Здравствуйте.
Действительно, файл Key.exe - троянская программа Trojan.Win32.Krotten.b, с весьма неприятными свойствами.
Ранее мы детектировали аналогичную программу того же автора. Но эта модификация в отличие от предыдущей не удаляет и не портит никаких файлов на Вашем компьютере, но лишь изменяет некоторые ключи реестра - настройки системы, так, чтобы обычный порядок работы был нарушен. Поэтому для устранения последствий работы этой прогшраммы могу предложить Вам два пути:
1. Наиболее привычный для пользователей - обчная переустановка Windows, с целью восстановиь стандартные настройки системы.
2. Восстановить настройки системы вручную. Для этого понадобится отредактировать некоторые ключи реестра.
Необходимо использовать редактор реестра отличный от стандартного regedit.exe, входящего в состав Windows. В интернете таких инструментов для свободного использования много (например, Reg Organizer).
Запустите редактор на пострадавшей машине и произведите следующие изменеия в ключах реестра: (-> означает "измените значение на", HKULM - HKEY_LOCAL_MACHINE, HKCU - HKEY_CURRENT_USER)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeCaption "DANGER" -> ""
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail
[email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления э..." -> ""
HKLM\Software\Microsoft\Windows\CurrentVersion\Win logon\LegalNoticeCaption "DANGER" - > ""
HKLM\Software\Microsoft\Windows\CurrentVersion\Win logon\LegalNoticeText "Если ты хочешь восстановить нормальную работу своего компьютера не потеряв ВСЮ информацию! И с экономив деньги, пришли мне на e-mail
[email protected] код пополнения счета киевстар на 25 гривень. В ответ на свой e-mail ты получишь фаил для удаления э..." -> ""
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\DisableSR 0x1 -> 0x0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore\RPLifeInterval 0x1 -> 0x76a700
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0 -> 0x1
HKCU\Software\Microsoft\Internet Explorer\Main\Window title SUCCESS ":::::::::: Мой ПИЗДОРЕЗ ::::::::::" -> "Microsoft Internet Explorer"
HKLM\Software\Microsoft\Internet Explorer\Main\Window title SUCCESS ":::::::::: Мой ПИЗДОРЕЗ ::::::::::" -> "Microsoft Internet Explorer"
HKCU\Software\Microsoft\Internet Explorer\Main\Start Page "http://poetry.rotten.com/uday/index19.html" -> "about
:blank"
HKLM\Software\Microsoft\Internet Explorer\Main\Start Page "http://poetry.rotten.com/uday/index19.html" -> "about
:blank"
HKCU\Control Panel\Desktop\MenuShowDelay 9999 -> 400
HKCU\Control Panel\International\sTimeFormat "БЛЯДЬ" -> "H:mm:ss"
Создайте ключ реестра:
HKEY_CLASSES_ROOT\regfile\shell\open\command "regedit.exe "%1" "
Измените:
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1 -> 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1 -> 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x18 - удалите ключ
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1 ->0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1 -> 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\StartMenuLogoff 0x1 -> 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414 - удалите ключ
HKLM\SYSTEM\CurrentControlSet\Services\lanmanserve r\parameters\DiskSpaceThreshold 0x99 - удалите ключ
Нижеприведенные ключи можно просто удалить:
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserClose 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoNavButtons 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoSelectDownloadDir 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserContextMenu 0x1
HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions\NoBrowserOptions 0x1
HKCU\Control Panel\Desktop\WallpaperOriginX "210"
HKCU\Control Panel\Desktop\WallpaperOriginY "187"
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\NoViewContextMenu 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuPinnedList 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMFUprogramsList 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuSubFolders 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoCommonGroups 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyPictures 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMyMusic 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyDocs 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRun 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFind 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFavoritesMenu 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRecentDocsMenu 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoLogOff 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSaveSettings 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoUserNameInStartMenu 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoToolbarCustomize 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoThemesTab 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMHelp 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinterTabs 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinters 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoNetHood 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoManageMyComputerVerb 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D} 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{450D8FBA-AD25-11D0-98A8-0800361B1103} 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\Uninstall\NoAddRemovePrograms 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\NoViewContextMenu 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\Advanced\Start_ShowRun 0x0
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuPinnedList 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMFUprogramsList 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuSubFolders 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoCommonGroups 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyPictures 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoStartMenuMyMusic 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMMyDocs 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDesktop 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoActiveDesktop 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoViewOnDrive 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoControlPanel 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoDrives 0x414
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRun 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFind 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoFavoritesMenu 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoRecentDocsMenu 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoLogOff 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoClose 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSaveSettings 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoUserNameInStartMenu 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoToolbarCustomize 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoThemesTab 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoSMHelp 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinterTabs 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoPrinters 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoNetHood 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Explorer\NoManageMyComputerVerb 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\NonEnum\{20D04FE0-3AEA-1069-A2D8-08002B30309D} 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\Uninstall\NoAddRemovePrograms 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\NoDispCPL 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr 0x1
HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\NoDispCPL 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableTaskMgr 0x1
HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System\DisableRegistryTools 0x1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \scheldhlp "C:\WINDOWS\system32\scheldhlp.exe"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \LocalServer32 "C:\WINDOWS\system32\oobe\LocalServer32.exe"