» Вирус Get-Accelerator

У клиента решил проблему так:

1) Загрузился с BartPE и удалил файл dmgr134.sys
2) Рековери винды...


P.S.: После удаления файла в нормальном и безопасном режиме - "синий экран 7В"
поэтому надо делать рековери...

P.S.S: сегодняшний CureIt тоже его пока не видит....

Эта зараза размножается при помощи авторана.inf, и той длинной ddl-ки, сует их куда не поподя, мне засунула на флешь, но от туда на другую машину не переехало..
Сейчас попробую его убить и если получится напишу. (благо машина не моя, а то эта зараза затыкает сеть на машине напроч)

Странные люди, уже давно есть от панды ЮсбВакцин которая подсаживает на флеку авторан.инф который не выдирается никак кроме формата. Иногда прикольно наблюдать как во флешку ломятся на запись вирусы с зараженного компа и ругаются что не могут записаться А что делать? Приходится иногда и в зараженый тыкать.
Дабы не трендеть попусту вот ссылка куда кинул:
http://гз-ашдуюсщь/download/6300.6b90aa8b679e981940fc4f66f
поменять на англ.

я с этой дрянью сёня столкнулся, CureIT ничем не помог. Выдернул винт, подоткнул на рабочую машину, заменил Winlogon в system32 и dllcache, удалил ту самую длинную dll-ку из Windows и оттуда же dmgr134.sys. После перезагрузки виря нет

BarsukovAV
У меня лично, не получается там написать не одного поста. Что-то я ему не нравилюсь

alextaged
Скорее всего, У вас зборка кого нибуть, хотя вряд ли, попробуйте скачать оригинальные образы дисков (Без встроенных заплаток и прелестей отечественных сборщиков винды). Просто голая винда и паке на ней - официалки.

а почему AVZ никто не воспользовался?

А мне помог Kaspersky Virus Removal от 20.10.09, нашел он все сразу.
А DrWeb CureIt от 20.10.09 ничего не находил, пробуйте

Итак -
1) regedit - ищем все что есть с dns. удаляем то что имеет отношение к mDNS и dnsapy - именно с "y" ( у меня оно сидело помимо с/пф/бонжура еще в а Эппле ( да да там тоже была папка бонжур )
2) удаляем dmgr134.sys
3) удаляем папку бонжур вручную
4) ребут, меняем дату
5) удаляем {991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll ( с измененной датой удаляется просто так, без проблем )
6) ребут, меняем дату на нормальную
7) ??????????
8) PROFIT!

Итог - ваш форум + 10 минут времени. Окно пропало, инет работает.

мне symantec corporate помог

Я пользовался Process Explorer и Unlocker

В Process Explorer жмем на winlogon.exe смотрим свойства и видим нитку на {991f0ad1-da5d-4dc3-b0ba-f46ba0f1d3c}.dll выделяем, внизу жмем kill. Окно должно пропасть. Но после перезагрузки оно вновь появиться. Что-бы не появлялось - заходим в windows/system32 и при помощи Unlocker-а удаляем эту dll-ку, а заодно и windows/dmgr134.sys.
Перегружаемся...

Кстати, окно на скриншотах должно сворачиваться по win+d, или при запущенном диспетчере задач правой кнопкой мыши на заголовке окна - свернуть.
У меня было полупрозрачное окно без caption-на, которое не сворачивалось, и отсчет времени шел до 10-ти минут.

К стати...много всего написано.....мне помогло ....ВОТ..

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%/dmgr134.sys', '');
QuarantineFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1 D3CB}.dll', '');
DeleteFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB }.dll');
DeleteFile('%WinDir%/dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

а можно поподробнее, что такое begin и все остальное где искать. Спасибо!

script3

Спасибо огромное script3!!!!!
Я совершенно не компьютерщик, но Ваши рекомендации сделала и все получилось!!! Вирус пропал!.

Что я хочу сказать . Вышел у меня этот вирус Get-Accelerator и пока я спал младший брат отправил смс через 2 часа пришла задолжность 1200 руб. так что кто пишет тут что 200 р заплатили пиз..т они и написали эту херь. Антивирус Avast у меня. Башку надо оторвать кто такие трояны пишет. Порчу на вас нашлю с..и ждите рассплаты. Причом код который пришёл неактивируеться. Вот код пробуйте сами 5589658935
Пришлось виндовс переустанавливать инфы много потерял. Зла нехватает. И окошко у меня другое было не как у вас и папок невидно было.

Добавлено:
или

Как заменять винлогин и вообще, что это такое? Что есть консоль восстановления?
Длинный файл из папки систем 32 не удаляется - говорит, нет доступа...
Через диспетчер задач акселератор не сворачивается. В "приложениях" его вообще нет, а когда вырубила по очереди все "процессы", кроме тех, которые диспетчер вырубать отказался - комп перезагрузился, но акселератор висел до последнего...
Диск с виндой отдала только вчера человеку, которого вряд ли вообще увижу теперь. И то не помню, чтобы с него можно ибыло избирательно устанавливать файлы...

Помогите, пожалуйста - я не компьютерщик, я экономист... И у меня защита курсовой завтра, а монитор из-за этого вируса вообще нечитабельный.

Зато есть ноут без сд-привода и ворда. В итоге, ни установать ворд не могу, ни скачать нигде...

На болеющем компе есть старый касперский +ключи на него, но обновить базы нельзя, потому что инет долбанный гет заблокировал...

Теперь ноут флешку не видит... Я вообще в отчаянии...

Что за код такой и что с ним делать?

Ага, и 10 минут назад чайник сгорел... ((((

PomogiteBlondinke - а ты откуда?

По поводу Bonjour.
BacbBacb писал:

Цитата:

1) regedit - ищем все что есть с dns. удаляем то что имеет отношение к mDNS и dnsapy - именно с "y" ( у меня оно сидело помимо с/пф/бонжура еще в а Эппле ( да да там тоже была папка бонжур )
2) удаляем dmgr134.sys
3) удаляем папку бонжур вручную
...

Bonjour service включен в Photoshop CS3 (Illustrator, InDesign, Flash и др.) для того, чтобы облегчить соединение с Version Cue серверами в локалке.
(см. http://www.x64bit.net/site/board/index.php?showtopic=4214
и http://blogs.adobe.com/jnack/2007/01/cs3_doesnt_inst.html)
Вряд ли он имеет отношение к СМС-вымогателю.

Добавлено. На virusinfo есть следующая информация:

Цитата:

Get Accelerator
Он же Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
Он же Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Он же Trojan.Winlock.366 (DrWeb)
Состоит из двух компонентов:
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
3) также упоминается в реестре Ветка: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dmgr134]

Для удаления выполнить скрипт в AVZ (см. пост Srgei123)
Как выполнить скрипт в AVZ...[more]
1) закрыть все приложения и выгрузить всё из трея
2) скопировыть в буфер весь скрипт, включая begin…end
3) открыть AVZ (с правами администратора), Нажать на Файл -> Выполнить скрипт
и в появившимся окошке программы нажать правой кнопкой мышки и выбрать Вставить
4) нажать в AVZ на кнопку Запустить[/more]


Цитата:

Убить её можно легко и без стороннего ПО. Файл dmgr134.sys не держится системой, поэтому достаточно убить его проводником. После перезагрузки проблема исчезнет, видимо .sys - файл является загрузчиком .dll файла. Для чистоты души сможете убивать {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, тем самым распрощавшись с самим трояном полностью. (под конец почистить корзину)

Обновился гад :[
Теперь он прячется под именами aekgoprn.dll и aekgoprn.sys. Местоположение прежнее

Убил скриптом, в котором удалил файл atapi.sys, aekgoprn.dll и dump_atapi.sys.

19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.

Наименование:

Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)

Также известен как:

Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Trojan.Winlock.366 (DrWeb)

Самоназвание:

Get Accelerator

Симптомы:

На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом
на короткий номер 9099. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.

Состав вредоносной программы:

Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.

1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.

Рекомендации в случае заражения:

Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.

Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%\dmgr134.sys','');
QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('%WinDir%\dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

kav tools в помощь

Народ, Get Accelerator - это не совсем вирус, а программа у которой есть возможность деинсталяции.
Вопрос решается просто, нужна программа jv16 Power Tools, подойдёт даже триальная версия!
После установки выбираем в jv16 Power Tools пункт - Диспетчер Программ, находим в нём GA / Get Accelerator,
ставим возле него галочку и нажимаем кнопку - деинсталировать.
После деинсталяции нужно перезагрузить компьютер.
Вот и всё...

P.S. не пытайтесь найти Get Accelerator в установке/удалении программ Windows, так как он тщательно скрыт!
И будет неплохо, если после удаления Get Accelerator, вы почистите реестр Windows и просканируете систему на вирусы!!!
Удачи вам друзья!!!

Get Accelerator нашелся только сегодняшним DrWeb CureIt. В нормальном режиме при нахождении - вылет в BSOD. Удаляется только в безопасном. Авира стояла пропустила кучу всего. По моему личному мнению иностранные антивирусы информеры Российского производства будут находить в последнюю очередь. (Российская специфика).
Get Accelerator состоял из одного sys файла с названием utttacyn.sys. Послностью блокировал доступ в интернет и работу монитора kis70wks (базы 28.11 его не видели).
Потерял уйму времени на ручной поиск безрезультатно в autoruns не обнаружился. AVZ тоже не находил. Выше приведенные скрипты не помогли. Но зато нашел другую заразу со ссылкой \\.\(какой то ip адресс)\aekgoprn.dll. На локальном компе такого файла не нашел, в сети компа с названием "." тоже нет.

P.S. Забытый (с 98 винды) полноэкранный режим FAR (ALT+ENTER) лучший вариант от любых окон поверх всего.

Здравствуйте! я с компьютером на Вы)) Поэтому не знаю что делать, помогите пожалуйста) Вчера обнаружила у себя эту дрянь get accelerator , удалила ее с помощью вышеописанной прогаммы jv16 Power Tools. Далее скачала себе CureIt но в обычном режиме он не хотел работать, пришлось в безопасном проверять весь комп. После проверки было удалено несколько вирусов, но остались неполадки, а именно : Не работает ни один из браузеров (все закрыватся с ошибкой) и что-то жрет 50 процентов ЦП) (при вирусе ЦП был загружен на 100 проц).

Ай как все похоже... вчера в 21.21 на компе высветилось сообщение, что через 5 мин заблокируется интернет, чтобы разблокировать необходимо отправить СМС на номер 1350 с каким то там кодом. Поковыряв массу форумов, смог удалить этот "GET Accelerator" только с помощью деинстоляции через jv16 Power Tools... скрипты от APZ не помогли (пробовал 2 варианта скриптов)... после этого заработало все... Сегодня с утра загрузка ЦП минимум на 50%, мазила мертвая, IE8 мертвый... Кароче полный АХТУНГ!

Народ, помогите плиз советом... форматить комп нехочется

P.S. Сканер Drweb и Каспер 2010 ничо не находят

Если забокирован интернет, то:
1. Нужно проверить настройки TCP IP, IP Address, Gateway, DNS а так же надо проверить установки proxy в свойствах Internet Explorer!
2. нужно проверить маршрутизацию: C:\WINDOWS\system32\drivers\etc в файле "hosts"
в файле "hosts" должна быть строчка - [127.0.0.1 localhost] без скобок естественно; и адрес вашего шлюза (Gateway) не должен быть перенаправлен на локальные ресурсы.
Для более продвинутых пользователей есть команда "route" , эта команда управляет маршрутизацией в XP, в качестве теста "route print" в командной стоке.
3. Можно удалить драйверы всех сетевых адаптеров, и установить их заново, чтобы не возиться с перенастройками маршрутизации, но потом придётся заново настроить TCP IP протокол и встроенный в систему фаервол.
4. Есть шанс, вернуть настройки, если почистить реестр, с помощью всё той-же jv16..., возможно интернет заблокирован из за лишних строчек в реестре, которые нужно удалить.

Цитата:

СМС на номер 1350

Dr.Web CureIt!® в аналогичном случае только что нашел Trojan.Winlock.508

Касперский с Symantec нервно курят в сторонке: на форуме касперского лечат единичные случаи, обещая "включить в обновление"; по Symantec'у Get Accelerator'а в природе не существует

Доброго всем дня!
Воощем вот:

пол дня пытаюсь победить - всеми вышеописанными и иными возможными способами!
Ни Dr.Web CureIt , ни Касперский , ни Nod32- все со свежескачаными базами- не видят этой твари! Пробовал несколько скриптов в AVZ - бесполезно Борьбу продолжаю, если есть идеи готов выслушать.

Да, я тоже словил эту фигню, Антивирусы мало того что пропускают эту ерунду, так еще и не лечат не фига пробовал Dr.Web, Касперский. Надоело возиться форматнул диск и переустановил систему, снова все работает, с ужасом жду появления этой гадости снова....как она ко мне попала и активировалась так и не понял, хотя может быть через wifi просочился как-то.

Цитата:

Да, я тоже словил эту фигню

Это самый лёгкий способ! Всё же охота докопаться до истины ведь не факт что оно не всплывёт заново, интересно всё же её удалить узнав метод, да кстати метод подмены winlogon.exe - тоже не помог, эта ссылка тоже бесполезна в моём случае.
p.s. эта-тоже не помогла а вот здесь есть предложение, но требует регистрации,возможно то что надо, может у кого есть возможность переложить?
Malwarebytes Anti-Malware v1.42- вылетает при сканировании, так же как и Gmer