Описание приложения Windows Genuine Advantage Notifications
ВВЕДЕНИЕ
В этой статье описан последний выпуск средства уведомления о результатах проверки подлинности Windows для системы Windows XP. Это приложение уведомляет пользователя, если копия Windows не является подлинной.
Загрузите следующий файл с веб-узла центра загрузки Майкрософт:
Загрузить средство уведомления о результатах проверки подлинности Windows (KB905474).
Дополнительная информация
Средство уведомления о результатах проверки подлинности Windows для Windows XP уведомляет пользователя, если копия Microsoft Windows XP не является подлинной. Уведомления появляются только на компьютерах, не прошедших процесс проверки подлинности Windows и работающих под управлением копии операционной системы Windows XP, не являющейся подлинной. При работе с проверенной подлинной копией операционной системы Windows XP уведомления не появляются.
Установка средства уведомления о результатах проверки подлинности Windows
Если средство уведомления о результатах проверки подлинности Windows получено через Центр обновления Windows или Центр обновления Майкрософт, оно будет установлено на компьютере в соответствии с настройками службы автоматического обновления. В некоторых случаях установка будет произведена при следующем входе в систему. В ходе установки можно будет ознакомиться с условиями лицензии и отклонить обновление. Если отклонить обновление, приложение не будет установлено. Если принять условия и установить средство уведомления о результатах проверки подлинности Windows, пользователь будет автоматически получать обновления, специфичные для приложения.
По завершении установки будет запущено средство проверки подлинности Windows для проверки подлинности установленной копии Windows. Если копия Windows не пройдет проверку, при следующем перезапуске компьютера и входе в систему будет выведено соответствующее уведомление. Эти уведомления будут информировать пользователя о том, почему процесс проверки подлинности данной копии Windows не был пройден, при этом будут предлагаться варианты устранения проблемы. Если копия Windows является подлинной, уведомления выводиться не будут. Если средство увдомления о результатах проверки подлинности Windows для Windows XP загружается и устанавливается с веб-узла Центра загрузки Майкрософт, мастер установки поможет выполнить процесс обновления. Это включает ознакомление с условиями лицензии и возможность отклонить обновление. Если принять условия и установить средство уведомления о результатах проверки подлинности Windows, пользователь будет автоматически получать обновления, специфичные для приложения.
Примечание После установки средства уведомления о результатах проверки подлинности Windows для Windows XP оно не может быть удалено с компьютера. В заявлении о конфиденциальности Windows Genuine Advantage объясняется, какие сведения собираются, как они используются и как корпорация Майкрософт защищает конфиденциальность личных сведений пользователей. Дополнительные сведения о программе Windows Genuine Advantage и подлинности Windows см. на веб-узле корпорации Майкрософт по следующему адресу:
Уведомления
Если копия Windows не пройдет проверку подлинности, будут наблюдаться признаки, описанные ниже.
Уведомления при входе в систему
При входе в систему в правом нижнем углу экрана появляется сообщение, приведенное ниже.
Возможно, вы стали жертвой подделки программного обеспечения.
Данная копия Windows не прошла проверку подлинности.
Кроме того, появляется сообщение, приведенное ниже.
Возможно, вы стали жертвой подделки программного обеспечения.
Для получения помощи по этой проблеме щелкните «Устранить».
При появлении этого сообщения существуют две возможности, описанных ниже.
Можно щелкнуть команду Устранить для получения дополнительных сведений о конкретных причинах ошибки проверки подлинности и устранения проблемы.
Если принято решение не щелкать команду Устранить, то после небольшой задержки будет предоставлена возможность выполнить команду Отложить. Если выбрать этот вариант, после входа в систему будут периодически появляться уведомления о том, что данная копия Windows не является подлинной. Эти уведомления описаны далее. Также в области уведомлений будет отображаться значок, который можно щелкнуть правой кнопкой мыши для просмотра вариантов получения дополнительных сведений о способах получения подлинной версии Windows.
Область уведомлений
Если копия Windows не пройдет проверку подлинности, в нижней части рабочего стола будут отображаться уведомления о том, что проверка подлинности не была пройдена. Щелкнув уведомление или значок Windows Genuine Advantage в области уведомлений, можно открыть веб-страницу «Ошибка проверки подлинности Windows». На этой веб-странице содержатся сведения об ошибке проверки подлинности и действия по подтверждению подлинности операционной системы.
Постоянное напоминание на рабочем столе
Постоянное напоминание на рабочем столе представляет собой изображение в правом нижнем углу рабочего стола. Если установленная на компьютере копия Windows XP не является подлинной, под всеми активными окнами будет появляться постоянное напоминание, указывающее, что проверка подлинности данной копии Windows не была пройдена. Значки под постоянным напоминанием можно использовать. Однако напоминание не может быть скрыто никакими объектами на рабочем столе.
Изменение фонового рисунка рабочего стола
Если установленная на компьютере копия Windows XP не является подлинной, в качестве фонового рисунка рабочего стола будет использоваться сплошной черный цвет. Можно изменить фон на другой цвет или на фоновый рисунок, но каждые 60 минут черный фон будет восстанавливаться, пока копия Windows не пройдет проверку подлинности.
При каждом появлении уведомления можно получить подробные сведения о конкретной ошибке проверки подлинности. Эти сведения включают описание действий, которые можно выполнить для решения проблемы.
Предыдущие выпуски
В предыдущих разделах описаны функции последнего выпуска средства уведомления о результатах проверки подлинности Windows для Windows XP. Если используется более старая версия средства уведомления о результатах проверки подлинности Windows, некоторые функции, описанные в этой статье, могут отсутствовать. Однако каждый раз при выводе уведомления будут предоставляться подробные сведения о конкретных причинах ошибки проверки подлинности. Кроме вывода возможных вариантов при входе в систему уведомления будут периодически появляться и после входа. Для ознакомления с доступными вариантами или просмотра дополнительных сведений о способах получения подлинного программного обеспечения Microsoft Windows можно щелкнуть уведомление или значок в области уведомлений.
Windows genuine advantage notification как
Advanced Member
Windows Genuine Advantage Validation Tool — это обязательное обновление KB892130. Предназначено для проверки подлинности ключа (на предмет уплаченных за него денег, или законности его использования) во время посещения страниц узла WindowsUpdate. Реализован как объект ActiveX в модуле LegitCheckControl.dll. Назначение: сбор сведений и отправка их на сервер Microsoft, и проверка «подлинности Windows». Т.е. его основная задача имеет скорее шпионский характер, тайком от вас собирать информацию. Вот информация, которую собирает WGA:
производитель и модель компьютера;
версия операционной системы и программного обеспечения, использующего функцию Genuine Advantage;
настройки региона и языка;
уникальный номер, присвоенный компьютеру используемыми средствами (глобальный уникальный идентификатор или GUID);
номер и ключ продукта;
название, номер и дата выпуска версии BIOS компьютера;
серийный номер носителя;
ключ продукта Office (при проверке Office);
результаты установки;
результаты проверки.
Это взято из официальных источников, остается только гадать, что может быть скрыто от общественности, учитывая маниакальную тягу Microsoft постоянно темнить и лукавить. Но даже этот набор очень сильно впечатляет. Microsoft уже настолько сильно обнаглела, что считает любой компьютер, на котором установлена Windows чуть ли не своей собственностью.
Итак, на вопрос «Кто в доме хозяин, Я или тараканы Microsoft?», бодро отвечаем — Я! Что делать с этим WGA? То что он является не удаляемым, это очередные басни Microsoft. Удаляется этот жучок элементарно, нужно выполнить две команды (командная консоль cmd.exe):
C:\>regsvr32 -u LegitCheckControl.dll
C:\>del LegitCheckControl.dll
Всё, поганца больше нет! Но это не самое лучшее решение, поскольку при посещении узла обновлений вас первым делом заставят установить его по новой. Поэтому задача такая: чтобы этот поганец был установлен, но не мог проводить свою вредоносную деятельность.
Главное, что нужно сделать — это заблокировать любыми средствами канал связи, по которому передается информация. Например с помощью брандмаузера закрыть доступ к серверу mpa.one.microsoft.com, порт 443. Но не у всех есть брандмаузер, имеющий такие функции. Проще использовать настройки локального DNS. Для этого нужно открыть блокнотом файл \WINDOWS\system32\drivers\etc\hosts и дописать в конец файла следующую строку:
127.0.0.1 mpa.one.microsoft.com
Сохранить файл, и выполнить команду
C:\>ipconfig /flushdns
Она нужна для сброса кэша DNS. Эти действия настраивают локальную службу DNS. Её назначение — определять IP-адрес по доменному имени. После этого, при попытке WGA обратиться к серверу mpa.one.microsoft.com, все его запросы будут отправляться на IP=127.0.0.1 (адрес локального компьютера), а не на настоящий IP=131.107.115.40. Поэтому WGA не сможет связаться с сервером mpa.one.microsoft.com, и что то передать или получить.
Основная задача выполнена — шпионящему модулю заткнули рот! Это — главная мера обхода WGA. Она может дать осечку, и ключ будет определять как не подлинный, но это не значит что от этой меры следует отказываться или отменять её. Осечка может произойти если:
Остались следы предыдущих неудачных проверок. Они хранятся в файле:
C:\Documents and Settings\All Users\Application Data\Windows Genuine Advantage\data\data.dat
Этот файл нужно удалить. Папка «Application Data» имеет атрибут «скрытая». Если в системе установлено свойство «не показывать скрытые файлы и папки», то её не будет видно в проводнике. Устанавливать на файл data.dat атрибуты или разрешения, препятствующие записи в этот файл, не нужно. Поскольку в этом случае проверка WGA всегда будет неудачной.
Модуль WGA имеет встроенный черный список нелегальных ключей, которые известны Microsoft. С помощью этого списка WGA может определить такой ключ без связи с сервером. Осечка будет, если установленный ключ находится в этом списке. В этом случае нужно сменить ключ или воспользоваться надстройкой для InternetExplorer IeBlinder
Все остальные известные мне способы обхода WGA уже не так хороши, и скорее это временные меры. Например, кракнутая LegitCheckControl.dll. Будет работать пару месяцев, до выхода новой версии WGA, Как только появится новая версия с увеличенным черным списком ключей, так вам предложат (заставят) установить её, независимо от того была у вас до этого кракнутая длл, или нет. Кроме этого, кракнутые дллки как правило не решают проблему утечки информации. Если вы поменяете ключ, то во время проверки WGA он убежит на сервер Microsoft, и через некоторое время будет внесен в черный список новой версии WGA.
Использование файла hosts не очень надежно. Потому что это обычный текстовый файл, и любая программа может его открыть и изменить содержимое, или даже просто удалить его. Тогда вся надежда на то что mpa.one.microsoft.com будет заблокирован окажется тщетной. Пример. Для этих целей лучше использовать политику безопасности IP. Это штатный инструмент Windows. Он точно есть на каждой машине с Windows. По умолчанию он отключен и не настроен. Его использование чуток посложнее hosts, но не намного, зато работает железно. Даже службы (имеющие все системные привилегии) не могут пробить это барьер. Нужно всего лишь создать новую политику, настроить ее, и включить. Этот инструмент можно использовать не только для блокировки серевера microsoft, но и других. Сейчас очень многие приложения злоупотребляют сетью. Собирают и отправляют какую то информацию на нигде недокументированные серверы, качают откуда то рекламу, естественно, проверяют лицензию, отправляя и получая информацию на какие то серверы. Об этом факте пользователь узнает лишь косвенным образом. И его никто не спрашивает — хочет он этого или нет. Кстати, не очень давно испеченный браузер GoogleChrome именно этим и занимается: при путешествии пользователям по страница он отправляет об этом информацию на какие то серверы Google. Это я выяснил, когда проверял сайт расположенный на локальном Вэб-сервере, а не в Интернете. Совершенно однозначно наблюдались попытки браузера соединиться с внешним сервером при каждом переходе на очередную страницу, хотя содержимое сайта не требовало никаких внешних ресурсов. Если известен IP, на который стучится та или иная программа с неизвестными целями, то достаточно просто положить конец этой тайной деятельности используя политику безопасности IP. Которая именно для этого и предназначена — для контроля сетевого доступа.
Если вы попадаете на страницу с сообщением об ошибке (типа код ошибки: 0x80080205), то это говорит о каких то неисправностях самой системы проверки подлинности, а не о проблемах с вашим ключом. Подробности о кодах ошибок, и что с этим делать, можно найти здесь. Для теста работы непосредственно самого модуля WGA можно использовать утилиту RunWGA или тестовую страницу.
Office Genuine Advantage (OGA)
В принципе всё совершенно аналогично, только реализован этот ActiveX в OGACheckControl.dll, и проверяет подлинности продуктов серии Office. Так же шпионит, используется только на страницах OfficeUpdate, методы обхода аналогичны.
Для любителей взломанных дллек — универсальный патчер OGA модулей. В командном файле setup.cmd записаны команды для установки CalendarPrintAssistant для Офиса 2007. Для собственных нужд командный файл нужно адаптировать, лишнее — убрать, и указать модуль, который нужно патчить.
Патчер OGA не справляется с версией OGA 2.0.48.0. Для обхода проверки OGA написан новый инструмент AntiOga
Кракнутый OGACheckControl.dll 2.0.48.0
KB905474
Это Windows Genuine Advantage Notification (уведомление о результатах проверки подлинности).
Windows Genuine Advantage Notification (KB905474). Как прибить жучка.
Обновление KB905474 — это система уведомлений о результатах проверки подлинности Windows. Если проверка подлинности обнаружит что ключ, установленный в системе, не является подлинным, то в системном трее появится звездочка, которая будет постоянно мозолить глаза сообщениями о необходимости приобрести лицензию. Аналогичные сообщения будут появляться при включении и выключении компьютера. Советую его никогда не устанавливать, независимо от состояния вашей лицензии. Оно не предназначено для пользователя компьютера, а служит исключительно шкурным интересам Microsoft. В настоящее время никакого лекарства от этой «звезды героя» не требуется. Достаточно отказаться от установки обновления KB905474 навсегда (поставить галочку «Никогда больше не предлагать». Если же это обновление уже установлено, то достаточно его отключить, об этом — ниже.
Что же это такое, и почему его так все не полюбили? Это ещё один шпионский жучок, который ежедневно проверяет «подлинность» Windows, собирает и передает сведения на сервер Microsoft mpa.one.microsoft.com, даже если по всем признакам с лицензией всё в порядке. Подробней об этом написано здесь. А если есть повод для сомнений в лицензии, то он появляется в системном трее в виде звёздочки, и начинает донимать пользователя сообщениями о необходимости приобрести лицензию. Аналогичные сообщения появляются при старте системы, и при выходе из системы. Боже мой! Софтверный гигант опустился до такой низости: NagScreen-ов! Причем, если в более ранних версиях пользователь мог закрыть эту звёздочку щелкнув по ней мышкой, и выбрав команду «Выйти». То сейчас такой команды нет! А если пользователь захочет принудительно завершить это приложение, используя менеджер задач (проще говоря, убить процесс), то у него ничего не получится. Как только процесс будет насильно завершен, то некая невидимая наблюдающая за ним сила тут же запустит его снова! При этом WgaTray.exe (так называется это пускатель мыльных пузырей) невозможно найти ни в одном известном месте автозапуска! Караул! Что же делать?
Спокойно, поводов для паники нет. Чтобы выключить его, нужно понять как он включается. В автозапусках его точно нет, потому что все автозапуски срабатывают только после того, как пользователь войдет в систему (залогинится), а эта зараза начинает орать раньше! В это время фактически функционирует только winlogon. Смотрим ключик в реестре:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon]
«DllName»=»WgaLogon.dll»
«Logon»=»WLEventLogon»
«Logoff»=»WLEventLogoff»
«Startup»=»WLEventStartup»
«Shutdown»=»WLEventShutdown»
«StartScreenSaver»=»WLEventStartScreenSaver»
«StopScreenSaver»=»WLEventStopScreenSaver»
«Lock»=»WLEventLock»
«Unlock»=»WLEventUnlock»
«StartShell»=»WLEventStartShell»
«PostShell»=»WLEventPostShell»
«Disconnect»=»WLEventDisconnect»
«Reconnect»=»WLEventReconnect»
Именно этот ключ отвечает за старт WgaNotification. Winlogon загружает указанную dll (WgaLogon.dll), а после, при возникновении каких то событий, вызывает указанные функции из этой dll. Слева — событие, справа — функция из dll. Удаляем этот ключ полностью, перезагружаем компьютер — вуаля! Никаких звездочек и предупреждений о поддельных копиях нет! Все остальные действия (патчи, кракнутые dll-ки) являются избыточными. Ибо без этого ключа система уведомлений не будет запущена, и остальные телодвижения никоим образом не улучшат ситуацию. Но есть один нюанс: служба обновлений WindowsUpdate, не обнаружив это ключ, будет считать KB905474 неустановленным, и она предложит установить обновление KB905474 повторно. Так что будьте внимательны, и откажитесь от повторной установки KB905474 навсегда.
Я считаю, что Microsoft совершила огромную глупость, выпустив WGA Notification. Причем Microsoft не просто дура или дура в квадрате, а дура в шестьдесят четвертой степени. Потому что она продемонстрировала очень наглядный пример вирусописателям, как сделать качественный вирус, и превратить Windows в мину замедленного действия. А вирусописатели уже воспользовались этим примером. Сначала появился червяк, маскирующийся под Windows Genuine Advantage. А недавно узнал об «интересном» вирусе. Своими глазами я его не видел, но со слов пострадавших, он очень похож по поведению на WGA Notification. При старте он выводит сообщение о пиратской копии, блокирует дальнейший вход, и просит перечислить 300 рублей на Яндекс.Деньги для якобы активации Windows. В одном вирусописатели ошиблись: Microsoft простит не рубли, а баксы, ну и уж точно не через Яндекс.
Мораль: не устанавливайте KB905474. А на ключик
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]
установите следующие разрешения: запрет на модификацию для всех групп (не только для группы «Все», а и для администраторов, и SYSTEM). Для того чтобы никакие вирусописатели (и из Microsoft в том числе) не могли привинтить к winlogon никакую дополнительную заразу.
