Программы, loader, OEM activator и shell вирусы.

Файл вирус в Windows. Как удалить своими руками.

Virus. Вирус. Windows loader. Activation. Genuine Microsoft. Ключи. Активация. Заразить ПК.

После применения каких-то патчей или кряков - двойной клик по диску / папке в эксплорере проводника : стало открывать содержимое в новом окне, хотя настройки стоят, как обычно : открывать содержимое папок в том же окне ... Более тщательное исследование - показало, что вирус распространился на некоторые внешние USB диски и флешки, подключаемые для передачи и копирования файлов ... В корне диска были обнаружены файлы Autorun.inf (автозапуск) и незнакомый исполняемый AbcXyz.exe (условное имя) ...

[AutoRun] ;xRuoJbag icSTRpShbdOoVxJpchemeyrtYp bsXNYB HmQXyrUcuHJQR ;pMhAf OPEN = AbcXyz.exe ;PUkqN sHelL\opEn\DeFaUlt=1 ;gGVd lWlOv sHElL\open\COmMand=AbcXyz.exe ;aDImWrjRyfTpIGbBodTNGvL RPwWyX shell\exPLore\CommanD=AbcXyz.exe ;gMFg sHELl\AutOPlAY\coMmaNd = AbcXyz.exe

Или - то же самое, очистив от мусора и приведя к нормальному виду : ...
Shell\Open\Default=1
Shell\Open\Command= ...
Shell\Explore\Command= ...
Shell\AutoPlay\Command= ...

Что такое Shell (оболочка) и как с ее помощью можно управлять системой - подробно рассказано в статье

# ... outsidethebox.ms, как найти и применять команды Shell для ускорения работы на Windows.

Да, и - невозможно удалить вирус голыми руками, так как он прописывает себя, как системный, то есть входит в состав сервисов работающей ОС Windows и не подлежит удалению - априори ))) ... Используя утилиты загрузочного диска Hiren'S BootCD, например : GMER RootKit Director - можно удалить (delete) или убить (kill) зловредный файл ... Однако - это бесполезно, и на его месте - тут же сгенерируется новый, с другим случайным названием из набора цифр и букв ...

Удаление вируса вручную утилитой GMER RootKit Director.

Утилита MalwareBytes Anti-Malware - находит не только конечный файл вируса Malware.Packer.Gen , но и (частично) сервис его авто / генерации ... В реестре ...
HKLM \ System \ CurrentControlSet \ Enum \ Root \ Legacy_AMSINT32
HKLM \ System \ CurrentControlSet \ Services \ amsint32
ImagePath = C:\WINDOWS\system32\drivers\lhjfn.sys
... запускается сервис постоянно контролирующий наличие вируса, и при его удалении - генерирующий новый файл в корне (root C:\) с другим именем и тем же содержанием (функциональностью) ... Поэтому, просто удалять файл вируса и его autorun.inf - бесполезно ...

После перезагрузки - окна Windows работают нормально, но файл вируса - снова появляется в корне и ждет своего часа ... Удалить вручную ключи реестра (дать разрешение на полный доступ действий над ключом - при необходимости) ... Удалить вирус из корня [появляется - снова (!!!)] ... Autorun.inf - удаление запрещено ... Да, ты ... Похоже, проблема - сидит немного глубже ...

Проверка подозрительных работающих сервисов на ПК ... Отключение непонятных служб - не помогло ... Прикольно : перестало работать меню запуска утилит с флэшки восстановления ПК, но вируса там - пока нет ... Выткнул / воткнул - ого, уже есть ... Маскируется под MS-DOS ярлык, тварь ... Очень прилипчивая зараза ... Все время пытается скрыть системные файлы и закрыть окна системных утилит и настроек ...

Вирус маскируется под MS-DOS ярлык и копируется на внешние носители.

Дальше - больше ... Вирусня попыталась заразить стартер программ HBCDMenu.exe, но видимо - что-то пошло не так и просто испортила этот файл (поэтому аварийно / восстановительный флэш диск ПК и перестал запускать встроенные утилиты) ... Таким образом, бороться с подобной агрессивной средой можно и нужно одним методом : форматированием диска с восстановлением файлов загрузчиков операционных систем ... Это неимоверно значительно избавит от бесполезных затрат времени, но и - не предохранит от возможных будущих заражений, потому-что источник завирусовывания (от которого нужно немедленно избавиться) - так и не был обнаружен ...

Если гора не идет к Магомету, придется действовать от обратного : переустановить систему, скопировать и заново протыкать все файлы, используемые при предыдущей установке - чтобы выявить источник заражения, изолировать и ликвидировать его ... Это займет в 10 раз меньше времени, чем поиск и отлавливание вируса в работающей операционной среде ... Результаты исследования - не заставили себя долго ждать ... А вот и первый претендент на вылет : Windows 7Loader Slic Activation with OEM Information - Release 5 (c) Orbit30 2009 win7vista.com ... Именно этот Win7 лоадер, при нажатии кнопки None slic option - сразу внедряет вирус на все доступные информационные носители ... Особо отмечается : пробуйте этот активатор - в первую очередь ))) ... Вот и попробовали ))) ...

Вирус при активации - Win 7 Loader OEM Slic Act, релиз Orbit30, заставка.

Я не могу сказать : дело это рук Orbit30 или конкуренты постарались дискредитировать образ непримиримого борца с лицензированием Windows - для этого надо быть, как минимум на техническом уровне специалиста, способного декодировать правильный ключ лицензии и вручную намахнуть SLIC OEM активацию Windows ... Однако ... При получении сообщения : ваша копия Windows не является подлинной, этот активатор - первый, без проблем и за несколько секунд - смог исправить ситуацию (не уменьшая значение счетчика доступных реактиваций) ... При этом создавая Бот-сеть неизвестного (но - предполагаемого) назначения ...

Ни Windows Loader 2.2.2 by Daz ... Ни KMSAuto : Pro 1.25.1 или Net 2014 v1.2.6.1 Portable RU ... Ни Windows 7 Loader eXtreme Edition v3.503 или процедура ручного удаления надписи с экрана (Отключить обновления ... Удалить KB971033 ... Показать защищенные системные файлы ... Остановить сервис защиты ПО sppsvc ... Удалить 2 файла по маске : C7483456-A289-439D * ... Удалить HKLM - WinLogon ключ реестра \ Notify \ WpaLogon и системные DLL файлы ... LegitCheckControl.dll ... WpaLogon.dll ... WgaTray.dll ...) - не смогли справиться с этим предупреждением и ограничением функциональности Windows ... Возможно, одной из причин падения лицензии Windows, было - обновление кода BIOS ? ... Информация BIOS может частично использоваться в процессе лицензирования ...

Ладно, но сейчас - не об этом ... Сколько и каких активаторов заражено вирусом неизвестного назначения - очень интересно узнать ... Если само / закрываются окна, само / нажимаются кнопки, хочется от души треснуть мышь об столешницу или ближайшую стену ... Очень вероятно, что на ниве дискового пространства ПК и / или загрузочного кода - поселился вирус ... Не пропадает ощущение того, что кто-то невидимо мониторит компьютер и пытается предпринять какие-либо действия ...

Сначала - тест под WinXP ... Меньше защиты, больше вероятности заражения ... После каждого обнаружения вируса - очистка под DOS и полная замена операционной системы на заведомо чистую ... Очень замороченная процедура ... Любое неаккуратное действие приводит к заражению всех внутренних и внешних носителей ... Коронавирус - отдыхает, свернувшись клубком и спрятав морду лица под заднюю лапу ))) ...

Только после выявления потенциальной опасности - можно переходить на тестирование под Win7 ... Продолжение исследования - как бы обновляет начало повествования ... Ну да - ладно ... Кому надо - сам разберется, остальные проследят развитие ситуации - по картинкам ... На сладкое - прогнал оставшиеся файлы через антивирус DrWeb (так как, некоторые - удалил ; позже стал менять расширение EXE на BAK) ... Антивирусная проверка DrWeb в целом завершает картину насыщенности файлов разнообразными вирусами и способами борьбы с заражениями : лечение (по возможности) или - удаление (карантин) ...

Вирусные активаторы, работающие в Win 7, 8 10.

Программные активаторы, которые не запускается в системе WinXP или работают частично - то есть предназначены для более свежих систем ... От опасности завирусовывания - это не сильно спасает ...

KMSAuto : никакие версии не запускаются ... Net v1.2.6.1 2014 Portable RU ... Net v1.3.4.0 2014 ... Net v1.5.4 2016 Portable (вирус : MSActBackup Trojan MulDrop 16.10183) ... Pro v1.25.1 Portable ... Соответственно, от них - наименьшая вероятность что-либо подхватить под WinXP ... Пока не будут проведены тесты в Win7 ... В семерке - тоже, никакой вирусной активности - не обнаружено ...

KMSAuto Net Portable by Ratiborus.

KMSPico v10.1.2 AIO Final W7Act - clear XP ... Попросил NetFramework не ниже v4 версии, но даже с ним - не смог запуститься ... Чистый ... Не работает и в Win7, только все время что-то чешет не по русски ... Вирусы : Trojan.Moneyinst.709 (архивы final installer и OEM) ; Exploit.Siggen.14164 - архив portable ... Все - неизлечимые ...

Что касается надписи необходимости активации Windows ... Понравилась работа утилит в связке : Microsoft Genuine Advantage Diagnostics Tool и MS Toolkit Activator v2.5.2 by CODYQX4 ... Первая программа сказала, что : истек период льготного использования, а вторая утилита - нажатием всего одной кнопки ReArm - продлила срок еще на 30 дней (правда из 3 возможных - осталось всего две попытки дополнительного продления) ...

Windows 7 Loader eXtreme Edition v3.5.0.3 ... Тоже не хочет запускаться под икспишкой ...

Windows 7 Loader eXtreme Edition v3.5.0.3.

И Win7 Loader eXtreme Edition (не вирус : Tool.FakeSLIC.2, фейковая лицензия Windows), и Win7 OEM Brander Activator by Orbit30 release 2 - как и остальные, специально предназначенные для работы из-под семерки и свежее - отработали без малейших внешних намеков на внедрение вируса ... Что (после вакханалии и разгула под WinXP) - может показаться необычным и удивительным ...

Вирусные активаторы, работающие в Win XP.

MS Gen Adv DiagTool v1.9.0027.0 - clear XP ... Microsoft Genuine Advantage Diagnostics Tool ... Никаких отрицательных последствий от применения программы - не замечено ...

Microsoft Genuine Advantage Diagnostics Tool.

MS Toolkit Activator v2.5.2 by CODYQX4 - clear XP ... Программа требует для работы Microsoft .NET Framework 4.0 или выше, для Office 2010 (и новее) и Windows Vista, 7, 8, 10 ... Ничего подозрительного не обнаружено ...

Microsoft Toolkit Activator скриншот.

Microsoft Toolkit Activator настройки.

Microsoft Toolkit Activator Windows.

Remove WAT v2.1 1169kb - clear XP ... Утилита удаления WaterMark надписей с экрана - не будет работать без NetFramework v2 ... Удаляет или нет - неизвестно, но не заражает - это точно ...

Remove WaterMark on Desktop - validation, update, etc.

W7 OEM Brander Activator by Orbit30 release 2 - clear XP ... Активация Windows через лоадер, ключ, сертификат ... По бренду производителя компьютера / ноутбука ... На момент тестирования - чисто ...

Windows 7 OEM Brander Activator by Orbit30 release 2, экран.

Windows 7 OEM Brander Activator by Orbit30 release 2, кастомные настройки.

Windows Product Key Checker by janek2012 v1.0.3.31 - clear XP ... Проверка ключа и разная служебная информация ...

Windows Product Key Checker, проверка ключа и разная служебная информация.

На этом, вступительную часть Мерлезонского кордебалета - можно считать законченной и перейти к самому интересному, а именно ... Не могу предполагать, догадались вы уже или нет, что эта статья - как раз не о том, какие активаторы Windows - есть у меня рабочие, а как раз о том, какие завирусованные - есть сейчас в наличии у вас и состоите ли вы во всемирной сети BOTNET обмена паролями, кредитками и слива конфиденциальной информации о самом же себе ))) ... Вирус этот - настолько мерзо / пакостный, что как г**** липнет ко всему, что шевелится и отмыться от него - нереально тяжело ... Ну, что - готовы ? ... Поехали ... Начнем, пожалуй - по списку (алфавиту), сверху вниз ...

Remove WAT v0.8 Patch 2009 - virus XP ... Полу DOS овская утилита командной строки ... Не требует, даже шевеления пальцем - вирус прилетает сам, при запуске ...

Remove WAT v0.8 Patch 2009.

Se7en Activator v3 - virus XP ... Решает вопросы по Genuine Microsoft Software ... И надо заметить - весьма качественно вирусует систему ... Шутка ))) ... Скорее всего автор не стремился к такому поведению, просто попал под раздачу ...

Se7en Activator v3 Genuine Microsoft Software.

Win7 Anytime Upgrade Keygeg by Sleepinguy98 v1.0 - virus XP ... Небольшой генератор или простая показывалка ключей, так как если исследовать код многих EXE завирусованных файлов, то можно обнаружить внутри - богатые ключевые коллекции ... Теоретически - это все могло уместиться в виде простого текста на листке бумаги формата A4 ... Однако, в виде программы / генератора - это выглядит, как всемогущественное чудо и волшебство ... Вирус : Win32.Sector.30 - вылечено ...

Windows 7 Anytime Upgrade Keygeg v1.

Целая коллекция Window 7 Loader by Daz - virus XP ... И все, на глушняк - завирусованные ... Дикая случайность ? ... Последствия чрезмерной популярности и многочисленных модификаций ? ... Или - следствие реальной работоспособности ? ... Не знаю ... Внутри кода EXE все признаки указывают на соответствие содержания названию ... Есть некоторые строки описания, что программа будет работать из ZIP архива - непосредственно ... Конечно - это не ZIP архив и EXE мог быть чем то упакован ... Поэтому, в коде вируса - есть следы LordPE ... Программный инструмент Lord PE - один из широко известных, популярных и работоспособных утилит и в среде программистов и среди широкого круга хакеров и крэкеров софта и компьютерных программ ... Кракерский софт LordPE помогает в распаковке исполняемого кода программных файлов, позволяет дампить, оптимизировать структуру, помогать в отладке ; анализировать и выполнять прочие программерские хитрости ... Отчего-же (при наличии определенной сноровки и подготовки) не использовать его - для внедрения вируса в файл (по национальным, политическим, финансово / экономическим, марксистским или немарксистским - мотивам ??? ))) ... Пугает - другое : все эти, общие по сути, но различные по исполнению, файлы - заражены одинаковым одно / типным вирусом ... Совпадение ? ... Что-то я, таких совпадений - не припомню с середины 2000-х годов, когда вирус клещ H - нагнул раком 160 миллионов компьютеров по всему миру ))) ... С тех пор - много что изменилось в плане компьютерной кибер безопасности ... Один и тот же, само / распространяющийся излечимый вирус - на все файлы ... Узнать подробнее, что это такое (по классификатору вирусов антивируса DrWeb) - читать в статье

# ... news.drweb.ru, Win32.Sector заразил более миллиона компьютеров в 2014 году.

v1.6.9 2360kb и 2364kb ...

Window 7 Loader by Daz v1.6.9 2360kb.

Window 7 Loader by Daz v1.6.9 2364kb.

v1.7.9 2445kb и 2449kb ...

Window 7 Loader by Daz v1.7.9 2445kb.

Window 7 Loader by Daz v1.7.9 2449kb.

v1.9.3 3144kb ... Сам, 6ля ... Один, 6ля ... Без дублера, 6ля ...

Window 7 Loader by Daz v1.9.3 3144kb.

v2.2.2 3997kb и 4001kb ...

Window Loader by Daz v2.2.2 3997kb.

Window Loader by Daz v2.2.2 4001kb.

7 Loader by Hazar v1.6 ... Install OEM Info ... Genuine Microsoft Software ... Activation ... Remove OEM Branding ... SLIC 2.1 in BIOS ... Activation status ... Install / Remove Loader ... Loader status ... Repair activation ... Вирус - прилетает сам, независимо от действия или бездействия ...

7 Loader by Hazar v1.6, Install OEM Info.

Windows 7Loader SLIC Activation with OEM Information - virus XP ... Release 5 by Orbit30 win7vista com ... Status ... Hazar Option 2 ... Activate SLIC present ... Естественно - не без внедрения компьютерного вируса, с превращением ПК пользователя в рассадник - нет, далеко не огурцов или иного сельско / хозяйственного назначения ...

Windows 7Loader Slic Activation, OEM Info, by Orbit30 Release 5, экран программы.

Windows 7Loader Slic Activation, OEM Info, by Orbit30 Release 5, опции программы.

Теперь, спросите вы, буду ли я безалаберно пользоваться непроверенными активаторами ? Скорее всего - нет ... Зайдем к вопросу с другой стороны и спросим иначе : поможет ли покупка официальной лицензии избавиться от встречи с этим и подобными вирусами ? ... Отчасти - да, потому-что не придется использовать всякие лоадеры и кей / генераторы сомнительного происхождения и качества ... Однако и 100% гарантии уверенности - нельзя дать, тоже ... Судя по агрессивному поведению компьютерного вируса : чихать он хотел с высокой колокольни и гадить по большому - на все известные виды лицензий компьютерных программ (Demo, Trial, OEM, VL, RTM, BOX и другие все / возможные виды) ... Его задача : любой ценой вырваться на волю и заразить как можно больше потенциальных клиентов ... Он будет : копировать сам себя ; прикидываться ярлыками DOS PIF ; пытаться заражать исполняемые EXE файлы ; а на голом безрыбье - даже станет инфицировать рисунки JPG ... Так, какой либеральности в лицензионной политике - вы ждете от него ??? ... Вот яркий пример : уважаемая программа дефрагментатор виртуальных VHD дисков ПК : WinContig - и та распространяет этот вирус - безо всякого зазрения совести ... Уж, от кого / от кого, но от этой программы - я в принципе не ожидал словить ничего подобного ...

Программа дефрагментации виртуальных VHD дисков ПК - также распространяет вирус.

Так, что ... Главный виновник торжества : вирус Win32.Sector.30 ... Достаточно одной копии, чтобы большинство окружения оказалось заражено и продолжало заниматься этим - в последствии ... Не нужно было сгоряча удалять файлы, не попытавшись сначала - вылечить их ... Вирус - излечим, и пациент (бы) остался, скорее жив, чем мертв ... Однако, что выросло, то - выросло ... Хирург сказал : резать, значит - резать ))) ...

Февраль, 2020 ...

Список всех страниц, раздел computer : смотреть онлайн бесплатно, интересное - надо посмотреть ...