19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.
Наименование:
Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
Также известен как:
Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Trojan.Winlock.366 (DrWeb)
Самоназвание:
Get Accelerator
Симптомы:
На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом
Код:
acv<набор цифр>
на короткий номер 9099. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.
Состав вредоносной программы:
Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Операционная система перезагрузится.
Если предложенный скрипт не помог, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.
Примеры жалоб на Trojan-Ransom.Win32.Agent.gc (Get Accelerator):
http://virusinfo.info/showthread.php?t=57597
http://virusinfo.info/showthread.php?t=57628
http://virusinfo.info/showthread.php?t=57672
http://virusinfo.info/showthread.php?t=57683
http://virusinfo.info/showthread.php?t=57860
http://virusinfo.info/showthread.php?t=57849
Если ничего не помогло:
Есть возможность деинсталяции.
Вопрос решается просто, нужна программа jv16 Power Tools, подойдёт даже триальная версия!
После установки выбираем в jv16 Power Tools пункт - Диспетчер Программ, находим в нём GA / Get Accelerator,
ставим возле него галочку и нажимаем кнопку - деинсталировать.
После деинсталяции нужно перезагрузить компьютер.
Вот и всё...
P.S. не пытайтесь найти Get Accelerator в установке/удалении программ Windows, так как он тщательно скрыт!
И будет неплохо, если после удаления Get Accelerator, вы почистите реестр Windows и просканируете систему на вирусы!!!
Информация с http://virusinfo.info/showthread.php?t=57724
Добавлено через 1 час 21 минуту 57 секунд
Вот Он, враг!!! Новая разновидность его.
Наименование:
Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
Также известен как:
Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Trojan.Winlock.366 (DrWeb)
Самоназвание:
Get Accelerator
Симптомы:
На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом
Код:
acv<набор цифр>
на короткий номер 9099. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.
Состав вредоносной программы:
Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
Рекомендации в случае заражения:
Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Операционная система перезагрузится.
Если предложенный скрипт не помог, вам необходимо будет пройти лечение на VirusInfo, подготовив протоколы исследования системы в соответствии с Правилами оформления запроса.
Примеры жалоб на Trojan-Ransom.Win32.Agent.gc (Get Accelerator):
http://virusinfo.info/showthread.php?t=57597
http://virusinfo.info/showthread.php?t=57628
http://virusinfo.info/showthread.php?t=57672
http://virusinfo.info/showthread.php?t=57683
http://virusinfo.info/showthread.php?t=57860
http://virusinfo.info/showthread.php?t=57849
Если ничего не помогло:
Есть возможность деинсталяции.
Вопрос решается просто, нужна программа jv16 Power Tools, подойдёт даже триальная версия!
После установки выбираем в jv16 Power Tools пункт - Диспетчер Программ, находим в нём GA / Get Accelerator,
ставим возле него галочку и нажимаем кнопку - деинсталировать.
После деинсталяции нужно перезагрузить компьютер.
Вот и всё...
P.S. не пытайтесь найти Get Accelerator в установке/удалении программ Windows, так как он тщательно скрыт!
И будет неплохо, если после удаления Get Accelerator, вы почистите реестр Windows и просканируете систему на вирусы!!!
Информация с http://virusinfo.info/showthread.php?t=57724
Добавлено через 1 час 21 минуту 57 секунд
Вот Он, враг!!! Новая разновидность его.
