Страница 1 из 10 12345 ... Последняя
Показано с 1 по 20 из 191.

iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w): описание и лечение

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1838
    Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
    Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.



    8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

    Наименование:
    Packed.Win32.Krap.w (Лаборатория Касперского)

    Самоназвание:
    iMax Download Manager или iLite Net Accelerator

    Симптомы:
    Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc) или uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер 3649.



    Вредоносное ПО также выполняет следующие действия:

    1) препятствует запуску Диспетчера задач и Редактора реестра
    2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
    3) препятствует загрузке ОС в безопасном режиме
    4) противодействует запуску антивирусных инструментов
    5) дезактивирует Восстановление системы Windows
    Состав вредоносной программы:
    Типичный образец вредоносного ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe.

    Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
    Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.

    Рекомендации в случае заражения:
    Если ваш ПК заражен вредоносным ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

    Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

    * * *

    1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
    2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
    3) Запустить утилиту AVPTool и провести полное сканирование ПК;
    4) Перезагрузить компьютер.

    * * *

    Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.

    Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС, наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


    Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского http://virusinfo.info/deblocker/
    После разблокирования необходимо провести полноценное лечение по нашим "Правилам"

    Примеры жалоб:
    Последний раз редактировалось Shu_b; 20.01.2010 в 14:16.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    1
    Вес репутации
    53
    Спасибо огромное мучался два дня с этим iMAX`сом, но Ваш способ сработал.

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    12
    Вес репутации
    53
    А я у себя руками sdra64 убил... Dr. web определял его как «Panda». Не знал, что он еще не всеми антивирусами определялся.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от esslmik Посмотреть сообщение
    К стати дллки сохранил, при необходимости могу выложить для анализа.
    Как поделиться написано там: http://virusinfo.info/showthread.php?t=37678

  6. #5
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    2
    Вес репутации
    53
    Попался ещё один комп, зараженный iMax Download Manager
    Скорее всего, это уже его вторая модификация:
    1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
    2) в %system32% всё чисто
    3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
    rx.bat - 65 байт с текстом
    Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start
    и w.bat - 61 байт с текстом
    Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open
    , которые запускают две dll-ки соответственно. Обе размером 135 198 байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
    4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

    Лечение:
    1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\имя пользователя\Local Settings\Temp\
    2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
    3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
    4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
    P.S. Редактор реестра не был заблокирован
    Последний раз редактировалось New Angel; 10.12.2009 в 14:29.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    Цитата Сообщение от New Angel Посмотреть сообщение
    1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
    Говорят что такой алгоритм подходит:
    По поводу кодов если программа просит ввести к примеру М204111300 у меня было так то в строку ввода кода деактивации вводим 4294111399, тоесть подставляем по маске:

    М204111x00 4294111x99

  8. #7
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    1
    Вес репутации
    53
    Внимание важная информация :-)
    Номер 3649 принадлежит компании http://www.a1agregator.ru/
    если позвонить (или написать) в тех. поддержку и описать проблему
    они скажут код.
    Мне помогло только это
    Описанные выше методы лечения - не прокатили.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Информация от пострадавших и отправивших SMS-сообщение:
    При отправке 10 рублей - снимается 300 рублей.

  10. #9
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    Цитата Сообщение от SDA Посмотреть сообщение
    Информация от пострадавших и отправивших SMS-сообщение:
    При отправке 10 рублей - снимается 300 рублей.
    и что? вирус уходит?

    у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Ksi2 Посмотреть сообщение
    и что? вирус уходит?

    у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.
    Не уходит Концы остаются, нет гарантии, что не попадет повторно, или его новая разновидность. Зачищаться надо в разделе "Помогите".
    Насчет отправки 10 рублей - это простой психологический расчет - 10 рублей не деньги, а вот насчет 300 еще надо подумать. Кроме того, практически у каждого есть на счете сумма в размере 10 рублей, а 300 может и не оказаться.
    "Без лоха и жизнь плоха, а с миру по нитке нищему рубаха"

    Добавлено через 15 минут

    Цитата Сообщение от Ksi2 Посмотреть сообщение
    и что? вирус уходит?

    у меня тут вот вирус в процессе отстрела свернулся, осталась только ссылка в реестре. всё блоки снялись.. потом выловил sdra64.exe из %\system32\ и из %\текущий юзер\aplication data\temp\. вроде всё чисто всё работает... жду что будет дальше.
    После перезагрузки все может повториться, пример - http://forum.kaspersky.com/index.php?showtopic=148667
    Поэтому настоятельно рекомедую обратиться в раздел "Помогите". Других, кто занимается самолечением, это тоже касается.
    Последний раз редактировалось SDA; 10.12.2009 в 17:49. Причина: Добавлено

  12. #11
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
    а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))

  13. #12
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    1
    Вес репутации
    53
    а есть какая-нибудь инфо как оно распространяется?

  14. #13
    Junior Member Репутация
    Регистрация
    10.12.2009
    Сообщений
    1
    Вес репутации
    53
    а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня

  15. #14
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    cryker, хард проверь. потом лезь в реестр через тотал, например, и по адресам
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System]
    "DisableRegistryTools"="1 перепиши на "0"
    и там же будет Task Manager. тоже присваиваешь "0".

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Ksi2 Посмотреть сообщение
    SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
    а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))
    Мое дело порекомендовать, а остальное пусть смотрят безопасники в "большой организации"
    Мои рекомендации по обращению в раздел "Помогите" касается обычных пользователей, без крыши "большой организации, с большой кучей безопасников". Хотя порой один опытный админ, умнее и профессиональнее "этой большой кучи" бывших ментов
    А насчет прохождения смс, можно еще раз проверить самому после перезагрузки
    Большой флаг в руки!

    Еще раз рекомедую, кто читает этот пост, не слушать всякие "недоделанные, некомпетентные советы" самоучек, а обратиться к профессионалам в раздел "Помогите". Будет гораздо проще и дешевле потраченной нервной энергии.

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    12.05.2009
    Сообщений
    43
    Вес репутации
    96
    Цитата Сообщение от cryker Посмотреть сообщение
    а подскажите что я еще не сделал, если у меня запускаются экзешники и антивир, но незапускаются редактор реестра и диспетчер задач и вопрос про распространение тоже очень интересует... стоит приверять 500 гиговый хард внешний, который был подключен все время последние 3 дня
    Используйте AVZ , Файл -> Восстановление. Не всегда стоит лазить в реестр руками.
    Последний раз редактировалось anton_dr; 11.12.2009 в 07:39. Причина: Уже есть в первом сообщении

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Jolly Rojer
    Регистрация
    15.12.2004
    Адрес
    Россия,Новосибирск
    Сообщений
    989
    Вес репутации
    304
    Цитата Сообщение от Ksi2 Посмотреть сообщение
    SDA, у нас большая организация) и куча безопасников сидит) они деньги не просто так получают
    а по поводу "проходит ли после смс", мне так, интересно было насколько честный автор)))))
    Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
    А SDA Вам правильно сказал!
    Начинающим КуЛьХаЦкЕрАм, а так же продвинутым! - http://www.uk-rf.com/glava28.html

  19. #18
    Junior Member Репутация
    Регистрация
    09.12.2009
    Сообщений
    6
    Вес репутации
    53
    Цитата Сообщение от Jolly Rojer Посмотреть сообщение
    Вот именно, что сидит! И деньги видимо на все 100% они не отрабатывают! Если бы не сидели , а работали врятли Вы задали этот вопрос!
    А SDA Вам правильно сказал!
    Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились

    просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3189
    Цитата Сообщение от Ksi2 Посмотреть сообщение
    Нет, ну то что я смс не собирался отсылать =) да и вирус выгнали)) Самоучка я или нет, но с задачей справились

    просто я не подумал честно говоря, что для некоторых попытка редактирования реестра может плачевно окончится) так что, господин модератор, каюсь...
    Это не только редактирование реестра. Хелперы в разделе "Помогите" к каждому случаю заражения, даже одним и тем же зловредом, подходят индивидульно, с учетом проведенной диагностики зараженной системы. То, что помогло юзеру "Васе" и он на радостях опубликовал свой способ, может не помочь юзеру "Пете".
    И здесь профессионально может помочь только специалист.
    Это впрямую касается любителей давать непрофессиональные советы.
    Ресурс virusinfo.info не несет ответственности, перед теми пользователями, которые следуют непрофессиональным советам, а не обращаются в раздел "Помогите" и в результате убивают свою машину.

  21. #20
    Junior Member Репутация
    Регистрация
    11.12.2009
    Адрес
    Украина
    Сообщений
    1
    Вес репутации
    53
    у нас на сервере инета тот же вирус, через загрузочный диск как написано в первом посте, не удается установить AVPTool. Не работают ни редактор реестра, ни диспетчер задач. И кстати инет раздается у нас с помощью прокси UserGate - так вот он тоже не открывается, хотя работает. Никаких подозрительных bat-файлов не нахожу, только стандартные и юзергейтовские (запускают обычные dll-ки)... Даже не знаю как вылечить систему

Страница 1 из 10 12345 ... Последняя

Похожие темы

  1. Последствия Get Accelerator или iMax Download Manager
    От Groomsha в разделе Помогите!
    Ответов: 1
    Последнее сообщение: 18.01.2010, 22:00
  2. Ответов: 5
    Последнее сообщение: 14.01.2010, 10:55
  3. Imax download manager (Packed.Win32.Krap.w)
    От Zvezd в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 16.12.2009, 15:51
  4. Последствия Packed.Win32.Krap.w (iMax Download Manager)
    От abooka в разделе Помогите!
    Ответов: 11
    Последнее сообщение: 16.12.2009, 14:39
  5. Ответов: 0
    Последнее сообщение: 08.12.2009, 22:19

Метки для этой темы

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.01245 seconds with 19 queries