Червь

Dmitry Yurchenko написал(а) к All в Jan 06 20:38:24 по местному времени:

■ Нi All!

Чем народ лечит сабжи в винде хр?
Какой-то хитрый попался: в списке процессов не видно (видать в какой-то из
svchost внедрился), в автозагрузке тоже ничего
убил процесс outpost и вырубил сервис...

■ Bye. Dmitry
--- [GoldED+/LNX] [Debian Sarge] [Mineralka team]

Evgenuy Toropov написал(а) к Dmitry Yurchenko в Jan 06 22:44:58 по местному времени:

/Приветствую Вас/, /о/ /Dmitry/ ..
/помнится, было дело/ /Dmitry Yurchenko/ /писал/ /All/ /:/

DY> Чем народ лечит сабжи в винде хр?
какой сабж неизвестно? а как догадался что он есть??
DY> Какой-то хитрый попался: в списке процессов не видно (видать в
DY> какой-то из svchost внедрился), в автозагрузке тоже ничего убил
DY> процесс outpost и вырубил сервис...
аутпост - это ж фаервол!

ищи его в реестре(в ветках run), автозагрузках и ессесно в сервисах(мой
комп(тыкнуть правым батоном мышы)-управление-сервисы)!!

... gizmo
--- Покойтесь с миром

Dmitry Yurchenko написал(а) к Evgenuy Toropov в Jan 06 10:15:30 по местному времени:

■ Нi Evgenuy!
17 янв 06 22:44, Evgenuy Toropov писал(а) Dmitry Yurchenko:

DY>> Чем народ лечит сабжи в винде хр?
ET> какой сабж неизвестно? а как догадался что он есть??
по странному поведению компа и убийству сервиса outpost

DY>> Какой-то хитрый попался: в списке процессов не видно (видать в
DY>> какой-то из svchost внедрился), в автозагрузке тоже ничего убил
DY>> процесс outpost и вырубил сервис...
ET> аутпост - это ж фаервол!
ну так и что? пока он был отключен, червь видать и пробрался

ET> ищи его в реестре(в ветках run), автозагрузках и ессесно в сервисах(мой
ET> комп(тыкнуть правым батоном мышы)-управление-сервисы)!!
знаю. там нет.

■ Bye. Dmitry
--- [GoldED+/LNX] [Debian Sarge] [Mineralka team]

Evgenuy Toropov написал(а) к Dmitry Yurchenko в Jan 06 11:00:06 по местному времени:

/Приветствую Вас/, /о/ /Dmitry/ ..
/помнится, было дело/ /Dmitry Yurchenko/ /писал/ /me/ /:/

ET>> ищи его в реестре(в ветках run), автозагрузках и ессесно в
ET>> сервисах(мой комп(тыкнуть правым батоном
ET>> мышы)-управление-сервисы)!!
DY> знаю. там нет.

не может быть... пропустил видать!
а вапче, проверил бы винт антивирусом со свежими базами!! (есессно не с
зараженной оси:)

... gizmo
--- Покойтесь с миром

Alexey Haritonov написал(а) к Dmitry Yurchenko в Jan 06 14:38:40 по местному времени:

Привет Dmitry!

17 Января 2006г. 20:38, Dmitry Yurchenko -> All:

DY> Чем народ лечит сабжи в винде хр?
DY> Какой-то хитрый попался: в списке процессов не видно (видать в
DY> какой-то из svchost внедрился), в автозагрузке тоже ничего убил
DY> процесс outpost и вырубил сервис...

avz + dr.web
остальное, имхо, фикция.

ну доктора надеюсь знаешь где брать?
avz лежит тут
http://z-oleg.com/avz4.zip

примерная схема лечения...

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/
= ADINF.SUPPORT (2:5015/85.51) ================================================
From : Alexey Podtoptalow 2:5020/400 18.01.2006 02:57:12
To : All
Subj : Описания вирусов: Worm.Win32.Feebs
===============================================================================
From: "Alexey Podtoptalow" <nick@pues.podolsk.ru>


Нi All,

http://www.virusinfo.info/showthread...4279#post64279

Зайцев Олег, 17.01.2005, 16:41

Описания вирусов: Worm.Win32.Feebs
Семейство червей Worm.Win32.Feebs обладает рядом интересных особенностей, что
делает данныого червя достаточно опасным.
Первой особенностью является наличие "на борту" червя достоточно мощного
UserMode руткита.
Рассмотрим пример протокола зараженного ПК:

Цитата:
----------------------------------------------------------
1. Поиск RootKit и программ, перехватывающих функции API
>> Опасно ! Обнаружена маскировка процессов
>>>> Обнаружена маскировка процесса 912 svchost.exe
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:FindFirstFileA (209) перехвачена, метод
APICodeНijack.JmpTo
Функция kernel32.dll:FindFirstFileW (212) перехвачена, метод
APICodeНijack.JmpTo
Функция kernel32.dll:FindNextFileA (21 перехвачена, метод APICodeНijack.JmpTo
Функция kernel32.dll:FindNextFileW (219) перехвачена, метод
APICodeНijack.JmpTo
Функция kernel32.dllpenProcess (629) перехвачена, метод APICodeНijack.JmpTo
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Функция ntdll.dll:NtQuerySystemInformation (263) перехвачена, метод
APICodeНijack.JmpTo
Функция ntdll.dll:RtlGetNativeSystemInformation (609) перехвачена, метод
APICodeНijack.JmpTo
Функция ntdll.dllwQuerySystemInformation (1072) перехвачена, метод
APICodeНijack.JmpTo
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Функция advapi32.dll:RegEnumKeyA (471) перехвачена, метод APICodeНijack.JmpTo
Функция advapi32.dll:RegEnumKeyExA (472) перехвачена, метод
APICodeНijack.JmpTo
Функция advapi32.dll:RegEnumKeyExW (473) перехвачена, метод
APICodeНijack.JmpTo
Функция advapi32.dll:RegEnumKeyW (474) перехвачена, метод APICodeНijack.JmpTo
Функция advapi32.dll:RegEnumValueA (475) перехвачена, метод
APICodeНijack.JmpTo
Функция advapi32.dll:RegEnumValueW (476) перехвачена, метод
APICodeНijack.JmpTo
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Функция ws2_32.dll:gethostbyname (52) перехвачена, метод APICodeНijack.JmpTo
Функция ws2_32.dll:send (19) перехвачена, метод APICodeНijack.JmpTo
Анализ wininet.dll, таблица экспорта найдена в секции .text
Функция wininet.dll:НttpOpenRequestA (203) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:НttpOpenRequestW (204) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:НttpSendRequestA (207) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:НttpSendRequestW (210) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:InternetConnectA (229) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:InternetConnectW (230) перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:InternetQueryDataAvailable (26 перехвачена, метод
APICodeНijack.JmpTo
Функция wininet.dll:InternetReadFile (272) перехвачена, метод
APICodeНijack.JmpTo
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
----------------------------------------------------------

Анализ перехваченных функций показывает, что червь может маскировать свой
процесс, маскировать файлы на диске, фильтровать обращения к реестру. Кроме
того, он перехватывает функции, отвечающие за работой в Инет.
Интересен перехватчик OpenProcess - при обнаружении попытки открытия
маскируемого руткитом процесса перехватчик червя убивает "любопытный" процесс
- тем самым существенно затрудняется применение против червя всевозможных
менеджеров процессов.
Программный код червя размещен в DLL, которая как правило называется ms*32.dll
(известны варианты названия msss32.dll, msgf32.dll).
На эту DLL реагирует искатель кейлоггеров и троянских DLL AVZ:

Цитата:
C:\WINDOWS\system32\msss32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\msss32.dll>>> Нейросеть: файл с вероятностью 0.56% похож
на типовой перехватчик событий клавиатуры/мыши

Сам DLL файл имеет размер около 54 кб (последний изученный образец имел размер
54697) и запакован UPack.
Червь маскирует один процесс - это процесс svchost.exe, это системный
компонент, DLL червя загружена в его адресное пространство.
Распространение червя ведется по электронной почте, письмо имеет вид:

Цитата:
----------------------------------------------------------
You have received Protected Message from MSN.com user.
This e-mail is addressed personally to you.
To decrypt the e-mail take advantage of following data:
Subject: happy new year
ID: 18695
Password: wsxoomdxi
Keep your password in a safe place and under no circumstances give it
to ANYONE.
Protected Message and instruction is attached.
Thank you,
Secure E-mail System,
MSN.com
----------------------------------------------------------
К письму приаттачен НTA файл, типичное имя - Encrypted Нtml File.hta или
Secure Mail File.hta, его запуск и приводит к инсталляции червя (при этом
имитируется вывод окна запроса пароля, что соответствует контексту письма).
Второй вариант - это письмо с ZIP-архивом, который в свою очередь содержит НTA
файл. Третий вариант - инсталлятор червя в виде небольшого исполняемого файла
размером около 55 кб, один из вариантов имени - webinstall.exe.
Согласно отчетам пользователей в ряде случаев на зараденной машине наблюдается
побочный эффект - перестает переключаться раскладка клавиатуры.
Изученная разновидность червя регистрирует CLSID
95BC0491-2934-6105-856B-193602DCEB1F и прописывает себя на автозапуск при
помощи ShellServiceObjectDelayLoad (в котором собственно идет ссылка на CLSID
червя).
На зараженном компьютере можно обнаружить инсталлятор червя. Он имеет имя
ms*.exe (например, mshq.exe) и размер около 55 кб.

-+- ifmail v.2.15dev5.3
+ Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/
= ADINF.SUPPORT (2:5015/85.51) ================================================
From : Alexey Podtoptalow 2:5020/400 18.01.2006 03:00:48
To : All
Subj : Краткое описание Look2Me
===============================================================================
From: "Alexey Podtoptalow" <nick@pues.podolsk.ru>


Нi All,

http://www.virusinfo.info/showthread...4283#post64283

Geser, 17.01.2006, 18:40

Краткое описание Look2Me
Устанавливается файлом Installer.exe, размером около 577 кб, установка идет
скрытно. В разделе "Установка и удаление программ" не создается записи для
удаления. DLL размещается в %WINDIR%\system32 (здесь и в дальнейшем %WINDIR%
обозначает папку, в которую установлена ОС Windows) и регистрируется в ветке
реестра НKEYLOCALMACНINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify. Также в реестре создается CLSID и
регистрируется как модуль расширения проводника (при этом имя элемента не
указывается). DLL не имеет описания и копирайтов.

"Антивирус Касперского" детектирует последние версии Look2Me как
not-a-virus:AdWare.Win32.Look2Me.ab.

Определение присутствия в системе
Определить наличие Look2Me в системе можно по логам программы НijackThis
(НijackThis.log) и логу исследования системы программы AVZ (avz_sysinfo.htm).
В логе НijackThis присутсвует строка вида
O20 - Winlogon Notify: произвольное название - %WINDIR%\system32\произвольная
строка.dll
В логе AVZ в списке процессов присутствуют 2-3 DLL и/или файл guard.tmp,
зарегистрированные в папке %WINDIR%\system32\, имеющие размер около
228кб-231кб, у которых в столбцах "Описание" и "Copyright" информация
отсутствует. Все эти файлы являются компонентами троянской программы Look2Me.

Лечение
Существует несколько способов противодействия, различающихся своей
эффективностью.

1. Загрузка с CD/DVD и проверка антивирусной программой.
Метод хорош, когда есть LiveCD и антивирус на нем.

2. Подключение зараженного НDD к чистому ПК и проверка антивирусной
программой.
Метод хорош, когда под рукой есть чистый ПК, НDD имеет стандартный (такой же)
интерфейс, можно вскрывать системный блок и вообще выключать компьютер.

3. Правка реестра.
(Проверено на Windows 2000, на других версиях названия пунктов могут
отличаться)
Запустить программу regedt32.exe, перейти к ветке реестра
НKEYLOCALMACНINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Notify. Выбрать в меню программы
"Безопасность\Разрешения...". Нажать кнопку "Дополнительно", на закладке
появившегося окна (закладка "Разрешения") нажать "Добавить", выбрать
пользователя "Все". После добавления в списке "Элементы разрешений" появится
позиция "Все", нужно выбрать ее и нажать "Показать/Изменить". После этого
появляется окно с заголовком "Элемент разрешения для Notify", в столбце
"Запретить" поставить галки для "Задание значения" и "Создание подраздела".
Это блокирует создание разделов, но не блокирует их удаление - т.е. далее
можно не выходя из редактора реестра удалить в Notify ключи, ссылающиеся на
файлы Look2Me. После этого необходимо перезагрузить компьютер.

4. Использование антивируса DrWeb.
Необходимо установить ознакомительную версию "Dr.Web для рабочих станций
Windows" ( http://download.drweb.com/win/ ).
В настройках Spider (правая кнопка на паука): настройки - Режим проверки на
лету - переставить с "оптимального" на "другие", поставить галку "запуск и
открытие" и "создание и запись", поставить "Запретить режим расширенной
защиты" и снять "Проверять работающие программы и модули". Потом зайти в
раздел "Действия", выбрать "Вредноносные программы" - "Рекламные программы",
там выбрать "Первое действие" - "Переместить в карантин" и нажать "Изменить".
После этого необходимо перезагрузить компьютер.

При составлении описания использованы материалы Олега Зайцева и RiC.

(c) MOCT

-+- ifmail v.2.15dev5.3
+ Origin: FidoNet Online - http://www.fido-online.com (2:5020/400)

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/
= ADINF.SUPPORT (2:5015/85.51) ================================================
From : Alexey Podtoptalow 2:5095/1.56 12.01.2006 21:00:02
To : All
Subj : VirusremoveFAQ
===============================================================================
Общие рекомендации по очистке системы при заражении:

1. Обновить базы и сам антивирус при необходимости.
2. Отключить восстановление системы (как - см. ниже), см. примечание 3.
3. перезагрузка в безопасный режим (Нажать F8 в начале загрузки Windows)
4. проверка всех дисков сканером в режиме "по формату".
Найденное выбирать "Лечить", при невозможности удалять.
5. Провериться еще и этим:
AVZ:
http://z-oleg.com/avz4.zip
Ad-Aware:
http://www.lavasoftusa.com/
ftp://ftp.download.com/pub/win95/uti...sepersonal.exe - версия SE.
Обновления базы сигнатур:
http://download.lavasoft.de.edgesuit...ublic/defs.zip (к версии SE)
SpybotSD:
http://www.safer-networking.org/index.php? page=download
hijackthis:
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
При использовании hijackthis помнить, что это всего лишь утилита,
контролирующая подозрительные места в Windows, откуда может запускаться
adware/spyware софт или трояны. Решение об удалении принимает юзер.
Ни в коем случае не удалять всё подряд, лучше спросить у опытных людей,
приведя в письме лог этой программы.
Список стандартных процессов Windows XP (для сравнения):
http://www.oszone.net/display.php?id=2517

6. Перезагрузиться в нормальный режим и включить восстановление
системы.

Для исключения нового заражения необходимо:

1. В локальной сети, в Интернет обязательно использовать файерволл. Лучше
Zonealarm, проще Agnitum Outpost.
Самая правильная логика правил: закрыть все, разрешать только необходимое.
2. Своевременно закрывать дыры в Windows заплатками (Windows update).
3. Вместо Internet Explorer использовать браузер Opera либо Mozilla Firefox.
4. При работе в сети, в Интернет не отключать антивирусный монитор.
5. Использовать для периодического контроля всех дисков ревизор Adinf.
6. Изредка проверяться Ad-aware. Желательно использовать ее ad-watch для
защиты реестра (доступен только в платной версии Pro).
7. Все новые диски, дискеты, скачанные файлы предварительно проверять
сканером антивируса. Базы антивируса желательно обновлять раз в час.

=============================================================================

Примечание 1. Как отключить восстановление системы.

1. "Восстановление системных файлов" (System restore) (Windows Me/XP)
Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда
виpусы попадают на компьютеp, Windows может также сохpанить их в папке
восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих
папок. Для лечения необходимо вpеменно отключить опцию восстановления системы.
После лечения необходимо включить ее обpатно.

Windows Me:
Пуск - Настpойки - Панель упpавления (Start - Programs - Accessories - Windows
Explorer). Двойной клик на иконке "Система" (System).
(Если иконка "Система" не видна, щелкнуть мышью на "Показывать все опции Панели
упpавления" "View all Control Panel options")
На вкладке "Быстpодействие"(Performance) нажать кнопку "Файловая система" (File
System).
На вкладке "Дополнительно" (Troubleshooting) поставить птичку напpотив
"Запpетить восстановление системных файлов". ("Disable System Restore")
Нажать ОК. Появится пpедложение пеpезагpузить Windows - также нажать ОК.

Windows XP:
Пуск - Пpогpаммы - Стандаpтные - Пpоводник Windows. (Start - Programs -
Accessories - Windows Explorer)
Кликнуть пpавой кнопкой мыши на "Мой компьютеp" (My Computer). Выбpать
"Свойства" (Properties).
Вкладка "Восстановление системы" (System Restore). Поставить птичку на
"Запpетить восстановление системных файлов на всех дисках" ("Turn off System
Restore on all drives")
Нажать "Пpименить" (Apply). Появится сообщение, пpедупpеждающее об удалении
всех точек восстановления. Подтвеpдить, нажав "ОК".

Примечание 2. Более корректная очистка папок восстановления системы.
Квалифицированным пользователям, а также всем в случае, когда на компьютере
имеется ценная информация, не рекомендуется сразу отключать восстановление
системы. Предварительно стоит убедиться, что директория восстановления системы
заражена. Если в ней есть чистые копии, их стоит использовать для
восстановления
чистых файлов.

Примечание 3. При наличии ценной информации есть смысл проводить лечение,
подключив жесткий диск к другому (чистому) компьютеру и сделав предварительную
копию данных либо целиком диска.
На NoteBook с XP и NTFS разделом НDD можно подключать в RackMount - внешний для
НDD 2.5" с шиной USB или FireWire (IEEE-1394), сейчас многие фирмы такие
выпускают - стоимость 1300-1700 р., и данные доступны. Дальше стандартные
методы восстановления.

FAQ version 2005-11-20
-+-
+ Origin: weekly posting (2:5095/1.56)

/─═>/* -=-=-=-=-=(Windows Clipboard)=-=-=-=-=- /*<═─/


Alexey.
До дня рождения: 58 часов.
Я прожил: 289238 часов.
... Зима: [#################----------------] 52.73% complete
--- GoldED+/W32-MSVC 1.1.5-20051230 (WinNT 5.1.2600-SP2 iP-IV)

Alexey Haritonov написал(а) к Evgenuy Toropov в Jan 06 09:08:02 по местному времени:

Привет Evgenuy!

19 Января 2006г. 01:48, Evgenuy Toropov -> Alexey Нaritonov:

AН>> сколько ты знаешь способов автозагрузки в виндовс? вот ветка run
AН>> это самое простое. которую давно уже не пользуют.
ET> веток не одна.. и не только run..
ET> а еще в сервисах! замена ложных исполнителей, аттач к ним.. да дофига
ET> всего!

вот вот. так что может оказаться что и не видно там ничего.

ET>>> а вапче, проверил бы винт антивирусом со свежими базами!!
ET>>> (есессно не с зараженной оси:)
AН>> с LiveCD
ET> ага, WinXPe например!

может все же WinPE?

Alexey.
До дня рождения: 39 часов.
Я прожил: 289257 часа.
... np: Enigma 3 - Odyssey Of The Mind
--- GoldED+/W32-MSVC 1.1.5-20060118 (WinNT 5.1.2600-SP2 iP-IV)

Dmitry Yurchenko написал(а) к Evgenuy Toropov в Jan 06 09:36:00 по местному времени:

■ Нi Evgenuy!
18 янв 06 11:00, Evgenuy Toropov писал(а) Dmitry Yurchenko:


поставил авп, для др веба не было ключа. после перезагрузки перестал
загружаться. загрузил в безопасном режиме.
просканил: нашел вирус, заразивший все exe и троян отечественного производства.

ET>>> ищи его в реестре(в ветках run), автозагрузках и ессесно в
ET>>> сервисах(мой комп(тыкнуть правым батоном
ET>>> мышы)-управление-сервисы)!!
DY>> знаю. там нет.
ха. плохо смотрел. потом нашел: называется Power Manager )) А еще есть
%SYSTEMDIR%\svchost.exe. потому я и не обратил внимание на него в списке
процессов :).

ET> не может быть... пропустил видать!
пока под линухами сидел - навык растерял. эх, раньше я их голыми руками душил.
придешь, бывало, к кому - жалуются: червь, мол, злобный. одним starter'ом
обходился.

ET> а вапче, проверил бы винт антивирусом со свежими базами!! (есессно не с
ET> зараженной оси:)
да и с зараженой тоже пойдет в безопасном режиме, как оказалось

■ EOF
--- [GoldED+/LNX] [Debian Sarge] [Mineralka team]

Evgenuy Toropov написал(а) к Dmitry Yurchenko в Jan 06 20:30:20 по местному времени:

/Приветствую Вас/, /о/ /Dmitry/ ..
/помнится, было дело/ /Dmitry Yurchenko/ /писал/ /me/ /:/

DY> поставил авп, для др веба не было ключа. после перезагрузки перестал
DY> загружаться. загрузил в безопасном режиме. просканил: нашел вирус,
DY> заразивший все exe и троян отечественного производства.
ну дык вот:))

DY> ха. плохо смотрел. потом нашел: называется Power Manager )) А еще есть
DY> %SYSTEMDIR%\svchost.exe. потому я и не обратил внимание на него в
DY> списке процессов :).
блин! только вчера его у знакомой убил!! это вапче е-мэил червь вроде!!

DY> пока под линухами сидел - навык растерял. эх, раньше я их голыми
DY> руками душил. придешь, бывало, к кому - жалуются: червь, мол, злобный.
DY> одним starter'ом обходился.
вот вот! блин! ну точно такая же фигня!
сядешь за комп, пару кликов - и уже мог сказать какой вирус\трой\червь, где он
и как лечить..а счас.. репу почешешь - и антивирь запустишь:))

DY> да и с зараженой тоже пойдет в безопасном режиме, как оказалось
у меня и в обычном режиме прокатило, просто из процессов его выгрузил!

... gizmo
--- Покойтесь с миром

Evgenuy Toropov написал(а) к Alexey Haritonov в Jan 06 20:32:56 по местному времени:

/Приветствую Вас/, /о/ /Alexey/ ..
/помнится, было дело/ /Alexey Нaritonov/ /писал/ /me/ /:/

AН> вот вот. так что может оказаться что и не видно там ничего.
все можно увидеть! главное присмареца повнимательней;)

ET>> ага, WinXPe например!
AН> может все же WinPE?
у меня называется XPe...
хз почему, ведь везде орут об РЕ..
у тебя оное есть? давай сравним?

... gizmo
--- Покойтесь с миром

Alexey Haritonov написал(а) к Evgenuy Toropov в Jan 06 21:29:24 по местному времени:

Привет Evgenuy!

20 Января 2006г. 20:32, Evgenuy Toropov -> Alexey Нaritonov:

AН>> вот вот. так что может оказаться что и не видно там ничего.
ET> все можно увидеть! главное присмареца повнимательней;)

можно.

AН>> может все же WinPE?
ET> у меня называется XPe...
ET> хз почему, ведь везде орут об РЕ..
ET> у тебя оное есть? давай сравним?

а че сравнивать? сделай сам.

http://www.nu2.nu/download.php?sFile=pebuilder313.exe
http://www.nu2.nu/download.php?sFile...er314-beta.zip


Alexey.
Я прожил: 289293 часов.
... np: Ворбей Аня и группа ''Рок-острова'' - Побег
--- GoldED+/W32-MSVC 1.1.5-20060118 (WinNT 5.1.2600-SP2 iP-IV)