При запуске Мастера беспроводной сети открывается сторонняя программа
 

Хочу открыть мастер беспроводной сети в панели управления и вот что у меня открывается!!! Это вирус что ли какой то так шутит?! :(

---

©Blast: скриншот удален, так как содержал нелегальный серийник. У автора темы вместо Мастера беспроводной сети открывается кейген...

Как сделать так чтобы служба открывалась которая мне требуется, а не кейген?!

vadja, выложите скриншот диспетчера задач - вкладки "Процессы".

Что лишнее и как убить навсегда?!

vadja, Вы делали его при запущенном keygen'е?
Если нет, сделайте еще и при открытом кейгене.

Rundll32.exe вроде появился!

Он вроде и должен появляться.

Так теперь надо понять как сделать так чтобы этот кейген не запускался, а запускалась служба виндоуз!

vadja, попробуйте Пуск -> Выполнить ->

Petya V4sechkin, Выполнил. Написали: завершено успешно. Все равно при открытии службы открывается кейген!

vadja, а если так, запустится?

Petya V4sechkin, Да, кейген запустился!

vadja, какой хитрый кейген )
Думаю, вам надо восстановить файлы Netsetup.cpl и Wzcdlg.dll в папке \WINDOWS\system32.

Petya V4sechkin, да ужас какой то! Может выложите эти два файлика пожалуйста?!

vadja, у вас SP2 или SP3?

vadja, вот на этом файле который расположен в \Windows\System32\ правую кл. мыши - свойства - что там есть, покажите скриншоты

Petya V4sechkin, sp3
Blast, прикрепил.

vadja, вот:

Petya V4sechkin, пишет что не удается скопировать wzcdlg. Объект используется другой программой.

vadja, в безопасном режиме загрузитесь.

Petya V4sechkin, а кстати nvcpl.dll висит в автозагрузке! Так и должно быть?!

Petya V4sechkin, вообщем скопировал в безопасном, перезагрузился и снова такая же фигня :(

vadja, можете провериться в разделе форума Лечение систем от вредоносных программ, выполнив эти требования.

Petya V4sechkin, nod32 стоит с обновлениями свежими и нормально! я думаю после прочтения ни к чему не приведет!
P.S. Чуть позже нечаянно создал вместо новой папки ярлык и просто не поверил своим глазам!Снова выскочил вместо ярлыка этот кейген! Как найти и удалить его нахер!? :(

Попробуйте выложить логи.

Уууу! Я смотрю там программное обеспечение еще надо ставить и разбираться в нем! Блин! Тогда позже!

Всё работает без установки.

yurfed, так там же ясно написано что надо две проги установить...

P.S. Подскажите что конкретно установить (прям дать ссылку) и как сделать лог который Вам надо переслать?!

vadja, для логов нужно http://z-oleg.com/avz4.zip и http://www.trendsecure.com/portal/en...HiJackThis.zip
Всё работает без установки.

yurfed, просто запущу программу и сам разберусь как сохранить логи?!

vadja, тут всё подробно расписано

Копирование с чужого ПК не очень желательно.
Желательно выполнить sfc /scannow
Требует диск с WINDOWS
Ну или извлечь файл из папки i386 установочного CD (как извлечь я не знаю)

================
Общий план уничтожения кейгена таков:
надо понять, кто такой кейген и где он лежит, а дальше уже искать, откуда он запускается. В принципе, неплохо было бы воспользоваться аналогом Task Manager'а - программой Process Explorer. Скачать можно здесь. В этой программе нужно нажать кнопку и не отпуская кнопки мыши навести указатель мыши на кейген. Процесс, вызывающий кейген, будет выделен, например, так:

(здесь подсвечен процесс AVerTV.exe)
Внимание! Не жмите кнопку , если не знаете зачем!
P.S. Для облегчения можно уменьшить окно программы, чтобы легко "поймать" окно кейгена.

Котяра, проделал!
http://img171.imageshack.us/done.php...8276886id8.jpg

vadja, неправильный Rundll32.exe (без описания, с левой иконкой).
Найдите его в папке \WINDOWS\system32, щелкните правой кнопкой мыши -> Свойства -> вкладка Версия, что там?

Посмотрите, может быть он есть в ветках реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App Paths
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths

На вирусы так и не хотите проверяться?

У rundll32.exe неправильная иконка.
vadja, попробуйте выбрать Пуск => Выполнить, ввести rundll32.exe и нажать ОК. Если у Вас все ОК, ничего не произойдет. Либо откроется кейген.
И еще: откройте кейген, дважды щелкните по rundll32.exe в окне Process Explorer, и выложите скриншот окна.

Petya V4sechkin, что там должно быть в этой вкладке то?! В ветках реестра нету! :(

И еще: какая иконка у файла rundll32.exe (может быть виден как rundll32).
Такая

или другая?

Котяра, Да такая как у Вас.

vadja, C:\Documents and Settings\учётная запись\rundll32.exe Его там по определению быть не должно. Проверь его по адресу http://www.virustotal.com/ru/
Когда загрузишь, нажми "Повторить анализ сейчас"

yurfed,
Антивирус Версия Обновление Результат
AhnLab-V3 2008.6.13.1 2008.06.13 -
AntiVir 7.8.0.55 2008.06.13 -
Authentium 5.1.0.4 2008.06.12 -
Avast 4.8.1195.0 2008.06.13 -
AVG 7.5.0.516 2008.06.13 -
BitDefender 7.2 2008.06.13 -
CAT-QuickHeal 9.50 2008.06.12 -
ClamAV None 2008.06.13 -
DrWeb 4.44.0.09170 2008.06.13 -
eSafe 7.0.15.0 2008.06.12 suspicious Trojan/Worm
eTrust-Vet 31.6.5871 2008.06.13 -
Ewido 4.0 2008.06.13 -
F-Prot 4.4.4.56 2008.06.12 -
F-Secure 6.70.13260.0 2008.06.13 -
Fortinet 3.14.0.0 2008.06.13 -
GData 2.0.7306.1023 2008.06.13 -
Ikarus T3.1.1.26.0 2008.06.13 -
Kaspersky 7.0.0.125 2008.06.13 -
McAfee 5316 2008.06.12 -
Microsoft 1.3604 2008.06.13 -
NOD32v2 3183 2008.06.13 -
Norman 5.80.02 2008.06.12 -
Panda 9.0.0.4 2008.06.12 -
Prevx1 V2 2008.06.13 Malicious Software
Rising 20.48.40.00 2008.06.13 -
Sophos 4.30.0 2008.06.13 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.13 -
TheHacker 6.2.92.346 2008.06.12 -
VBA32 3.12.6.7 2008.06.12 -
VirusBuster 4.3.26:9 2008.06.12 -
Webwasher-Gateway 6.6.2 2008.06.13 -
Дополнительная информация
File size: 126464 bytes
MD5...: db457a863378b2fc8dbe1f99e97e7dbb
SHA1..: b1519970a4878fefdd338f4ae40bc2ebc4f174ae
SHA256: c95035bdf86b3a0f9280e2d0e9648df870b7e8eed1a10f3a0d96a52163848e0b
SHA512: 8463e4795fe4ce24e8fa372ae8328bfee736e85fe003fef06934de7900f859fe
d7cb5d61c2271c25ead80cc4b23c79b4e5afeb0f6d7a374809defb805b807ef4
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x428170
timedatestamp.....: 0x46e6c4a0 (Tue Sep 11 16:38:56 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xa000 0x1f000 0x1e400 7.91 c757721df14396fa64bf97b0ed4179b9
.rsrc 0x29000 0x1000 0x600 2.69 9467377bda11a6e366e4fa6b9bd67e51

( 3 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess
> ADVAPI32.dll: RegCloseKey
> USER32.dll: EndDialog

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramte...61C100D3157E02
packers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX

vadja, попробуйте зайти в папку "C:\Documents and Settings\Вадим" и переименовать rundll32.exe, например, в krek.exe.

Котяра, и что дальше?

Котяра, похоже так и есть Нормальный размер у rundll32 - 33280Б

Антивирусы могут давать ложные срабатывания на "кейгены". В принципе, ничего плохого кейген сделать не должен. Другой вопрос - почему он называется rundll32.exe?

Запусти.

Котяра, переименовал. значок остался таким же.

yurfed, открылся кейген.

После того, как и переименовали этот поддельный rundll32.exe, попробуйте запустить Мастер беспроводной сети. Если кейген перестал "вылазить", значит, проблема решена.

Котяра, правда. теперь вылезла служба то что надо. А тот файлик можно удалить?

vadja, удаляй

vadja, если кейген не нужен (и Вы уже раздобыли ключик для Nero :) ), то, я думаю, можно удалить. Но я бы подождал несколько дней. А потом, если все будет ОК, удалил бы этот файл :)

Удалил. Работает. Всем спасибо.

Есть еще кое какой вопросик не сложный. Новый топ создавать или здесь по быстренькой можно спросить?"

Если вопрос не про кейген, лучше создайте новую тему.

vadja, Если подобное, спрашивай

Котяра, yurfed, не подобное. Сейчас создам. Давайте если что туда.