Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус Get-Accelerator

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5

Открыть новую тему     Написать ответ в эту тему

Srgei123

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
К стати...много всего написано.....мне помогло ....ВОТ..
 
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%/dmgr134.sys', '');
QuarantineFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1 D3CB}.dll', '');
DeleteFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB }.dll');
DeleteFile('%WinDir%/dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Всего записей: 1 | Зарегистр. 26-04-2009 | Отправлено: 22:11 24-10-2009
marys777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
а можно поподробнее, что такое begin и все остальное где искать. Спасибо!

Всего записей: 2 | Зарегистр. 24-10-2009 | Отправлено: 23:17 24-10-2009
marys777

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
script3
 
Спасибо огромное script3!!!!!
Я совершенно не компьютерщик, но Ваши рекомендации сделала и все получилось!!! Вирус пропал!.

Всего записей: 2 | Зарегистр. 24-10-2009 | Отправлено: 13:25 25-10-2009
yura3838

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Что я хочу сказать . Вышел у меня этот вирус Get-Accelerator и пока я спал младший брат отправил смс через 2 часа пришла задолжность 1200 руб. так что кто пишет тут что 200 р заплатили пиз..т они и написали эту херь. Антивирус Avast у меня. Башку надо оторвать кто такие трояны пишет. Порчу на вас нашлю с..и ждите рассплаты. Причом код который пришёл неактивируеться. Вот код пробуйте сами 5589658935
Пришлось виндовс переустанавливать инфы много потерял. Зла нехватает. И окошко у меня другое было не как у вас и папок невидно было.
 
Добавлено:
или

Всего записей: 1 | Зарегистр. 25-10-2009 | Отправлено: 17:45 25-10-2009
PomogiteBlondinke

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Как заменять винлогин и вообще, что это такое? Что есть консоль восстановления?
Длинный файл из папки систем 32 не удаляется - говорит, нет доступа...  
Через диспетчер задач акселератор не сворачивается. В "приложениях" его вообще нет, а когда вырубила по очереди все "процессы", кроме тех, которые диспетчер вырубать отказался - комп перезагрузился, но акселератор висел до последнего...
Диск с виндой отдала только вчера человеку, которого вряд ли вообще увижу теперь. И то не помню, чтобы с него можно ибыло избирательно устанавливать файлы...  
 
Помогите, пожалуйста - я не компьютерщик, я экономист... И у меня защита курсовой завтра, а монитор из-за этого вируса вообще нечитабельный.
 
Зато есть ноут без сд-привода и ворда. В итоге, ни установать ворд не могу, ни скачать нигде...  
 
На болеющем компе есть старый касперский +ключи на него, но обновить базы нельзя, потому что инет долбанный гет заблокировал...  
 
Теперь ноут флешку не видит... Я вообще в отчаянии...  
 
Что за код такой и что с ним делать?
 
Ага, и 10 минут назад чайник сгорел... ((((

Всего записей: 1 | Зарегистр. 27-10-2009 | Отправлено: 08:37 27-10-2009 | Исправлено: PomogiteBlondinke, 08:40 27-10-2009
AlFF79

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
PomogiteBlondinke - а ты откуда?

Всего записей: 1 | Зарегистр. 27-10-2009 | Отправлено: 14:11 27-10-2009
barmalyka



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
По поводу Bonjour.
BacbBacb писал:

Цитата:
1) regedit - ищем все что есть с dns. удаляем то что имеет отношение к mDNS и dnsapy - именно с "y" ( у меня оно сидело помимо с/пф/бонжура еще в а Эппле ( да да там тоже была папка бонжур )  
2) удаляем dmgr134.sys  
3) удаляем папку бонжур вручную
...  

Bonjour service включен в Photoshop CS3 (Illustrator, InDesign, Flash и др.) для того, чтобы облегчить соединение с Version Cue серверами в локалке.
(см. http://www.x64bit.net/site/board/index.php?showtopic=4214
и http://blogs.adobe.com/jnack/2007/01/cs3_doesnt_inst.html)
Вряд ли он имеет отношение к СМС-вымогателю.
 
Добавлено. На virusinfo есть следующая информация:

Цитата:
 Get Accelerator
Он же Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
Он же Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Он же Trojan.Winlock.366 (DrWeb)
Состоит из двух компонентов:
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.  
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
3) также упоминается в реестре Ветка: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\dmgr134]

 
Для удаления выполнить скрипт в AVZ (см. пост Srgei123)
Как выполнить скрипт в AVZ...Подробнее...
 

Цитата:
Убить её можно легко и без стороннего ПО. Файл dmgr134.sys не держится системой, поэтому достаточно убить его проводником. После перезагрузки проблема исчезнет, видимо .sys - файл является загрузчиком .dll файла. Для чистоты души сможете убивать {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, тем самым распрощавшись с самим трояном полностью. (под конец почистить корзину)

 

Всего записей: 97 | Зарегистр. 02-06-2004 | Отправлено: 13:22 28-10-2009 | Исправлено: barmalyka, 07:59 29-10-2009
Vladislav_A



Silver Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Обновился гад :[
Теперь он прячется под именами aekgoprn.dll и aekgoprn.sys. Местоположение прежнее

Всего записей: 2434 | Зарегистр. 23-07-2001 | Отправлено: 20:50 14-11-2009
kzrtg

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Убил скриптом, в котором удалил файл atapi.sys, aekgoprn.dll и dump_atapi.sys.

Всего записей: 2 | Зарегистр. 20-05-2008 | Отправлено: 14:33 26-11-2009
Lamerok



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
19-20 октября 2009 года зафиксирован всплеск активности нового троянского вымогателя.
 
Наименование:
 
Trojan-Ransom.Win32.Agent.gc (Лаборатория Касперского)
 
Также известен как:
 
Gen:Trojan.Heur.Hype.cy4@aSUBebjk (BitDefender)
Trojan.Winlock.366 (DrWeb)
 
Самоназвание:
 
Get Accelerator
 
Симптомы:
 
На Рабочем столе жертвы появляется изображение с надписью, сообщающей, что доступ к сети Интернет блокирован в связи с нелицензионным использованием программы Get Accelerator. Вредоносное ПО отображает убывающий таймер и предлагает пользователю отправить SMS-сообщение с текстом  
на короткий номер 9099. Сетевой функционал операционной системы при активном вредоносном ПО действительно нарушается.
 
Состав вредоносной программы:
 
Вредоносное ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator) состоит из двух компонентов.  
 
1) драйвер %WinDir%\dmgr134.sys, размер файла - 44544 байта. В протоколах AVZ отображается как модуль пространства ядра.  
2) библиотека %system32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll, размер файла - 38400 байт. В протоколах AVZ отображается как внедренная DLL (модуль процесса). Четкой привязки к определенным процессам не выявлено.
 
Рекомендации в случае заражения:
 
Если ваш ПК заражен вредоносным ПО Trojan-Ransom.Win32.Agent.gc (Get Accelerator), то Антивирусный портал VirusInfo настоятельно рекомендует вам ни в коем случае не следовать указаниям мошенников и не отправлять никаких SMS-сообщений на указанный ими номер.  
 
Для удаления типичного представителя Trojan-Ransom.Win32.Agent.gc (Get Accelerator) с обычного домашнего или офисного ПК необходимо выполнить скрипт в AVZ:

Код:
 
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('%WinDir%\dmgr134.sys','');
 QuarantineFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
 DeleteFile('%System32%\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
 DeleteFile('%WinDir%\dmgr134.sys');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
 

Операционная система перезагрузится


Взято с портала virus.info,  за что ему спасибо
AVZ  можно скачать с официального сайта производителя


----------
Когда говоришь, что думаешь — думай что говоришь и не всегда говори то, что знаешь, но всегда знай, что говоришь. (c) ¯\_(ツ)_/¯

Всего записей: 705 | Зарегистр. 17-04-2002 | Отправлено: 10:11 01-12-2009 | Исправлено: Lamerok, 10:26 01-12-2009
oler2



Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
kav tools в помощь

Всего записей: 1194 | Зарегистр. 14-03-2006 | Отправлено: 10:27 01-12-2009
Gnomo42

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Народ, Get Accelerator - это не совсем вирус, а программа у которой есть возможность деинсталяции.
Вопрос решается просто, нужна программа jv16 Power Tools, подойдёт даже триальная версия!
После установки выбираем в jv16 Power Tools пункт - Диспетчер Программ, находим в нём GA / Get Accelerator,
ставим возле него галочку и нажимаем кнопку - деинсталировать.
После деинсталяции нужно перезагрузить компьютер.
Вот и всё...

P.S. не пытайтесь найти Get Accelerator в установке/удалении программ Windows, так как он тщательно скрыт!
И будет неплохо, если после удаления Get Accelerator, вы почистите реестр Windows и просканируете систему на вирусы!!!
Удачи вам друзья!!!

Всего записей: 2 | Зарегистр. 01-12-2009 | Отправлено: 14:45 01-12-2009
IvANANvI

Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Get Accelerator нашелся только сегодняшним DrWeb CureIt. В нормальном режиме при нахождении - вылет в BSOD. Удаляется только в безопасном. Авира стояла пропустила кучу всего. По моему личному мнению иностранные антивирусы информеры Российского производства будут находить в последнюю очередь. (Российская специфика).
Get Accelerator состоял из одного sys файла с названием utttacyn.sys. Послностью блокировал доступ в интернет и  работу монитора  kis70wks (базы 28.11 его не видели).
Потерял уйму времени на ручной поиск безрезультатно в autoruns не обнаружился.  AVZ тоже не находил. Выше приведенные скрипты не помогли. Но зато нашел другую заразу со ссылкой \\.\(какой то ip адресс)\aekgoprn.dll. На локальном компе такого файла не нашел, в сети компа с названием "." тоже нет.
 
P.S. Забытый (с 98 винды) полноэкранный режим FAR (ALT+ENTER) лучший вариант от любых окон поверх всего.

Всего записей: 762 | Зарегистр. 29-11-2007 | Отправлено: 15:02 01-12-2009 | Исправлено: IvANANvI, 09:08 02-12-2009
KaterinaIce

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Здравствуйте! я с компьютером на Вы)) Поэтому не знаю что делать, помогите пожалуйста) Вчера обнаружила у себя эту дрянь get accelerator , удалила ее с помощью вышеописанной прогаммы jv16 Power Tools.  Далее скачала себе CureIt но в обычном режиме он не хотел работать, пришлось в безопасном проверять весь комп. После проверки было удалено несколько вирусов, но остались неполадки, а именно : Не работает ни один из браузеров (все закрыватся с ошибкой) и что-то жрет 50 процентов ЦП) (при вирусе ЦП был загружен на 100 проц).

Всего записей: 1 | Зарегистр. 03-12-2009 | Отправлено: 13:14 03-12-2009
Vitalka1979

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Ай как все похоже... вчера в 21.21 на компе высветилось сообщение, что через 5 мин заблокируется интернет, чтобы разблокировать необходимо отправить СМС на номер 1350 с каким то там кодом. Поковыряв массу форумов, смог удалить этот "GET Accelerator" только с помощью деинстоляции через jv16 Power Tools... скрипты от APZ не помогли (пробовал 2 варианта скриптов)... после этого заработало все... Сегодня с утра загрузка ЦП минимум на 50%, мазила мертвая, IE8 мертвый... Кароче полный АХТУНГ!
 
Народ, помогите плиз советом... форматить комп нехочется
 
P.S. Сканер Drweb и Каспер 2010 ничо не находят

Всего записей: 1 | Зарегистр. 03-12-2009 | Отправлено: 15:34 03-12-2009
Gnomo42

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если забокирован интернет, то:
1. Нужно проверить настройки TCP IP, IP Address, Gateway, DNS а так же надо проверить установки proxy в свойствах Internet Explorer!
2. нужно проверить маршрутизацию: C:\WINDOWS\system32\drivers\etc в файле "hosts"
в файле "hosts" должна быть строчка - [127.0.0.1 localhost] без скобок естественно; и адрес вашего шлюза (Gateway) не должен быть перенаправлен на локальные ресурсы.
Для более продвинутых пользователей есть команда "route" , эта команда управляет маршрутизацией в XP, в качестве теста "route print" в командной стоке.
3. Можно удалить драйверы всех сетевых адаптеров, и установить их заново, чтобы не возиться с перенастройками маршрутизации, но потом придётся заново настроить TCP IP протокол и встроенный в систему фаервол.
4. Есть шанс, вернуть настройки, если почистить реестр, с помощью всё той-же jv16..., возможно интернет заблокирован из за лишних строчек в реестре, которые нужно удалить.

Всего записей: 2 | Зарегистр. 01-12-2009 | Отправлено: 23:14 03-12-2009
maclesik

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
СМС на номер 1350

 
Dr.Web CureIt!® в аналогичном случае только что нашел Trojan.Winlock.508
 
Касперский с Symantec нервно курят в сторонке: на форуме касперского лечат единичные случаи, обещая "включить в обновление"; по Symantec'у Get Accelerator'а в природе не существует

Всего записей: 14 | Зарегистр. 14-02-2009 | Отправлено: 02:22 04-12-2009
Ioanne



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Доброго всем дня!
Воощем вот:

пол дня пытаюсь победить - всеми вышеописанными и иными возможными способами!
Ни Dr.Web CureIt , ни Касперский , ни Nod32- все со свежескачаными базами- не видят этой твари! Пробовал несколько скриптов в AVZ - бесполезно Борьбу продолжаю, если есть идеи готов выслушать.

Всего записей: 101 | Зарегистр. 16-05-2006 | Отправлено: 18:02 06-12-2009 | Исправлено: Ioanne, 18:05 06-12-2009
vikkuz

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Да, я тоже словил эту фигню, Антивирусы мало того что пропускают эту ерунду, так еще и не лечат не фига пробовал Dr.Web, Касперский. Надоело возиться форматнул диск и переустановил систему, снова все работает, с ужасом жду появления этой гадости снова....как она ко мне попала  и активировалась так и не понял, хотя может быть через wifi просочился как-то.

Всего записей: 1 | Зарегистр. 22-10-2009 | Отправлено: 18:18 06-12-2009
Ioanne



Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Да, я тоже словил эту фигню

Это самый лёгкий способ! Всё же охота докопаться до истины ведь не факт что оно не всплывёт заново, интересно всё же её удалить узнав метод, да кстати метод подмены winlogon.exe - тоже не помог, эта ссылка тоже бесполезна в моём случае.
p.s. эта-тоже не помогла а вот здесь есть предложение, но требует регистрации,возможно то что надо, может у кого есть возможность переложить?
Malwarebytes Anti-Malware v1.42- вылетает при сканировании, так же как и Gmer

Всего записей: 101 | Зарегистр. 16-05-2006 | Отправлено: 19:06 06-12-2009 | Исправлено: Ioanne, 21:04 06-12-2009
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Вирус Get-Accelerator


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru