Запускается проверка подлинности. И как спасаться?

[Scuns]

Зачем в HOST это? 127.0.0.1 media-click.ru
127.0.0.1 sexvideorussia.com
127.0.0.1 nn-files.ru
127.0.0.1 file-nnov.ru/forum
127.0.0.1 file-nnov.ru

[матысик]

Цитата: Сообщение от Scuns Зачем в HOST это? 127.0.0.1 media-click.ru 127.0.0.1 sexvideorussia.com 127.0.0.1 nn-files.ru 127.0.0.1 file-nnov.ru/forum 127.0.0.1 file-nnov.ru

4 сайта блокируются
файл перезалил....терь там нет этих строчек

[sensey01]

Помогите...
Не смог найти. А вот тоже самое про Office2007 ! А то замучил уже!

[матысик]

ох блин, а я и не видел))) ребят,,, поймите я не занимаюсь, взломом или еще чем либо (я простой юзер)....у мя были "проблеммы" с дядей билом))) я для себя их решил..... поделился с общественностью, дабы люди не имели подобных проблемм, все остальное, енто так..пшик, я все понимаю, но офис и виста, енто думаю не сюда))) Данное решение касается, только winxp

[vova2009]

Антивирусник McAfee пределяет в указанном файле троян. Ая-яй Матысик, прооостой юзеeeeр?





Добавлено через 10 минут
[QUOTE=Iskam;2863081]"ProductId"="55274-640-1011873-23081"
"DigitalProductId"=hex:a4,00,00,00,03,00,00,00,35, 35,32,37,34,2d,36,34,30,2d,\
31,30,31,31,38,37,33,2d,32,33,30,38,31,00,2e,00,00 ,00,41,32,32,2d,30,30,30,\
30,31,00,00,00,00,00,00,00,86,56,4e,4c,21,1b,2b,6a ,a3,78,8e,8f,98,5c,00,00,\
00,00,00,00,dd,da,47,41,cc,6b,06,00,00,00,00,00,00 ,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,38,31,30,32,36,00 ,00,00,00,00,00,00,b5,16,\
00,00,83,83,1f,38,f8,01,00,00,f5,1c,00,00,00,00,00 ,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 ,66,e5,70,f3
"LicenseInfo"=hex:33,b7,21,c1,e5,e7,cd,4b,fd,7c,c6 ,35,51,fd,52,57,17,86,3e,18,\
d3,f4,8c,8e,35,32,7b,d1,43,8d,61,38,60,a4,ca,55,c9 ,9a,35,17,46,7a,4f,91,fc,\
4a,d9,db,64,5c,c4,e2,0f,34,f3,ea


Через буфер эти циферки в реестр не вставляются, только вручную. Может есть способ автоматезировать вставку двоичных данных в рееестр?

[матысик]

Цитата: Сообщение от vova2009 Антивирусник McAfee пределяет в указанном файле троян. Ая-яй Матысик, прооостой юзеeeeр?

Улыбнуло)))
Вы знаете что такое вирус??? знаете как он работает??? как его пишут???
НЕТ??? думаю нет..., если вы используете лицензионный антивирус, то я буду очень вам признателен, если вы отправите файлик на анализ!!!
А так эта ситуация похожа на ту, что еслибы вы пришли в магазин за колбасой, а продавец продал бы вам рыбу, вы бы естественно стали возмущаться типа это же рыба, на что продавец бы вас переубеждал в обратном,,,,ведь он же продавец (ему видней)!!!

Теперь вот контрольные суммы к файлу, так на всякий случай
MD5 : 17af486e7ba092d49fb7a3cff5dd6547
SHA1 : 1828e6f7d62f8f1bf93dd9afd8f5535916015ad5
SHA256: 0d84912265862019016ed3c2b4ad51172af38cff057b724ed3 d9f7f0e14e1bed

фото анализа на вирусы


Теперь смотрим, названия вирусов находим их базе и смотрим их описание!!!!

[Ko_2009]

самое простое решение: в папке систем32 удалить файлы (вроде их 2) начинающиеся с WGA

мне помогало. может пару раз так сделать и все.

[матысик]

Цитата: Сообщение от Ko_2009 самое простое решение: в папке систем32 удалить файлы (вроде их 2) начинающиеся с WGA мне помогало. может пару раз так сделать и все.

Неа))) не поможет и удалять совсем не там))) К тому же вопрос изначально поставлен таким образом, что именно делать, када уже отображается, че типа непройдена проверка)))

[x_slava]

Вот программка которая решает проблемму с Wgа! Распаковываем и запускаем installer.bat
http://rapidshare.com/files/337360673/Wgh.zip

[Ko_2009]

Цитата: Сообщение от матысик Неа))) не поможет и удалять совсем не там))) К тому же вопрос изначально поставлен таким образом, что именно делать, када уже отображается, че типа непройдена проверка)))

я читал вопрос и все понимаю. говорю как я делал. и у меня все ок было! может и не с первого раза, но это сработало!

[матысик]

Цитата: Сообщение от Ko_2009 я читал вопрос и все понимаю. говорю как я делал. и у меня все ок было! может и не с первого раза, но это сработало!

Я не хотел вас задеть, просто я как человек нефига не желающий платить мелкомягким за их так сказать "труды", начал искать варианты обхода этой их лабуды, много чего конечно пришлось изучить, но зато теперь, есть патч, который весит копейки, скачивается и устанавливается за 2 секунды, никаких лишних телодвижений, не нужно лазить по папкам в поисках этих самых 2 DLL, которые и удалять как выяснилось не нужно и патчить их тоже не нужно, да есть еще и риск удалить не то, что нужно (это када не знаешь, что именно удалять). Удалять запись в реестре тоже не совсем вариант, т.к средство проверки подлинности, будет закачиваться каждый месяц))) т.е раз в месяц, ента самая строчка в реестре будет восстановлена и опять все по новой, а для моего глаза например намного приятней когда заходишь на узел обновлений, проверяешь новые, а мне пишет, что высокоприоритетных обновлений для вашей системы не обнаружено, насколько часто выходять кряки для винды??? крайне часто!!! Почему??? Потомучто в них патченные DLL. со всеми вытекающими.

[Avrely]

Цитата: Сообщение от матысик просто я как человек нефига не желающий платить мелкомягким за их так сказать "труды"

Дружище, это, конечно, флуд не по теме, но разве мы все не пользуемся продуктом Майкрософта? Вы же не в Линуксе сейчас работаете. Да, ось не без недостатков, но мы пользуемся ей, и не совсем корректно поливать ее и ее создателей за то, что мы не хотим платить за это. Вопрос несоответствия цены и качества - вот здесь согласен! Но все же труд и материальные ресурсы Майкрософт затратил немалые, будьте лояльны.
Я такой же, как Вы, пользователь вареза... но не из неуважения к Майкрософт, а из собственной жадности. ИМХО.

[матысик]

Цитата: Сообщение от Avrely Дружище, это, конечно, флуд не по теме, но разве мы все не пользуемся продуктом Майкрософта? Вы же не в Линуксе сейчас работаете. Да, ось не без недостатков, но мы пользуемся ей, и не совсем корректно поливать ее и ее создателей за то, что мы не хотим платить за это. Вопрос несоответствия цены и качества - вот здесь согласен! Но все же труд и материальные ресурсы Майкрософт затратил немалые, будьте лояльны. Я такой же, как Вы, пользователь вареза... но не из неуважения к Майкрософт, а из собственной жадности. ИМХО.

Согласен, но лишь частично...Не совсем коректно и я бы даже сказал низковато как то, прибегать к таким вот способам выколачивания из нас денег!!! Цена, на продукты мелкомягких завышена, оттого и не хотят многие за них платить.

[WindSurfer]

Цитата: Сообщение от матысик Не одно только енто не поможет, нужно еще один файлик удалить кое откуда...иначе фик))) вот енто качаем и запускаем...и радуемся.. Можно смело заходить на сайт мелкомягких и проходить проверку прямо на сайте... вот скрин в подтверждение [IMG]http://img237.**************/img237/4715/15330096.png[/IMG]

У меня неоднократно на разных компах после сработки WGA и появления черного рабочего стола винда проходила проверку, восстанавливала рабочий стол и обновлялась всего после 2-х действий:
1)В папке *:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data
надо удалить файл data.dat
2)в файле hosts
в папке *:\*\system32\drivers\etc
добавить запись
127.0.0.1 mpa.one.microsoft.com
Отсюда вопрос - зачем вносить еще изменения в реестр?

[матысик]

Цитата: Сообщение от WindSurfer У меня неоднократно на разных компах после сработки WGA и появления черного рабочего стола винда проходила проверку, восстанавливала рабочий стол и обновлялась всего после 2-х действий: 1)В папке *:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data надо удалить файл data.dat 2)в файле hosts в папке *:\*\system32\drivers\etc добавить запись 127.0.0.1 mpa.one.microsoft.com Отсюда вопрос - зачем вносить еще изменения в реестр?

И вот за такие вот сообщения говорят, спасибо??? Я конечно все понимаю))))...но... Если вы читали несколькими постами выше, то думаю обратили внимание на некоторые вещи,,, я все понимаю, все любят поумничать...базара нет..тут вариант только один....продублирую в очередной раз фразу шапокляк..."Кто людям помогает, тот тратит время зря)))" увы и ах," ну в таком случае спрошу лично вас, так почему же вы лично, не проделали, то, что проделал я и не поделились с общественностью??? ведь вы же уже делали это раньше, а на форуме (да и вообще в инете) куча тем, именно по этой трабле??? т.е что же получается, умничать у нас все горазды, а вот действительно помочь...еденицы, посему, с чистой совестью посылаю вас и вам подобных в оооопу и завязываю постить в данной теме!!!! Ребята вы наступите на свои грабли милион раз!!!и вам увы никто не поможет!!!! Так что продолжайте заниматься нахлебничеством....вы напоминаете мне паразитов, которые плодятся и активно размножаются, а после задают вопросы, почему же у нас вокруг, так вот все говняно!!!

Еще раз для всех....Я простой юзер!!! А всем остальным, кто в очередной раз решил поумничать, предлагаю всегда поступать более мудро....Как вариант выложить свой вариант решения проблеммы!!! а не тыкать окружающих)))) это думаю понятно??? или нас окружают люди, просто выделяющие свою значимость???

PS\\\ну и собственно как итог...свой патч из темы убираю, спасибо умникам!!! Ребята если не умеете или не хотите нормально выражать свои мысли, то это ваше право!!! лично я пас...

Вот для умников выкладываю пару статеек....

Данная статья предназначена для WinXP

Итак, что же это и как с этим бороться, в домашних условиях, без применения кряков и прочей дряни!!!

Windows Genuine Advantage Validation Tool - это обязательное обновление KB892130. Предназначено для проверки подлинности ключа (на предмет уплаченных (выкруженных, отжатых...и т.д) за него бабулек, или законности использования вашего ключика) при посещении страничек узла Windows Update. Реализован как объект ActiveX в модуле LegitCheckControl.dll. Назначение: сбор сведений и отправка их на сервер Microsoft, проверка "подлинности Windows". Т.е. его основная задача имеет скорее шпионский характер, тайком от вас собирать информацию. Сцуки одним словом....это если честно с их стороны совсем уж некрасиво...

Вот информация, которую собирает WGA:
*производитель и модель компьютера;
*версия операционной системы и программного обеспечения, *использующего функцию Genuine Advantage;
*настройки региона и языка;
*уникальный номер, присвоенный компьютеру используемыми средствами *(глобальный уникальный идентификатор или GUID);
*номер и ключ продукта;
*название, номер и дата выпуска версии BIOS компьютера;
*серийный номер носителя;
*ключ продукта Office (при проверке Office);
*результаты установки;
*результаты проверки.

Данная инфа нарыта из официальных источников http://www.microsoft.com/genuine/downloads/FAQ.aspx

Обмозговафф и переварифф, все вышеперечисленное (я окуел просто...других слов нет у меня!!!) остается только гадать, что может быть скрыто от нас простых пользователей, учитывая непонятную (изначально безумно-маниакальную) тягу Microsoft постоянно "пи*дить.".извиняюсь за выражение. Но даже этот набор наводит на ряд мыслей.. Microsoft уже настолько охренела, что считает любой комп, на котором установлена Windows чуть ли не своей собственностью (В операционках Vista и Seven положение ещё хлеще!!!).

Итак, кто же будет рулить??? мы или мелкомягкие??? Я сразу скажу, что мы!!!!, платить, за спижженные, извините идеи и непомерно высокую плату за них же мы не будем!!! Что делать с этим WGA? Бред Microsoft о неудаляемости ентой пресловутой "заплатки", я опровергну на корню!!!. Удаляется эта хрень в пару кликов:
меню пуск\выполнить (командная консоль cmd.exe):
C:\>regsvr32 -u LegitCheckControl.dll
C:\>del LegitCheckControl.dll

Ну вот мы и избавились от нашего имбицильного друга, который портит наше настроение и заставляет нас искать способы обхода проверки)))! Но это решение не айс, поскольку при посещении узла обновлений нам "предложат" (вынудят) установить его заново!!!. Вощщем наша цель, чеб все работало, когда наша дрянь установлена в системе, но ри этом наша винда, была бы типа подлинной (безо всяких левых окон и прочей лабуды!!!).

Переходим к процессу "Лицензирования"

Кароче нам надо заблокировать любыми средствами канал связи, по которому передается информация в Microsoft. Например с помощью брандмаузера закрыть доступ к серверу mpa.one.microsoft.com, порт 443. Но не у всех есть брандмаузер, имеющий такие функции. Проще использовать настройки локального DNS. Для этого нужно открыть блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать в конец файла следующую строку:
127.0.0.1 mpa.one.microsoft.com



Сохранить файл, и выполнить команду
C:\>ipconfig /flushdns

Она нужна для сброса кэша DNS. Эти действия настраивают локальную службу DNS. Её назначение - определять IP-адрес по доменному имени. После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com, все его запросы будут отправляться на IP=127.0.0.1 (адрес локального компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет связаться с сервером mpa.one.microsoft.com, и что то передать или получить.

Основная задача выполнена - Имбицильной DLL заткнули рот! Это - главная мера обхода WGA. Она может дать осечку, и ключ будет определять как не подлинный, но это не значит что от этой меры следует отказываться или отменять её.
Непонятка случится если:
Остались следы предыдущих неудачных проверок. Они хранятся в файле:
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat
Этот файл нужно удалить. Папка "Application Data" имеет атрибут "скрытая". Если в системе установлено свойство "не показывать скрытые файлы и папки", то её не будет видно в проводнике. Устанавливать на файл data.dat атрибуты или разрешения, препятствующие записи в этот файл, не нужно. Поскольку в этом случае проверка WGA всегда будет неудачной!!!.

Модуль WGA имеет встроенный черный список нелегальных ключей, которые известны Microsoft. С помощью этого списка WGA может определить такой ключ без связи с сервером. Осечка будет, если установленный ключ находится в этом списке. В этом случае нужно сменить ключ или воспользоваться надстройкой для InternetExplorer IeBlinder

Все остальные известные способы обхода WGA как правило в большей степени временные меры, либо вообще бесполезны. Например, кракнутая LegitCheckControl.dll. Будет работать пару месяцев, до выхода новой версии WGA, Как только появится новая версия с увеличенным черным списком ключей, так вам предложат (заставят) установить её, независимо от того была у вас до этого кракнутая длл, или нет. Кроме этого, кракнутые дллки как правило не решают проблему утечки информации. Если вы поменяете ключ, то во время проверки WGA он свалит на сервер Microsoft, и через некоторое время будет внесен в черный список новой версии WGA.

Вот так вот не делая лишних телодвижений, мы пользуемся "оригинальной" виндой проходя все проверки))))

Обновление KB905474 - это система уведомлений о результатах проверки подлинности Windows. Если проверка подлинности обнаружит что ключ, установленный в системе, не является подлинным, то в системном трее появится звездочка, которая будет постоянно мозолить глаза сообщениями о необходимости приобрести лицензию. Аналогичные сообщения будут появляться при включении и выключении компьютера. Что-что, а его я точно не советую устанавливать, независимо от того, являетесь ли вы обладателем подлинного ключа или не являетесь таковым....
Ента дрянь предназначена для пользователя компьютера, а служит исключительно "шкурным" интересам Microsoft. В настоящее время никакого лекарства от этой "звезды героя" не требуется. Достаточно отказаться от установки обновления KB905474 навсегда (поставить галочку "Никогда больше не предлагать". Если же это обновление уже установлено, то достаточно его отключить.... ща се будет))))

Что же это такое, и почему его так все не полюбили? Это очередная хрень, которая ежедневно проверяет "подлинность" Windows, собирает и передает сведения на сервер Microsoft mpa.one.microsoft.com, даже если по всем признакам с лицензией всё в порядке!!!. Если есть повод для сомнений в лицензии, то он появляется в системном трее в виде звёздочки, и начинает донимать пользователя сообщениями о необходимости приобрести лицензию. Аналогичные сообщения появляются при старте системы, и при выходе из системы, цвет рабочего стола становится черным, а на нём рисуется предупреждение о нелегальной копии. Если пользователь установит цвет и обои рабочего стола по своему вкусу, то каждые 60 мин. все опять возвращается к черному цвету.
Так же обновление имеет статус не удаляемого. Т.е. штатными средствами удалить его невозможно. Удалить нельзя, а убить - можно за пять секунд.))) об этом чуть позже... Боже мой! Софтверный гигант опустился до такой низости: NagScreen-ов! Причем, если в более ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней мышкой, и выбрав команду "Выйти". То сейчас такой команды нет! А если пользователь захочет принудительно завершить это приложение, используя менеджер задач (проще говоря, убить процесс), то у него ничего не получится. Как только процесс будет насильно завершен, то некая невидимая наблюдающая за ним сила тут же запустит его снова! При этом WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно найти ни в одном известном месте автозапуска! Караул! Что же делать?

Спокойно, поводов для паники нет. Чтобы вырубить его нахрен, нужно понять как он включается. В автозапусках его точно нет, потому что все автозапуски срабатывают только после того, как пользователь войдет в систему (залогинится), а эта зараза начинает орать раньше! В это время фактически функционирует только winlogon. Смотрим ключик в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
"DllName"="WgaLogon.dll"
"Logon"="WLEventLogon"
"Logoff"="WLEventLogoff"
"Startup"="WLEventStartup"
"Shutdown"="WLEventShutdown"
"StartScreenSaver"="WLEventStartScreenSaver"
"StopScreenSaver"="WLEventStopScreenSaver"
"Lock"="WLEventLock"
"Unlock"="WLEventUnlock"
"StartShell"="WLEventStartShell"
"PostShell"="WLEventPostShell"
"Disconnect"="WLEventDisconnect"
"Reconnect"="WLEventReconnect"

Именно этот ключ отвечает за старт WgaNotification. Winlogon загружает указанную dll (WgaLogon.dll), а после, при возникновении каких то событий, вызывает указанные функции из этой dll. Слева - событие, справа - функция из dll. Удаляем этот ключ полностью, перезагружаем компьютер - вуаля! Никаких звездочек и предупреждений о поддельных копиях нет! Все остальные действия (патчи, кракнутые dll-ки) являются избыточными. Ибо без этого ключа система уведомлений не будет запущена, и остальные телодвижения никоим образом не улучшат ситуацию. Но есть один нюанс: служба обновлений WindowsUpdate, не обнаружив это ключ, будет считать KB905474 неустановленным, и она предложит установить обновление KB905474 повторно. Так что будьте внимательны, и откажитесь от повторной установки KB905474 навсегда.

Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А сейчас дахрена кто уже цепляет порно банер требующий бабло!!!. Да да тот самый))) О котором писалось в этой теме. При старте он выводит сообщение о пиратской копии (либо о том, что компьютер заражен вирусами), блокирует дальнейший вход, и просит перечислить 300 рублей через SMS. Деньги для якобы активации Windows. Работает эта вирусня аналогично, нашей мелкософтовсеой заразе.

Не устанавливайте KB905474. А на ключик
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
установите следующие разрешения: запрет на модификацию для всех групп (не только для группы "Все", а и для администраторов, и SYSTEM). Для того чтобы никакие вирусописатели (и из Microsoft в том числе) не могли привинтить к winlogon никакую дополнительную заразу.

Считаю, что тему можно закрывать!!!! т.к проблемма решена!!! Все кто захотят избавиться от звезды пирата, смогут без проблемм это сделать, после прочтения данной статьи