Троян-вымогатель Download Manager

[igorgri]

Приходу позавчера домой с работы - опаньки - на флэшке папка Recycled появилась с файлами (никогда в корзину не удаляю) и на корне autorun.bat файлик. Ну дома у меня автозагрузка с флэшек и CD отключена, на днях убил NOD32 - поставил Avast!, куча программулек нашло в NOD32 два вредоносных файла в корневой папке программы (видно поэтому и не отлавливал, хотя обновлялся), думается домашние - все чисто, а значит надо рабочий смотреть.

 

Протестил с утра свежим Cureit и AVZ - нашло мелочь пузатую, типа файла подбора пароля, программы удаленного доступа. Ну ладно... Вставляю еще раз флэшку - опять появляются файлы левые.

 

Ну что, чистим темпы и перегружаем банку... И тут началось!!!

 

 

Выскакивает окно - типа вы нарушили лицензионное соглашение программы Download Manager, у вас 3 часа на оплату. Для этого отправьте SMS с кодом K********* на номер **** и введите полученный код...

 

Троян блокирует диспечер задач, msconfig тоже не запускается, проги типа World и Excel не запускаются (раньше можно было с помощью их гасить троян).

 

Проверял двумя дисками alkid CD, последний за 21.12.09, всем, что там было - нефига... Там Cureit и AVZ новые - тоже не лечат. Послали образцы вируса с флэшки в антивирусные лаборатории.

 

Утром дома скачал обновления - пошел на работу - не ловят... А вот Касперский следствия ловит - dll обозначает, как вирусняк... Но не прибивает причину появления.

 

Надоедло в конце концов - и пошел в рукопашную: Запустился с alkid, нашел все файлы, размером с зараженные библиотеки, переместил их в другие папки. А теперь внимание - заходим в Windows? набираем пароль входа, жмем Enter и быстро выдергиваем шнур ЛВС. Комп заходит, но новый вирус не закачивает и можно работать.

 

Жду новые версии баз антивирусов.

 

Да - не путать с "IMax Download Manager"

Изменено 30 декабря, 2009 пользователем igorgri

[Grax]

И это прекратится только когда вирописакам начнут отрубать руки. ;-)

[steal]

http://www.freedrweb.com/cureit/

скачай там маленький антивирус, у меня такое было...он помог))

[igorgri]

Да качал я cureit - пока на сегодня не прибивает заразу... Важно же не прибить dll которая расспространяет троян - а найти и исправить ту лазейку, которая подкачивает эту бяку при загрузке машины. Винда лицензионная, обновления уже достали, вместе с обновлением Windows сразу качается и обновление антивирусника ForeFront...

[bamer]

Восстановление системы помогает

 

Ну и еще вариант:

 

Для iLite сработала следущая закономерность -

 

«0» в тексте – «8» в коде

«1» в тексте – «9» в коде

«2» в тексте – «1» в коде

«3» в тексте -«2»

«4» в тексте – «3»

«М»в тексте – «3»

«5» в тексте – «4»

«6» в тексте – «5»

«7» в тексте – «6»

«8» в тексте – «7»

«9» в тексте – «8»

«К» в тексте – «1?

 

текст был К704713200, где К соответствовала цифре 1. То есть получается код активации 1683692188

Этот способ работает только при переведенном времени на 15.12.09

 

PS: надыбал на каком-то форуме..помогал через аську решить проблему.

[ssp]

ta je hren/ vse pochikala/

[SPRAIT]

иногда помогает изменить дату в биосе,и всё проходит

[кОСТЯ]

странно писал писа и текст не вижу. кароче все почикао, жалко дочин фотоальбом на рабочем столе.... помогииите починить не за бесплатно но срочно.

[igorgri]

Да что то ступил... Когда начали антивирусы находить в "System Volume Information" разные трояны и вирусы - грохнул эту папку, типа нормально же работает... А лишь затем начал кусать локти, после перезагрузки системы...

 

За код - спасибо, находил кода активации - не помогало, даже менял третью с концы цифирку... Скорее всего новый вариант

[Gremlin]

Приходу позавчера домой с работы - опаньки - на флэшке папка Recycled появилась с файлами (никогда в корзину не удаляю) и на корне autorun.bat файлик. Ну дома у меня автозагрузка с флэшек и CD отключена, на днях убил NOD32 - поставил Avast!, куча программулек нашло в NOD32 два вредоносных файла в корневой папке программы (видно поэтому и не отлавливал, хотя обновлялся), думается домашние - все чисто, а значит надо рабочий смотреть.

 

Протестил с утра свежим Cureit и AVZ - нашло мелочь пузатую, типа файла подбора пароля, программы удаленного доступа. Ну ладно... Вставляю еще раз флэшку - опять появляются файлы левые.

 

Ну что, чистим темпы и перегружаем банку... И тут началось!!!

 

 

Выскакивает окно - типа вы нарушили лицензионное соглашение программы Download Manager, у вас 3 часа на оплату. Для этого отправьте SMS с кодом K********* на номер **** и введите полученный код...

 

Троян блокирует диспечер задач, msconfig тоже не запускается, проги типа World и Excel не запускаются (раньше можно было с помощью их гасить троян).

 

Проверял двумя дисками alkid CD, последний за 21.12.09, всем, что там было - нефига... Там Cureit и AVZ новые - тоже не лечат. Послали образцы вируса с флэшки в антивирусные лаборатории.

 

Утром дома скачал обновления - пошел на работу - не ловят... А вот Касперский следствия ловит - dll обозначает, как вирусняк... Но не прибивает причину появления.

 

Надоедло в конце концов - и пошел в рукопашную: Запустился с alkid, нашел все файлы, размером с зараженные библиотеки, переместил их в другие папки. А теперь внимание - заходим в Windows? набираем пароль входа, жмем Enter и быстро выдергиваем шнур ЛВС. Комп заходит, но новый вирус не закачивает и можно работать.

 

Жду новые версии баз антивирусов.

 

Да - не путать с "IMax Download Manager"

 

Появилась как раз тогда когда я винду собрался переустанавливать.Переустановил винду и удалил файл с которого по моему мнению все началось.Это сообщение появилось только когда я после неудачного запуска програмки перезагрузил комп.

[igorgri]

Костя - грузись с Alkid CD

 

http://rapidshare.com/files/324470143/For_CD_Full.part1.rar

http://rapidshare.com/files/324470038/For_CD_Full.part2.rar

http://rapidshare.com/files/324470197/For_CD_Full.part3.rar

http://rapidshare.com/files/324470194/For_CD_Full.part4.rar

http://rapidshare.com/files/324469289/For_CD_Full.part5.rar

 

находи в темпах кучу dll с одинаковыми размерами и датой и прибивай все файлы такого размера. У меня было в system32, ServicePack и еще в 3-х директориях uninstall

 

После этого стало возможно хоть с обманом заходить в сеть.

[кОСТЯ]

яб все сделал сам еслиб знал что да как, поэтому и прошу помощи, сечас с бука сижу

[ssp]

Мне в Элисте почикали за 400 руб. Возились с 10-30 до 19-00. Оцените реально свои силы.

Смысл работы по этому виурсу можно прочитать ели набрать в поисковике фразу "Вы нарушили лицензионное соглашение...."

Там есть форум где-то компьютерный. Удачи.

[ssp]

a y kosti voobshe tolko formatirovat

[igorgri]

я тебе ссылки скинул - скачай это все, потом распакуй в одну папку, Чтобы был файл с расширением iso, его надо нарезать при помощи Nero на CD. В компе зараженном вставляешь данный диск в дисковод и запускаешься. Если не запускается с него - то надо залезть в BIOS и включить первым запуск с CD - DVD. В принципе возни много конечно, если что - выходи на меня завтра, может подвезешь на работу, парня на тебя переключу -поможет

[Stitch]

два дня мучал ноут с этой проблемой, с отрывом на основную работу

Способ решения:

1. Качаем ERD Commander пишем на диск

2. на флэшку качаем с инета AVZ, обновляем

3. Качаем Kaspersky Virus Removal Tool 2010, распаковываем и переписываем на флэшку

4. Грузимся с диска ERD Commander, выбираем загрузку с диска С:

5. Запускаем Autoruns убираем все лишнее, типа sdra64.exe, смотрим кароче что не нравиться и убиваем

6. Запускаем Kaspersky Virus Removal Tool 2010 - все удаляем что находит

7. Проверяем все dll на размер 133 664 байт

8. Запускаем AVZ Файл - Восстановление системы - Разблокировать реестр и диспечер задач

9. Перегружаемся

 

новые базы у каспера уже есть

просто надо не забывать обновляться

[Stitch]

чтоб флэшка определилась в ERD Commander надо ее подключить до включения компа Изменено 30 декабря, 2009 пользователем L-Temin

[TzAr]

Мою систему тоже эта фигня сожрала. Только что переустановил винду. Жалко сохраненки в resident evil. Остальное на одном диске с виндой никогда нге храню.

[eFFect]

http://news.drweb.com/show/?i=304

постоянно лечу друзей с этой ссылки.

Меня еще ни разу не подводило.

[igorgri]

7. Проверяем все dll на размер 133 664 байт

 

Не суть, у меня было 143 с копейками. Поэтому и написал - смотрим, что на флэшку кидает и ищем с такой же длинной. Кстати, у меня и exe файлик был с такой длинной.

 

новые базы у каспера уже есть

просто надо не забывать обновляться

 

На момент написания качал и сканер каспера - на ту фигню, которая была у меня данных на вечер вторника не было.

 

Судя по несовпадению размера - у Вас более старый вирусняк, который лечиться просто. Запускается Word, корректируется файл, нажимаем завершить работу, не сохраняя файл. Word руганется и спросит действия. Нажимаем - "отменить". В результате вирус из памяти компа выгружается, а вы можете работать дальше.

 

В последней версии такое не проходит

 

3. Качаем Kaspersky Virus Removal Tool 2010, распаковываем и переписываем на флэшку

 

Пардон - фиг что он находит... На вечер вторника.

 

Мы вирус Касперскому, Dr.Web и AVZ во вторник днем переслали. Как раз dll-ки...

[igorgri]

Вчера скачал в 18 CureIT, вот он показал, что после всех проверок sdra64.exe в папке system32 заражен Trojan.PWS.Panda.171 Изменено 31 декабря, 2009 пользователем igorgri

[igorgri]

Ура!!! Победа!!! После перезагрузки ничего не выскочило!!!

[кОСТЯ]

Игорь, а с синим экраном это уже всё? капец? както можно хотябы фотки спасти с диска "С"

[Stitch]

фотки можно спасти, просто винт к другому компу подключаешь и сливаешь всю инфу

 

Не суть, у меня было 143 с копейками. Поэтому и написал - смотрим, что на флэшку кидает и ищем с такой же длинной. Кстати, у меня и exe файлик был с такой длинной.

 

 

 

На момент написания качал и сканер каспера - на ту фигню, которая была у меня данных на вечер вторника не было.

 

Судя по несовпадению размера - у Вас более старый вирусняк, который лечиться просто. Запускается Word, корректируется файл, нажимаем завершить работу, не сохраняя файл. Word руганется и спросит действия. Нажимаем - "отменить". В результате вирус из памяти компа выгружается, а вы можете работать дальше.

 

В последней версии такое не проходит

 

 

 

Пардон - фиг что он находит... На вечер вторника.

 

Мы вирус Касперскому, Dr.Web и AVZ во вторник днем переслали. Как раз dll-ки...

 

У меня была новая версия

Я пробовал запускать ворд, но вирус его блокировал, запустил вордпад и попытался выключить, но не помогло, вирус висел

Окошко убиралась очень просто, для каких либо небольших манипуляций, просто запускал установка/удаление программ и окно пропадало

До меня 2 системщика боролись с ним, но не смогли

у меня не было файлов 133 664 байт

и файл sdra64.exe был прописан только реестре, но сам файл я так и не нашел

Я касперского скачивал около 19-00, за час он весь диск проверил и все нашел

[igorgri]

С Костей договорились, все спасем... У меня сотрудник спасал мужику винт с потерянной инфой, но само собой там деньги были совсем другие...

 

окно то убирается просто - оно тоже убиралось, но вот многое не запускалось...

 

sdra64.exe - у меня в реестре нет такого файла, сейчас пройдусь по файликам, где такая шняга прописана...