simplix forum

av1981 · 27.02.2013 22:01:05

Натальяяя сообщает:
Подскажите что можно еще сделать, только если можно, доступным языком (для чайничков)

Можете еще обратиться на http://virusinfo.info, если там не были. А протоколы проверок и карантин наверное можно сюда продублировать (с разрешения администрации естественно), чтобы местные спецы тоже посмотрели на хитрый баннер, ну и автор внес бы поправки в следующую версию АнтиСМС.

g0dl1ke · 27.02.2013 22:28:21

фото баннера можете сюда залить?

hal · 27.02.2013 22:49:29

Натальяяя
Раз уж у Вас есть возможность загрузить WinPE (симпликсовский вариант), то хорошо бы еще попробовать uVs: http://dsrt.dyndns.org/files/uvs_v377.zip
Там же в архиве есть инструкция. Запускать с флэшки или жесткого диска, поскольку утилита при запуске переписывает себя. Если сами не поймете, что там удалить из списка подозрительных файлов - хотя бы скриншот сюда выложите, подскажем cool
Кстати, uVS можно запустить не только из под WinPE, но и под самой Windows. В безопасном режиме с поддержкой строки блокиратор тоже есть?

Отредактировано hal (27.02.2013 22:51:36)

simplix · 27.02.2013 22:58:09

Lhonemzathrum сообщает:
делал так, создавал в корне флешки папку img, кидал туда образ

Нужно держать образ в корне, иначе FiraDisk не найдёт его при загрузке.

Код:

map /AntiSMS.iso (0xff)

На данный момент работает так, или когда все файлы находятся в одной папке. Но в следующей версии сделаю по-другому - все необходимые файлы будут в корне флешки, тогда FiraDisk вообще не будет нужен и все подобные проблемы отпадут.

Павел сообщает:
А можно сделать спецверсию где убрать совершенно все сторонние программы и оставить лишь сам Antisms.

Да, так будет сделано, когда будет готов новый WinPE 4.0, возможно тогда будет два образа - один очень маленький на основе WinXP и другой, побольше, для современных компьютеров, где ОЗУ стоит больше 512 МБ.

dimon сообщает:
на ноуте asus x53s, при загрузке mini win pe выдает синий экран

Такой вот недостаток маленького WinPE. Используйте любую другую сборку WinPE на основе Win7 - она больше по размеру, но загрузится на новых компьютерах. Мой WinPE более новой версии будет позже, но сроков назвать не могу.

Натальяяя сообщает:
попробовала AntiSMS - опять не помогло, подскажите, может я чего не так поняла, и неправильно сделала

Напишите подробнее, какие сообщения выдавала AntiSMS. Также будут полезными логи из папки B:\Temp\AntiSMS. Но если вам встретился новый вирус, который обходит программу, то крайне важно прислать его на анализ. Если же совсем не можете его найти, скопируйте на флешку папки:

Код:

Если у вас Windows 7:
C:\Users
C:\Windows

Если у вас Windows XP:
C:\Documents and Settings
C:\Windows

Заархивируйте их и загрузите на любой удобный сайт, а ссылку пришлите сюда.

Павел сообщает:
Я вчера тоже поймал такой. Ни АнтиСМС, ни АнтиВинЛокер не взялись.

Те же самые рекомендации, что и для Натальи. Чтобы добавить определение нового вируса нужно для начала его исследовать, только после этого все похожие вирусы будут лечиться.

dimon · 27.02.2013 23:27:07

weldance сообщает:
dimon
почитайте форум, для начала тут и тут

скорее всего я чего-то недопонимаю.
короче загружаюсь с другого mini win pe с плашки с установочной виндой, далее открываю флешку, на ней только antisms.iso и еще 2 файла DIRECT и SMART.
если же распаковываю antisms.iso и все файлы копирую в корень и оттуда запускаю antisms.exe, пишет,что не находит системной папки

Павел · 03.03.2013 01:09:46

Маленький Win Pe синий экран выдаёт на Виндовс 8, а на 7 и Висте вроде ни разу небыло.

artegron · 05.03.2013 15:55:32

мой файл Drive0.bin
http://www.mediafire.com/download.php?nlz58xbcq78q3ne

9591 · 05.03.2013 19:32:27

Спасибо AntiSMS сегодня здорово помогло.
На ноуте у товарища были неприятности, (требовало 220 грн, служба СБУ) уже нет. good

Отредактировано 9591 (05.03.2013 19:39:00)

viprus · 05.03.2013 22:15:21

Павел
Простите, если Windows - PE (по сути LiveCD), то при чём здесь родная система? Она может быть какой-угодно... Ось-то грузится с DVD(CD)-R(RW), а не родная...
Если синий экран - железо не в порядке или драйвера в РЕ отсутствуют.

BEVV · 06.03.2013 07:12:03

Добавьте +1 опцию - очищать в ярлыках запуска броузеров сторнние ссылки. Ибо Antisms не делает этого.

happywanderer · 06.03.2013 08:32:02

BEVV
C Webalta это не прокатит, сначало удалить эту "гадость" нужно...

Rheed · 06.03.2013 17:11:12

Всем привет.
Посоветуйте куда копать.
Итак, что имеем: система Win7 x86, в ней созданы две учетки: администратор с хорошим паролем и обычный пользователь без пароля. При старте системы настроен автоматический вход в пользовательскую учетку. Я наивно думал, что такая конфигурация дает гарантию не поймать винлок. Я ошибался smile Вчера мать таки умудрилась, как обычно работая под своей записью, словить блокер. Что еще можно (нужно?) сделать, чтобы это точно не повторилось?

art9 · 06.03.2013 17:33:52

Rheed
под ограниченной учетной записью тоже есть автозапуски. Другое дело, что такой автозапуск не заразит другие учетки и не может повредить системе в целом.
Конечно, если файловая система fat32, то это не поможет.

Отредактировано art9 (06.03.2013 17:36:40)

Rheed · 06.03.2013 17:41:53

art9
Файловая система ntfs. Автозапуск - имеется в виду с физического устройства? Говорит вообще ничего не делала, просто через оперу сайты смотрела.

art9 · 06.03.2013 18:26:16

Rheed
Например, папка C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Или ветки реестра
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Но эти вопросы не для данной темы, т.к. тут обсуждается сама утилита.

Rheed · 07.03.2013 09:07:23

art9
Я понял. Автору утилиты, кстати, тоже спасибо, помогла в одно движение.

sceatch · 17.03.2013 20:34:24

Появилась идея - что если запретить прямо в самом реестре (т.е. ПКМ на ветке реестра, например winlgon, -> разрешения -> запретить) критических записей реестра, как shell, userinit и т.д. Будет такое нормально работать и имеет ли смысл? Можно же все это автоматизировать

art9 · 18.03.2013 13:42:07

sceatch, лучше запретить учетку админа.

Отредактировано art9 (18.03.2013 13:43:37)

mribo · 22.03.2013 09:30:37

Доброго системного.
Пользуюсь загрузочной флешкой (GRUB). Из сборок XP предпочитаю simplix - присутствует на флешке. Также пользуюсь simplix winPE. Не обновлял версию долго. Решил пора. Возникли вопросы. Зачем было выносить AntiSMS из образа winpe.is_ в папку support. Теперь использование отдельно winPE simplix стало неудобным. Можно актуальный исходник ModelRam заполучить?

Спасибо.

Отредактировано mribo (23.03.2013 07:45:05)

happywanderer · 22.03.2013 21:19:33

Не стандартный MBR

weldance · 23.03.2013 16:12:19

Simplix
Antisms, к сожалению, не отработал куст Wow6432Node sad .
Был зловред, который в опере и хроме при открытии сайтов вымогал деньги (посредством смс). експлорер работал нормально.
так вот: был найден oasqryf.dll тут HKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs с параметром C:\PROGRA~3\Mozilla\oasqryf.dll.

Отредактировано weldance (23.03.2013 16:12:53)

g0dl1ke · 23.03.2013 22:58:39

сегодня лечил, скорее всего что то типа: https://www.virustotal.com/ru/file/d8c0 … 364072279/
и выглядело наверно так:

Код:

O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\%random_name%.dll

собственно создается задачка в планировщике, короч смотрите сами:
http://camas.comodo.com/cgi-bin/submit? … ccfd0a3d2a

Отредактировано g0dl1ke (23.03.2013 23:03:40)

art9 · 25.03.2013 08:08:59

Предлагаю добавить обработку автозапуска, который срабатывает при запуске cmd
Вот пример из bat вируса:

reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f
reg add "HKCM\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f

AVZ отключает данный автозапуск при исправлении ошибок системы.

simplix · 25.03.2013 11:56:19

mribo
Чтобы при обновлении AntiSMS не нужно было перепаковывать весь образ с WinPE. Просто возьмите ModelRam из предыдущей версии, там других изменений нет.

weldance, g0dl1ke
Этот куст тоже обрабатывается, почему не сработало - буду разбираться. Возможно проблема в коротком пути, AntiSMS не удаляет запись, если не может найти файл.

art9
Это тоже исправляется.

g0dl1ke · 25.03.2013 13:10:32

1. возможно не отрабатывается очередная ветка автозапуска
2. возможно не отрабатываются ntfs потоки

пример автозапуска:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22F1AA6D-0E08-89A8-E744-9B03F4C36B9E}]
"StubPath"="C:\\WINDOWS\\system32:update.exe"

Отредактировано g0dl1ke (25.03.2013 13:14:05)

simplix forum

Объявление

#1176 27.02.2013 22:01:05

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Натальяяя сообщает:

#1177 27.02.2013 22:28:21

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1178 27.02.2013 22:49:29

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1179 27.02.2013 22:58:09

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Lhonemzathrum сообщает:

Код:

Павел сообщает:

dimon сообщает:

Натальяяя сообщает:

Код:

Павел сообщает:

#1180 27.02.2013 23:27:07

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

weldance сообщает:

#1181 03.03.2013 01:09:46

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1182 05.03.2013 15:55:32

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1183 05.03.2013 19:32:27

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1184 05.03.2013 22:15:21

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1185 06.03.2013 07:12:03

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1186 06.03.2013 08:32:02

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1187 06.03.2013 17:11:12

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1188 06.03.2013 17:33:52

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1189 06.03.2013 17:41:53

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1190 06.03.2013 18:26:16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1191 07.03.2013 09:07:23

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1192 17.03.2013 20:34:24

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1193 18.03.2013 13:42:07

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1194 22.03.2013 09:30:37

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1195 22.03.2013 21:19:33

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1196 23.03.2013 16:12:19

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1197 23.03.2013 22:58:39

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Код:

#1198 25.03.2013 08:08:59

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1199 25.03.2013 11:56:19

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1200 25.03.2013 13:10:32

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Код:

Board footer