Всем привет.
Simplix твоя программа не отработала на этом вирусе. Аккуратно выкладываю вирус http://narod.ru/disk/62120399001.a207a4 … o.rar.html
Прописывается сюда c:\Documents and Settings\USER\Local Settings\Application Data\Opera\Opera\temporary_downloads\xxx_video.exe
Лечил Dr.Web 7 Portable Scanner by HA3APET v1 в безопасном режиме через коммандную строку. В безопасном режиме также порно баннер выскакивал.
----------------------------------------------------
И еще вопрос. Не могли бы вы добавить в вашу программу очистку cache в IE, Opera, Mozilla, Google. У моих клиентов по-разному сидят вирусы, но основном там.
И вопрос про webalta и apeha можно их тоже лечить ?
-----------------------------------------------------
Прога супер. Сам себя вылечил, вчера вирус поймал, сам выскочил.
Отредактировано halflife2 (07.10.2012 10:43:12)
halflife2
Проверил на XP - баннер был успешно удален (отключен из автозапуска).
Вирус запускал из папки, которую AntiSMS не очищает автоматически, так что зловред был именно отключен в реестре, а не удален файл.
Троян использует ключи:
HKEY_USERS\S-1-5-21-299502267-2111687655-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Run\system
HKEY_USERS\S-1-5-21-299502267-2111687655-1957994488-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Их АнтиСМС обрабатывает.
Также запускал этот троян именно из папки, указанной вами - тоже был успешно удален.
Отредактировано art9 (07.10.2012 16:12:33)
нестандартный MBR
http://rghost.ru/40794646
так AntiSMS восстановила MBR или же нет?
нестандартный MBR
http://narod.ru/disk/62191918001.8b2768 … 1.bin.html
Баннеры стали чаще использовать ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
В активной системе она выглядит так:
HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run virus.exe
Где S-1-5-21 идентификатор безопасности группы администратора.
Может кто знает как уточнить путь к идентификатору админа?
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Run\* - затрагивает лишние разделы..
HKEY_USERS\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Run\* - не работает..
Vitokhv
может только я не понял ваш вопрос, но попросил бы уточнений.
antisms видит и удаляет из автозагрузки "лишнее", прописанное в RUN'ах.
Имею ввиду активную систему, и защиту через Hips еще до заражения Run
vladshishkin_Forever
Сейчас провел эксперимент на комп-ре с XP: автозапуск был отключен полностью. После обработки системы утилитой AntiSMS появился автозапуск только с CD-рома (по мнению программы AVZ, но автозапуск с CD по факту не работал).
Итого: критический автозапуск (флэшки, hdd) был полностью отключен. AVZ сообщила, что включен автозапуск с CD, но при щелчке по иконке в Моем компьютере автозапуск не происходил. Так что все нормально.
А то что работает автозапуск с CD при работе с LiveCD, то это никак не сказывается на работе установленной системы.
Отредактировано art9 (14.10.2012 23:35:08)
vladshishkin_Forever
Ваши сообщения убраны из-за неверной информации, которая может дезориентировать пользователей. На самом деле автозапуск отключается для всех устройств кроме CD-ROM, так как трояны не записываются в автозапуск дисков. В шапке темы дословно написано: "Автозапуск на всех устройствах кроме дисковода будет отключен". Некорректные сравнения тоже прошу оставить при себе, здесь культурное место.
Благодарю за новую версию
PS. Автозапуск с CD на LiveCD-выключите, пожалуйста
НУ не нужен он там!
Симпликс, переделайте вашу последнюю версию или с заменой файлового менеджера на БЕСплатную версию, или зарегьте Тотал Коммандер. Спасибо.
Павел
регить Тотал - это денег стоит. Лично мне не сложно нажать одну цифру из трех предложенных.
Вопрос возник. Сильно не пинайте )) если что-то не понял ))
Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.
НА этом моменте решил остановиться, до выяснения ))) Вопрос ))) кто виноват и что делать ))
P.S. art9, DJeir СПАСИБО!! Буду пробовать на выходные.
Отредактировано CaveMan (20.10.2012 16:30:57)
art9 сообщает:
Павел
регить Тотал - это денег стоит. Лично мне не сложно нажать одну цифру из трех предложенных.
НЕ хорошо тогда получается, так сказать недоделано. Можно вшить FREE COMMANDER или очень неплохой VIEWFD:good:
Павел А что мешает самому ключ для Тотала вшить?
CaveMan
1) 2.5 - это не новая версия, скачайте актуальную.
2) Может образ записался криво (переделать).
3) Может болванка плоха - попробуйте другую.
4) Используйте другой LiveCD Вот тут актуальная AntiSMS на сегодня со всеми файлами: http://rghost.ru/41046679 - разархивируйте его (архив) на флэшку. Загрузитесь с этого livecd, затем вставьте флэшку с AntiSMS и запустите ее.
Отредактировано art9 (20.10.2012 14:50:56)
CaveMan сообщает:
Павел А что мешает самому ключ для Тотала вшить?
Не умею пользоваться WAIK как ни пытался ничего не выходит. Умею делать только сборки из готовых ISO через загрузчик GRUB4DOS. Ну и сшивать WIM-образы, но опять-же не через WAIK. Яб с удовольствием вшил.
CaveMan
Проверь в биосе режим винта. Если стоит AHCI, переключи в IDE. После лечения перед загрузкой винды - обратно.
CaveMan сообщает:
Вопрос возник. Сильно не пинайте )) если что-то не понял ))
Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.
НА этом моменте решил остановиться, до выяснения ))) Вопрос ))) кто виноват и что делать ))
P.S. art9, DJeir СПАСИБО!! Буду пробовать на выходные.
У меня была та же проблема на HP Pavilian DV7
vladshishkin_Forever сообщает:
CaveMan сообщает:
Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.У меня была та же проблема на HP Pavilian DV7
Переключить опознание HDD в режим IDE - сборка не видит жесткого.
Переключить опознание HDD в режим IDE - сборка не видит жесткого.
Так понимаю, что бы сборка видела жесткий, нужны драйвера?
К сожалению, уважаемый simplix не в силах запихнуть в WinPE драйвера всех SATA контроллеров. К тому же, новые версии этих контроллеров выпускаются постоянно. Поэтому, хороший вариант - это иметь при себе Live CD на основе Windows 7, но в некоторых случаях можно обойтись средствами самой системы Windows 7. Расскажу личный случай. Получилось так, что LiveCD Win7 при себе не оказалось. Ноут лечить надо. WinPE от simplix не грузится. На ноуте установлена заблокированная Windows 7. Через F8 выхожу на "дополнительные варианты загрузки" выбираю самую верхнюю строку "устранение неполадок компьютера". Обращаю внимание, что это не "безопасный режим", будет загружаться своеобразная WinPE. Эта же оболочка загружается в самом начале при установки Windows 7, если грузиться с CD или с флешки. Короче, в этой оболочке я добрался до выбора какое средство восстановления запустить и запустил "командную строку". Вылезло консольное окно, я набрал notepad нажал Enter. Запустился "блокнот". Далее в блокноте "файл-открыть", в разделе какие файлы открывать выбрал "все файлы" пошёл "искать" нужный файл по разделам, по папка. В моём случае, я перешёл на свою флешку, в папку портабельного Total Commander и правым кликом по Totalcmd.exe выбрал "запуск от имени администратора". Запустился Total Commander, а там уже всё как обычно при лечении. Запустил утилиту AntiSMS. Не помню точно, что-то чего-то не хватало, окошко утилиты "делаю всё хорошо" так и не показалось, но по шуршанию винта было ясно, что чистка идёт. В итоге вылезло окошко утилиты "теперь всё хорошо". Утилита своё дело сделала, блокер был снят.
Я согласен, что это получился несколько "извращённый" способ лечения, но выбирать не из чего было, а делать что-то надо было.
Хоть и редко, но попадаются буки, в которых совсем нет IDE-режима контролера винчестера (кстати, по-моему как раз некоторые HP). Тогда только WinPE на основе Win7 поможет. Но это очень редко.
Отредактировано DJeir (21.10.2012 04:27:33)
Симпликс здравствуйте. Я понимаю что тут такое не обсуждается, но не подскажите как через Waik вшить файл с ключом для Тотал Коммандера (файл имеется от этой версии).