Ну автор то может и решил проблему, а для других она весьма актуальна. Тем более эти трояны-вымогатели постоянно модифицируются, и бороться с ними всё сложнее и сложнее (на первых версиях окно можно было закрыть по Alt+F4).
Как вариант решения проблемы - установить виртуальную машину (WMVare, Virtualbox и др.) и уже на виртуалку накатить Линукс - тот же Ubuntu например, и лазить в инет с него. [Ответ]

тогда уж Win7 и браузер запущенный ы XP Mode) [Ответ]

Сообщение от altmax:
трояны-вымогатели постоянно модифицируются, и бороться с ними всё сложнее и сложнее

О чем и речь, все эти советы из серии "загрузиться в безопасном режиме, запустить антивирь" это все мертвому припарки. Пока к "докторам" не попадет образец трояна никакой антивирь не поможет. А так как многие решают проблему переустановкой, а не поиском и уничтожением зловреда (и их нельзя винить, не все пользователи - компьютерные гуру), то и появление решения затягивается.

Сообщение от altmax:
Как вариант решения проблемы

Прекратить работать под админом. Без админских прав трояны-вирусы мало чего могут. [Ответ]

Сообщение от Part!zan:
троян не определялся антивирями, в безопасном режиме он тоже работал

Мало того, он блокировал восстановление системы, диспетчер задач, менеджер процессов и антивирусы, установленные на компе, в частности CureIt и MacAfee. С загрузочной флехи не определялся LiveCD и каспером. Правда, базы касперы были устаревшие. Не спорю, может со свежими базами и нашел бы.

ЗЫ. Лазайте в инет из Линукса, и будет вам счастье. [Ответ]

кстати недавно совершенно попадался подобный свежий "мерзавец"
докторвеб о нем знал уже на следующий день, симантек его добавил только через два дня(при обнаружении он был отослан в симантек)

лежал кстати в корне программ филес, назывался plugin.exe [Ответ]

Сообщение от Part!zan:
О чем и речь, все эти советы из серии "загрузиться в безопасном режиме, запустить антивирь" это все мертвому припарки. Пока к "докторам" не попадет образец трояна никакой антивирь не поможет. А так как многие решают проблему переустановкой, а не поиском и уничтожением зловреда (и их нельзя винить, не все пользователи - компьютерные гуру), то и появление решения затягивается.


Прекратить работать под админом. Без админских прав трояны-вирусы мало чего могут.

антивирус кстати помог....... [Ответ]

есть вымогатели блокируют все.антивирус незапустишь(он блокирует антиврус) - в любом режиме.если попался с запуском в безопаске - вам повезло
как вы думаете для чего в дрвебере сделали страницу подбора кода ? [Ответ]

Инфа по теме:

Сообщение от :
Не знаю, поможет ли вам это, и тем более не претендую на исключительность метода, но работать это должно — была схожая ситуация. Сначала проверяете каспером с последними базами на другом компе — если лечит — радуетесь, если нет — читаете дальше. В общем грузитесь с чего — нибудь, что есть под рукой — liveCD я не пробовал, у меня ubuntu есть установленная — на вирусы на ней пох. Заходите на 'тот самый' порносайт или еще куда, где вы эту заразу поймали и стараетесь поймать живой 'экземпляр' этой заразы — обычно это trojan — dropper — в виде .exe или еще чего нибудь. Можете погуглить по имени файла, если помните его — возможно найдется на файлообменниках. Находите. Не пытайтесь его устанавливать — отравьте на исследование касперу. В моем случае через несколько часов пришел ответ :

Сообщение от :
Наряду с номером 7122, мошенники часто используют номера 4460, 3649, 9693, 9690, 6008, 4124. Приводим список стоимостей этих номеров и биллингов.

* номера 4460, 3649 — 250 руб. Обслуживают А1 Агрегатор, СМС Рент

* номер 4124 — 250 руб. Обслуживает SMS-Доступ

* номер 6008 — 220 руб. Обслуживает GoldFon, NwBill

* номера 9693, 9690 — 220 руб. Обслуживает SmsRate

Сообщение от :
Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.


8-9 и 15-16 декабря 2009 года зафиксированы всплески активности нового троянского вымогателя.

Наименование:
Packed.Win32.Krap.w (Лаборатория Касперского)

Самоназвание:
iMax Download Manager или iLite Net Accelerator

Симптомы:
Как и в случае заражения Get Accelerator (Trojan-Ransom.Win32.Agent.gc) или uFast Download Manager (Trojan-Ransom.Win32.SMSer.qm, Trojan.Win32.Agent.dapb), на Рабочем столе жертвы появляется изображение с надписью, сообщающей, что нормальная работа операционной системы блокирована в связи с нелицензионным использованием программы "iMax Download Manager" или "iLite Net Accelerator". Вредоносное ПО предлагает пользователю отправить SMS-сообщение с определенным текстом на короткий номер 3649.

http://www.rublya.net/uploads/posts/...x_0e61f5dc.jpg

Вредоносное ПО также выполняет следующие действия:

1) препятствует запуску Диспетчера задач и Редактора реестра
2) навязчиво отображает баннер или перезагружает ОС при попытке запуска каких-либо приложений
3) препятствует загрузке ОС в безопасном режиме
4) противодействует запуску антивирусных инструментов
5) дезактивирует Восстановление системы Windows

Состав вредоносной программы:Типичный образец вредоносного ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w) состоит из нескольких библиотек (DLL) со случайным именем, размещающихся в папке %system32%, размером около 130 килобайт (размер варьируется в зависимости от конкретного образца). По косвенным данным, в системе может присутствовать также исполняемый файл %system32%\sdra64.exe.

Внимание! По многим форумам широко распространились непрофессиональные советы об удалении всех библиотек .dll с опредлённым размером *** кб. из папки %system32%. Этого делать ни в коем случае нельзя!!! Такой же размер имеют множество системных файлов. Их удаление может привести к "падению" Windows.
Так же данным способом не исправляются некоторые патченные зловредом драйвера. Возможны различные остаточные явления: отсутствие звука, отсутствие сети и прочее.

Рекомендации в случае заражения:Если ваш ПК заражен вредоносным ПО iMax Download Manager или iLite Net Accelerator (Packed.Win32.Krap.w), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Так как имя вредоносных компонентов формируется случайным образом, а основные антивирусные инструменты не запускаются, скрипт AVZ для удаления типичного представителя данного ВПО не может быть сформирован. В большинстве случаев уничтожение основных составляющих вредоносной программы возможно при помощи представленной ниже последовательности действий:

* * *

1) Загрузить и сохранить на диск установочный пакет антивирусной лечащей утилиты AVPTool от Лаборатории Касперского (описание см. здесь: http://support.kaspersky.ru/viruses/avptool2010?level=2, ссылка для загрузки: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ );
2) Подготовить загрузочный компакт-диск, позволяющий загружать ПК с обход ОС Windows и запускать лечащие утилиты (подробнее о создании и использовании LiveCD см. здесь: http://virusinfo.info/showthread.php?t=15927 ), или попытаться войти в пораженную ОС при помощи другой учетной записи;
3) Запустить утилиту AVPTool и провести полное сканирование ПК;
4) Перезагрузить компьютер.

* * *

Обращаем ваше внимание на то, что уничтожение вредоносных DLL при помощи AVPTool не позволяет полностью излечить пораженную ОС. После сканирования и перезагрузки мы настоятельно рекомендуем вам пройти остаточное лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса (http://virusinfo.info/pravila.html).

Если по каким-либо причинам у вас нет возможности выполнить представленные выше рекомендации (к примеру, инфицированный ПК не имеет CD-привода), то вы можете обратиться в службу поддержки поставщика, обслуживающего указанный на баннере вредоносного ПО короткий номер, с просьбой выдать вам код разблокирования. Согласно данным компании МТС (http://www.mts.ru/services/short_numbers/3649), наиболее часто используемый мошенниками номер 3649 принадлежит поставщику "Контент-провайдер Первый Альтернативный, ЗАО"; по сведениям, имеющимся в распоряжении VirusInfo, техническая поддержка указанного поставщика достаточно оперативно отвечает на запросы пользователей и с готовностью выдает им соответствующие коды разблокирования.


Вы также можете воспользоваться сервисом разблокирования компьютера, любезно предоставленным Лабораторией Касперского http://virusinfo.info/deblocker/
После разблокирования необходимо провести полноценное лечение по нашим "Правилам (http://virusinfo.info/showthread.php?t=1235)"

Примеры жалоб:http://virusinfo.info/showthread.php?t=62862
http://virusinfo.info/showthread.php?t=62903
http://virusinfo.info/showthread.php?t=62937
http://virusinfo.info/showthread.php?t=62957
http://virusinfo.info/showthread.php?t=62981

http://virusinfo.info/showthread.php?t=63396
http://virusinfo.info/showthread.php?t=63565
http://virusinfo.info/showthread.php?t=63722
http://virusinfo.info/showthread.php?t=63791
http://virusinfo.info/showthread.php?t=63827

А вот отчего бы не штрафовать эти гр****ые агрегаторские компании, чтобы смотрели, кому сдают в аренду короткие номера? [Ответ]

Teddybear, имхо, эта информация только для органов полезна. Но они предпочитают ловить "пиратов"... (Это я про стоимость) [Ответ]

Привет всем ! я тож поймал хрень которая шантажирует , пришли смс и порно в розовом цвете п пол экрана ........ [Ответ]

Альберт Клячкин,
По этому поводу отдельная тема была, про порнобаннер. Там все проще лечится - удалением dll-ки и правкой соответствующего ключа реестра.

http://www.vrn123.ru/index.php?optio...id=16&Itemid=2 [Ответ]

Ловил я такую хре... вылечил с помощью AVPTool и скрипта, другие способы оказались бесполезными. Благо на компе стояла Ubuntu 9 с помощью которой в инете нашел всю инфу по удалению этой заразы. Правда пару дней помучился, хотеол уже винду переставлять.
А вообще это новый тип вирусов который не содержит вирусного кода, а полностью похож на нормальную рабочую программу по этому его антивирусы и не находят. В инете есть много статей про новый тип вирусов. [Ответ]

в субботу удалял товаришу. Запустил ProcessExplorer нашел подозрительный процесс и убил. После этого убил саму программу (она видна в ProcessExplorer). Все. [Ответ]

Сообщение от Stick_ch:
А вообще это новый тип вирусов который не содержит вирусного кода, а полностью похож на нормальную рабочую программу по этому его антивирусы и не находят

вирус, который не содержит вирусного кода - не вирус. Если программа совершает какие либо вредоносные действия, то один хрен ее занесут в базы, по первой жалобе... [Ответ]

Сообщение от X0R:
вирус, который не содержит вирусного кода - не вирус. Если программа совершает какие либо вредоносные действия, то один хрен ее занесут в базы, по первой жалобе...

Занести то её занесут, но скорее всего добавят новую классификацию, методы поиска и лечения [Ответ]

X0R, не все зловреды можно вот так просто взять и занести в базы. Потому что сигнатурный анализ, который преимущественн используется в антивирях, для них малоэффективен. Например, это относится ко всяким компилируемым скриптам, типа AutoIt. [Ответ]

Part!zan, у них и на этот случай есть свои способы IMHO [Ответ]

Сообщение от joff:
Запустил ProcessExplorer

Какая-то чахлая разновидность заразы тебе попалась.. Мой не давал запускать ни менеджер процессов, ни диспетчер задач, ни mscohfig [Ответ]

X0R, у мну есть троян, которому уже не один месяц. Большинство антивирей его определяют как потенциально опасное ПО без указания конкретного имени. сделан он на autoit, я потратил 3 дня чтобы его расковырять полностью. [Ответ]

Два раза такую хрень ловил. Сносил винду нафик и не морочил себе голову.

ЗЫ А подцепил я эту хренотень "в контакте", когда по предложению обновить свой флеш плеер в опере, скачал там по данной ссылки exe-шник и установил - потом какой-то щелчок из системника и трендец [Ответ]

Part!zan, если не ошибаюсь, то экзешники сгенерированные autoit можно распаковать с помощью 7-zip, а пароль для распаковывания можно в коде экзешника найти. Хотя хз, я такие трои не копал(

Сообщение от :
А подцепил я эту хренотень "в контакте", когда по предложению обновить свой флеш плеер в опере, скачал там по данной ссылки exe-шник и установил

2 раза устанавливал для точности эксперимента? [Ответ]

Сообщение от X0R:
экзешники сгенерированные autoit можно распаковать с помощью 7-zip, а пароль для распаковывания можно в коде экзешника найти

Не, ты с nsis, наверное, спутал. Распаковщик для autoit свой собственный. Но это не главное. Код обфусцируется, строки шифруются. В общем, восстановить исходный код было нелегко. [Ответ]

Сообщение от Part!zan:
Не, ты с nsis, наверное, спутал

не. Посмотри экзешник сгенреный аутоитом с помощью PEID, скажет что на делфи написан? Если да - то я копал именно аутоит. [Ответ]

X0R, peid говорит, что UPX. А после распаковки UPXом - что VC++ 6.0 [Ответ]

сейчас пытаюсь убить вирусец wwwpos32.exe так он назывался первоначально ?

после файл вируса переименовался в rundll.exe и запускался при нажатии
а теперь требует смс на 4440 к208815700

вобщем код 544625144 вводишь ,проверка кода, потом комп перегружается и нужно скачать и запустить IObit Security 360

http://www.iobit.com/

другими прогами ничего не обнаружено !

есть еще утилита spywareterminator
http://www.spywareterminator.com/





ВООБЩЕМ эти вирусы сидели в папке %SystemRoot%\Temp


и чуть в реестре

|Name|Type|Description|ID|
Hijack.ADSpy, Registry Value, HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer Value=ForceClassicControlPanel, 4-20324 [Ответ]

У др.Веба не спрашивал? http://www.drweb.com/unlocker/index/?lng=ru [Ответ]

точно такой же баннер вчера удалил кодом 4928335322. heil dr web! [Ответ]

Сообщение от ANDREUS:
ВООБЩЕМ эти вирусы сидели в папке %SystemRoot%\Temp

я тебя, наверное, огорчу, но это не вирусы. а программа, которая говорит, что это вирусы, сама им и является. [Ответ]

Сообщение от karsaz:
karsaz.ucoz.ru

тухлая реклама и тухлый сайт...
RansomHide надо юзать [Ответ]

Сам пострадал от такой хни, жена словила классический порнобаннер с обновлением винды, благо был "легкой" версией и тупо вылечился через запуск в сэйф режиме, запуском антивирия и чисткой реестра. А вот у соседа пару днями ранее получилась более жесткая хня. Винда залочилась полностью, ни запуск дисп. задач ни безопасный режим не работали. Снял винт, поставил себе. Протестил антивирем, ничего не нашел. Тогда еще в реестр не лазил, думал усе format C:\ благо там только винда. На следующий день, запустил на всякий пожарный антивир, ба тот нашел виря в паре файлов, причем в базу он попал всего несколько часов назад, файлы с вирями снес, полез в реестр, там все эти файлики сидели как обычно либо в RUNe либо в current user\software\microsoft\windows\currentversion\RUN либо в local machine\\\windowsnt\currentversion\winlogo\ и смотрим там не предмет лишних записей. Вот здесь вроде как хорошо описана стратегия убиения сиих нехороших вирусняков: http://kondrv.ru [Ответ]