simplix forum

hal
Если блокировщик удаляет таблицу разделов (файлов из WinPE не видно), тогда AntiSMS нужно запускать дважды: при первом запуске лечится загрузчик и таблица разделов, а после перезагрузки, когда уже видно файлы, нужно запустить AntiSMS ещё раз - вылечится всё остальное.

simplix, может, есть смысл в целях профилактики блокировать доступ на запись в ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon текущему пользователю?
Ну и другие ветки, которые чаще всего модифицируются блокерами.
Или блокеры уже умеют сами переписывать разрешения?

1) Новый вирус сразу меняет загрузчик и ставит анимацию жизни  http://rghost.ru/37880252 ( 2012) проверьте лечит ли его AntiSMS
2) Новый mbr локер Internet Police ( скрин http://www.1st.rv.ua/wp-content/uploads … -virus.jpg) http://rghost.ru/37898566 ( 2012)
прошу протестировать AntiSMS, пароль на архив infected

Отредактировано olzaruta (03.05.2012 21:44:51)

нужно восстанавливать таблицу разделов специализированными утилитами.

пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит?

simplix сообщает:

восстанавливать таблицу разделов

однажды сталкивался с подобным, хорошо помогла следующая вещь http://www.cgsecurity.org/wiki/TestDisk_RU

Всем привет и Спасибо нашему Админу - simplix за постоянную помощь
Недавно словил блокировку Виндов, успешно вылечил и согласно рекомендации выкладываю подозрительный файл.

hal
Согласен. То же самое подумал, но не стал писать. Перезалил файл от A_B
http://rghost.ru/38020407

hal сообщает:

Поворчу немного
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.

Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.

Написали как укрупненный ветеран, хотя свое ворчание вполне можно было изложить в пределах одной строки.
Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.


МВТУ, thanks:)

Отредактировано A_B (12.05.2012 04:59:44)

simplix сообщает:

art9
olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.

http://www.cgsecurity.org/wiki/TestDisk_RU
лечит, проверил уже 5 раз, собственно мануал можно почитать тут: клик

ну я так назвал
итог то один - все работает, вопрос в том, что имеет автор с убивания таблицы - ведь денег не просит...
или just4fun?

АнтиСМС просил передать
http://memories.ks.ua/Drive2.bin

simplix
уже три раза воспользовался данной утилитой (версии 1.8.5), все три раза она успешно выполнила свое предназначение, за что вам огромное спасибо.
от себя замечу, что даже на второй запуск утилиты уже в отремонтированной из под livecd системы (когда предлагается восстановить настройки сети) она не исправила в протоколе TCP/IPv4 сетевого соединения Получить адрес DNS-сервера автоматически (может это под полным восстановлением настроек сети и не подразумевалось).
от себя замечу что какие то отличные от значений по умолчанию (получать автоматически) значения в последнее время прописывают вирусы (вторая альтернатива правке hosts), после чего иногда практически никуда нет выхода, а иногда на определенные ресурсы (поисковики, социальные сети, сайты антивирусных компаний). например вчера, столкнулся с невозможностью открытия яндекса и подменой реального vk.com на поддельный, который повторяет дизайн и просит отправить sms для "верификации". при открытии яндекса вылазило во всех браузерах
http://yandex.ru/yandsearch?text=welcom … &lr=18. т.е. вирус был, нагадил, его удалили а, пардон, кучка осталась и мерзко пахнет.
у большинства дома роутеры, adsl которые уже сами настроены на получение и трансляцию актуальных DNS-серверов от местных провайдеров, да и по причине отсутсвия последних тоже в большинстве случаев эта опция стоит получать DNS автоматически (а вирус прописывает свои значения).
было бы замечательно если в будущих версиях это значение становилось дефолтным.
Еще раз спасибо за утилиту.

Отредактировано specialist (16.05.2012 08:06:10)

к сожалению эта машина более недоступна, но раз это уже реализовано, хорошо. будем считать разовой несработкой
еще раз спасибо за утилиту и ответ.