hal
Если блокировщик удаляет таблицу разделов (файлов из WinPE не видно), тогда AntiSMS нужно запускать дважды: при первом запуске лечится загрузчик и таблица разделов, а после перезагрузки, когда уже видно файлы, нужно запустить AntiSMS ещё раз - вылечится всё остальное.
а если, АнтиСМС сама будет себя запускать второй раз, когда испорчена таблица разделов?
simplix, может, есть смысл в целях профилактики блокировать доступ на запись в ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon текущему пользователю?
Ну и другие ветки, которые чаще всего модифицируются блокерами.
Или блокеры уже умеют сами переписывать разрешения?
Попробовал AntiSMS в деле. На экране заражённой машины был чёрный фон с текстом. Утилита в целом справилась со своей задачей, но в ветке "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" есть ключ "System" с пустым значением, на заражённой машине там оказалось имя какого-то файла с расширением "tmp". После работы программы AntiSMS этот ключ оказался не чищен.
1) Новый вирус сразу меняет загрузчик и ставит анимацию жизни http://rghost.ru/37880252 ( 2012) проверьте лечит ли его AntiSMS
2) Новый mbr локер Internet Police ( скрин http://www.1st.rv.ua/wp-content/uploads … -virus.jpg) http://rghost.ru/37898566 ( 2012)
прошу протестировать AntiSMS, пароль на архив infected
Отредактировано olzaruta (03.05.2012 21:44:51)
art9
После исправления таблицы разделов обязательно нужна перезагрузка, чтобы Windows PE увидела разделы.
hal
Блокировщики умеют всё, что может администратор, а пользователь без прав администратора не сможет поломать систему.
radteh
Хорошее замечание, учту его в следующей версии.
olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.
нужно восстанавливать таблицу разделов специализированными утилитами.
пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит?
happywanderer сообщает:
нужно восстанавливать таблицу разделов специализированными утилитами.
пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит?
На XP и 2003 успешно помогал Partition Table Doctor 3.5 , на 7 не сталкивался
http://rghost.ru/37903334 pass на архив 225, там и загрузочный образ и программа
simplix сообщает:
восстанавливать таблицу разделов
однажды сталкивался с подобным, хорошо помогла следующая вещь http://www.cgsecurity.org/wiki/TestDisk_RU
simplix, было бы неплохо в шапке рядом с номером версии указывать дату.
Всем привет и Спасибо нашему Админу - simplix за постоянную помощь
Недавно словил блокировку Виндов, успешно вылечил и согласно рекомендации выкладываю подозрительный файл.
Поворчу немного
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.
Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.
hal
Согласен. То же самое подумал, но не стал писать. Перезалил файл от A_B
http://rghost.ru/38020407
Нестандартный MBR http://clck.ru/d/dDH6eSD114IiO
hal сообщает:
Поворчу немного
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.
Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.
Написали как укрупненный ветеран, хотя свое ворчание вполне можно было изложить в пределах одной строки.
Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.
МВТУ, thanks:)
Отредактировано A_B (12.05.2012 04:59:44)
A_B сообщает:
Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.
Однако, достаточно проблематично профессионально отвечать на вопрос, который не был задан...
simplix сообщает:
art9
olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.
http://www.cgsecurity.org/wiki/TestDisk_RU
лечит, проверил уже 5 раз, собственно мануал можно почитать тут: клик
g0dl1ke
Это не лечение, а восстановление, то есть TestDisk является той самой специализированной утилитой, которая пытается восстановить разделы, причём 100% гарантии нет, что всё получится. Но когда таблица разделов удалена полностью и троян не оставил резервную копию - такими утилитами и нужно восстанавливать.
ну я так назвал
итог то один - все работает, вопрос в том, что имеет автор с убивания таблицы - ведь денег не просит...
или just4fun?
АнтиСМС просил передать
http://memories.ks.ua/Drive2.bin
simplix сообщает:
Новая версия AntiSMS 1.9, изменения в шапке.
Спасип за искреннюю и бескорыстную заботу, доктор
simplix
уже три раза воспользовался данной утилитой (версии 1.8.5), все три раза она успешно выполнила свое предназначение, за что вам огромное спасибо.
от себя замечу, что даже на второй запуск утилиты уже в отремонтированной из под livecd системы (когда предлагается восстановить настройки сети) она не исправила в протоколе TCP/IPv4 сетевого соединения Получить адрес DNS-сервера автоматически (может это под полным восстановлением настроек сети и не подразумевалось).
от себя замечу что какие то отличные от значений по умолчанию (получать автоматически) значения в последнее время прописывают вирусы (вторая альтернатива правке hosts), после чего иногда практически никуда нет выхода, а иногда на определенные ресурсы (поисковики, социальные сети, сайты антивирусных компаний). например вчера, столкнулся с невозможностью открытия яндекса и подменой реального vk.com на поддельный, который повторяет дизайн и просит отправить sms для "верификации". при открытии яндекса вылазило во всех браузерах
http://yandex.ru/yandsearch?text=welcom … &lr=18. т.е. вирус был, нагадил, его удалили а, пардон, кучка осталась и мерзко пахнет.
у большинства дома роутеры, adsl которые уже сами настроены на получение и трансляцию актуальных DNS-серверов от местных провайдеров, да и по причине отсутсвия последних тоже в большинстве случаев эта опция стоит получать DNS автоматически (а вирус прописывает свои значения).
было бы замечательно если в будущих версиях это значение становилось дефолтным.
Еще раз спасибо за утилиту.
Отредактировано specialist (16.05.2012 08:06:10)
specialist
После сброса сетевых настроек поля DNS-серверов тоже устанавливаются по умолчанию, проверял. Может быть троян что-то дополнительно испортил в системе, в таком случае мне нужен или этот троян, или виртуальная машина с такой проблемой.
к сожалению эта машина более недоступна, но раз это уже реализовано, хорошо. будем считать разовой несработкой
еще раз спасибо за утилиту и ответ.