Компьютерный "триппер". Руководство по удалению вирусов

[borislev]

Короче, вляпался я малехо, (по порносайтам не гулял, говорю сразу )

Какая то гадость стала тормозить подьем Винды - у меня XP, выбрасывает окошко, что не могу найти и после этого набор палочек типа ||||||||

Второе проявление - не менее важное, при подьеме IE поднимается несколько pop-up, домашняя страница устанавливается на www.idgsearch.com, на десктопе и в фаворитах появляются иконки ссылки на какие-то левые сайты.
В автозагрузке появились iedll и еще какая-то херня.

Пользовался Norton antivirus, IEDoctor, Ad-aware 6.0, результатов практически никаких

Люди, поможить, кто может, только недавно винду поставил...

Отредактировано модератором. В связи с тем, что данная проблема всплывает очень часто, убедительно прошу, новых тем не открывать, пользоваться приведенными ниже советами. Дополнения и другие рекомендации постить только здесь или ЗДЕСЬ

[Mircea]

Цитата:

Сообщение от Cartman

ролечить из под Live-CD cure-it ом, поставить касперского, пролечить еще раз, перезагрузиться. Потом проверять.

К сожалению так ничего и не помогло... Перепробовал все антивирусы (ну почти все).
Пришлось переставить систему

[Alex Dark]

to Mircea хотя уже похоже что и не надо.

Сдается что в инете очередная "эпидемия".
Дело в том, что эта гадость не совсем вирь, вернее (мне так кажеться) изначально она совсем не вирь. Поэтому антивири ее и не ловят. Детально не разбирался, но суть именно в том, что ни АВЗ ни Курит ни НОД ни каспер на ее не кидаются во время проверки, в результате загрузка с CD или флешки с последующей проверкой ни чего не дает (про каспера не скажу. С последними базами не пробовал), а при проверке из под зараженной ОС они их просто не видят, а то что видят это или другие вири или эта гадость сама подсовывает вири (ну это мое предположение).

Пока из всего антивирусного ПО не плохо показал себя каспер 2010 и только после обновления баз. Он не нашел этой гадости и не классифицировал ее ни как, но он отследил загрузку процесса (не однократного, а серии вредоносных). Т.к. единственным признаком жизни системы было движение мыши и почти 5-и минутная задержка на клик, то что он там и сколько рубил сказать не могу (из-за нехватки дискового пространства, были отключены все логи). Перезагружался по просьбе каспера раза три или четые в процессе лечения.

Да, предварительно (то есть до касперского) АВЗ-шкой сбросил все настройки IE. В ИЕ отключил все надстройки, отключил все из автозагрузки.

После окончания файловый каспер все что было в автозагрузке отметил как зараженные объекты и вылечил. А кроме них еще около сотни ЕХЕ

PS есть уже очередная(ые) модификация(ии) этой гадости которая блокирует запуск ПО, скрывает Пуск с панелькой, не дает диспетчер задач или блокирует в нем все кроме выключения. Это мне знакомый в пятницу рассказывал о своих приключениях.
При чем, не посчитайте за антирекламму, но стоит купленная макафа. И ловит он это с регулярностью в несколько дней. Если в первый раз он ее вычистил (с его слов) почти вручную, то с каждым разом предыдущие методы лечения не помогали. В последний раз он сказал следующее "я махнул рукой на эту шнягу. Я не выключаю комп, не выхожу из нужных мне программ и работаю на втором мониторе. А эта хрень резвиться на первом. Жду не дождусь когда руководство увидит"

[New_Angel]

Симптомы:
1) на пол-экрана вываливается баннер Внимание! Вы нарушили лицензионное соглашение программного продукта iMax Download Manager с просьбой отправить SMS за деньги
2) не запускается диспетчер задач и редактор реестра
3) при попытке запуска любых прграмм появляется баннер iMAX Download Manager или комп перезагружается
4) комп не грузится в безопасном режиме
5) AVZ не запускается, даже если его переименовать
6) Total Commander тоже не запускается
7) Kaspersky Virus Removal Tool не устанавливается, т.е. он распаковывается, но когда должен запуститься, то появляется злосчастный баннер
8) Встроенное в Windows "Восстановление системы" отключено

Цитата с другого форума для лечения этой заразы iMAX Download Manager:

Цитата:

Короче кода которые там писали: 3182699488 и 3182699188 отличаются только одной цифрой, я стал вводить 3182699Х88 (вместо Х-перебрал цифры от 0 до 9) и цифра 9 подошла, запустились какие-то окна, не успел прочитать что за окна, компьютер перезагрузился и все пашет, диспетчер задач тоже пашет

Если это не поможет, можете воспользоваться моей инструкцией:

Как я победил iMAX Download Manager

Лечение (проверено на двух компах с WinXP SP2 Prof Corp RUS):
1) загрузиться с любого загрузочного CD, DVD, т.е. WinPE
2) зайти в %SystemRoot%\system32 (обычно это C:\Windows\System32\) и отсортировать файлы по размеру
3) ОСТОРОЖНО! Найти и удалить (или переместить в другую папку) файлы размером 133 664 байт (131 КБ). Они имеют расширение DLL и являются скрытыми. Их должно быть 3-4 штуки. Они все абсолютно идентичны между собой - в этом можно убедиться в Total Commander-е, если выделить два из них и выбрать пункт Файл - Сравнить по содержимому.
Замечание: название файлов DLL-ок самое разнообразное от 3 до 8 латинских букв, напр. у меня bjnfu.dll, igymxvj.dll. Единственный общий признак - дата создания, размер, атрибут "Скрытый"
Подсказка: дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe
4) Произвести аналогичное удаление файлов (может 2, может 3 штуки) размером 133 664 байт (131 КБ) из папки TEMP (та, которая по умолчанию находиться в Documents and Settings\имя пользователя\Local Settings\Temp\) - в принципе можно очистить и всю папку Temp
5) Попутно убить все файлы Autorun.inf во всех корневых каталогах всех дисков и флешек
6) И ещё попутно поискать и удалить файл sdra64.exe, который находится в %SystemRoot%\system32 (обычно это C:\Windows\System32\) - просто он у меня был в обоих случаях, хотя я знаю, что это совершенно другой вирус.
7) Перезагрузка (надеюсь, что удачная)
8) Запускаете AVZ и выполняете Файл - Восстановление системы - пункты 10,11,17. Ну или вручную правите реестр ветки HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\ для разблокировки диспетчера задач и редактора реестра, а вот для восстановления SafeBoot всё таки надо AVZ.
На всё провсё 10 минут и порядок

P.S. Когда дописывал сообщение у меня обновился NOD32 и сказал, что эти файлы размером 133 664 байт (131 КБ) есть вирусом Win32/Autorun.Delf.EL червь

[New_Angel]

Попался ещё один комп, зараженный iMax Download Manager
Скорее всего, это уже его вторая модификация:
1) перебор кодов ответа на SMS в окне iMax Download Manager (3182699Х88 - вместо Х-перебрал цифры от 0 до 9) результата не даёт
2) в %system32% всё чисто
3) в C:\Documents and Settings\Guest\Local Settings\Temp\ обнаружены 2 скрытых .bat-файла:
rx.bat - 65 байт с текстом

Цитата:

Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\duezmimp.dll,Start

и w.bat - 61 байт с текстом

Цитата:

Rundll32.exe C:\DOCUME~1\Guest\LOCALS~1\Temp\xgxdw.dll,Open

, которые запускают две dll-ки соответственно. Обе размером 135 198 байт, скрытые и одинаковые по содержимому, дата создания у этих файлов, которые и есть вирусом, аналогична дате создания файла winlogon.exe в %system32%.
4) сами .bat-файлы запускаются через HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Лечение:
1. Переименовать\удалить .bat-файлы из C:\Documents and Settings\имя пользователя\Local Settings\Temp\
2. Перезагрузка (при перезагрузке винда говорит, что не может запустить .bat-файл (ы)
3. Переименовать\удалить dll-ки, которые запускались этими .bat-файлами
4. Удалить в реестре HKCU\Software\Microsoft\Windows\CurrentVersion\Run ссылки на .bat-файл (ы), которые были удалены
P.S. Редактор реестра не был заблокирован

[audora]

Сервис деактивации вымогателей-блокеров.

"Лаборатория Касперского" представляет бесплатный сервис для борьбы с программами, блокирующими компьютер и предлагающими отправить платную СМС на определенный номер, взамен на номер отправителя будет выслан код, позволяющий разблокировать компьютер.

http://support.kaspersky.ru/viruses/deblocker

[leon534]

Цитата:

Сообщение от audora

Сервис деактивации вымогателей-блокеров

Увы, не всегда это щастье помогает. Позавчера притащили мне ноут, сервис генерации ключей для разблокировки не помог. Вымогатель требовал отправить SMS на номер 4460 с текстом K705113200 (за якобы незаконно установленный Download Master).
Вход в систему как под любым пользователем так и в безопасном режиме давал то же всплывающее окно. Запуск ieplore блокировался. При попытке запуска AVZ (переименованного в експлорер) - комп уходил в перезагрузку и вис в процессе, т.е. выключить можно было только принудительным отключением питания. Как отлечил: загрузился с LiveCD и запустил CureIt, который нашел 50 вирусов в основном троянблокер715 и авторан вирус через который вероятно и произошло заражение. После лечения система загружалась уже без всплывающего окна, но возникли другие проблемы.
Долечивал запуском AVZ, далее Файл->Восстановление настроек системы, где поставил галочки по всем пунктам кроме двух последних - Полное пересоздание настроек SPI и Очистить ключи Mount Points & Mount Points2.
После этого все заработало чисто. Собственно это комбинация методик с сайта Касперского. В чистом виде не срабатывало.

[audora]

Цитата:

Сообщение от leon534

Как отлечил: загрузился с LiveCD и запустил CureIt, который нашел 50 вирусов в основном троянблокер715 и авторан вирус

Видимо, раз на раз не приходится (с).
Было в ПС сообщение от человека, которому сервис помог.
В последнем случае мне не помог диск, скачанный с сайта Данилова.
Но выручил самостоятельно созданный на своём компьютере загрузочный диск Касперского.
Вот и разбери их, этих вымогателей.

[BorLase]

Цитата:

Сообщение от leon534

Вход в систему как под любым пользователем так и в безопасном режиме давал то же всплывающее окно. Запуск ieplore блокировался.

кстати, о птичках... неделю или две назад коллега поймал такую же беду - "пришлите СМС на номер..."

подсказал я ему вычитанный в инете рецепт - помогло

смысл простой: запускаем через Win-R winword.exe; вбиваем любой символ; отправляем комп в перезагрузку

винда добросовестно завершает все процессы (да-да-да, и вирус тоже!) - а вот на word останавливается и спрашивает, не хотим ли мы сохраниться

говорим Cancel, сворачиваем окно - и получаем пусть слегка обрезанную (что-то может уже завершиться - инет, сеть, тому подобное), но все-таки способную запускать программы систему

более того - в данном случае процесс зловредного вируса уже погашен, и при лечении не должно возникнуть проблем ни с рестартом вредителя, ни с запретом доступа к файлу

автор постинга предупреждал - работает не всегда, но в примерно 90% получается. во всяком случае, коллеге помогло - после зачистки стерилизованной таким образом системы всякими тулзами (типа того же AVZ и иже с ними) проблема исчезла

[Gr@nd@d]

Цитата:

Сообщение от BorLase

винда добросовестно завершает все процессы (да-да-да, и вирус тоже!) - а вот на word останавливается и спрашивает, не хотим ли мы сохраниться говорим Cancel, сворачиваем окно - и получаем пусть слегка обрезанную (что-то может уже завершиться - инет, сеть, тому подобное), но все-таки способную запускать программы систему

Вымогатели "растут"
Последний вымогатель, с которым столкнулся (новая разновидность "download manager"), запускался через APP Init DLLs, т.е. каждый раз при запуске любого приложения (в safe-mode тоже). Лечился загрузкой с Alkid, нахождением и чисткой соотв. раздела реестра и указанной в нем dll-ки.

PS: в сервисе кодов его еще не было.

[New_Angel]

Сегодня столкнулся с новой напастью:
При загрузке системы появляются окна "Ошибка риложения"
Инструкция по адресу "..." обратилась к памяти по дресу"..." память не может быть "written"
"ОК"-завершение приложеня
"Отмена"-отладка приложения
Отладка приводит к открытию нового окна "Ошибка приложения", но уже толко с одной кнопкой "ОК"-завершение приложения.. а потом при попытке запустить или удалить какую-нибудь программу появляется

Цитата:

Внимание! Internet Security обнаружил вредноносное ПО на вашем компьютере.

Он "находит" 49 вирусов и предлагает лечить или удалить вредоносные файлы. Если выбираешь лечить - появляется сообщение об оплате программы посредством SMS на номер 7373.
Этот баннер выскакивает после загрузки windows и в безопасном режиме и в простом. Заблокированы диспетчер задач и реестр, восстановление системы отключено, антивирус отключен. При запуске любой программы баннер перезапускается и сканирует систему заново.
Мучался часа три:
1) Сервис деактивации вымогателей-блокеров - даёт код, который не помогает
2) Колдовство с LiveCD и антивирусами не помогло.
3) Помогла такая табличка (нашел на одном из форумов)
К = 1--2--3--4--5--6--7--8--9
0 = 8--9--1--2--3--4--5--6--7
1 = 9--1--2--3--4--5--6--7--8
2 = 1--2--3--4--5--6--7--8--9
3 = 2--3--4--5--6--7--8--9--1
4 = 3--4--5--6--7--8--9--1--2
5 = 4--5--6--7--8--9--1--2--3
6 = 5--6--7--8--9--1--2--3--4
7 = 6--7--8--9--1--2--3--4--5
8 = 7--8--9--1--2--3--4--5--6
9 = 8--9--1--2--3--4--5--6--7
Для кода в sms подставляешь цифры одного из столбцов. Меня просили отправить сообщение к204114200.
Значит надо пробовать комбинации
1183993188
2294114299
3315225311
...
Всего 9 вариантов, один из которых и подошел. Комп перезапустился и стал нормально работать (диспетчер задач, редактор реестра - ОК).
Народные умельцы даже написали прогу для генерации этих кодов http://files.mail.ru/15CNRR
Или можно воспользоваться онлайн-генеретором кодов ответа здесь
Вот такая поучительна история

Кстати, после нормальной перезагрузки, необходимо проверить всю систему обновленным антивирусом, особенно обращая внимание на папки:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за январь 2010 года) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.
------------------------------------------------
Сегодня попалось ещё 2 компа с аналогичной проблемой. Решил поэкспериментировать, начитавшись информации в инете. Оказывается есть ещё один простой и эффективный способ: перевести дату в компе (в Windows или в BIOS) на более раннюю до 8 января, напр. 5 января. После перезагрузки баннер не появляется, т.е. можно более-менее нормально работать, т.е. запускается всё, кроме антивирусов (те, которые были установлены), диспетчера задач и редактора реестра. Это уже намного лучше .
Теперь для разблокировки всего остального нужно воспользоваться антивирусной утилитой AVZ (зеркало). А именно: скачать, распаковать, запустить на зараженном компе и выполнить Файл-Восстановление системы-пункты 6,9,11,16,17 (хотя можно и все, кроме двух последних).
Далее запускаем редактор реестра (C:\Windows\regedit.exe) и очищаем значение параметра AppInit_DLLs в ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows. Теперь либо обновляем антивирус и лечимся, либо скачиваем Kaspersky® Virus Removal Tool (около 60 Мб) и лечимся. Подробная инструкция на использование Kaspersky® Virus Removal Tool с картинками находится по адресу http://avptool.virusinfo.info/.
Особенно обращаем внимание на папки[/b]:
1) C:\Documents and Settings\%username%\Local Settings\ - там, как правило, остаётся один exe-файл (сам вирус)
2) C:\Documents and Settings\%username%\Local Settings\Temp\ - из этой папки можно вообще всё удалить и почистить аналогичные папки Temp у всех пользователей на компе (напр. Администратор, Гость, ...)
3) %SystemRoot%\system32 (обычно это C:\Windows\System32\) - найти файлы размером 129 536 байт. Их будет штук 5-6, из которых 2 файла относятся к Windows (msv1_0.dll и xmlprov.dll - эти файлы не удалять), а остальные, особенно с датой создания за январь 2010 года) - очень хорошо проверить - 99,9% вероятности, что это и есть тело вируса. И ещё присматриваемся к файлам размером 157 130 байт.
4) Проверяем антивирусом все флешки, контактировавшие с зараженным компом, особенно папку RECYCLER, которой в принципе не должно быть на флешках. А для надёжности удаляем сразу папку RECYCLER даже без проверки.

[doro]

Цитата:

Сообщение от New_Angel

Колдовство с LiveCD и антивирусами не помогло.

Неужели антивирусы с последними обновлениями на LiveCD не лечат такие вирусы?

[Borland]

doro, разработчики антивирусов всегда отстают от вирусописателей. Как минимум - на период между выпуском вируса и его попаданием к аналитикам. А если вирус сложный - то и на бОльшие сроки.
Я лично раза 3 отправлял аналитикам "неуловимые" вирусы, которые после этого "начинали ловиться"...

[Gr@nd@d]

Цитата:

Сообщение от doro

Неужели антивирусы с последними обновлениями на LiveCD не лечат такие вирусы?

А это не вирусы в строгом смысле слова, бо почкованием не размножаются, это т.н. "вредоносное ПО". Я, как и уважаемый Borland, несколько раз отправлял примеры таких "ПО" в службы поддержки, после чего они попадали в соотв. раздел.

В общем случае нужно анализировать автозапуск винды, путей коего, увы, не много, а очень много

[Alex Dark]

New_Angel, по моему ты рано расслабился. Через неделю-другую у тебя все повториться.
Ты (быстрее всего) временно деактивировал вредоносное ПО. Есть вероятность его появления, но вышеописанный механизм его деактивации уже не сработает.

Цитата:

Сообщение от doro

Неужели антивирусы с последними обновлениями на LiveCD не лечат такие вирусы?

Как было верно замечено - это не вирус это вредоносное ПО. Как говорил Глеб Жиглов: "Сидит на телефоне мелкий человечик, ни кто, попка. Бабушка-божий одуванчик" Так и у тебя. Висит где-то в системе маленькая прожка, в задачу которой входит просто качнуть из инета пару тройку файлов и куда-нибудь их положить. И все. И ни под одно описание вируса она не попадает.

PS Я знаю одного человека, который минимум два месяца подряд бился с этой хренью, при условии установленного лицензионного, постоянно обновляющегося антивирусного ПО. Побеждал... до первой (второй, третьей) перезагрузки. И каждый раз новый механизм лечения. Пока не убил таки загрузчик, правда уже при помощи другого антивирусного ПО.

[New_Angel]

Перед тем, как пользоваться алгоритмами, попробуйте использовать универсальный ключ, который на своём сайте предлагает компания DrWeb (сервис разблокираторов). Универсальный ключ для разблокировки – 544625144 или 544624144.

Также правильный код для разблокировки предоставляют операторы техподдержки фирмы А1агрегатор (владелец короткого номера 4460). Если вы столкнулись с такой проблемой - смело звоните 8-800-555-01-02 (бесплатный)
или московский телефон 8(495)363-14-27, добавочный 555. Вкратце описываем ситуацию, называем текст смс и номер. Вам дадут код активации (кому сразу, а кому обещают на протяжении 3 дней - сам не звонил, не в России я живу).

Так как ответный код зависит от даты, то составленные алгоритмы требуют, чтобы в вашем компьютере стояла определённая дата. Если дата будет другой, то алгоритм НЕ подойдёт. Нужную дату в компьютере можно выставить двойным щелчком мышки по часам в правом нижнем углу экрана. После смены даты компьютер следует перезагрузить и убедиться, что дата такая, как требует алгоритм. Второй способ смены даты – зайти в BIOS компьютера и выставить нужную дату там. Время должно быть дневное, например, 12:00

# Алгоритм 1. Для кодов вида K20* 815 *00
# Алгоритм 2. Для кодов вида К206 015 *00
# Алгоритм 3. Для кодов вида K210 315 *00
# Алгоритм 4. Для кодов вида K204 *15 *00
# Алгоритм 5. Для кодов вида K20* 115 *00
# Алгоритм 6. Для кодов вида K206 015 *00 и K212 015 *00

Алгоритм 1. Для кодов вида K20* 815 *00

Дата в компьютере: 21.01.2010
Пример кода: K205815300

Выбираете ваш вариант кода (обратите внимание на 3-ю цифру слева) и выписываете на листок бумаги ответный код
# K201815*00 – U31675*74
# K202815*00 – U32675*74
# K203815*00 – U33675*74
# K204815*00 – UH675*74 или U34675*74
# K205815*00 – U35675*74
# K206815*00 – U36675*74
# K207815*00 – U37675*74
# K208815*00 – UD675*74 или U38675*74
# K209815*00 – U39675*74

Обратите внимание на первую букву в ответном коде. Это ЗАГЛАВНАЯ английская буква U (произносится как “у”).
Например, для кода K205815300 выписываете на листок U35675*74

Вместо * в ответном коде подставляете цифру из первого кода, стоящую на месте звёздочки * в вашем коде, но увеличенную на 8. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 6 (так как 7+8=15, крайняя справа цифра 5, а 5+1=6). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 8
# Вместо 1 записываете 9
# Вместо 2 записываете 1
# Вместо 3 записываете 2
# Вместо 4 записываете 3
# Вместо 5 записываете 4
# Вместо 6 записываете 5
# Вместо 7 записываете 6
# Вместо 8 записываете 7
# Вместо 9 записываете 8

Для моего примера K205815300 в результате получите код U35675274

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.
Желательно запустить восстановление системы на пару-тройку недель назад (Пуск – Все программы – Стандартные – Служебные – Восстановление системы). Данная процедура полностью безопасна для ваших файлов с данными.
В крайнем случае скачайте программу AVZ, запустите, выполните обновление (Файл-Обновление баз) и выполните Файл-Восстановление Системы, отметив все птички, кроме тех, где указано, что опасно.

Алгоритм 2. Для кодов вида К206 015 *00

Дата: 21.01.2010
Пример кода: K206015300

Для кода К206015*00 ответный код будет ZPR2*36, где * – цифра от 1 до 9, подбирайте по очереди.
Если не подойдет, то для кода К206015*00 ответный код будет ZPR*36, где * – ЗАГЛАВНАЯ буква английского алфавита. Какая именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 206 015 300 ответным кодом будет ZPRD36

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.
Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 3. Для кодов вида K210 315 *00

Дата: любая
Пример: K210315000
Для кодов вида K210315*00 (* – любое число) помогает код активации 544624144

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.
Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 4. Для кодов вида K204 *15 *00

Дата: 19.01.2010
Пример: К204115500

Выписываете на листок бумаги ответный код UA*86*36

Обратите внимание на первые буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква U (произносится как “у”) и A (буква английская, а не русская).

Вместо каждой * в ответном коде подставляете цифру из первого кода, стоящую на месте соответствующей звёздочки * в вашем коде, но увеличенную на 7. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 5 (так как 7+7=14, крайняя справа цифра 4, а 4+1=5). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 7
# Вместо 1 записываете 8
# Вместо 2 записываете 9
# Вместо 3 записываете 1
# Вместо 4 записываете 2
# Вместо 5 записываете 3
# Вместо 6 записываете 4
# Вместо 7 записываете 5
# Вместо 8 записываете 6
# Вместо 9 записываете 7

Для моего примера К204115000 в результате получите код UA886736

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 5. Для кодов вида K20* 115 *00

Дата: 22.01.2010
Пример: К207115000

Выписываете на листок бумаги ответный код U1*88*H

Обратите внимание на буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква U (произносится как “у”) и H (буква английская, а не русская, читается как “Аш”).

Вместо первой * в ответном коде подставляете цифру из первого кода, стоящую на третьем месте слева в вашем коде, но увеличенную на 7. При этом, если в результате увеличения получается двузначное число, то вместо * записываете последнюю цифру справа этого числа, увеличенную на 1 (например, для цифры 7 надо записать цифру 5 (так как 7+7=14, крайняя справа цифра 4, а 4+1=5). Обратите внимание – цифры 0 в ответном коде быть не должно. Если у вас получился 0, то вы ошиблись в подсчётах. Для тех, кто не дружит с математикой вот таблица:
# Вместо 0 записываете 7
# Вместо 1 записываете 8
# Вместо 2 записываете 9
# Вместо 3 записываете 1
# Вместо 4 записываете 2
# Вместо 5 записываете 3
# Вместо 6 записываете 4
# Вместо 7 записываете 5
# Вместо 8 записываете 6
# Вместо 9 записываете 7

Для моего примера К207115000 в результате получите код U1588*H

После этого вместо оставшейся * подставляете две цифры 5?, где ? – цифра от 1 до 9, которую надо подобрать по очереди.
Если ни один из вариантов не подойдет, то вместо оставшейся * подставляете ЗАГЛАВНУЮ буква английского алфавита. Какую именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 207 115 000 ответным кодом будет U1588NH

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Алгоритм 6. Для кодов вида K206 015 *00 и K212 015 *00

Дата: 22.01.2010
Пример: К212015200

Выписываете на листок бумаги ответный код
для кода вида K206 015 *00 – DE46*32
для кода вида K212 015 *00 – DG46*32

Обратите внимание на буквы в ответном коде. Это ЗАГЛАВНЫЕ английские буква G (произносится как “же”) и E (буква английская, а не русская, читается как “и”).
Для моего примера К212015200 в результате получите код DG46*32

После этого вместо оставшейся * подставляете две цифры 2?, где ? – цифра от 1 до 9, которую надо подобрать по очереди.
Если ни один из вариантов не подойдет, то вместо оставшейся * подставляете ЗАГЛАВНУЮ буква английского алфавита. Какую именно – подбирайте по очереди начиная с А

Во время перебора может возникнуть ситуация, что на каждую следующую попытку тратится очень много времени (медленнее идёт счётчик). Чтобы ускорить процесс, надо после каждого неправильно введённого кода перезагружать компьютер.

Например, для кода 212 015 200 ответным кодом будет DG462832

Ответный код вводите в окно программы и нажимаете ОК. Перезагружаете компьютер. Всё.

Не забудьте после перезагрузки поменять дату на текущую.

Источник

[sysser]

Помогите пожалуйста!
у меня стоит nod версии 3.0.672.0. Поймал какую-то гадость, после чего в инете блокируется вход на любой официальный сайт, и не обновляется антивир. пробовал лечить dr.web. никакого эффекта. что делать?

[leon534]

Цитата:

Сообщение от sysser

блокируется вход на любой официальный сайт

Про официальный сайт не понял. С месяц назад сосед обратился с похожей проблемой, там дочка-студентка побродила где не надо. Оказалось, что испорчен файл hosts из папки (c:\WINDOWS\system32\drivers\etc). Типа какой-то простейший вирус написал всякую дрянь. А антивирус не поймал ... Руками был исцелен за 3 минуты. Из них 2 сосед демонстрировал как при попытке зайти на известные сайты происходил переход в порногадюшник
Нормально,если единственная незакомментированная начальным символом # строка это:
127.0.0.1 localhost
(если ты сам умышленно не писал туда другое).

[sysser]

на официальные сайты любого антивируса. из-за этого ине происходит обновление!

[leon534]

Цитата:

Сообщение от sysser

на официальные сайты любого антивируса

Файл hosts посмотрел? Он блокнотом открывается.

[sysser]

да, посмотрел.
127.0.0.1 localhost у меня так написано. все верно?