Натальяяя сообщает:
Подскажите что можно еще сделать, только если можно, доступным языком (для чайничков)
Можете еще обратиться на http://virusinfo.info, если там не были. А протоколы проверок и карантин наверное можно сюда продублировать (с разрешения администрации естественно), чтобы местные спецы тоже посмотрели на хитрый баннер, ну и автор внес бы поправки в следующую версию АнтиСМС.
фото баннера можете сюда залить?
Натальяяя
Раз уж у Вас есть возможность загрузить WinPE (симпликсовский вариант), то хорошо бы еще попробовать uVs: http://dsrt.dyndns.org/files/uvs_v377.zip
Там же в архиве есть инструкция. Запускать с флэшки или жесткого диска, поскольку утилита при запуске переписывает себя. Если сами не поймете, что там удалить из списка подозрительных файлов - хотя бы скриншот сюда выложите, подскажем
Кстати, uVS можно запустить не только из под WinPE, но и под самой Windows. В безопасном режиме с поддержкой строки блокиратор тоже есть?
Отредактировано hal (27.02.2013 22:51:36)
Lhonemzathrum сообщает:
делал так, создавал в корне флешки папку img, кидал туда образ
Нужно держать образ в корне, иначе FiraDisk не найдёт его при загрузке.
map /AntiSMS.iso (0xff)
На данный момент работает так, или когда все файлы находятся в одной папке. Но в следующей версии сделаю по-другому - все необходимые файлы будут в корне флешки, тогда FiraDisk вообще не будет нужен и все подобные проблемы отпадут.
Павел сообщает:
А можно сделать спецверсию где убрать совершенно все сторонние программы и оставить лишь сам Antisms.
Да, так будет сделано, когда будет готов новый WinPE 4.0, возможно тогда будет два образа - один очень маленький на основе WinXP и другой, побольше, для современных компьютеров, где ОЗУ стоит больше 512 МБ.
dimon сообщает:
на ноуте asus x53s, при загрузке mini win pe выдает синий экран
Такой вот недостаток маленького WinPE. Используйте любую другую сборку WinPE на основе Win7 - она больше по размеру, но загрузится на новых компьютерах. Мой WinPE более новой версии будет позже, но сроков назвать не могу.
Натальяяя сообщает:
попробовала AntiSMS - опять не помогло, подскажите, может я чего не так поняла, и неправильно сделала
Напишите подробнее, какие сообщения выдавала AntiSMS. Также будут полезными логи из папки B:\Temp\AntiSMS. Но если вам встретился новый вирус, который обходит программу, то крайне важно прислать его на анализ. Если же совсем не можете его найти, скопируйте на флешку папки:
Если у вас Windows 7: C:\Users C:\Windows Если у вас Windows XP: C:\Documents and Settings C:\Windows
Заархивируйте их и загрузите на любой удобный сайт, а ссылку пришлите сюда.
Павел сообщает:
Я вчера тоже поймал такой. Ни АнтиСМС, ни АнтиВинЛокер не взялись.
Те же самые рекомендации, что и для Натальи. Чтобы добавить определение нового вируса нужно для начала его исследовать, только после этого все похожие вирусы будут лечиться.
скорее всего я чего-то недопонимаю.
короче загружаюсь с другого mini win pe с плашки с установочной виндой, далее открываю флешку, на ней только antisms.iso и еще 2 файла DIRECT и SMART.
если же распаковываю antisms.iso и все файлы копирую в корень и оттуда запускаю antisms.exe, пишет,что не находит системной папки
Маленький Win Pe синий экран выдаёт на Виндовс 8, а на 7 и Висте вроде ни разу небыло.
мой файл Drive0.bin
http://www.mediafire.com/download.php?nlz58xbcq78q3ne
Спасибо AntiSMS сегодня здорово помогло.
На ноуте у товарища были неприятности, (требовало 220 грн, служба СБУ) уже нет.
Отредактировано 9591 (05.03.2013 19:39:00)
Павел
Простите, если Windows - PE (по сути LiveCD), то при чём здесь родная система? Она может быть какой-угодно... Ось-то грузится с DVD(CD)-R(RW), а не родная...
Если синий экран - железо не в порядке или драйвера в РЕ отсутствуют.
Добавьте +1 опцию - очищать в ярлыках запуска броузеров сторнние ссылки. Ибо Antisms не делает этого.
BEVV
C Webalta это не прокатит, сначало удалить эту "гадость" нужно...
Всем привет.
Посоветуйте куда копать.
Итак, что имеем: система Win7 x86, в ней созданы две учетки: администратор с хорошим паролем и обычный пользователь без пароля. При старте системы настроен автоматический вход в пользовательскую учетку. Я наивно думал, что такая конфигурация дает гарантию не поймать винлок. Я ошибался Вчера мать таки умудрилась, как обычно работая под своей записью, словить блокер. Что еще можно (нужно?) сделать, чтобы это точно не повторилось?
Rheed
под ограниченной учетной записью тоже есть автозапуски. Другое дело, что такой автозапуск не заразит другие учетки и не может повредить системе в целом.
Конечно, если файловая система fat32, то это не поможет.
Отредактировано art9 (06.03.2013 17:36:40)
art9
Файловая система ntfs. Автозапуск - имеется в виду с физического устройства? Говорит вообще ничего не делала, просто через оперу сайты смотрела.
Rheed
Например, папка C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Или ветки реестра
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Но эти вопросы не для данной темы, т.к. тут обсуждается сама утилита.
art9
Я понял. Автору утилиты, кстати, тоже спасибо, помогла в одно движение.
Появилась идея - что если запретить прямо в самом реестре (т.е. ПКМ на ветке реестра, например winlgon, -> разрешения -> запретить) критических записей реестра, как shell, userinit и т.д. Будет такое нормально работать и имеет ли смысл? Можно же все это автоматизировать
sceatch, лучше запретить учетку админа.
Отредактировано art9 (18.03.2013 13:43:37)
Доброго системного.
Пользуюсь загрузочной флешкой (GRUB). Из сборок XP предпочитаю simplix - присутствует на флешке. Также пользуюсь simplix winPE. Не обновлял версию долго. Решил пора. Возникли вопросы. Зачем было выносить AntiSMS из образа winpe.is_ в папку support. Теперь использование отдельно winPE simplix стало неудобным. Можно актуальный исходник ModelRam заполучить?
Спасибо.
Отредактировано mribo (23.03.2013 07:45:05)
Не стандартный MBR
Simplix
Antisms, к сожалению, не отработал куст Wow6432Node .
Был зловред, который в опере и хроме при открытии сайтов вымогал деньги (посредством смс). експлорер работал нормально.
так вот: был найден oasqryf.dll тут HKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs с параметром C:\PROGRA~3\Mozilla\oasqryf.dll.
Отредактировано weldance (23.03.2013 16:12:53)
сегодня лечил, скорее всего что то типа: https://www.virustotal.com/ru/file/d8c0 … 364072279/
и выглядело наверно так:
O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\%random_name%.dll
собственно создается задачка в планировщике, короч смотрите сами:
http://camas.comodo.com/cgi-bin/submit? … ccfd0a3d2a
Отредактировано g0dl1ke (23.03.2013 23:03:40)
Предлагаю добавить обработку автозапуска, который срабатывает при запуске cmd
Вот пример из bat вируса:
reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f
reg add "HKCM\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f
AVZ отключает данный автозапуск при исправлении ошибок системы.
mribo
Чтобы при обновлении AntiSMS не нужно было перепаковывать весь образ с WinPE. Просто возьмите ModelRam из предыдущей версии, там других изменений нет.
weldance, g0dl1ke
Этот куст тоже обрабатывается, почему не сработало - буду разбираться. Возможно проблема в коротком пути, AntiSMS не удаляет запись, если не может найти файл.
art9
Это тоже исправляется.
1. возможно не отрабатывается очередная ветка автозапуска
2. возможно не отрабатываются ntfs потоки
пример автозапуска:
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22F1AA6D-0E08-89A8-E744-9B03F4C36B9E}] "StubPath"="C:\\WINDOWS\\system32:update.exe"
Отредактировано g0dl1ke (25.03.2013 13:14:05)