Life? Live!

Отправлять СМС не нужно, результат неизвестен, да и деньги сэкономите. Решение проблемы есть…

В моём случае серое поле закрывало не полностью Рабочий стол. Сразу после того, как оно загружается, начинается 9-ти минутный обратный отсчёт (позднее в форуме прочитал, что в конце отсчёта комп уходит на перезагрузку, и всё по кругу, в моём случае строчка отсчёта просто исчезала).
При загруженном окне работать было возможно, проги запускались, инета не было.
Запустив диспетчер задач Windows обнаружил, что Winlogon забирает на себя 14% производительности процессора. Дождался окончания отсчёта, синхронно 14% стали 0%.
Не помню как - вырубил Winlogon, поле исчезло мгновенно, но и система сразу свернулась.

В сером окне есть ссылка - лицензионного соглашения, если кликнуть мышкой, откроется текст липового «лицензионного» соглашения:

«Перед использованием программы, пожалуйста, ознакомьтесь с условиями настоящего лицензионного соглашения. Любое использование вами программы означает полное и безоговорочное принятие вами его условий.

Если вы не принимаете условия лицензионного соглашения в полном объеме, вы не имеете права использовать программу в каких-либо целях.

1. Лицензия

Настоящее Лицензионное соглашение (<Лицензия>) заключено между Вами, пользователем (<Пользователь>), и ООО <КвинГрупп-Россия>, РФ, г. Москва, Москва г., Петровский бул., 13/1, являющимся правообладателем исключительных прав на Программу (<Правообладатель>). Лицензия устанавливает условия использования Пользователем программы для ЭВМ <Гет.Акселератор> (<Программа>).

1.1. Копируя Программу и устанавливая ее на свой персональный компьютер, Пользователь выражает свое полное и безоговорочное согласие со всеми условиями Лицензии.

1.2. Использование Программы разрешается только на условиях настоящей Лицензии. Если Пользователь не принимает условия Лицензии в полном объеме, Пользователь не имеет права использовать Программу в каких-либо целях. Использование Программы с нарушением (невыполнением) какого-либо из условий Лицензии запрещено.

1.3. Использование Программы на условиях настоящей Лицензии в личных некоммерческих целях осуществляется безвозмездно сроком на 5 часов с момента использования. Использование Программы на условиях и способами, не предусмотренными настоящей Лицензией, возможно только на основании отдельного соглашения с Правообладателем за вознаграждение, устанавливаемое Правообладателем.

2. Права на Программу

Исключительное право на Программу принадлежит Правообладателю.

3. Права Пользователя

3.1. Программа

Правообладатель предоставляет Пользователю неисключительное непередаваемое право (простая лицензия) использовать Программу следующими способами:

3.1.1. Применять Программу по прямому функциональному назначению, в целях чего произвести ее копирование и установку на персональном(ых) компьютере(ах) Пользователя. Пользователь вправе произвести установку Программы на неограниченное число персональных компьютеров. При установке на персональный компьютер каждому экземпляру Программы присваивается индивидуальный номер, который автоматически сообщается Правообладателю.

3.2. Программа должна использоваться под наименованием: <Гет.Акселератор>. Пользователь не вправе изменять наименование Программы, изменять и/или удалять знак охраны авторского права или иное указание на Правообладателя.

4. Ограничения

4.1. За исключением использования в объемах и способами, прямо предусмотренными настоящей Лицензией или законодательством РФ, Пользователь не имеет права изменять, декомпилировать, дизассемблировать, дешифровать и производить иные действия с объектным кодом Программы, имеющие целью получение информации о реализации алгоритмов, используемых в Программе, создавать производные произведения с использованием Программы, а также осуществлять (разрешать осуществлять) иное использование Программы, без письменного согласия Правообладателя.

4.2. Пользователь не имеет права воспроизводить и распространять Программу в коммерческих целях (за плату), в том числе в составе сборников программных продуктов, без письменного согласия Правообладателя.

5. Основные положения

5.1. Данная Программа ускоряет процесс заканчивая файлов из сети Интернет.

5.2. Пользователь настоящим уведомлен и соглашается, что при завершение бесплатных 5 часов работы данной Программы, он в обязательном порядке должен приобрести платную лицензию.

5.3. Пользователь настоящим уведомлен и соглашается, что при использовании Программы, он обязан в течение 10 минут с момента запроса лицензии отправить 2 смс с префиксом, выданным пользователю генератором системы на номер 9099.

5.4. Пользователь настоящим уведомлен и соглашается, что при использовании Программы не имеет каких-либо претензий к Правообладателю данной Программы.

6. Условия использования по Лицензии

6.1. Программа предоставляется на условиях <как есть> (as is). Правообладатель не предоставляет никаких гарантий в отношении безошибочной и бесперебойной работы Программы, соответствия Программы конкретным целям и ожиданиям Пользователя, а также не предоставляет никаких иных гарантий, прямо не указанных в настоящей Лицензии.

6.2. В максимальной степени, допустимой действующим законодательством, Правообладатель не несет никакой ответственности за какие-либо прямые или косвенные последствия какого-либо использования или невозможности использования Программы и/или ущерб, причиненный Пользователю и/или третьим сторонам в результате какого-либо использования или неиспользования Программы, в том числе из-за возможных ошибок или сбоев в работе Программы.»

В этом тексте есть название «КвинГрупп», оно точно не могло нигде встретиться на этом компе, кроме тех файлов, где имеется. К чему я это…
Я запустил программу AVZ, затем --> «СЕРВИС» --> «Поиск файлов на диске» --> в мини проводнике поставил галочку напротив диска «C» --> затем поставил галочку напротив «СОДЕРЖИТ ТЕКСТ», в поле справа ввёл текст: КвинГрупп --> «ПУСК» --> начался поиск файлов, в теле которых содержится слово «КвинГрупп».
После окончания поиска обнаружил файл {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll , нашёл его на системном диске, попробовал удалить…, не получилось (как выяснилось позже этот файл отвечает за запуск и работу серого поля, оно было запущено и DLL была занята).
В найденных файлах была вэб-страничка, созданная программой AVZ, когда выполнялись стандартные скрипты 1,3,4. Это был сгенерированный отчёт исследования системы. Открыв её нашёл там {991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll , попробовал нажать «УДАЛИТЬ», «КАРАНТИН». Внизу, в конце странички, в поле появился код скрипта:

begin
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
end.

для выполнения в программе AVZ. Для добавки в код строчки «RebootWindows(true);» для автоматической перезагрузки после выполнения скрипта, кликнул на соответствующую ссылку.
Комп перезагрузился, серого поля не стало. Тут же перезагрузил систему для проверки – поле появилось снова. Для нормальной загрузки системы пришлось выполнить скрипт повторно, необходимо было выйти в интернет и найти решение проблемы, чтобы избавиться от «матки», которая плодит и запускает вредоносную DLL.

…вот найденный код, который мне помог избавиться от окна безвозвратно:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\NETPRO~1\PAGEPR~1\PAGEPR~1.EXE','');
QuarantineFile('C:\WINDOWS\dmgr134.sys','');
QuarantineFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll','');
DeleteFile('C:\WINDOWS\System32\{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB}.dll');
DeleteFile('C:\WINDOWS\dmgr134.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Вот ещё:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('%WinDir%/dmgr134.sys', '');
QuarantineFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1 D3CB}.dll', '');
DeleteFile('%System32%/{991F0AD1-DA5D-4dc3-B0BA-F46BA0F1D3CB }.dll');
DeleteFile('%WinDir%/dmgr134.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Zloй админ