glax24 сообщает:
В автозагразке остается только подписаный файл Skype.exe, поэтому антисмс его и не трогает.
При проверке цифровых подписей sigverif говорит, что файлы не подписаны. Кстати, запускал скачанный локер с флэшки, так в автозагрузку вешается ярлык на нее, т.е. вынял флэшку, прогнал антисмс-ом, перезагрузился - и все ок.
Размеры Skype.exe - 495 609 байт, Skypee.exe - 523 399 байт, %WINDIR%\win32.exe - 457 728 байт. Повторную запись ярлыка в автозагрузку вызывает только Skypee.
Вывод: Локер примитивный, для лечения надо удалить эти 3 файла, убрать ключик реестра с win32.exe и ярлык Skype.lnk из папки автозагрузки в локальном профиле пользователя.
Вопрос: Почему AntiSMS пропустила неподписанный файл в папке автозагрузки?
Отредактировано av1981 (06.02.2013 22:04:41)
Действительно Verified: Unsigned
Первый файл локер,второй оригинальный скайпа.
Отредактировано glax24 (06.02.2013 21:14:53)
antisms не реагирует из за заполненного поля "publisher"
weldance сообщает:
simplix
пжалуста http://rghost.ru/43247994
как он появляется в системе не могу сказать, вроде через sun java (вычитал в просторах интырнета).
это сам файл gigalan.sys. как он прописывается в реестре писал выше.
Спасибо. Вот только не хочет он сам по себе работать, т. е. прописываю всё правильно, а драйвер при запуске системы не стартует. Видимо так автором задумано, чтобы он не работал отдельно от тела. Было бы хорошо найти сам троян, который устанавливает в систему gigalan.sys и полноценно проверить его. В любом случае работа с драйверами требует отдельного подхода, а в данный момент советую просто следовать инструкции - так как драйвер не блокирует систему, то проверка компьютера CureIt'ом удалит файл драйвера.
Algol сообщает:
Проблема с загрузкой Windows 8 из-за блокера
http://rghost.ru/43493989 (pass - 123)
Напишите пожалуйста подробнее, у вас был MBR-блокировщик или AntiSMS просто попросил прислать на анализ неизвестный MBR?
weldance сообщает:
антисмс оставил следующие строковые параметры в HKEY_LOCAL_MACHINE\ _C_comp_software\ Microsoft\ Windows\ CurrentVersion\ Run
AntiSMS не удаляет записи, если они указывают на отсутствующие файлы, кроме того анализируются параметры запуска скриптов.
olzaruta сообщает:
Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS ( проверено на ВМ XP SP3)
Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.
av1981 сообщает:
При проверке цифровых подписей sigverif говорит, что файлы не подписаны.
У AntiSMS собственные алгоритмы проверок и sigverif может показывать другие результаты.
g0dl1ke сообщает:
antisms не реагирует из за заполненного поля "publisher"
Это не так, причину проблемы указал выше и алгоритм уже доработал. Проверять поля бесполезно, у троянов они очень часто заполнены.
simplix сообщает:
У AntiSMS собственные алгоритмы проверок и sigverif может показывать другие результаты.
Файл может быть либо подписан, либо не подписан. Третьего не дано. Если на одних и тех же файлах две программы показывают разные результаты, то как минимум в одной из них (иногда бывает что и в обоих) содержится ошибка.
Но, как я понял, файл был пропущен не из-за неверной проверки подписи, а из-за того, что в ярлыке на него нестандартная ссылка, и AntiSMS его просто не увидел?
Отредактировано av1981 (07.02.2013 08:41:25)
Здравствуйте.
45 страниц читать не реально, поэтому простите за вопрос.
имеется:
- ноут Samsung NP300E5Z-A01RU
- флешка Transcend 8GB c grub4dos и Вашим образом диска AntiSMS
проблема:
начинается загрузка. потом BSOD, в котором описана ошибка инициализации видео-драйвера (0x000000B4: VIDEO_DRIVER_INIT_FAILURE). пробовал разные версии с 3.2 по 2.4 (по убыванию).
похожая проблема с инициализацией (скорее всего) видео прослеживается c Partition Wizard 7.7 Home Edition
Ноут Samsung NP300E5Z-A01RU Использую флешку с последним grub4dos грузится, но после меню выбора режима видео дальше чёрного экрана не идёт. версия 7.5 грузится и работает. в чём дело не могу понять! дрова на видео?
бывает такое, для таких целей пора бы иметь не один образ live cd/usb
g0dl1ke сообщает:
бывает такое, для таких целей пора бы иметь не один образ live cd/usb
у меня их куча но хочу разобраться
проблемы запуска драйвера видео, скорее всего виноват контроллер intel hd и его работа под winxp
Отредактировано g0dl1ke (07.02.2013 19:42:59)
simplix сообщает:
Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.
simplix а что не стандартно то? Или из за того что отсутствуют кавычки?
Скрытый текст (раскрыть):
Отредактировано glax24 (07.02.2013 19:45:49)
всем доброго времени суток. не разу не пользовался данным софтом, но возьму на вооружение и постараюсь применить при первой возможности.
но ближе к теме. выкладываю архив, http://rghost.ru/43626540 - для анализа, в своё время собранных баннеров.
надеюсь что от них будет польза.
и вообще, если это актуально. могу ещё пособирать?!
и вообще, если это актуально. могу ещё пособирать?!
...конечно актуально! Давайте все какие есть! Протестим, особенно mbrlock свежие интересуют!
Новая версия 3.3:
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.
Некоторые трояны изменяют DNS-сервера для перенаправления пользователей на свои сайты, теперь AntiSMS исправляет их автоматически, если сетевой интерфейс получает адрес по DHCP. Также улучшена обработка сетевых параметров из рабочей системы, в некоторых случаях троян мог помешать полному сбросу настроек, сейчас это исправлено. Лучше обрабатываются ярлыки нестандартных конфигураций, спасибо olzaruta за образец нового трояна.
av1981 сообщает:
Файл может быть либо подписан, либо не подписан.
Файл может быть по-разному подписан, в том числе и самоподписан, и в нашем случае главное не просто определить факт подписи, а отличить вредоносный файл от легального.
omooon
Спасибо, выкладывайте - здесь их протестируют. Также прошу всех по возможности тестировать опубликованные здесь трояны и сообщать, с лечением каких возникли проблемы.
zaka4kin сообщает:
Здравствуйте.
45 страниц читать не реально, поэтому простите за вопрос.
имеется:
- ноут Samsung NP300E5Z-A01RU
- флешка Transcend 8GB c grub4dos и Вашим образом диска AntiSMS
проблема:
начинается загрузка. потом BSOD, в котором описана ошибка инициализации видео-драйвера (0x000000B4: VIDEO_DRIVER_INIT_FAILURE). пробовал разные версии с 3.2 по 2.4 (по убыванию).
похожая проблема с инициализацией (скорее всего) видео прослеживается c Partition Wizard 7.7 Home EditionНоут Samsung NP300E5Z-A01RU Использую флешку с последним grub4dos грузится, но после меню выбора режима видео дальше чёрного экрана не идёт. версия 7.5 грузится и работает. в чём дело не могу понять! дрова на видео?
дело было не в бабине
идём сюда и качаем grub4dos 0.4.4
и будет Вам счастье. Удачи!
Вчера лечил ноут DNS (модель не запомнил) мультизагрузочной флешкой. Образ AntiSMS не загрузился (BSOD), образ AntiWinLockerLiveCD 4.0.7 (на базе 8PE) загрузился на отлично. С чем это связано ? Я так понимаю с какими-то драйверами ?
s_host, попробуй использовать grub4dos 0.4.4, как советует zaka4kin.
У меня тоже был BSOD. Теперь работает:
title AntiSMS find --set-root /AntiSMS.iso map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff) map --hook chainloader (0xff) savedefault --wait=2
Плюс AntiSMS в том, что весит гораздо меньше + есть все необходимое.
Отредактировано maks (10.02.2013 13:38:40)
zaka4kin, s_host, maks
Попробуйте тестовую версию AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01. Если и с ним будут проблемы, сделаю тестовую версию с grub4dos-0.4.4.
всегда запускал
map /img/AntiSMS.iso (0xff) map --hook chainloader (0xff)
проблем нет
сейчас накачу руками 4.5с, после отпишу
Отредактировано g0dl1ke (10.02.2013 19:26:45)
Столкнулся с такой же проблемой. У меня AntiSMS стоИт на мультизагрузочной флэхе с grub4dos. Заливал его туда не спец утилитой, а просто скопировал в папку и сослался на iso-шник в файле menu.
На компе норм всё было, а вчера dns-овский ноут принесли, и тоже 0x000000B4. Записал на чистую флешку спец.утилитой отсюда, никакого результата, вылет с той же ошибкой. Зашёл сюда вот, почитал, записал AntiSMS на флэху при помощи нового AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01 и та же история к моему удивлению.
Хотел заменить на grub4dos 0.4.4, но не совсем сообразил, как. Просто заменить имеющиеся на флехе файлы на аналогичные из другого граба?
Apres
Я думаю тут скорее всего дело в драйвере к контроллеру, а не в грубе.
s_host
т.е. бесполезно в таких случаях мудохаться? проще с диска грузиться?
Тогда такой вопрос, утилитка Отдельная программа для использования в своём WinPE абсолютно аналогична по действию самой AntiSMS? Такая разница в весе только за счет отсутствия интерфейса? Загружаться с AntiSMS и загружаться с Alkid например, а потом запустить маленькую эту утилитку - эффект и принцип работы один и тот же получится?
З.Ы.: с ноутом то терпимо, если очень надо, записал на диск, да полечи. А вот в случае нетбука будет сложнее, если столкнуться с такой ситуацией. Внешний привод ради этого покупать как-то смешно.
Apres, в своём WinPE обычно используется 3 файла:
ANTISMS.EXE
HASHES.BIN
SYSFILES.BIN
И эффект будет тем же, что и работа с образа от simplix'a
Отредактировано 0 0 (11.02.2013 09:08:10)
Приветствую! Прошу совета. Ко мне присосался этот банер поганый! ( сист. Wind7) Вообще недает ниче сделать почти, даже мышь ограниченна узким полем в окне банера, только с командной строки грузит нормально.
На этой же машине есть боле мене рабочий старенький ХР .
Так вот, можно ли както проще разобратся с этим делом без монтирования образов и лайвСД? Както с помощю второй стстемы? Может както сразу ехе какой есть или чтото такое?
Или лучше делать всеодно все по инструкции?