uFast Download Manager изображает из себя крутой «ускоритель загрузок», который вы якобы добровольно установили (на самом деле никто ничего не устанавливает — факевары распространяются интернет-рекламой и троянами), а затем «нарушили лицензионного соглашение программы», а потому в отместку программа заблокировала ваш доступ в Интернет. Мне лично мотив вымогательства очень нравится, потому как прекрасно коррелирует с нравственной парадигмой борцов за авторские права на электронную продукцию. Само же вымогательство примитивно как только и бывает у напёрсточников: «Чтобы получить регистрационный код, отправьте смс с кодом wf17999 на номер 7122».

Интересно было бы узнать у несчастных ламеров, которые купились на разводку и отправили смс, сколько содрали с их мобильного счета: 100 рублей? 500? 1000? Ну да ладно: честно надеюсь, что у вменяемых людей до отправки смс всё-таки дело не доходит.

Как бы там ни было, uFast Download Manager работать нормально не позволяет, окно с вымоганием денег постоянно маячит на переднем плане экрана. В отчетах антивирусных компаний зафиксированы даже случаи блокировки «Диспетчера задач».

Уничтожение гниды проводится в четыре этапа:

1. Скачиваем замечательную бесплатную утилиту AZV

2. Копируем в буфер обмена вот такой небольшой текст скрипта:

var

SP: string;

begin

SearchRootkit(true, true);

SetAVZGuardStatus(true);

SP:=RegKeyStrParamRead('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders','Startup');

QuarantineFile(SP+ \zavupd32.exe',);

QuarantineFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe',);

DeleteFile(%UserProfile%\applic~1\ufastd~1\propet~1.exe');

DeleteFile(SP+ \zavupd32.exe');

BC_ImportALL;

ExecuteSysClean;

ExecuteRepair(11);

BC_Activate;

RebootWindows(true);

end.

3. Вставляем этот скрипт (через Ctrl + V) в утилиту AZV и выполняем его по алгоритму, детально описанному по этому линку — http://virusinfo.info/showthread.php?t=7239

4. После перезагрузки мы проверяем работу Интернета. В 9 случаев из 10 коннекта не будет, потому что гнида uFast Download Manager уже успела покоцать сетевой адаптер. Поэтому отправляемся в «Диспетчер устройств» Windows и удаляем сетевой адаптер. Нажимаем на кнопку обновления конфигурации, адаптер вновь обнаруживается и устанавливается в систему уже в рабочем состоянии.

Ничего кроме описанного выше способа (с благодарностью ресурсу в борьбе с uFast Download manager не помогает: популярные антивирусные пакеты и антитрояны с ним не справляются.

Второй факевар, напившийся моей кровушки уже в середине ноября, рядил себя под антивирусную программу. Называется стильно — SecurityTool.

Гнида симулирует поиск инфекции на компьютере и «находит» её — кто бы сомневался! — в невообразимом количестве. На одном из зараженных домашних ноутбуков «было» аж 20 троянов, вирусов, шпионов, червей и рекламных модулей! Изобилие «отловленной» инфекции рассчитано, видимо, на истероидных юзеров, которые столкнувшись с подобным букетом сразу же ринутся покупать волшебный SecurityTool. Благо ходить далеко не нужно: тут же в окне услужливо размещена форма для оплаты банковской карточкой.

Удаление этого факевара прошло не столь гладко, как uFast Download Manager. Ни рекомендованные почтенным ресурсом http://fakeware.ruMalwarebytes' Anti-Malware, ни Spyware Doctor не помогли. Первая программа вроде что-то обнаруживала (SecurityTool появлялся в списке присутствующих на компьютере гадов), но после процедуры исправления и перезагрузки вымогатель появлялся снова.

Опять же, помогла только работа ручками. Алгоритм следующий.

Остановите процессы фальшивого Security Tool:

1. Останавливаем через «Диспетчер задач» процесс, запускающий факевар. Разумеется в «Диспетчере» он не представлен под прозрачным именем (типа securitytool.exe или security.exe), а скрывается под несуразностью типа 4946550101.exe. Это числовое имя дает ресурсоднако факевар явно мутирует, потому что на ноутбуке, который я лечил, цифры были другие. Какие — уже не помню, но это и не важно — цифровое имя исполняемого exe-процесса в вашем списке (не дай бог — подхватите!) будет в единственном роде.

2. Удаляете из реестра следующие ключи SecurityTool:

HKEY_CURRENT_USER\Software\Security Tool

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run «4946550101»

У меня опять же, цифры были другими и записи в реестре оказались в иных местах, но и это не имеет значения: сначала через F3 вы проводите поиск на «SecurityTool» в слитном написании, затем в раздельном («Security Tool»), и все ключи удаляете. Затем отправляетесь в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, в котором перечислены программы автозагрузки и находите в списке процесс с тем именем, который вы удалили в пункте 1 данного алгоритма.