер с помощью флешки.

    Добавлено через 1 час 56 минут

    Внимание!
    Темы для оказания помощи следует создавать в разделе "Помогите".
    Вот пример: http://virusinfo.info/showthread.php?t=57849
    Последний раз редактировалось DVi; 21.10.2009 в 15:19. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Пусть буду третьим, но все же:
    Приходите к нам в "Помогите", логи с собою приносите.
    Рецепт, или скрипт в помощь получите и
    "Спасибо" скажите.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.06.2008
    Сообщений
    482
    Вес репутации
    134
    Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.

    1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
    2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
    А DLL внедряется драйвером? В интернете есть информация, что этот вирус связан с файлом "C:\WINDOWS\system32\winlogon.exe" - модифицирует его.

  9. #8
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    2
    Вес репутации
    53
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Семенова Елена,
    Логи можно на флешку копировать и отсылать с незараженного компьютера с выходом в и-нет.
    А можно загружать требуемые программы с зараженного компьютера, если загружаешься с измененной датой в BIOS?
    Спасибо.

  10. #9
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Можно. Но после этого приходите в "Помогите".
    Идентификатор одной из dll меняется.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  11. #10
    Junior Member Репутация
    Регистрация
    22.10.2009
    Сообщений
    2
    Вес репутации
    53
    А если Касперский находит вирус, удаляет его и при перезагрузке это окно уже не появляется, то инцидент исчерпан? или все же лучше перестраховаться и оформить запрос вам?

  12. #11
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    15.02.2009
    Сообщений
    13,205
    Вес репутации
    955
    Цитата Сообщение от jogod Посмотреть сообщение
    А если Касперский находит вирус, удаляет его и при перезагрузке это окно уже не появляется, то инцидент исчерпан? или все же лучше перестраховаться и оформить запрос вам?
    Не помешает

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Цитата Сообщение от nk_l Посмотреть сообщение
    А как распространяется данный зловред?
    К нам до сих пор не попал дроппер, поэтому точно сказать мы не можем. Некоторые пострадавшие утверждают, что переходили по предложенным им ссылкам; возможно, производились спам-рассылки со взломанных учетных записей в социальных сетях и интернет-пейджерах. В частности, по неподтвержденным данным, за несколько дней до начала эпидемического распространения Get Accelerator пользователям ICQ массово рассылались ссылки на вредоносное ПО для хищения учетных данных.

    Цитата Сообщение от bolshoy kot Посмотреть сообщение
    А DLL внедряется драйвером? В интернете есть информация, что этот вирус связан с файлом "C:\WINDOWS\system32\winlogon.exe" - модифицирует его.
    Сам файл winlogon.exe не затрагивается, просто это один из процессов, в которые внедряется вредоносная DLL. Драйвер же, судя по всему, предназначен для защиты библиотеки и ее восстановления в случае попыток уничтожить ее.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Nikkollo
    Регистрация
    13.03.2009
    Сообщений
    7,231
    Вес репутации
    453
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:
    ИМХО в скрипте прямые пути к файлам лучше заменить на макросы.
    Даже в самом пустом из самых пустых есть двойное дно © Пикник
    Вы можете отблагодарить нас так

  15. #14
    Junior Member Репутация
    Регистрация
    29.04.2009
    Сообщений
    17
    Вес репутации
    55
    NickGolovko, спс

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от nk_l Посмотреть сообщение
    NickGolovko, спс
    Спасибо можно нажать -

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Цитата Сообщение от Nikkollo Посмотреть сообщение
    ИМХО в скрипте прямые пути к файлам лучше заменить на макросы.
    Резонно. Отредактировал
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  18. #17
    Junior Member Репутация
    Регистрация
    23.10.2009
    Сообщений
    1
    Вес репутации
    53
    был у нас такой вирус..как ни странно но антивири не сильно помогли...сделали все вручную: удалили лишнюю библиотеку и переименовалм файл (удалить не дал). Потом перезагрузили и почистили авторан в реестре.

  19. #18
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.10.2009
    Сообщений
    15
    Вес репутации
    67
    Цитата Сообщение от NickGolovko Посмотреть сообщение
    на короткий номер 9099
    Так же и на номер 7122
    Так же изменили окно, установили флаг "поверх всех окон".
    Класс окна #32770
    Удачи!

  20. #19
    Junior Member Репутация
    Регистрация
    24.10.2009
    Сообщений
    1
    Вес репутации
    53

    Поймала такой скорее всего в инете

    Спасибо, помогли вылечить!!!

  21. #20
    Junior Member Репутация
    Регистрация
    26.05.2009
    Сообщений
    6
    Вес репутации
    55
    Всем спасибо.. принесли машинку с такой же проблемой..
    после выполнения скрипта файл dmgr134.sys остался (?), но затем удалился без проблем и больше не появился..
    еще раз спасибо!

Страница 1 из 3 123 Последняя

Похожие темы

  1. Get Accelerator (Trojan-Ransom.Win32.Agent.qn)
    От Grelloo в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 11.12.2009, 23:39
  2. Get Accelerator (Trojan-Ransom.Win32.Agent.gn)
    От dimini в разделе Помогите!
    Ответов: 6
    Последнее сообщение: 11.12.2009, 09:48
  3. uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb): описание и лечение
    От NickGolovko в разделе Вредоносные программы
    Ответов: 48
    Последнее сообщение: 30.11.2009, 23:09
  4. Get accelerator Trojan-Ransom.Win32.Agent.gn
    От stpjohn в разделе Помогите!
    Ответов: 9
    Последнее сообщение: 23.11.2009, 01:44
  5. Get Accelerator (Trojan-Ransom.Win32.Agent.gc)
    От timur68 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 23.10.2009, 16:42

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00296 seconds with 19 queries