Здравствуйте всем.Никто не сталкивался с трояном под названием "Photo" ? Опишу проблему.На работе стоит система без антивирусника,подключения к интернету нет.Подключил флешку,автозапуск выключен.Открываю ее и вижу новую папку "Photo" в ней пусковой файл,перед эти дома открывал ее не было.Мне надо была пустая,форматирую. При извлечении флешки несмог нормально отключить,показывало что ее еще использует что-то.Ждать небыло времени,вытащил.Через некоторое время снова подключаю и снова вижу папку "Photo",после форматирования никуда не подключал.Снова с трудом извлек,дома подключаю к компьютеру,автозапуск выключен,сразу же появляется сообщение от антивируса NOD об обнаружении троянской программы на "C"- изолирована,удалена. Открываю флешку и снова на ней вижу папку "Photo".Проверяю нодом этот файл,показывает что нормально,запускаю его ,сразу же предупреждение нода что и до этого.С флешки удалил папку,извлек с компа,отключение прошло нормально,вставляю флешку- больше этой папки нет.Значит троян сидит на работе.Принес на работу NOD,установил,базы последние.Сканирую систему ,норма.Вставляю флешку чистую,NOD сообщает о трояне на "C",изолирован,удален и сразу же появляется папка "Photo" на флешке.Нашел этот "Photo" на компе а его копии целую кучу на "C"-Windows -темп.Все удалить вручную не могу. Удалит его утилита AntiSMS или нет? Всем кто читает- заранее спасибо. С уважением.
Отредактировано yuriy (04.06.2013 11:20:41)
Рабочий комп пролечить "параллельным" антивирусом, CureIt! например, из безопасного режима, ещё лучше DrWeb LiveCd, после лечения установить USB Disk Security.
http://rlu.ru/tN4
Случай не совсем для АнтиСМС, но она тоже может помочь.
Отредактировано viprus (04.06.2013 13:17:45)
yuriy
Проверьте и узнаете.
Можете мне скинуть в личку логи avz, hj. uvs. Может найду зверя.
Отредактировано art9 (04.06.2013 14:05:46)
Спасибо откликнувшимся.Сейчас скачиваю CureIt, DrWeb LiveCd,AntiSMS,USB Disk Security.CureIt я понял запускается на рабочей системе, а DrWeb Live Cd и AntiSMS с загрузочных дисков.Побегу искать болванки.Завтра заступаю дежурить будет чем заняться.Послезавтра отпишусь.Полное название этой заразы возьму в свойствах файла,а даные как трояна скопирую с карантина в NOD, а где взять логи avz, hj. uvs ? USB Disk Security -это для защиты USB портов?С уважением.
yuriy
В этой теме обсуждают антисмс, поэтому ссылку как делать логи - отправлю в кличку.
art9
Спасибо.Докачиваю что прописал по логам.Думаю разберусь. Открываю скачанный образ антисмс.Вся информация там датирована 2008 годом.Так и должно быть?С уважением.
Отредактировано yuriy (04.06.2013 20:16:41)
В последней версии в UVS появилась база системных файлов, я так понял, альтернатива sysfiles.bin. Что думаете?
yuriy сообщает:
Открываю скачанный образ...
А зачем? Так использовать не получается?
TehRazor
UVS поменяйте местами телегу и коня... в смысле, что как раз под UVS и затачивалось всё.
Отредактировано viprus (05.06.2013 23:45:43)
sysfiles.bin в AntiSMS уже давно. Не знал, что simplix "как раз под UVS и затачивал всё"
TehRazor сообщает:
В последней версии в UVS появилась база системных файлов, я так понял, альтернатива sysfiles.bin. Что думаете?
папка STORE появилась в UVS намного раньше
viprus, g0dl1ke
Да, я знаю, что simplix затачивает программу под UVS, но у UVS не было до последнего апдейта базы чистых системных файлов, в отличии от AntiSMS, и автор использовал свою. Я не с самого начала слежу за развитием этой программы, но понял вот так. Наверное теперь simplix сделает использование обоих баз или только родной UVS, чтобы можно было использовать AntiSMS и как отдельную программу, и как дополнение к UVS. А вообще, зря я поднял тему, дождемся высказывания автора.
TehRazor
Расскажите это автору UVS - база чистых файлов, для каждой версии windows, в программе еще с прошлого года и никак не с последнего update
Отредактировано g0dl1ke (08.06.2013 08:50:53)
g0dl1ke. возможно он говорит про это:
Скрытый текст (раскрыть): В список автообновления добавлен каталог STORE с копиями чистых системных
файлов, если вам необходим системный файл не представленный в STORE,
то пришлите мне на email путь до файла в системе и его имя.
Отдельно обновленный STORE можно скачать здесь:
http://depositfiles.com/folders/A5PK4YRKA
Апдейтер обновился до вресии 1.09 рекомендуется его скачать до обновления
STORE. Апдейтер теперь показывает количество новых хэшей в базе MAIN до
обновления.
Русская версия: http://dsrt.dyndns.org/files/uvs_update.zip
English version: http://dsrt.dyndns.org/files/uvs_update_enu.zip
Отредактировано 0 0 (08.06.2013 18:34:28)
0 0
Скрытый текст (раскрыть): все может быть, но база чистых файлов появилась точно не с *.81 релиза
Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8
opp сообщает:
Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8
Если раздел отформатирован то какую интересно систему антисмс должна найти?
Gpt?
Ребят, а вы заметили что Simplix пропал.
Павел, заметили.
0 0 сообщает:
Версия 3.5 от 31.03.2013 ???
Автор отказался от поддержки или с ним что-то стряслось? (нигде нет инфы)
byroot сообщает:
opp сообщает:
Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8
Если раздел отформатирован то какую интересно систему антисмс должна найти?
Не надо ёрничать, помолчи, если нечего сказать. Уточняю, AntiSMS в моем случае не видит раздел GPT и, соответственно, не может провести лечение. Хотелось бы это поправить в новой версии. Подозреваю, что в данном случае для AntiSMS необходим LiveCD на базе Win 8.
Вот почему у автора ANTIWINLOCKERа вариант ЛИВСД с Win PE для 7 и для 8 отдельно в двух вариантах.
opp
Для новых компьютеров есть сборки от Xemom1 c Antisms:
http://yadi.sk/d/NHyssPKi5N-_u
Рекомендую обратить внимание на "native" сборку с загрузочным ядром всего - "17" mb
Это особенно подходит для компьютеров с медленными USB и с памятью 256mb!
art9 сообщает:
а у утилиты есть обратная связь по действиям? Т.е. после исправления ветки реестра осуществляется ли контроль, что ветка действительно исправлена?
В некоторых случаях контроль есть, в некоторых нет, так как могут удаляться такие ветки, которые не обязаны существовать. Лучше действовать в рамках инцидентов и по факту вносить исправления.
0 0 сообщает:
TestDisk прекрасно справляется с этой проблемой. Ждём новую версию AntiSMS от уважаемого simplix, которая будет уметь "лечить" этот образец.
AntiSMS не будет исправлять такие случаи, так как эта вредоносная программа не имеет отношения к блокировке компьютера. Она просто удаляет таблицу разделов и восстановить её невозможно, нет резервной копии (даже зашифрованной). TestDisk восстанавливает таблицу разделов согласно расположения данных на винчестере, грубо говоря угадывает начало и конец разделов, а затем воссоздаёт таблицу разделов. Но нет никакой гарантии, что таблица разделов будет восстановлена правильно, есть только высокая вероятность этого, если структура разделов относительно простая. Другими словами вы просите научить AntiSMS восстанавливать безвозвратно удалённую информацию, а это невозможно.
LEXXRUS сообщает:
Попался мне ноутбук MODEL CODE: NP300V5A-s07RU и AntiSMS уходит в синий экран STOP: 0X000000B4
Спасибо, это издержки WinXP, надеюсь со временем будет отдельный диск на базе более новой системы и эти редкие ошибки исчезнут.
Павел сообщает:
А будет новая версия в ближайшее время, или нет?
А зачем вам новая версия? У меня и эта отлично работает. Более правильно будет писать пожелания или сообщения об ошибках, чем ждать новую версию ради новой циферки.
line1 сообщает:
Запустил у себя. Действительно отработала как надо. Остается только гадать в чем была проблема, т.к. тот комп уже не доступен.
Действительно странно... Такое впечатление, что SysFiles.bin отсутствовал или не был распакован. Постараюсь в следующей версии реализовать сохранение отладочной информации, чтобы нестыковки были видны сразу. Кроме того системные файлы войдут в состав главного файла AntiSMS.exe и вероятность ошибок будет снижена.
0 0 сообщает:
Автор отказался от поддержки или с ним что-то стряслось? (нигде нет инфы)
Много работы и мало времени. AntiSMS развивается, но для новой версии должно быть достаточно много изменений, не выпускать же их по мелочам.
art9 сообщает:
Антисмс проверяет все dll и sys файлы на отсутствие цифровой подписи
Эта программа называется sigverif и встроена в систему. Журнал тоже создаёт.
yuriy сообщает:
Никто не сталкивался с трояном под названием "Photo"?
Сталкивался, инструкция из шапки вам поможет (сначала AntiSMS, затем CureIt).
viprus сообщает:
в смысле, что как раз под UVS и затачивалось всё.
Под uVS ничего не затачивалось, AntiSMS абсолютно независимая программа. Сделана только поддержка базы хэшей если AntiSMS лежит в каталоге uVS, чтобы не дублировать файлы, но эта база определяет только пропуск отключения некоторых неподписанных файлов автозагрузки, которые легко включаются в msconfig. И то, базу можно использовать исключительно при полном доверии автору uVS, так как я сам не знаю, хэши каких файлов находятся в его базе. AntiSMS же может работать полностью независимо и в качестве базы хэшей будет использована системная информация, а единственный внешний файл SysFiles.bin с чистыми системными файлами в следующей версии будет интегрирован в программу и больше не понадобится.
opp сообщает:
Уточняю, AntiSMS в моем случае не видит раздел GPT и, соответственно, не может провести лечение. Хотелось бы это поправить в новой версии. Подозреваю, что в данном случае для AntiSMS необходим LiveCD на базе Win 8.
Абсолютно правильно и работы в этом направлении ведутся. Пока что можете использовать для запуска AntiSMS любую WinPE на основе Win7-8.
Simplix
Doberman
Большое спасибо за наводку и толковые ответы!