Порой удивляюсь, где юзеры ловят такие оригинальные вирусы? На днях в руки попал ноут, мало того, что зараженный с ног до головы, да к тому же еще и с этим чудом. Этот Винни-Пух активизируется в момент завершения работы Windows, выводя на экран окошко с сообщением «Экипаж Windows прощается с вами. Помой уши, почисти зубы и вали спать!». Вроде бы ничего страшного, но со временем напрягает тем, что пока не нажмешь на ОК – компьютер не выключится.

Доктор Вэб обнаружил запускаемый файл winny.exe в корне диска С, причем этот Винни-Пух сразу же перескочил на корень флэшки. Для его удаления достаточно просто удалить запускаемый файл winny.exe. Если файл не удаляется – читаем статью «Если файл не удаляется».

На днях появилась необходимость подключить к одному из компьютеров Bluetooth. Для удобной работы установил программу BlueSoleil. После того, как необходимость в блютусе пропала, решил удалить и BlueSoleil за компанию, после чего столкнулся с небольшой проблемкой – ярлык «Bluetooth-окружение» на рабочем столе невозможно было удалить. При щелчке на нем правой кнопкой мыши, появлялось меню всего с тремя функциями: «Открыть», «Создать ярлык» и «Проводник». Перетаскивание ярлыка в корзину также ни к чему не привело – при помещении его на корзину, появлялся значок в виде перечеркнутого кружка, т.е. операция невозможна. В папке «Documents and Settings\Имя пользователя\Рабочий стол» ярлыка также не было. Появилась пища для размышлений.

Всемогущий реестр снова пришел на помощь. Для удаления ярлыка «Bluetooth-окружение» необходимо запустить редактор реестра («Пуск» -> «Выполнить…» -> regedit). Затем открыть следующую ветку: HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Explorer -> Desktop -> NameSpace -> {32B4C379-4AC0-45F2-939C-D4E7ADA56DC5}. Кстати, последняя папка у вас может быть и другой – пролистайте все папки в NameSpace и найдите ту, которая содержит значение «Bluetooth-окружение» или «My Bluetooth Place», т.е. имя вашего ярлыка. Щелкаем на этой папке правой кнопкой мыши и выбираем «Удалить», на появившееся сообщение отвечаем «Да».

Этот способ универсален и для других ярлыков. Если ваш неудаляемый ярлык расположен на рабочем столе – ищите его в ветке HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Explorer -> Desktop -> NameSpace.

Если в «Моем компьютере» — ветка HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Explorer -> MyComputer -> NameSpace.

В «Панели управления» — ветка HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion -> Explorer -> ControlPanel -> NameSpace.

Сообщение «Ошибка приложения: инструкция по адресу … обратилась к памяти по адресу … Память не может быть «read»» может появиться при запуске или завершении абсолютно любого приложения. Виной этому может быть и сама оперативная память, но прежде чем пытаться заменить планку оперативной памяти – попробуйте решить проблему на программном уровне – быть может, память-то тут и не причем. Существует 3 наиболее верных способа исправления ошибки «Память не может быть read». Кстати, эти же самые способы помогут исправить и другую ошибку «Память не может быть written».

Способ №1.

Отключить службу «Предотвращение выполнения данных» (Data execution prevention), которая осуществляет контроль доступа к памяти. Для ее отключения необходимо внести небольшие коррективы в файл boot.ini. Файл размещен в корне диска, на котором установлена операционная система. Для доступа к нему, откройте «Мой компьютер» и в адресной строке сверху введите %systemdrive%\Boot.ini и нажмите Enter. Или же другим способом: «Пуск» -> «Выполнить» -> %systemdrive%\Boot.ini -> ОК. Есть еще третий способ доступа к файлу boot.ini: «Пуск» -> «Панель управления» -> «Система» -> «Дополнительно» -> «Загрузка и восстановление: Параметры» -> «Правка».

Открыв файл, найдите параметр «/noexecute=optin» и замените слово optin на alwaysoff. Т.е. параметр должен иметь вид «/noexecute=alwaysoff». После этого сохраните файл (Файл -> Сохранить) и перезагрузите компьютер.

Есть, правда, одно «но» — файл boot.ini может быть защищен от записи и откажется сохраняться. Поэтому необходимо открыть системный диск (по умолчанию С), выбрать в верхнем меню пункт «Сервис» -> «Свойства папки» -> «Вид» и, прокрутив ползунок до самого низа, поставить галочку напротив пункта «Показывать скрытые файлы и папки». После этого вы сможете увидеть файл boot.ini. Щелкните по нему правой кнопкой мыши и выберите «Свойства», после чего снимите галочку напротив пункта «Только чтение». Теперь можно вносить в файл любые коррективы и сохранять без проблем.

Способ №2.

Причиной ошибки может быть также некорректно установленная библиотека ole32.dll. Некоторые программы при установке/удалении могут повредить ключи в реестре, относящиеся к этой библиотеке. Для переустановки библиотеки, нажмите «Пуск» -> «Выполнить» и введите команду «regsvr32 %SystemRoot%\system32\ole32.dll» (без кавычек), после чего нажмите ОК и перезагрузите компьютер.

Способ №3.

Можно также попробовать отключить в операционной системе Windows все сообщения об ошибках, и об ошибке «Память не может быть read» в том числе. Для этого отправляемся по следующему пути: «Пуск» -> «Панель управления» -> «Система» -> «Дополнительно» -> «Отчет об ошибках» и ставим галочку напротив пункта «Отключить отчет об ошибках», убрав при этом галочку напротив «Но уведомлять о критических ошибках». Перезагружаем компьютер.

Вот, в принципе, наиболее действенные способы. Если в вашем случае решить проблему ни одним из этих способов не удалось, попробуйте отключить компьютер на некоторое время от шнура питания (выключить из розетки), дав оперативной памяти полностью обнулиться. Если не помогло – попробуйте на время заменить планку оперативной памяти или переустановить Windows (кстати, сборка ZverCD также может быть виной этой ошибки).

Скажу сразу – данный способ заработка подходит только для тех, у кого есть собственный сайт. Если сайта все еще нет – самое время им обзавестись. Подойдет сайт на любом, даже бесплатном хостинге (blogspot, ucoz, narod…).

На личном опыте перепробовал много вариантов контекстной рекламы, баннерных показов, процентов с продаж. В итоге остановил свой выбор на одной, оригинальной партнерке – ClickUnder. Привлек сам механизм начисления прибыли – достаточно установить определенный код на сайт, после чего засчитывается клик в любом месте сайта – рекламный сайт партнера откроется в новом окне. Т.е. каждый посетитель, просмотревший более 1 страницы на вашем сайте – уже принесет вам прибыль. За уника платят от 17 до 21 копеек. Не много, конечно, но процент кликнувших от общего числа посетителей колеблется в районе 50-95% (в той же контекстной рекламе средний процент кликнувших составляет примерно 2%). Таким образом, при ежедневной аудитории сайта в 1000 человек, вы зарабатываете от 85 до 200 рублей в день. При этом, вы также можете получать прибыль от контекстной или другой рекламы, находящейся на вашем сайте. Получается, дополнительный заработок, который проходит мимо вас.

Вкратце, о том, как начать работать. Переходите по ссылке ClickUnder и регистрируетесь. В процессе регистрации вам может понадобиться инвайт (пропуск). Если понадобится – введите 1FCD8F76676C9DF49E16. Для того, чтобы клики засчитывались, нужно ввести номера кошельков WMR и WMZ в системе WebMoney. В админке (кабинет) щелкаете на пункт «Получить код формата click-under» и вставляете полученный код на страницы вашего сайта. В принципе, система уже заработала. Можете проверить работоспособность, кликнув на вашем сайте по любой ссылке – клик засчитается, подобное тестирование не запрещено системой.

Удачных заработков!

Для того чтобы обнаружить в операционной системе Windows активный вирус, вы должны быть осведомлены о стандартных процессах, запускаемых системой по умолчанию при каждой загрузке. Это позволит отличить вредоносный процесс от системного процесса или от процесса, запускаемого сторонними программами. Последующее удаление процесса из диспетчера задач позволит без труда удалить его запускаемый файл. Также обращайте особо пристальное внимание на процессы-двойники, прячущиеся за именами системных процессов (обычно они запущены не от имени SYSTEM, а от имени конкретного пользователя) и на процессы, загружающие процессор на 100%.

Ниже привожу стандартный набор процессов по умолчанию на большинстве компьютеров под управлением Windows XP.

1. System. Является частью ядра системы. Обратите внимание, что процесс без расширения .exe. Если же у вас запущен процесс System.exe – можно начинать паниковать.

2. Smss.exe. Session Manager Subsystem – субсистема менеджера сеансов. Отвечает за запуск сеансов различных пользователей. Благодаря ей возможен моментальный переход от сеанса одного пользователя к другому или же фоновая работа программ в различных сеансах. Если в данный момент на компьютере запущен один сеанс пользователя, а процессов Smss.exe больше одного – повод призадуматься…

3. Csrss.exe. Client/Server Runtime Server Subsystem – подсистема клиент/сервер. Несмотря на название, процесс в основном отвечает за создание окон. Но даже если окон открыто несколько – процесс Csrss.exe должен быть только один.

4. Winlogon.exe. Windows Logon Process – можно сказать, процесс авторизации в Windows. Отвечает за корректный вход в систему конкретного пользователя. Также должен быть запущен лишь единожды.

5. Services.exe. Services Control Manager. Процесс, отвечающий за работу служб, необходим системе как воздух. Должен быть запущен лишь 1 раз и под пользователем SYSTEM.

6. Lsass.exe. Local Security Authority Service. Процесс отвечает за локальную политику и прочую безопасность системы. Запущен 1 раз, копии не допускаются.

7. Svchost.exe. Service Host Process. Запускает службы, не имеющие собственного запускаемого файла, так называемые, dll-службы. Процессов должно быть запущено не больше 6 штук и все под пользователями SYSTEM, LOCAL SERVICE, NETWORK SERVICE.

8. Ctfmon.exe. Процесс, отвечающий за смену языка клавиатуры (раскладку). Также несет ответственность за значок RU/EN рядом с треем. Запущен 1 раз, копии не допускаются.

9. Explorer.exe. Отвечает за проводник и рабочий стол, т.е. тот графический интерфейс, к которому мы с вами так привыкли. При его отключении, перед вами останется лишь обоина и диспетчер задач. Также должен быть запущен лишь один раз.

10. Spoolsv.exe. Microsoft Printer Spooler Service – служба, ответственная за печать, конкретнее, за постановку документов в очередь печати.

11. Wdfmgr.exe. Windows Driver Foundation Manager. Необходим для поддержки корректной работы Windows Media Player. Процесс не критический, поэтому его отключение к зависанию системы не приведет.

12. Taskmgr.exe. Task Manager – диспетчер задач. Запущен лишь потому, что в этот момент мы в нем и находимся.

13. Бездействие системы – не пугайтесь, если этот процесс занимает 100% ресурсов процессора. Как раз наоборот – этот процесс отображает, сколько ресурсов свободно.

Процесс, не находящийся в этом списке, не должен сразу попадать под подозрение. Во-первых, в зависимости от комплекта вашей ОС, служебных процессов может быть и больше. Во-вторых, у каждого производителя оборудования в комплекте драйверов устанавливаются собственные процессы, необходимые для удобной и корректной работы данного оборудования. Внимательно изучите название процесса и сопоставьте с установленным на вашем компьютере ПО или же с драйверами. К примеру, процесс igfxsrvc.exe отвечает за работу видеокарты Intel Graphics, процесс SynTPEnh.exe – за работу сенсорной панели фирмы Synaptics, процессы ati2evxx.exe и CLI.exe – за работу видеокарт семейства ATI Radeon и т.д. и т.п.

Автоматический запуск всех процессов (не системных) можно отключить в «Настройке системы» («Пуск» -> «Выполнить…» -> msconfig), во вкладке «Автозагрузка».