Windows Genuine Advantage Notification (KB905474).

26.08.2008

Как прибить жучка.

Обновление KB905474 - это система уведомлений о результатах проверки подлинности Windows. Если проверка подлинности обнаружит что ключ, установленный в системе, не является подлинным, то в системном трее появится звездочка, которая будет постоянно мозолить глаза сообщениями о необходимости приобрести лицензию. Аналогичные сообщения будут появляться при включении и выключении компьютера. Советую его никогда не устанавливать, независимо от состояния вашей лицензии. Оно не предназначено для пользователя компьютера, а служит исключительно шкурным интересам Microsoft. В настоящее время никакого лекарства от этой "звезды героя" не требуется. Достаточно отказаться от установки обновления KB905474 навсегда (поставить галочку "Никогда больше не предлагать". Если же это обновление уже установлено, то достаточно его отключить, об этом - ниже.

Что же это такое, и почему его так все не полюбили? Это ещё один шпионский жучок, который ежедневно проверяет "подлинность" Windows, собирает и передает сведения на сервер Microsoft mpa.one.microsoft.com, даже если по всем признакам с лицензией всё в порядке. Подробней об этом написано здесь. А если есть повод для сомнений в лицензии, то он появляется в системном трее в виде звёздочки, и начинает донимать пользователя сообщениями о необходимости приобрести лицензию. Аналогичные сообщения появляются при старте системы, и при выходе из системы. Боже мой! Софтверный гигант опустился до такой низости: NagScreen-ов! Причем, если в более ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней мышкой, и выбрав команду "Выйти". То сейчас такой команды нет! А если пользователь захочет принудительно завершить это приложение, используя менеджер задач (проще говоря, убить процесс), то у него ничего не получится. Как только процесс будет насильно завершен, то некая невидимая наблюдающая за ним сила тут же запустит его снова! При этом WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно найти ни в одном известном месте автозапуска! Караул! Что же делать?

Спокойно, поводов для паники нет. Чтобы выключить его, нужно понять как он включается. В автозапусках его точно нет, потому что все автозапуски срабатывают только после того, как пользователь войдет в систему (залогинится), а эта зараза начинает орать раньше! В это время фактически функционирует только winlogon. Смотрим ключик в реестре:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon] "DllName"="WgaLogon.dll" "Logon"="WLEventLogon" "Logoff"="WLEventLogoff" "Startup"="WLEventStartup" "Shutdown"="WLEventShutdown" "StartScreenSaver"="WLEventStartScreenSaver" "StopScreenSaver"="WLEventStopScreenSaver" "Lock"="WLEventLock" "Unlock"="WLEventUnlock" "StartShell"="WLEventStartShell" "PostShell"="WLEventPostShell" "Disconnect"="WLEventDisconnect" "Reconnect"="WLEventReconnect"

Именно этот ключ отвечает за старт WgaNotification. Winlogon загружает указанную dll (WgaLogon.dll), а после, при возникновении каких то событий, вызывает указанные функции из этой dll. Слева - событие, справа - функция из dll. Удаляем этот ключ полностью, перезагружаем компьютер - вуаля! Никаких звездочек и предупреждений о поддельных копиях нет! Все остальные действия (патчи, кракнутые dll-ки) являются избыточными. Ибо без этого ключа система уведомлений не будет запущена, и остальные телодвижения никоим образом не улучшат ситуацию. Но есть один нюанс: служба обновлений WindowsUpdate, не обнаружив это ключ, будет считать KB905474 неустановленным, и она предложит установить обновление KB905474 повторно. Так что будьте внимательны, и откажитесь от повторной установки KB905474 навсегда.

Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А недавно узнал об "интересном" вирусе. Своими глазами я его не видел, но со слов пострадавших, он очень похож по поведению на WGA Notification. При старте он выводит сообщение о пиратской копии, блокирует дальнейший вход, и просит перечислить 300 рублей на Яндекс. Деньги для якобы активации Windows. В одном вирусописатели ошиблись: Microsoft простит не рубли, а баксы, ну и уж точно не через Яндекс.

Мораль: не устанавливайте KB905474. А на ключик

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

установите следующие разрешения: запрет на модификацию для всех групп (не только для группы "Все", а и для администраторов, и SYSTEM). Для того чтобы никакие вирусописатели (и из Microsoft в том числе) не могли привинтить к winlogon никакую дополнительную заразу.

26 августа 2008.
Появилась новая версия WGA Notification v 1.8.31.0 Пока только англоязычная локализация. Скачать можно здесь. Её снабдили новыми, так сказать, визуальными эффектами. Теперь не только сидит "звезда пирата" в системном трее, но цвет рабочего стола становится черным, а на нём рисуется предупреждение о нелегальной копии. Если пользователь установить цвет и обои рабочего стола по своему, то каждые 60 мин. все опять возвращается к черному цвету.
Так же новое обновление приобрело статус неудаляемых. Т.е. штатными средствами удалить его невозможно. Удалить нельзя, а убить - можно за пять секунд. Способ старый и проверенный на всех старших братьях WGA Notification: удалить ключ реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]

и перезагрузиться. После этого "звезда пирата" не появится, а рабочий столь можно раскрашивать по своему усмотрению.