Программы, loader, OEM activator и shell вирусы.

Файл вирус в Windows. Как удалить своими руками.

Virus. Вирус. Windows loader. Activation. Genuine Microsoft. Ключи. Активация. Заразить ПК.

После применения каких-то патчей или кряков - двойной клик по диску / папке в эксплорере проводника : стало открывать содержимое в новом окне, хотя настройки стоят, как обычно : открывать содержимое папок в том же окне ... Более тщательное исследование - показало, что вирус распространился на некоторые внешние USB диски и флешки, подключаемые для передачи и копирования файлов ... В корне диска были обнаружены файлы Autorun.inf (автозапуск) и незнакомый исполняемый AbcXyz.exe (условное имя) ...

[AutoRun] ;xRuoJbag icSTRpShbdOoVxJpchemeyrtYp bsXNYB HmQXyrUcuHJQR ;pMhAf OPEN = AbcXyz.exe ;PUkqN sHelL\opEn\DeFaUlt=1 ;gGVd lWlOv sHElL\open\COmMand=AbcXyz.exe ;aDImWrjRyfTpIGbBodTNGvL RPwWyX shell\exPLore\CommanD=AbcXyz.exe ;gMFg sHELl\AutOPlAY\coMmaNd = AbcXyz.exe

Или - то же самое, очистив от мусора и приведя к нормальному виду : ...
Shell\Open\Default=1
Shell\Open\Command= ...
Shell\Explore\Command= ...
Shell\AutoPlay\Command= ...

Что такое Shell (оболочка) и как с ее помощью можно управлять системой - подробно рассказано в статье

...

Да, и - невозможно удалить вирус голыми руками, так как он прописывает себя, как системный, то есть входит в состав сервисов работающей ОС Windows и не подлежит удалению - априори ))) ... Используя утилиты загрузочного диска Hiren'S BootCD, например : GMER RootKit Director - можно удалить (delete) или убить (kill) зловредный файл ... Однако - это бесполезно, и на его месте - тут же сгенерируется новый, с другим случайным названием из набора цифр и букв ...

Удаление вируса вручную утилитой GMER RootKit Director.

Утилита MalwareBytes Anti-Malware - находит не только конечный файл вируса Malware.Packer.Gen , но и (частично) сервис его авто / генерации ... В реестре ...
HKLM \ System \ CurrentControlSet \ Enum \ Root \ Legacy_AMSINT32
HKLM \ System \ CurrentControlSet \ Services \ amsint32
ImagePath = C:\WINDOWS\system32\drivers\lhjfn.sys
... запускается сервис постоянно контролирующий наличие вируса, и при его удалении - генерирующий новый файл в корне (root C:\) с другим именем и тем же содержанием (функциональностью) ... Поэтому, просто удалять файл вируса и его autorun.inf - бесполезно ...

После перезагрузки - окна Windows работают нормально, но файл вируса - снова появляется в корне и ждет своего часа ... Удалить вручную ключи реестра (дать разрешение на полный доступ действий над ключом - при необходимости) ... Удалить вирус из корня [появляется - снова (!!!)] ... Autorun.inf - удаление запрещено ... Да, ты ... Похоже, проблема - сидит немного глубже ...

Проверка подозрительных работающих сервисов на ПК ... Отключение непонятных служб - не помогло ... Прикольно : перестало работать меню запуска утилит с флэшки восстановления ПК, но вируса там - пока нет ... Выткнул / воткнул - ого, уже есть ... Маскируется под MS-DOS ярлык, тварь ... Очень прилипчивая зараза ... Все время пытается скрыть системные файлы и закрыть окна системных утилит и настроек ...

Вирус маскируется под MS-DOS ярлык и копируется на внешние носители.

Дальше - больше ... Вирусня попыталась заразить стартер программ HBCDMenu.exe, но видимо - что-то пошло не так и просто испортила этот файл (поэтому аварийно / восстановительный флэш диск ПК и перестал запускать встроенные утилиты) ... Таким образом, бороться с подобной агрессивной средой можно и нужно одним методом : форматированием диска с восстановлением файлов загрузчиков операционных систем ... Это неимоверно значительно избавит от бесполезных затрат времени, но и - не предохранит от возможных будущих заражений, потому-что источник завирусовывания (от которого нужно немедленно избавиться) - так и не был обнаружен ...

Если гора не идет к Магомету, придется действовать от обратного : переустановить систему, скопировать и заново протыкать все файлы, используемые при предыдущей установке - чтобы выявить источник заражения, изолировать и ликвидировать его ... Это займет в 10 раз меньше времени, чем поиск и отлавливание вируса в работающей операционной среде ... Результаты исследования - не заставили себя долго ждать ... А вот и первый претендент на вылет : Windows 7Loader Slic Activation with OEM Information - Release 5 (c) Orbit30 2009 win7vista.com ... Именно этот Win7 лоадер, при нажатии кнопки None slic option - сразу внедряет вирус на все доступные информационные носители ... Особо отмечается : пробуйте этот активатор - в первую очередь ))) ... Вот и попробовали ))) ...

Вирус при активации - Win 7 Loader OEM Slic Act, релиз Orbit30, заставка.

Я не могу сказать : дело это рук Orbit30 или конкуренты постарались дискредитировать образ непримиримого борца с лицензированием Windows - для этого надо быть, как минимум на техническом уровне специалиста, способного декодировать правильный ключ лицензии и вручную намахнуть SLIC OEM активацию Windows ... Однако ... При получении сообщения : ваша копия Windows не является подлинной, этот активатор - первый, без проблем и за несколько секунд - смог исправить ситуацию (не уменьшая значение счетчика доступных реактиваций) ... При этом создавая Бот-сеть неизвестного [ но - предполагаемого ] назначения ))) ...

Ни Windows Loader 2.2.2 by Daz ... Ни KMSAuto : Pro 1.25.1 или Net 2014 v1.2.6.1 Portable RU ... Ни Windows 7 Loader eXtreme Edition v3.503 или процедура ручного удаления надписи с экрана (Отключить обновления ... Удалить KB971033 ... Показать защищенные системные файлы ... Остановить сервис защиты ПО sppsvc ... Удалить 2 файла по маске : C7483456-A289-439D * ... Удалить HKLM - WinLogon ключ реестра \ Notify \ WpaLogon и системные DLL файлы ... LegitCheckControl.dll ... WpaLogon.dll ... WgaTray.dll ...) - не смогли справиться с этим предупреждением и ограничением функциональности Windows ... Возможно, одной из причин падения лицензии Windows, было - обновление кода BIOS ? ... Информация BIOS может частично использоваться в процессе лицензирования ...

Ладно, но сейчас - не об этом ... Сколько и каких активаторов заражено вирусом неизвестного назначения - очень интересно узнать ... Если само / закрываются окна, само / нажимаются кнопки, хочется от души треснуть мышь об столешницу или ближайшую стену ... Очень вероятно, что на ниве дискового пространства ПК и / или загрузочного кода - поселился вирус ... Не пропадает ощущение того, что кто-то невидимо мониторит компьютер и пытается предпринять какие-либо действия ...

Сначала - тест под WinXP ... Меньше защиты, больше вероятности заражения ... После каждого обнаружения вируса - очистка под DOS и полная замена операционной системы на заведомо чистую ... Очень замороченная процедура ... Любое неаккуратное действие приводит к заражению всех внутренних и внешних носителей ... Коронавирус - отдыхает, свернувшись клубком и спрятав морду лица под заднюю лапу ))) ...

Только после выявления потенциальной опасности - можно переходить на тестирование под Win7 ... Продолжение исследования - как бы обновляет начало повествования ... Ну да - ладно ... Кому надо - сам разберется, остальные проследят развитие ситуации - по картинкам ... На сладкое - прогнал оставшиеся файлы через антивирус DrWeb (так как, некоторые - удалил ; позже стал менять расширение EXE на BAK) ... Антивирусная проверка DrWeb в целом завершает картину насыщенности файлов разнообразными вирусами и способами борьбы с заражениями : лечение (по возможности) или - удаление (карантин) ...

Вирусные активаторы, работающие в Win 7, 8 10.

Программные активаторы, которые не запускается в системе WinXP или работают частично - то есть предназначены для более свежих систем ... От опасности завирусовывания - это не сильно спасает ...

KMSAuto : никакие версии не запускаются ... Net v1.2.6.1 2014 Portable RU ... Net v1.3.4.0 2014 ... Net v1.5.4 2016 Portable (вирус : MSActBackup Trojan MulDrop 16.10183) ... Pro v1.25.1 Portable ... Соответственно, от них - наименьшая вероятность что-либо подхватить под WinXP ... Пока не будут проведены тесты в Win7 ... В семерке - тоже, никакой вирусной активности - не обнаружено ...

KMSAuto Net Portable by Ratiborus.

KMSPico v10.1.2 AIO Final W7Act - clear XP ... Попросил NetFramework не ниже v4 версии, но даже с ним - не смог запуститься ... Чистый ... Не работает и в Win7, только все время что-то чешет не по русски ... Вирусы : Trojan.Moneyinst.709 (архивы final installer и OEM) ; Exploit.Siggen.14164 - архив portable ... Все - неизлечимые ...

Что касается надписи необходимости активации Windows ... Понравилась работа утилит в связке : Microsoft Genuine Advantage Diagnostics Tool и MS Toolkit Activator v2.5.2 by CODYQX4 ... Первая программа сказала, что : истек период льготного использования, а вторая утилита - нажатием всего одной кнопки ReArm - продлила срок еще на 30 дней (правда из 3 возможных - осталось всего две попытки дополнительного продления) ...

Windows 7 Loader eXtreme Edition v3.5.0.3 ... Тоже не хочет запускаться под икспишкой ...

И Win7 Loader eXtreme Edition (не вирус : Tool.FakeSLIC.2, фейковая лицензия Windows), и Win7 OEM Brander Activator by Orbit30 release 2 - как и остальные, специально предназначенные для работы из-под семерки и свежее - отработали без малейших внешних намеков на внедрение вируса ... Что (после вакханалии и разгула под WinXP) - может показаться необычным и удивительным ...

Вирусные активаторы, работающие в Win XP.

MS Gen Adv DiagTool v1.9.0027.0 - clear XP ... Microsoft Genuine Advantage Diagnostics Tool ... Никаких отрицательных последствий от применения программы - не замечено ...

MS Toolkit Activator v2.5.2 by CODYQX4 - clear XP ... Программа требует для работы Microsoft .NET Framework 4.0 или выше, для Office 2010 (и новее) и Windows Vista, 7, 8, 10 ... Ничего подозрительного не обнаружено ...

Remove WAT v2.1 1169kb - clear XP ... Утилита удаления WaterMark надписей с экрана - не будет работать без NetFramework v2 ... Удаляет или нет - неизвестно, но не заражает - это точно ...

W7 OEM Brander Activator by Orbit30 release 2 - clear XP ... Активация Windows через лоадер, ключ, сертификат ... По бренду производителя компьютера / ноутбука ... На момент тестирования - чисто ...

Windows Product Key Checker by janek2012 v1.0.3.31 - clear XP ... Проверка ключа и разная служебная информация ...

На этом, вступительную часть Мерлезонского кордебалета - можно считать законченной и перейти к самому интересному, а именно ... Не могу предполагать, догадались вы уже или нет, что эта статья - как раз не о том, какие активаторы Windows - есть у меня рабочие, а как раз о том, какие завирусованные - есть сейчас в наличии у вас и состоите ли вы во всемирной сети BOTNET обмена паролями, кредитками и слива конфиденциальной информации о самом же себе ))) ... Вирус этот - настолько мерзо / пакостный, что как г**** липнет ко всему, что шевелится и отмыться от него - нереально тяжело ... Ну, что - готовы ? ... Поехали ... Начнем, пожалуй - по списку (алфавиту), сверху вниз ...

Remove WAT v0.8 Patch 2009 - virus XP ... Полу DOS овская утилита командной строки ... Не требует, даже шевеления пальцем - вирус прилетает сам, при запуске ...

Se7en Activator v3 - virus XP ... Решает вопросы по Genuine Microsoft Software ... И надо заметить - весьма качественно вирусует систему ... Шутка ))) ... Скорее всего автор не стремился к такому поведению, просто попал под раздачу ...

Win7 Anytime Upgrade Keygeg by Sleepinguy98 v1.0 - virus XP ... Небольшой генератор или простая показывалка ключей, так как если исследовать код многих EXE завирусованных файлов, то можно обнаружить внутри - богатые ключевые коллекции ... Теоретически - это все могло уместиться в виде простого текста на листке бумаги формата A4 ... Однако, в виде программы / генератора - это выглядит, как всемогущественное чудо и волшебство ... Вирус : Win32.Sector.30 - вылечено ...

Целая коллекция Window 7 Loader by Daz - virus XP ... И все, на глушняк - завирусованные ... Дикая случайность ? ... Последствия чрезмерной популярности и многочисленных модификаций ? ... Или - следствие реальной работоспособности ? ... Не знаю ... Внутри кода EXE все признаки указывают на соответствие содержания названию ... Есть некоторые строки описания, что программа будет работать из ZIP архива - непосредственно ... Конечно - это не ZIP архив и EXE мог быть чем то упакован ... Поэтому, в коде вируса - есть следы LordPE ... Программный инструмент Lord PE - один из широко известных, популярных и работоспособных утилит и в среде программистов и среди широкого круга хакеров и крэкеров софта и компьютерных программ ... Кракерский софт LordPE помогает в распаковке исполняемого кода программных файлов, позволяет дампить, оптимизировать структуру, помогать в отладке ; анализировать и выполнять прочие программерские хитрости ... Отчего-же (при наличии определенной сноровки и подготовки) не использовать его - для внедрения вируса в файл (по национальным, политическим, финансово / экономическим, марксистским или немарксистским - мотивам ??? ))) ... Пугает - другое : все эти, общие по сути, но различные по исполнению, файлы - заражены одинаковым одно / типным вирусом ... Совпадение ? ... Что-то я, таких совпадений - не припомню с середины 2000-х годов, когда вирус клещ H - нагнул раком 160 миллионов компьютеров по всему миру ))) ... С тех пор - много что изменилось в плане компьютерной кибер безопасности ... Один и тот же, само / распространяющийся излечимый вирус - на все файлы ... Узнать подробнее, что это такое (по классификатору вирусов антивируса DrWeb) - читать в статье

...

v1.6.9 2360kb и 2364kb ...

v1.7.9 2445kb и 2449kb ...

v1.9.3 3144kb ... Сам, 6ля ... Один, 6ля ... Без дублера, 6ля ...

v2.2.2 3997kb и 4001kb ...

7 Loader by Hazar v1.6 ... Install OEM Info ... Genuine Microsoft Software ... Activation ... Remove OEM Branding ... SLIC 2.1 in BIOS ... Activation status ... Install / Remove Loader ... Loader status ... Repair activation ... Вирус - прилетает сам, независимо от действия или бездействия ...

Windows 7Loader SLIC Activation with OEM Information - virus XP ... Release 5 by Orbit30 win7vista com ... Status ... Hazar Option 2 ... Activate SLIC present ... Естественно - не без внедрения компьютерного вируса, с превращением ПК пользователя в рассадник - нет, далеко не огурцов или иного сельско / хозяйственного назначения ...

Теперь, спросите вы, буду ли я безалаберно пользоваться непроверенными активаторами ? Скорее всего - нет ... Зайдем к вопросу с другой стороны и спросим иначе : поможет ли покупка официальной лицензии избавиться от встречи с этим и подобными вирусами ? ... Отчасти - да, потому-что не придется использовать всякие лоадеры и кей / генераторы сомнительного происхождения и качества ... Однако и 100% гарантии уверенности - нельзя дать, тоже ... Судя по агрессивному поведению компьютерного вируса : чихать он хотел с высокой колокольни и гадить по большому - на все известные виды лицензий компьютерных программ (Demo, Trial, OEM, VL, RTM, BOX и другие все / возможные виды) ... Его задача : любой ценой вырваться на волю и заразить как можно больше потенциальных клиентов ... Он будет : копировать сам себя ; прикидываться ярлыками DOS PIF ; пытаться заражать исполняемые EXE файлы ; а на голом безрыбье - даже станет инфицировать рисунки JPG ... Так, какой либеральности в лицензионной политике - вы ждете от него ??? ... Вот яркий пример : уважаемая программа дефрагментатор виртуальных VHD дисков ПК : WinContig - и та распространяет этот вирус - безо всякого зазрения совести ... Уж, от кого / от кого, но от этой программы - я в принципе не ожидал словить ничего подобного ...

Так, что ... Главный виновник торжества : вирус Win32.Sector.30 ... Достаточно одной копии, чтобы большинство окружения оказалось заражено и продолжало заниматься этим - впоследствии ... Не нужно было сгоряча удалять файлы, не попытавшись сначала - вылечить их ... Вирус - излечим, и пациент (бы) остался, скорее жив, чем мертв ... Однако, что выросло, то - выросло ... Хирург сказал : резать, значит - резать ))) ...

Февраль, 2020 ...

Раздел computer : список всех страниц ...