наши компы

[Graver]

Есть еще один РЕСУРС от касперского. Тоже можно попробовать... Но я лично вылечил свой комп от этой дряни восстановлением системы из безопасного режима... но к сожалению этот метод не всегда помогает, поэтому либо с другого компа выходить в интернет и делать деактивацию, либо переустановка системы... последнее помогает 100% ))))) так же проверено)))

[Enki]

Ну вот, снова что-то поймали. Уже с неделю долбит касперский сообщением анти-фишинга.

http://sms-referati.ru/updates/?v=1.3.0&am...i=4&clear=0 Проводник Обнаружено: *.sms-referati.ru

http://sms-referati.ru/feed/xml.php?v=1.3....i=4&clear=0 Проводник Запрещено: *.sms-referati.ru

Как поясняется касперским - программа пересылает с компа кому-то пароли и ключи.

Все б ничего, но это сообщение выбивает из любой программы или игры, и требует принять решение, разрешить или запретить действие. Запрещаю, через 5 минут снова. Сейчас запрос события в касперском нашли, отключили, а он извещением об этом событии задергал. В день до сотни запросов этой ерунды в отчете. Вчера с обновленными базами полную проверку запустили, ничего, кряки за троянов принял, а по этой смс опасности ничего, и так же постоянно ее блокировать пытается, а она запросы шлет.

[zema]

еще вопросик.

кто нибудь скайлинк юзает?

хочу анлим ночной поставить.

чтоб ночью качать.

есть у кого такой?

[Alexey]

кто нибудь скайлинк юзает?

Это который USB?

если да то могу отстрелятся по Билайн и МТС они все вроде одинаковы:

на "ночном" скорость нормальная будет после 2 часов ночи, до двух часов плохая т е никакая.

[слава]

скайлинк это дрегая тема помоему..тоже через юсб..там такой маленький модем с антенкой вроде как говорили скайлинк.

[zema]

вчера словил винлокерА

очень неприятная штука.

блокирует вход в виндовс.

все манипуляции с жесткими дисками.

заставка типа отправь туда и то...

а внизу сноска...переустановки винды ничаго не даст.

думаю фигня.

снес винду.поставил

качну думаю др веб.утилиту.

фиг там.

не дает качать.

глянул в мой компьютер а диск D ваще не открывает-самое неприятное чуство испытал.

так как там все мое добро.

перезагрус-и опять лохотрон на экране.

выход.

с нормального компа заходиь на доктор веб.там уже есть генератор блокировщиков.

вводишь свою комбинацию.

получаешь номеров.вставляешь.хрень убирается.

качаешь утилиту с нормального компа.запускаешь на больном.

и счастье.

винлок удаляется.и еще парочка троянов.

прикол в том что сейчас это ипедемия.

и касперы пропускают.

и другие антивири тоже.

[Alexey]

поподробнее кому интересно про вирусняк этот можно почитать здесь http://ifolder.ru/16105671

[zema]

24 января 2010 года г. Москва

Компания «Доктор Веб» – российский разработчик средств информационной безопасности – предупреждает о том, что эпидемия троянцев семейства Trojan.Winlock набирает обороты. В январе 2010 года количество россиян, пострадавших от вредоносных программ, требующих за разблокировку Windows отправить платное SMS-сообщение, составило несколько миллионов. Предположительные потери составляют сотни миллионов рублей.

Первые модификации Trojan.Winlock появились около 3-х лет назад. На тот момент они не представляли серьезной угрозы: автоматически удалялись с компьютера через несколько часов после установки, не запускались в Безопасном режиме Windows, а стоимость SMS-cообщений, которые требовали отправить авторы троянца, была не столь высокой, как сейчас (в среднем около 10 рублей в сравнении c 300-600 рублями).

С ноября 2009 года эта схема отъема денег пользуется все большим успехом у злоумышленников – новые модификации Trojan.Winlock становятся все более опасными. За снятие сообщения о блокировке Windows, которое выскакивает поверх всех окон и делает невозможным нормальную работу на компьютере, вирусописатели требуют гораздо больше денег. Троянцы уже не удаляются автоматически из системы в прошествии некоторого времени, но приобретают дополнительный функционал. В частности, они препятствуют запуску некоторых программ в зараженной системе (файловых менеджеров, антируткитов, утилит сбора информации, которая может помочь в лечении системы).

Вредоносные программы семейства Trojan.Winlock распространяются через уязвимости в Windows (в частности, Internet Explorer), вредоносные сайты (скачиваемые кодеки), эксплойты iframe, а также ботнеты (авторы ботнета продают установку какой-либо вредоносной программы на зараженном компьютере).

Только за январь число пострадавших в России от блокировщиков Windows составило несколько миллионов пользователей. С учетом того, что средняя стоимость SMS-сообщения – 300-600 рублей, предположительные потери россиян от этого вида вредоносного ПО только в первом месяце 2010 года составили сотни миллионов рублей.

В связи с тем, что с каждым днем появляются новые модификации Trojan.Winlock, незащищенными остаются даже те пользователи, которые применяют постоянно обновляемые антивирусные решения различных производителей.

Для помощи пострадавшим компания «Доктор Веб» в специальном разделе своего официального сайта собрала всю актуальную информацию об этих троянцах. В частности, форму разблокировки, которая помогает бесплатно найти необходимый код. Только за первые 2 дня работы этого проекта, его посетили сотни тысяч пользователей.

Компания «Доктор Веб» считает необходимым привлечь внимание официальных властей к этой проблеме. Их помощь в обнаружении людей, регистрирующих номера, на которые злоумышленники требуют отправлять платные SMS-сообщения, могла бы уменьшить число потенциальных жертв. Кроме того, мы призываем операторов сотовой связи блокировать эти номера по первым же жалобам абонентов.

вчера все перечитал про винлок.

скоро как птичий грипп будут вири....

все изощренее и изощренее становятся.

[Михаил Каменотесов]

Enki,попробуй прогу,которую я выставлял в теме "Лохотрон".Справится или нет? Блин,я просто благодарен этим двум прогам (Antimalware и avz4),когда словил Винлок.

[zema]

доктор веб утилита свежескачанная отлично справляется с его удалением.

но до этого надо отключить экран чтоб в виндовс попасть.

[Enki]

Enki,попробуй прогу,которую я выставлял в теме "Лохотрон".Справится или нет? Блин,я просто благодарен этим двум прогам (Antimalware и avz4),когда словил Винлок.

Спасибо, попробую. Качаю ее сейчас.

[morser]

Ну вот, снова что-то поймали. Уже с неделю долбит касперский сообщением анти-фишинга.

http://sms-referati.ru/updates/?v=1.3.0&am...i=4&clear=0 Проводник Обнаружено: *.sms-referati.ru

http://sms-referati.ru/feed/xml.php?v=1.3....i=4&clear=0 Проводник Запрещено: *.sms-referati.ru

Как поясняется касперским - программа пересылает с компа кому-то пароли и ключи.

Все б ничего, но это сообщение выбивает из любой программы или игры, и требует принять решение, разрешить или запретить действие. Запрещаю, через 5 минут снова. Сейчас запрос события в касперском нашли, отключили, а он извещением об этом событии задергал. В день до сотни запросов этой ерунды в отчете. Вчера с обновленными базами полную проверку запустили, ничего, кряки за троянов принял, а по этой смс опасности ничего, и так же постоянно ее блокировать пытается, а она запросы шлет.

У вас касперский антивирус стоит или касперский интернет секьюрити?

[Alexey]

*.sms-referati.ru

на одном из компов такаяже проблема(хотя в ПК не новичёк)

Вообщем в интернет експлорере через интервал 30 мин касперский пишет

в проводнике ссылка(или вроде этого) *.sms-referati.ru ворующая пароли заблокирована

. Касперский интерн секьюрити 2009 лицуха с последними обновлениями. Вирусы не находит! В мозиле всё нормально.

Сегодня весь день знакомым разблокировал ПК от винлокера, точно эпидемия.кстати дк веб с своей утилитой не справился, но нашел номер трояна, по нему я его вручную удалил.

[Jarylo]

У меня стоит украинский Zillya почти постоянно в инете уже пол года пока все нормально. Комп у меня попроще описаных здесь. Материнка гигабит со встроенным видео, проц Атлон двухядерный, монитор асус 22".

А идея совторым вертикально расположенным экраном действительно достойна внимания, по мере возможности попробую такой вариант.

[morser]

Пользуюсь Firefox. Недавно Пришла и мне весточка от sms. Каспер выдал 6 сообщений о попытке проникнуть, на все сообщения я ответил "заблокировать доступ" - и на этом всё закончилось. Никаких проблем.

[Павел]

есть версия, что вирус требующий отправить смс и включающий картинки во весь экран действует только на Opera, другие браузеры как бе не страдають. Вы какой юзаете?

[noct]

Данный вирс использует дыры сервисов обновлений.

[zema]

есть версия, что вирус требующий отправить смс и включающий картинки во весь экран действует только на Opera, другие браузеры как бе не страдають. Вы какой юзаете?

я юзаю IE(винлокер при эксплорере попался)

опера сейчас стоит.

мне не очень то она.

хром тоже.

[noct]

[hide=2]Проблема активации, и прохождения проверки подлинности[/hide]

[hide=50]

Данная статья предназначена для WinXP

Итак, что же это и как с этим бороться, в домашних условиях, без применения кряков и прочей дряни!!!

Windows Genuine Advantage Validation Tool - это обязательное обновление KB892130. Предназначено для проверки подлинности ключа (на предмет уплаченных (выкруженных, отжатых...и т.д) за него бабулек, или законности использования вашего ключика) при посещении страничек узла Windows Update. Реализован как объект ActiveX в модуле LegitCheckControl.dll. Назначение: сбор сведений и отправка их на сервер Microsoft, проверка "подлинности Windows". Т.е. его основная задача имеет скорее шпионский характер, тайком от вас собирать информацию. Сцуки одним словом....это если честно с их стороны совсем уж некрасиво...

Вот информация, которую собирает WGA:

*производитель и модель компьютера;

*версия операционной системы и программного обеспечения, *использующего функцию Genuine Advantage;

*настройки региона и языка;

*уникальный номер, присвоенный компьютеру используемыми средствами *(глобальный уникальный идентификатор или GUID);

*номер и ключ продукта;

*название, номер и дата выпуска версии BIOS компьютера;

*серийный номер носителя;

*ключ продукта Office (при проверке Office);

*результаты установки;

*результаты проверки.

Данная инфа нарыта из официальных источников http://www.microsoft.com/genuine/downloads/FAQ.aspx

Обмозговафф и переварифф, все вышеперечисленное (я окуел просто...других слов нет у меня!!!) остается только гадать, что может быть скрыто от нас простых пользователей, учитывая непонятную (изначально безумно-маниакальную) тягу Microsoft постоянно "пи*дить.".извиняюсь за выражение. Но даже этот набор наводит на ряд мыслей.. Microsoft уже настолько охренела, что считает любой комп, на котором установлена Windows чуть ли не своей собственностью (В операционках Vista и Seven положение ещё хлеще!!!).

Итак, кто же будет рулить??? мы или мелкомягкие??? Я сразу скажу, что мы!!!!, платить, за спижженные, извините идеи и непомерно высокую плату за них же мы не будем!!! Что делать с этим WGA? Бред Microsoft о неудаляемости ентой пресловутой "заплатки", я опровергну на корню!!!. Удаляется эта хрень в пару кликов:

меню пуск\выполнить (командная консоль cmd.exe):

C:\>regsvr32 -u LegitCheckControl.dll

C:\>del LegitCheckControl.dll

Ну вот мы и избавились от нашего имбицильного друга, который портит наше настроение и заставляет нас искать способы обхода проверки)))! Но это решение не айс, поскольку при посещении узла обновлений нам "предложат" (вынудят) установить его заново!!!. Вощщем наша цель, чеб все работало, когда наша дрянь установлена в системе, но ри этом наша винда, была бы типа подлинной (безо всяких левых окон и прочей лабуды!!!).

Переходим к процессу "Лицензирования"

Кароче нам надо заблокировать любыми средствами канал связи, по которому передается информация в Microsoft. Например с помощью брандмаузера закрыть доступ к серверу mpa.one.microsoft.com, порт 443. Но не у всех есть брандмаузер, имеющий такие функции. Проще использовать настройки локального DNS. Для этого нужно открыть блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать в конец файла следующую строку:

127.0.0.1 mpa.one.microsoft.com

Сохранить файл, и выполнить команду

C:\>ipconfig /flushdns

Она нужна для сброса кэша DNS. Эти действия настраивают локальную службу DNS. Её назначение - определять IP-адрес по доменному имени. После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com, все его запросы будут отправляться на IP=127.0.0.1 (адрес локального компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет связаться с сервером mpa.one.microsoft.com, и что то передать или получить.

Основная задача выполнена - Имбицильной DLL заткнули рот! Это - главная мера обхода WGA. Она может дать осечку, и ключ будет определять как не подлинный, но это не значит что от этой меры следует отказываться или отменять её.

Непонятка случится если:

Остались следы предыдущих неудачных проверок. Они хранятся в файле:

C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat

Этот файл нужно удалить. Папка "Application Data" имеет атрибут "скрытая". Если в системе установлено свойство "не показывать скрытые файлы и папки", то её не будет видно в проводнике. Устанавливать на файл data.dat атрибуты или разрешения, препятствующие записи в этот файл, не нужно. Поскольку в этом случае проверка WGA всегда будет неудачной!!!.

Модуль WGA имеет встроенный черный список нелегальных ключей, которые известны Microsoft. С помощью этого списка WGA может определить такой ключ без связи с сервером. Осечка будет, если установленный ключ находится в этом списке. В этом случае нужно сменить ключ или воспользоваться надстройкой для InternetExplorer IeBlinder

Все остальные известные способы обхода WGA как правило в большей степени временные меры, либо вообще бесполезны. Например, кракнутая LegitCheckControl.dll. Будет работать пару месяцев, до выхода новой версии WGA, Как только появится новая версия с увеличенным черным списком ключей, так вам предложат (заставят) установить её, независимо от того была у вас до этого кракнутая длл, или нет. Кроме этого, кракнутые дллки как правило не решают проблему утечки информации. Если вы поменяете ключ, то во время проверки WGA он свалит на сервер Microsoft, и через некоторое время будет внесен в черный список новой версии WGA.

Вот так вот не делая лишних телодвижений, мы пользуемся "оригинальной" виндой проходя все проверки))))

Обновление KB905474 - это система уведомлений о результатах проверки подлинности Windows. Если проверка подлинности обнаружит что ключ, установленный в системе, не является подлинным, то в системном трее появится звездочка, которая будет постоянно мозолить глаза сообщениями о необходимости приобрести лицензию. Аналогичные сообщения будут появляться при включении и выключении компьютера. Что-что, а его я точно не советую устанавливать, независимо от того, являетесь ли вы обладателем подлинного ключа или не являетесь таковым....

Ента дрянь предназначена для пользователя компьютера, а служит исключительно "шкурным" интересам Microsoft. В настоящее время никакого лекарства от этой "звезды героя" не требуется. Достаточно отказаться от установки обновления KB905474 навсегда (поставить галочку "Никогда больше не предлагать". Если же это обновление уже установлено, то достаточно его отключить.... ща се будет))))

Что же это такое, и почему его так все не полюбили? Это очередная хрень, которая ежедневно проверяет "подлинность" Windows, собирает и передает сведения на сервер Microsoft mpa.one.microsoft.com, даже если по всем признакам с лицензией всё в порядке!!!. Если есть повод для сомнений в лицензии, то он появляется в системном трее в виде звёздочки, и начинает донимать пользователя сообщениями о необходимости приобрести лицензию. Аналогичные сообщения появляются при старте системы, и при выходе из системы, цвет рабочего стола становится черным, а на нём рисуется предупреждение о нелегальной копии. Если пользователь установит цвет и обои рабочего стола по своему вкусу, то каждые 60 мин. все опять возвращается к черному цвету.

Так же обновление имеет статус не удаляемого. Т.е. штатными средствами удалить его невозможно. Удалить нельзя, а убить - можно за пять секунд.))) об этом чуть позже... Боже мой! Софтверный гигант опустился до такой низости: NagScreen-ов! Причем, если в более ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней мышкой, и выбрав команду "Выйти". То сейчас такой команды нет! А если пользователь захочет принудительно завершить это приложение, используя менеджер задач (проще говоря, убить процесс), то у него ничего не получится. Как только процесс будет насильно завершен, то некая невидимая наблюдающая за ним сила тут же запустит его снова! При этом WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно найти ни в одном известном месте автозапуска! Караул! Что же делать?

Спокойно, поводов для паники нет. Чтобы вырубить его нахрен, нужно понять как он включается. В автозапусках его точно нет, потому что все автозапуски срабатывают только после того, как пользователь войдет в систему (залогинится), а эта зараза начинает орать раньше! В это время фактически функционирует только winlogon. Смотрим ключик в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

"DllName"="WgaLogon.dll"

"Logon"="WLEventLogon"

"Logoff"="WLEventLogoff"

"Startup"="WLEventStartup"

"Shutdown"="WLEventShutdown"

"StartScreenSaver"="WLEventStartScreenSaver"

"StopScreenSaver"="WLEventStopScreenSaver"

"Lock"="WLEventLock"

"Unlock"="WLEventUnlock"

"StartShell"="WLEventStartShell"

"PostShell"="WLEventPostShell"

"Disconnect"="WLEventDisconnect"

"Reconnect"="WLEventReconnect"

Именно этот ключ отвечает за старт WgaNotification. Winlogon загружает указанную dll (WgaLogon.dll), а после, при возникновении каких то событий, вызывает указанные функции из этой dll. Слева - событие, справа - функция из dll. Удаляем этот ключ полностью, перезагружаем компьютер - вуаля! Никаких звездочек и предупреждений о поддельных копиях нет! Все остальные действия (патчи, кракнутые dll-ки) являются избыточными. Ибо без этого ключа система уведомлений не будет запущена, и остальные телодвижения никоим образом не улучшат ситуацию. Но есть один нюанс: служба обновлений WindowsUpdate, не обнаружив это ключ, будет считать KB905474 неустановленным, и она предложит установить обновление KB905474 повторно. Так что будьте внимательны, и откажитесь от повторной установки KB905474 навсегда.

Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А сейчас дахрена кто уже цепляет порно банер требующий бабло!!!. Да да тот самый))) О котором писалось в этой теме. При старте он выводит сообщение о пиратской копии (либо о том, что компьютер заражен вирусами), блокирует дальнейший вход, и просит перечислить 300 рублей через SMS. Деньги для якобы активации Windows. Работает эта вирусня аналогично, нашей мелкософтовсеой заразе.

Не устанавливайте KB905474. А на ключик

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

установите следующие разрешения: запрет на модификацию для всех групп (не только для группы "Все", а и для администраторов, и SYSTEM). Для того чтобы никакие вирусописатели (и из Microsoft в том числе) не могли привинтить к winlogon никакую дополнительную заразу.

Считаю, что тему можно закрывать!!!! т.к проблемма решена!!! Все кто захотят избавиться от звезды пирата, смогут без проблемм это сделать, после прочтения данной статьи

[/hide]

[zema]

...вот написал.

если бы хотя бы наполовину понять бы.

[noct]

Все просто, когда понадобится к данной статье обращайся!!!

З.Ы. Это не мое, если что. НО проверенно буквально вот перед написанием, работает.

[OPAL]

Вирусок этот и на мозилле.

[noct]

Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А сейчас дахрена кто уже цепляет порно банер требующий бабло!!!. Да да тот самый))) О котором писалось в этой теме. При старте он выводит сообщение о пиратской копии (либо о том, что компьютер заражен вирусами), блокирует дальнейший вход, и просит перечислить 300 рублей через SMS. Деньги для якобы активации Windows. Работает эта вирусня аналогично, нашей мелкософтовсеой заразе.

 

[Павел]

Кто-нибудь уже опробовал Windows-7 ?

[noct]

У меня стоит уже месяц, пока доволен.свисты ставил ни одна не нравилась, а семерка ни че так.