Цифровой журнал «Компьютерра» 2010 № 02 - страница 21
uFast Download Manager изображает из себя крутой «ускоритель загрузок», который вы якобы добровольно установили (на самом деле никто ничего не устанавливает — факевары распространяются интернет-рекламой и троянами), а затем «нарушили лицензионного соглашение программы», а потому в отместку программа заблокировала ваш доступ в Интернет. Мне лично мотив вымогательства очень нравится, потому как прекрасно коррелирует с нравственной парадигмой борцов за авторские права на электронную продукцию. Само же вымогательство примитивно как только и бывает у напёрсточников: «Чтобы получить регистрационный код, отправьте смс с кодом wf17999 на номер 7122».
Интересно было бы узнать у несчастных ламеров, которые купились на разводку и отправили смс, сколько содрали с их мобильного счета: 100 рублей? 500? 1000? Ну да ладно: честно надеюсь, что у вменяемых людей до отправки смс всё-таки дело не доходит.
Как бы там ни было, uFast Download Manager работать нормально не позволяет, окно с вымоганием денег постоянно маячит на переднем плане экрана. В отчетах антивирусных компаний зафиксированы даже случаи блокировки «Диспетчера задач».
Уничтожение гниды проводится в четыре этапа:
1. Скачиваем замечательную бесплатную утилиту AZV (http://z-oleg.com/avz4.zip)
2. Копируем в буфер обмена вот такой небольшой текст скрипта:
var
SP: string;
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');
QuarantineFile(SP+ \zavupd32.exe',);
QuarantineFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe',);
DeleteFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe');
DeleteFile(SP+ \zavupd32.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
3. Вставляем этот скрипт (через Ctrl + V) в утилиту AZV и выполняем его по алгоритму, детально описанному по этому линку — http://virusinfo.info/showthread.php?t=7239
4. После перезагрузки мы проверяем работу Интернета. В 9 случаев из 10 коннекта не будет, потому что гнида uFast Download Manager уже успела покоцать сетевой адаптер. Поэтому отправляемся в «Диспетчер устройств» Windows и удаляем сетевой адаптер. Нажимаем на кнопку обновления конфигурации, адаптер вновь обнаруживается и устанавливается в систему уже в рабочем состоянии.
Ничего кроме описанного выше способа (с благодарностью ресурсу http://virusinfo.info!) в борьбе с uFast Download manager не помогает: популярные антивирусные пакеты и антитрояны с ним не справляются.
Второй факевар, напившийся моей кровушки уже в середине ноября, рядил себя под антивирусную программу. Называется стильно — SecurityTool.
Гнида симулирует поиск инфекции на компьютере и «находит» её — кто бы сомневался! — в невообразимом количестве. На одном из зараженных домашних ноутбуков «было» аж 20 троянов, вирусов, шпионов, червей и рекламных модулей! Изобилие «отловленной» инфекции рассчитано, видимо, на истероидных юзеров, которые столкнувшись с подобным букетом сразу же ринутся покупать волшебный SecurityTool. Благо ходить далеко не нужно: тут же в окне услужливо размещена форма для оплаты банковской карточкой.
Удаление этого факевара прошло не столь гладко, как uFast Download Manager. Ни рекомендованные почтенным ресурсом http://fakeware.ruMalwarebytes' Anti-Malware, ни Spyware Doctor не помогли. Первая программа вроде что-то обнаруживала (SecurityTool появлялся в списке присутствующих на компьютере гадов), но после процедуры исправления и перезагрузки вымогатель появлялся снова.
Опять же, помогла только работа ручками. Алгоритм следующий.
Остановите процессы фальшивого Security Tool:
1. Останавливаем через «Диспетчер задач» процесс, запускающий факевар. Разумеется в «Диспетчере» он не представлен под прозрачным именем (типа securitytool.exe или security.exe), а скрывается под несуразностью типа 4946550101.exe. Это числовое имя дает ресурс
