simplix forum

weldance
Никакой ошибки при определении oasqryf.dll не обнаружил. Дело в том, что при проверке AppInit_DLLs вначале проверяется состояние параметра LoadAppInit_DLLs в той же ветке, и если оно не равно 1 или параметр не существует - проверка вообще не выполняется, т. к. только при значении LoadAppInit_DLLs=1 система загружает библиотеки из AppInit_DLLs. Возможно это ваш случай. Попробуйте повторить свой сценарий на тестовой машине, учитывая эту информацию - хочется докопаться до истины, почему AntiSMS не удалил эту запись конкретно у вас.

g0dl1ke
Про очередную ветку не понял, обрабатываются все ветки автозапуска. NTFS-потоки действительно не обрабатываются, добавлю эту возможность в следующую версию.

weldance
Так вы можете вручную создать папку с файлом и запись в реестре, а затем запустить AntiSMS. В AppInit_DLLs можно записывать только сокращённый путь, в вашем примере он был такой: "C:\PROGRA~3\Mozilla\oasqryf.dll". Это значит, что на диске C было три папки, которые можно сократить:

ProgramData
Program Files
Program Files (x86)

Следовательно "PROGRA~3" = "Program Files (x86)". На Win7 x86 троян записался бы в "PROGRA~2", а на WinXP в "PROGRA~1" по аналогии.

g0dl1ke
Он выкладывал свой образец, его я и проверял.

autoruns на что?

weldance
Уточняю, несуществующие файлы убираются только в AppInit_DLLs - этот параметр по умолчанию пустой, так что даже если случится что-то совсем непредвиденное, то ничего плохого с системой не произойдёт. Другое дело записи автозагрузки и служб - если опять же случится какой-то непредвиденный случай и путь к файлу будет определён неправильно, тогда отключатся все несуществующие (по мнению программы) записи. Этого я допустить не могу, поэтому программа выполняет только те действия, в которых уверена на 100%.

antisms сделан на базе pe

спасибо большое!

SergeyZV
я сегодня на 3.0 4 пк вылечил

simplix сообщает:

SergeyZV
Опишите свою проблему подробнее

Копирую antisms.iso в "любую папку"
В меню Grub прописываю:
title AntiSMS 3.4
map --read-only /любая папка/AntiSMS.iso (0xff) || map --mem /любая папка/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Гружусь с USB 3.0 и с USB 2.0 ложу образ в корень флешки - итог на рабочем столе antisms.txt в
котором сообщается об отсутствии файлов antisms.exe ...

Если перепаковать образ работает на ура из любого места и любого USB!

Единственный рабочий способ с помощью AntiSMSusb.exe или тоже самое вручную, но это ограничивает
местом расположения файлов и потерей дополнительных 20 Mb на флешке

Отредактировано SergeyZV (28.03.2013 15:31:35)

Rawtang
Попытка замапить фрагментированный файл приведёт к результату -  Error 60: File for drive emulation must be in one contiguous disk area , при таком сообщении нужно делать маппинг в память или дефрагментировать образ и пробовать снова. оригинал
нужны подробности - пишите.

Rawtang
Error 60 связан именно с фрагментацией  файлов. по крайней мере у меня все случаи были связаны с этим. попробуйте отформатировать флеш и записать всё заново. сам в исключительных случаях пользуюсь WinContig.
simplix, SergeyZV
заметил, ситуация таже "на рабочем столе antisms.txt". копирую антисмс с бинами в корень и всё ок.
просто я ярлыком на рабочем столе никогда не пользовался и запускал exe (с бинами) из отдельной папки.

Отредактировано weldance (28.03.2013 20:06:21)

SergeyZV
Раньше не делал так, чтобы съэкономить оперативную память на старых компьютерах, но согласен - преимуществ этого способа больше, особенно когда речь идёт о перемещениях образа в свои папки. Вот (ссылка удалена) версия с упаковкой всех файлов во внутренний образ.

Отредактировано simplix (31.03.2013 16:47:09)

Спасибо огромное simplix этот образ запустился как часы.