Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#26 21.02.2012 10:24:02

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

еще места для исправлений:
1) удаление параметров Shell или Userinit в HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
2) удаление HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
и
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
3) HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager
параметр BootExecute должен быть "autocheck autochk *"
4) Задания Windows тоже часто используются для старта зловреда, но т.к. очень много полезных заданий, то лучше использовать переименование файлов, чтобы потом можно было вернуть обратно.
5) если в автозагрузке прописана программа wscript.exe, то отключение ее - через ее запускаются зловредные скрипты, а она имеет цифровую подпись

Отредактировано art9 (21.02.2012 10:32:39)

 

#27 21.02.2012 11:19:59

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

В шапку добавлен первый вариант загрузочного диска для AntiSMS, оставлены некоторые полезные и бесплатные программы.

art9
1 и 2 уже работает, 4 было в планах - дописал в шапку, 3 и 5 на заметку.

 

#28 21.02.2012 12:34:37

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

вот список временных папок, может будет чем-то плезно:
C:\users\ess\appdata\local\temp
C:\temp
C:\windows\temp
C:\windows\serviceprofiles\localservice\appdata\local\temp
C:\windows\serviceprofiles\networkservice\appdata\local\temp
C:\users\ess\appdata\local\microsoft\windows\temporary Internet Files
C:\users\ess\local Settings\application Data\mozilla\firefox\profiles\gpxy9y30.default\cache
C:\users\ess\local Settings\google\chrome\user Data\default\cache
C:\users\defaultapppool\appdata\local\temp
C:\users\defaultapppool\appdata\local\microsoft\windows\temporary Internet Files
C:\users\default\appdata\local\temp
C:\users\default\appdata\local\microsoft\windows\temporary Internet Files

так же следует удалить тут:
C:\recycler
C:\$recycle.bin

И программные файлы от сюда:
C:\windows\fonts
C:\users\ess\cookies
C:\users\defaultapppool\cookies
C:\users\default\cookies

 

#29 21.02.2012 15:11:17

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
C:\windows\fonts
не удаляй. там шрифты системы

 

#30 21.02.2012 15:16:22

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY сообщает:

simplix
C:\windows\fonts
не удаляй. там шрифты системы

Вообще-то я написал, что там следует удалить программные файлы, а не все файлы.

up
Новые винлоки кидают сюда: https://forum.ru-board.com/topic.cgi?fo … start=2480
и далее по форуму.

Кстати, antiSMS - название не очень звучит, сейчас вымогатели больше работают без смс.
Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

Отредактировано art9 (21.02.2012 16:59:56)

 

#31 21.02.2012 18:04:59

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9 сообщает:

Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

SimplixKills wink


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#32 22.02.2012 13:04:38

pdi77
Member
Зарегистрирован: 22.02.2012
Сообщений: 11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

 

#33 23.02.2012 10:08:14

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

1) очистка AppInit_DLLs, желательно с фильтром, чтобы не удалялись записи антивирусов, например,  "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

2) можете ли выложить скриншоты при работе с утилитой?

UP

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

Отредактировано art9 (24.02.2012 19:44:08)

 

#34 24.02.2012 20:06:56

Shadow_Man
Member
Зарегистрирован: 24.02.2012
Сообщений: 15

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9 сообщает:

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

А вот такие вещи надо делать с согласия пользователя, т.к. многие качают софт прямо на рабочий стол, а потом уже перекидывают куда надо.

UPD:
Лог файл лучше сохранять на рабочем столе и открывать по завершении работы программы.
Можно еще чистить папку %WINDOWS%\SYSTEM32\DLLCACHE

Отредактировано Shadow_Man (24.02.2012 20:12:42)

 

#35 24.02.2012 21:43:41

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Своих приучаю и себя - не хранить на рабочем столе ни чего лишнего, тем более exe-ники, для этого использую кнопку в total commandеr, для запрета изменений на раб. столе.


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#36 25.02.2012 17:16:09

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

pdi77 сообщает:

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

Согласен с этим полностью. Сегодня заделал я себе usb-cdrom на флешку с последним образом сборки. Решил загрузиться с флешки на своём компе. Загрузился в WinPE, всё отлично загрузилось. Порадовало присутствие в программах BlueScreenView. Опечалило, что если на винте одна система Seven, Autoruns не запускается. Но это я отвлёкся.
Нельзя было не заметить иконку на Рабочем столе утилиты AntiSMS. Вещь на этом WinPE очень нужная!!! Ну щёлкнул я по иконке, запустил значит. Выскочило бодрое обещание "Делаю всё хорошо, подождите..", а я задумался. И где же ты делаешь "хорошо"? Всё дело в том, что в системнике у меня три винта и на каждом винте у меня как минимум 2 независимых операционных систем. Я любитель экспериментов, у меня такой извращённое хобби. Однако, мне же все таки хочется знать, хочется контролировать последствия.
Утилита отличная, идея очень хорошая. Как тут уже предлагали, очень нужно восстановление системных файлов explorer.exe, taskmgr.exe, userinit.exe. Три дня назад лечил винлокер. Пролечил утилитой AntiSMS, попробовал загрузиться в систему, а винлокер опять не пускает. Как оказалось, заражён userinit.exe. Опять пролечил AntiSMS, сходил в папку i386 сборки, нашёл нужный системный файл и распаковал его на "больную" систему. Так вот, у меня предложение simplix. Если утилита AntiSMS запущена из-под WinPE вашей сборки, значит дистрибутив Windows XP "под рукой". После проверки, что "больная" система является ХР, то восстановление (распаковка и замена) определённых системных файлов производить в любом случае. Не зависимо от того, были они заражены или нет. Это реализовать не сложно, можно просто скрипт написать, но если это будет уже заложено в AntiSMS на вашем WinPE, то я смело буду по телефону довать рекомендации: загрузитесь через Биос с диска simplix, выберите "загрузка небольшой операционной системы WinPE", когда загрузится Рабочий стол, то два раза кликните (запустите) по иконке AntiSMS, выньте диск и загрузитесь на свою систему.
Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать, а потому надо как можно больше добавить эффективности утилите и упростить работу с ней (правда, уже проще некуда)))).

 

#37 25.02.2012 20:20:36

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Утилита делает ровно то, что написано в шапке, т. е. если винтов и систем много, то вылечены будут они все. Autoruns запускается через RunScanner, с Win7 действительно не работает, но её можно запустить вручную, не ярлыком, и указать каталог с системой (подключить средствами самой программы). Лично я пользуюсь Regedit PE, там в избранное добавляются ключевые ветки автозапуска. Логи - разве что в будущем, когда весь необходимый функционал будет реализован. Сделать ещё нужно много, далеко не всё написано в шапке. Сейчас уже реализовано лечение MBRLock 6 и 14 (других образцов на руках нет), когда будет добавлено ещё несколько серьёзных доработок, тогда и появится следующая версия.

Я очень мечтаю о таком сценарии "лечения" по телефону.

Я тоже, поэтому и взялся за полностью автоматическое лечение системы. Область применения не ограничивается только лечением по телефону, маленький образ может скачать кто угодно, независимо от знаний компьютера, и откуда угодно, хоть на скорости модема. Это замечательно.

 

#38 26.02.2012 15:18:53

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.
С возможность скопировать их в определенную папку.

Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

И кстати, будут ли скриншоты?

Отредактировано art9 (26.02.2012 18:00:18)

 

#39 26.02.2012 20:31:46

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Sergikaz сообщает:

Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать,

art9 сообщает:

С возможность скопировать их в определенную папку.
Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Ребята молодцы, надежду не теряют, а у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS, лично у меня терпения нехватало - теперь уж или я к Вам или Вы ко мне - последнее чаще.


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#40 27.02.2012 09:39:00

Smulev
New member
Зарегистрирован: 27.02.2012
Сообщений: 3

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Полезная программа у вас получилась. Сегодня опробовал, больной комп элементарно починился (правда ещё пришлось скопировать userinit.exe с рабочей системы, после того как его грохнул антивирусник при проверке)
Маленькая просьба, а можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ? А то у меня всё чаще попадаются диски и флэшки отформатированные в нее.....

Отредактировано Smulev (27.02.2012 09:39:28)

 

#41 27.02.2012 22:34:09

mariolast
Member
Зарегистрирован: 19.03.2009
Сообщений: 39

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Как образ диска АнтиСМС запустить с флешки из под груб4дос?

 

#42 28.02.2012 06:19:44

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

mariolast
Если в поиске форума написать GRUB, то ваши волосы станут мягкими и шелковистыми...и ни одной новой дырки
Бля

Отредактировано MBTY (28.02.2012 06:25:51)

 

#43 28.02.2012 18:04:36

Amigos
New member
Зарегистрирован: 28.02.2012
Сообщений: 4

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

сегодня при помощи 

[AntiSMS 1.3 (93.1 KB)

успешно полечен свежий винлокер https://www.virustotal.com/file/0103d89 … /analysis/

 

#44 28.02.2012 20:14:15

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix,
Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Представляет собой командный файл преобразованный в EXE файл с помощью утилиты bat2exe.
Введет лог работы в файл c:\testantibann.log
Прописывает в себя в разные ветки автозапуска и копирует себя в разные папки системы.
Пока взял самый минимум вариантов "заражения". Думаю, потом усовершенствую, если нужно будет.

Ссылка: http://upwap.ru/2066550
Пароль: 123

Отредактировано art9 (28.02.2012 20:26:59)

 

#45 29.02.2012 03:14:32

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Новая версия 1.4, все изменения в шапке.

art9 сообщает:

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.

Трояны легко могут менять время файлов, это не показатель. Лучше сделать быструю проверку свежим антивирусом.

art9 сообщает:

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

Учитываются только те исполняемые файлы, которые имеют сигнатуру MZ в начале файла. Но это не основная зачистка, а дополнительная, так как без автозапуска они безвредны.

art9 сообщает:

И кстати, будут ли скриншоты?

Было бы что скриншотить...

happywanderer сообщает:

у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS

Достаточно один раз поехать, выставить загрузку в порядке CD->HDD и оставить записанный диск.

Smulev сообщает:

можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ?

Хорошая была идея.

art9 сообщает:

Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Спасибо. Версия 1.4 текущий тест проходит.

 

#46 29.02.2012 09:12:52

hal
Advanced Member
Зарегистрирован: 02.12.2008
Сообщений: 418

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Версия 1.4. Шикарно! И всего в 122 кб cool

 

#47 29.02.2012 10:08:03

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

возможен ли откат действий, на всякий случай?

11:10:47
про msconfig я понял - "галочки" поставить и все вернется на круги слова, а что делать например c  AppInit_DLLs, туда падает не только каспер, а например комодо

12:47:30
возможно ли сделать по аналогии с avz папку "restore" или что то типа, куда упадут удаленные файлы и импорты ключей реестра, в reg файле, со значениями до изменений?

Отредактировано simplix (29.02.2012 16:09:29)


Stay Awhile and Listen

 

#48 29.02.2012 10:51:36

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Полный откат невозможен, так как не приоритетно откатывать стандартные ключи реестра, но откат самых важных этапов лечения возможен через msconfig. Вот как раз "всякого случая" произойти не должно, утилита построена по принципу "лучше ничего не сделать, чем навредить". Возможно полный откат будет запланирован на будущее, но для этого как минимум нужно найти серьёзный повод в виде ошибки или нестандартного случая.

11:28:34
Файлы комодо обязательно должны быть подписаны, поэтому записи о них тоже не будут удалены.

Отредактировано simplix (29.02.2012 16:10:12)

 

#49 01.03.2012 17:52:35

kpuk
New member
Зарегистрирован: 13.03.2009
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

А как утиль определяет что запущена под винПЕ??
а то у мя при запуске с винПЕ которая идёт на борту hiren by lexapass  ругается что это не вин пе и что работать она небуит(

 

#50 01.03.2012 23:43:57

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

 

Board footer


© simplix