simplix forum

Действительно Verified:       Unsigned
Первый файл локер,второй оригинальный скайпа.

Отредактировано glax24 (06.02.2013 21:14:53)

weldance сообщает:

simplix
пжалуста http://rghost.ru/43247994
как он появляется в системе не могу сказать, вроде через sun java (вычитал в просторах интырнета).
это сам файл gigalan.sys. как он прописывается в реестре писал выше.

Спасибо. Вот только не хочет он сам по себе работать, т. е. прописываю всё правильно, а драйвер при запуске системы не стартует. Видимо так автором задумано, чтобы он не работал отдельно от тела. Было бы хорошо найти сам троян, который устанавливает в систему gigalan.sys и полноценно проверить его. В любом случае работа с драйверами требует отдельного подхода, а в данный момент советую просто следовать инструкции - так как драйвер не блокирует систему, то проверка компьютера CureIt'ом удалит файл драйвера.

Algol сообщает:

Проблема с загрузкой Windows 8 из-за блокера
http://rghost.ru/43493989 (pass - 123)

Напишите пожалуйста подробнее, у вас был MBR-блокировщик или AntiSMS просто попросил прислать на анализ неизвестный MBR?

weldance сообщает:

антисмс оставил следующие строковые параметры в HKEY_LOCAL_MACHINE\ _C_comp_software\ Microsoft\ Windows\ CurrentVersion\ Run

AntiSMS не удаляет записи, если они указывают на отсутствующие файлы, кроме того анализируются параметры запуска скриптов.

olzaruta сообщает:

Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS ( проверено на ВМ XP SP3)

Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.

av1981 сообщает:

При проверке цифровых подписей sigverif говорит, что файлы не подписаны.

У AntiSMS собственные алгоритмы проверок и sigverif может показывать другие результаты.

g0dl1ke сообщает:

antisms не реагирует из за заполненного поля "publisher"

Это не так, причину проблемы указал выше и алгоритм уже доработал. Проверять поля бесполезно, у троянов они очень часто заполнены.

Здравствуйте.

45 страниц читать не реально, поэтому простите за вопрос.


имеется:

- ноут Samsung NP300E5Z-A01RU
- флешка Transcend 8GB c grub4dos и Вашим образом диска AntiSMS


проблема:

начинается загрузка. потом BSOD, в котором описана ошибка инициализации видео-драйвера (0x000000B4: VIDEO_DRIVER_INIT_FAILURE). пробовал разные версии с 3.2 по 2.4 (по убыванию).
похожая проблема с инициализацией (скорее всего) видео прослеживается c Partition Wizard 7.7 Home Edition

Ноут Samsung NP300E5Z-A01RU Использую флешку с последним grub4dos грузится, но после меню выбора режима видео дальше чёрного экрана не идёт. версия 7.5 грузится и работает. в чём дело не могу понять! дрова на видео?

g0dl1ke сообщает:

бывает такое, для таких целей пора бы иметь не один образ live cd/usb

у меня их куча но хочу разобраться

simplix сообщает:

Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.

simplix а что не стандартно то? Или из за того что отсутствуют кавычки?
Скрытый текст (раскрыть):

Отредактировано glax24 (07.02.2013 19:45:49)

всем доброго времени суток.  не разу не пользовался данным софтом, но возьму на вооружение и постараюсь применить при первой возможности.

но ближе к теме. выкладываю архив, http://rghost.ru/43626540 - для анализа, в своё время собранных баннеров.
надеюсь что от них будет польза.

и вообще, если это актуально. могу ещё пособирать?!

Новая версия 3.3:
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.

Некоторые трояны изменяют DNS-сервера для перенаправления пользователей на свои сайты, теперь AntiSMS исправляет их автоматически, если сетевой интерфейс получает адрес по DHCP. Также улучшена обработка сетевых параметров из рабочей системы, в некоторых случаях троян мог помешать полному сбросу настроек, сейчас это исправлено. Лучше обрабатываются ярлыки нестандартных конфигураций, спасибо olzaruta за образец нового трояна.

av1981 сообщает:

Файл может быть либо подписан, либо не подписан.

Файл может быть по-разному подписан, в том числе и самоподписан, и в нашем случае главное не просто определить факт подписи, а отличить вредоносный файл от легального.

omooon
Спасибо, выкладывайте - здесь их протестируют. Также прошу всех по возможности тестировать опубликованные здесь трояны и сообщать, с лечением каких возникли проблемы.

Вчера лечил ноут DNS (модель не запомнил) мультизагрузочной флешкой. Образ AntiSMS не загрузился (BSOD), образ AntiWinLockerLiveCD 4.0.7 (на базе 8PE) загрузился на отлично. С чем это связано ? Я так понимаю с какими-то драйверами ?

zaka4kin, s_host, maks
Попробуйте тестовую версию AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01. Если и с ним будут проблемы, сделаю тестовую версию с grub4dos-0.4.4.

Столкнулся с такой же проблемой. У меня AntiSMS стоИт на мультизагрузочной флэхе с grub4dos. Заливал его туда не спец утилитой, а просто скопировал в папку и сослался на iso-шник в файле menu.
На компе норм всё было, а вчера dns-овский ноут принесли, и тоже 0x000000B4. Записал на чистую флешку спец.утилитой отсюда, никакого результата, вылет с той же ошибкой. Зашёл сюда вот, почитал, записал AntiSMS на флэху при помощи нового AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01 и та же история к моему удивлению.

Хотел заменить на grub4dos 0.4.4, но не совсем сообразил, как. Просто заменить имеющиеся на флехе файлы на аналогичные из другого граба?

s_host
т.е. бесполезно в таких случаях мудохаться? проще с диска грузиться?

Тогда такой вопрос, утилитка Отдельная программа для использования в своём WinPE абсолютно аналогична по действию самой AntiSMS? Такая разница в весе только за счет отсутствия интерфейса? Загружаться с AntiSMS и загружаться с Alkid например, а потом запустить маленькую эту утилитку - эффект и принцип работы один и тот же получится?
З.Ы.: с ноутом то терпимо, если очень надо, записал на диск, да полечи. А вот в случае нетбука будет сложнее, если столкнуться с такой ситуацией. Внешний привод ради этого покупать как-то смешно.

0 0
Спасибо большое. Значит в случае чего, будем выходить из ситуации именно так (: