Сегодня провёл эксперимент на своём системнике. У меня в системнике стоит три винта и на них располагаются 5 различных операционных систем. Загрузился с WinPE, запустил AntiSMS 2.0. Скопировал папку Temp на флешку. Заглянул в лог, чего там AntiSMS "сделал хорошо". Меньше всего изменениям подверглась система супруги. Было заблокировано в Планировщике два задания от принтера НР из-за не подписанных файлов и из автозагрузки удалён dslstat.exe для USB-adsl модема (левые драйвера). С разделом Windows 8 разговор был короткий: "Операционная система поддерживается частично!" и только проверены, восстановлены ключи реестра, да очищены временные папки. На моей Семёрке тоже мало изменений. Из автозагрузки удалён "updatemailru.exe не подписан и его служба отключена" - туда ему и дорога. Была отключена служба "DrWU.exe /$ervice не подписан и его служба отключена". Конечно, ничего страшного, зашёл да запустил опять службу, вернул настройки обратно. Только я вот одно понял, если бы я не посмотрел лог и не увидел, что DrWU отключён, то я бы потом через какое-то время стал бы голову ломать "почему у меня антивирус перестал обновляться". Потому поддерживаю мнение, что на финальном окошке "теперь всё хорошо", надо добавить рекомендации дальнейших действий: 1. посмотреть (сохранить) папку Temp, почитать AntiSMS.log, 2. обязательно после загрузки системы проверить антивирусом, 3. запустить msconfig и восстановить нужные программы в автогагрузке и в сервисах. Главное напомнить, рекомендовать, а что будет делать после этого пользователь - это его проблемы. Продолжу рассказ о моих системах. Как я и предполагал, само больше изменений утилита сделала на "игровой" системе сборки Game-Edition. Восстановила из резервных копий 7 системных файлов, много чего поотключала из автозагрузки.
Так же отмечу, что msconfig везде отлично отработал, восстановил всё. Действительно, через msconfig легко и просто всё сделать как надо. Только вот теперь ещё юзерам надо понятнее объяснить, как запустить msconfig на их компе.
В целом, утилита отлично справилась на моём многооперационном системнике.
art9
AVZ создаёт резервные копии автоматически, вы можете найти исправленные записи реестра в папке Backup\Дата.
Sergikaz
Интересно, каким образом автообновление DrWeb оказалось у вас неподписанным? Может это чья-то самописная утилита для его обновления? Ведь все модули официального антивируса должны быть подписаны, и обновляться он должен без всяких дополнительных программ. Если же утилита официальная - напишите полное название и версию антивируса, чтобы я смог проверить это у себя.
Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения. Но решение не окончательное, я ещё подумаю, как найти компромисс между информативностью и ненавязчивостью.
simplix
Это утилита альтернативного обновления антивируса и она не подписанная.
Просто это пример, когда была отключена "личная", незаметная, тихая служба и если бы я не просмотрел AntiSMS.log, то ломал бы голову через 7 дней над загадкой. Это хороший урок для меня. Теперь я буду просматривать AntiSMS.log всегда, в любом случае. Но на чужих ошибках не учатся, а потому лучше всё же предупредить, напомнить. Можно, как уже советовали, на финальном окне прикрутить кнопочку "Рекомендации". Кому интересно - почитает.
Sergikaz
Вообще-то в данном случае нужно было всего лишь прокрутить список служб в msconfig и обратить внимание на снятые галочки, среди которых была и эта служба. По второй инструкции (msconfig -> Обычный запуск -> ОК) вообще не пришлось бы ничего просматривать.
Согласен. Я так и сделал.
Но я подозреваю, что многие вообще не смотрят AntiSMS.log, не заглядывают в msconfig, не проверяют систему антивирусом. Когда потом у них "не правильно" работает загрузившаяся система, они обвиняют в этом AntiSMS и переустанавливают систему.
Sergikaz
Предлагаю определить наши догадки в разряд наших фантазий.
Неужели из-за неисправности антивируса, из-за нелегального дополнения, пользователь будет переустанавливать систему? Не проще удалить антивирус и поставить другой?
В мануале кстати написано, что нужно запускать msconfig - это обязательная часть использования утилиты
Отредактировано art9 (10.06.2012 18:36:57)
simplix, потверждаю, ни версия 1.9, ни версия 2.1 "белое окно" не "берёт". файлы config сбросил в личку.
Отредактировано happywanderer (10.06.2012 19:22:44)
По-моему, все эти кнопочки и дополнительные сообщения - лишняя трата времени. Новые пользователи, знакомясь с новой программой, читают FAQ, что и как работает, а как иначе узнать что программа умеет и как с ней обращаться. Simplix все это понятно и доходчиво описаал на первой странице. А то этих сообщений с просьбами аж на трех страницах уже, надоело. Если уж добавлять, то единственное что можно добавить - это в финальному сообщению "Теперь все хорошо" на следующей строке - "Подробности в log.txt". Или же, что более автоматично, создавать в конце работы программы ярлык на msconfig.exe на реальной системе. Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.
simplix сообщает:
Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения.
Суть предложения была не совсем в том чтобы делать указку на логи для непродвинутых, а для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено. То есть во второй ситуации смысл тупо в экономии времени - в случаях когда действительно "Все хорошо"
Юзеру который возится со своим компом это не важно, а когда лечишь комп клиента - каждая перезагрузка на счету. Время - деньги. Да и в первом случае будет быстрее понятно - на чем акцентировать внимание.
Отредактировано korsak (10.06.2012 19:40:57)
happywanderer сообщает:
файлы config сбросил в личку.
можно на общее обозрение.
barsuk сообщает:
размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше? странно и подозрительно это будет выглядить!
В наше тяжелое время размещение на своих сайтах как Вы выразились, мусора, помогает поддержать штаны, например размещение мусора на своих 3 сайтах мне оплачивает интернет каждый месяц и даже на 3 месяца вперед.
А сайты да, посвящены тематике лечения вирусов, антивирусной тематике, и тематике администрирования. Двое из них посещаемые, а для общего дела (рекламы AntiSMS) это и нужно.
С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.
sceatch сообщает:
Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.
Я думал об этом, но вариант не универсальный - неопытный пользователь не будет знать, что делать с этим окном, если он не читал инструкцию. При этом система будет отлично работать даже без запуска msconfig, что для неопытного является более приемлемым вариантом. И соответственно те, кто читали или распечатали себе инструкцию, не нуждаются в автозапуске msconfig.
korsak сообщает:
для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено ... когда лечишь комп клиента - каждая перезагрузка на счету
Опять же, если система не чистая, то что-то да будет отключено наверняка, учитывая сколько хлама установлено на среднестатистическом компьютере. Лучшим вариантом в данном случае будет просто запустить msconfig в рабочей системе после AntiSMS, при этом вы сразу увидите, были ли сделаны изменения в автозагрузке по вариантам запуска: "Обычный запуск" - изменений не было, "Выборочный запуск" - изменения были. Это действие занимает буквально секунды и не требует дополнительных перезагрузок.
Еще один:
http://memories.ks.ua/Drive1.bin
g0dl1ke
Локер обычный, такие лечатся, а ошибка ясно говорит, что места на разделе с временной папкой настолько мало, что файлы для восстановления не распаковываются. Диск B: с папкой Temp создаётся в памяти и занимает 40% от её количества. Если блокировщик не подменял системные файлы, то AntiSMS справится и без SysFiles, поэтому оставлена возможность продолжить работу программы.
машина старая, 128 sdrаm
а то что мелькает фраза про win7, а система хр - это нормально?
simplix, может я немного не по делу, но подобные сообщения встречались выше (например, просьба в удалении белого окна через AntiSMS)
Теперь к делу: сегодня столкнулся с таким вирусом - не открываются скайп, опера, хромы, KIS 2012 и др. программы. Обнаружил вредоносный файл вот тут "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" параметр "AppInit_DLLs" значение "C:\Windows\system32\hdbuuyj.dll". ОС win7x64.
Как выяснилось "По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINE\Software\WOW6432Node"
Если возможно, добавьте в свою программы данное правило.
Уважаемый Simplix.
Спасибо за чудный продукт (AntiSMS).
С версией 2.1 Win_PE возникла проблема.
При загрузке с CD все работает, а вот если гружусь с МультиЗагрузочной флэшки (Grub) при запуске AntiSms - сообщение: "Sysfiles.bin не найден или поврежден".
До версии 2.1 все было OK. Помогите !
Ab-Man37
присоединяюсь
g0dl1ke
Во временную папку распаковываются все файлы, а используются только необходимые. 128 МБ ОЗУ слишком мало, весь образ распаковывается в память, нужно хотя бы 256 для нормальной работы.
weldance
Спасибо, очень хорошее замечание, обязательно добавлю.
Ab-Man37, weldance
В GRUB'е нужно подключать FiraDisk, чтобы в WinPE было видно CD-дисковод с содержимым ISO-файла - на нём и находится нужный файл. Образ дискеты FiraDisk вы можете найти на флешке после работы AntiSMS USB Installer из шапки, там используется такое меню:
title AntiSMS map --mem (md)0x800+4 (99) map --mem /DIRECT (fd0) map /AntiSMS.iso (0xff) map --hook write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0 chainloader (0xff)
simplix
спасибо, поправил меню, всё работает.
у меня выглядит так:
title SimplixLiveCD map (hd1) (hd0) map (hd0) (hd1) map --mem (md)0x800+4 (99) map --mem /img/DIRECT.GZ (fd0) map /img/SimplixLiveCD.ISO (0xff) map --hook write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/SimplixLiveCD.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0 chainloader (0xff)
правда почему та иногда на старых компах не загружается меню или недозагружается
кстати, live cd из simplix winxp без проблем работает на 128 ram
g0dl1ke сообщает:
live cd из simplix winxp без проблем работает на 128 ram
Про работу winxp никто и не говорил, 128 ram мало для распаковки SysFile.bin.
simplix
Как же так, подмена локером файла logonui.exe и все AntiSMS отдыхает.
simplix сообщает:
Проверил - не подтверждаю, даже с базой запись отключается.
simplix сообщает:
С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы)
Удалил все значения из System при старте нет белых окон.
Отредактировано glax24 (12.06.2012 11:11:56)
glax24
Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.
О трояне на скриншотах - перепроверил ещё раз, у меня такие ключи удаляются. Тестировал даже с теми троянами, которые указаны на скриншотах. Попробуйте повторить то же самое на виртуальной машине, если получится - придётся прислать заархивированную виртуальную машину. То же самое и о белом окне - у меня конкретно в этой ситуации оно появляется, если у вас не появляется и нужно выяснить причину - присылайте виртуальную машину любым удобным способом.
я тож тестил антисмс с базой увс - старты тестового "зловреда" через cmd.exe были удалены.
(winxp pro sp3)