Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#401 10.06.2012 16:42:13

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Сегодня провёл эксперимент на своём системнике. У меня в системнике стоит три винта и на них располагаются 5 различных операционных систем. Загрузился с WinPE, запустил AntiSMS 2.0. Скопировал папку Temp на флешку. Заглянул в лог, чего там AntiSMS "сделал хорошо". Меньше всего изменениям подверглась система супруги. Было заблокировано в Планировщике два задания от принтера НР из-за не подписанных файлов и из автозагрузки удалён dslstat.exe для USB-adsl модема (левые драйвера). С разделом Windows 8 разговор был короткий: "Операционная система поддерживается частично!" и только проверены, восстановлены  ключи реестра, да очищены временные папки. На моей Семёрке тоже мало изменений. Из автозагрузки удалён "updatemailru.exe не подписан и его служба отключена" - туда ему и дорога. Была отключена служба "DrWU.exe /$ervice не подписан и его служба отключена". Конечно, ничего страшного, зашёл да запустил опять службу, вернул настройки обратно. Только я вот одно понял, если бы я не посмотрел лог и не увидел, что DrWU отключён, то я бы потом через какое-то время стал бы голову ломать "почему у меня антивирус перестал обновляться". unknown Потому поддерживаю мнение, что на финальном окошке "теперь всё хорошо", надо добавить рекомендации дальнейших действий: 1. посмотреть (сохранить) папку Temp, почитать AntiSMS.log, 2. обязательно после загрузки системы проверить антивирусом, 3. запустить msconfig и восстановить нужные программы в автогагрузке и в сервисах. Главное напомнить, рекомендовать, а что будет делать после этого пользователь - это его проблемы. Продолжу рассказ о моих системах. Как я и предполагал, само больше изменений утилита сделала на "игровой" системе сборки Game-Edition. Восстановила из резервных копий 7 системных файлов, много чего поотключала из автозагрузки.
Так же отмечу, что msconfig везде отлично отработал, восстановил всё. Действительно, через msconfig легко и просто всё сделать как надо. Только вот теперь ещё юзерам надо понятнее объяснить, как запустить msconfig на их компе. smile
В целом, утилита отлично справилась на моём многооперационном системнике. good

 

#402 10.06.2012 17:25:25

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9
AVZ создаёт резервные копии автоматически, вы можете найти исправленные записи реестра в папке Backup\Дата.

Sergikaz
Интересно, каким образом автообновление DrWeb оказалось у вас неподписанным? Может это чья-то самописная утилита для его обновления? Ведь все модули официального антивируса должны быть подписаны, и обновляться он должен без всяких дополнительных программ. Если же утилита официальная - напишите полное название и версию антивируса, чтобы я смог проверить это у себя.

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения. Но решение не окончательное, я ещё подумаю, как найти компромисс между информативностью и ненавязчивостью.

 

#403 10.06.2012 17:58:23

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Это утилита альтернативного обновления антивируса и она не подписанная. oops
Просто это пример, когда была отключена "личная", незаметная, тихая служба и если бы я не просмотрел AntiSMS.log, то ломал бы голову через 7 дней над загадкой. Это хороший урок для меня. Теперь я буду просматривать AntiSMS.log всегда, в любом случае. Но на чужих ошибках не учатся, а потому лучше всё же предупредить, напомнить. Можно, как уже советовали, на финальном окне прикрутить кнопочку "Рекомендации". Кому интересно - почитает.

 

#404 10.06.2012 18:16:31

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Sergikaz
Вообще-то в данном случае нужно было всего лишь прокрутить список служб в msconfig и обратить внимание на снятые галочки, среди которых была и эта служба. По второй инструкции (msconfig -> Обычный запуск -> ОК) вообще не пришлось бы ничего просматривать.

 

#405 10.06.2012 18:24:54

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Согласен. Я так и сделал. smile
Но я подозреваю, что многие вообще не смотрят AntiSMS.log, не заглядывают в msconfig, не проверяют систему антивирусом. Когда потом у них "не правильно" работает загрузившаяся система, они обвиняют в этом AntiSMS и переустанавливают систему.

 

#406 10.06.2012 18:34:07

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Sergikaz
Предлагаю определить наши догадки в разряд наших фантазий.
Неужели из-за неисправности антивируса, из-за нелегального дополнения, пользователь будет переустанавливать систему? Не проще удалить антивирус и поставить другой?
В мануале кстати написано, что нужно запускать msconfig - это обязательная часть использования утилиты

Отредактировано art9 (10.06.2012 18:36:57)

 

#407 10.06.2012 19:22:06

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix, потверждаю, ни версия 1.9, ни версия 2.1 "белое окно" не "берёт". файлы config сбросил в личку.

Отредактировано happywanderer (10.06.2012 19:22:44)


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#408 10.06.2012 19:24:54

sceatch
Member
Зарегистрирован: 25.04.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

По-моему, все эти кнопочки и дополнительные сообщения - лишняя трата времени. Новые пользователи, знакомясь с новой программой, читают FAQ, что и как работает, а как иначе узнать что программа умеет и как с ней обращаться. Simplix все это понятно и доходчиво описаал на первой странице. А то этих сообщений с просьбами аж на трех страницах уже, надоело. Если уж добавлять, то единственное что можно добавить - это в финальному сообщению "Теперь все хорошо" на следующей строке - "Подробности в log.txt". Или же, что более автоматично, создавать в конце работы программы ярлык на msconfig.exe на реальной системе. Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

 

#409 10.06.2012 19:31:53

korsak
Member
Зарегистрирован: 21.06.2010
Сообщений: 65

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения.

Суть предложения была не совсем в том чтобы делать указку на логи для непродвинутых, а для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено. То есть во второй ситуации смысл тупо в экономии времени - в случаях когда действительно "Все хорошо" smile 
Юзеру который возится со своим компом это не важно, а когда лечишь комп клиента - каждая перезагрузка на счету. Время - деньги. Да и в первом случае будет быстрее понятно - на чем акцентировать внимание.

Отредактировано korsak (10.06.2012 19:40:57)

 

#410 10.06.2012 22:38:29

glax24
Member
Зарегистрирован: 06.05.2012
Сообщений: 65

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

happywanderer сообщает:

файлы config сбросил в личку.

можно на общее обозрение.

 

#411 10.06.2012 22:58:56

FagotAdmin
New member
Откуда: Украина
Зарегистрирован: 09.06.2009
Сообщений: 5
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

barsuk сообщает:

размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше?biggrinlol странно и подозрительно это будет выглядить!

В наше тяжелое время размещение на своих сайтах как Вы выразились, мусора, помогает поддержать штаны, например размещение мусора на своих 3 сайтах мне оплачивает интернет каждый месяц и даже на 3 месяца вперед.
А сайты да, посвящены тематике лечения вирусов, антивирусной тематике, и тематике администрирования. Двое из них посещаемые, а для общего дела (рекламы AntiSMS) это и нужно.

 

#412 10.06.2012 23:25:48

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.

sceatch сообщает:

Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

Я думал об этом, но вариант не универсальный - неопытный пользователь не будет знать, что делать с этим окном, если он не читал инструкцию. При этом система будет отлично работать даже без запуска msconfig, что для неопытного является более приемлемым вариантом. И соответственно те, кто читали или распечатали себе инструкцию, не нуждаются в автозапуске msconfig.

korsak сообщает:

для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено ... когда лечишь комп клиента - каждая перезагрузка на счету

Опять же, если система не чистая, то что-то да будет отключено наверняка, учитывая сколько хлама установлено на среднестатистическом компьютере. Лучшим вариантом в данном случае будет просто запустить msconfig в рабочей системе после AntiSMS, при этом вы сразу увидите, были ли сделаны изменения в автозагрузке по вариантам запуска: "Обычный запуск" - изменений не было, "Выборочный запуск" - изменения были. Это действие занимает буквально секунды и не требует дополнительных перезагрузок.

 

#413 11.06.2012 01:31:15

Larin
New member
Зарегистрирован: 15.05.2012
Сообщений: 2

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

 

#414 11.06.2012 10:44:57

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

antisms 2.1 и зарубежный локер on simplix winxp
http://i36.fastpic.ru/thumb/2012/0611/3c/7f8b2b694caed13416d30b0139cbc23c.jpeghttp://i26.fastpic.ru/thumb/2012/0611/e4/3e88e496cc15726ec4bd6f554bb3c3e4.jpeghttp://i26.fastpic.ru/thumb/2012/0611/2e/14b2651e545f982860f78b45b89b4b2e.jpeg

Отредактировано g0dl1ke (11.06.2012 10:46:53)


Stay Awhile and Listen

 

#415 11.06.2012 11:18:12

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Локер обычный, такие лечатся, а ошибка ясно говорит, что места на разделе с временной папкой настолько мало, что файлы для восстановления не распаковываются. Диск B: с папкой Temp создаётся в памяти и занимает 40% от её количества. Если блокировщик не подменял системные файлы, то AntiSMS справится и без SysFiles, поэтому оставлена возможность продолжить работу программы.

 

#416 11.06.2012 11:42:14

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

машина старая, 128 sdrаm wink
а то что мелькает фраза про win7, а система хр - это нормально?


Stay Awhile and Listen

 

#417 11.06.2012 12:34:23

weldance
Advanced Member
Зарегистрирован: 11.06.2012
Сообщений: 135

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix, может я немного не по делу, но подобные сообщения встречались выше (например, просьба в удалении белого окна через AntiSMS)
Теперь к делу: сегодня столкнулся с таким вирусом - не открываются скайп, опера, хромы, KIS 2012 и др. программы. Обнаружил вредоносный файл вот тут "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" параметр "AppInit_DLLs" значение "C:\Windows\system32\hdbuuyj.dll". ОС win7x64.
Как выяснилось "По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINE\Software\WOW6432Node"
Если возможно, добавьте в свою программы данное правило.

 

#418 11.06.2012 12:43:12

Ab-Man37
New member
Зарегистрирован: 11.06.2012
Сообщений: 3

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Уважаемый Simplix.
Спасибо за чудный продукт (AntiSMS).
С версией 2.1 Win_PE возникла проблема.
При загрузке с CD все работает, а вот если гружусь с МультиЗагрузочной флэшки (Grub) при запуске AntiSms - сообщение: "Sysfiles.bin не найден или поврежден".
До версии 2.1 все было OK.   Помогите !

 

#419 11.06.2012 15:55:01

weldance
Advanced Member
Зарегистрирован: 11.06.2012
Сообщений: 135

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Ab-Man37
присоединяюсь

 

#420 11.06.2012 15:56:15

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Во временную папку распаковываются все файлы, а используются только необходимые. 128 МБ ОЗУ слишком мало, весь образ распаковывается в память, нужно хотя бы 256 для нормальной работы.

weldance
Спасибо, очень хорошее замечание, обязательно добавлю.

Ab-Man37, weldance
В GRUB'е нужно подключать FiraDisk, чтобы в WinPE было видно CD-дисковод с содержимым ISO-файла - на нём и находится нужный файл. Образ дискеты FiraDisk вы можете найти на флешке после работы AntiSMS USB Installer из шапки, там используется такое меню:


Код:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)

 

#421 11.06.2012 16:18:09

weldance
Advanced Member
Зарегистрирован: 11.06.2012
Сообщений: 135

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
спасибо, поправил меню, всё работает.

 

#422 11.06.2012 19:06:59

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

у меня выглядит так:


Код:

title SimplixLiveCD
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/SimplixLiveCD.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/SimplixLiveCD.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

правда почему та иногда на старых компах не загружается меню или недозагружается
кстати, live cd из simplix winxp без проблем работает на 128 ram


Stay Awhile and Listen

 

#423 11.06.2012 20:40:36

glax24
Member
Зарегистрирован: 06.05.2012
Сообщений: 65

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke сообщает:

live cd из simplix winxp без проблем работает на 128 ram

Про работу winxp никто и не говорил, 128 ram мало для распаковки SysFile.bin.

simplix
Как же так, подмена локером файла logonui.exe и все AntiSMS отдыхает.

simplix сообщает:

Проверил - не подтверждаю, даже с базой запись отключается.

http://10pix.ru/img1/2196/7890516.th.jpg  http://10pix.ru/img1/2228/7890517.th.jpg  http://10pix.ru/img1/2324/7890519.th.jpg  http://10pix.ru/img1/2388/7890521.th.jpg
http://10pix.ru/img1/2436/7890524.th.jpg
Что я делаю не так?

simplix сообщает:

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы)

Удалил все значения из System при старте нет белых окон.
http://10pix.ru/img1/3480/7890875.th.jpg

Отредактировано glax24 (12.06.2012 11:11:56)

 

#424 12.06.2012 11:38:13

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

glax24
Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.

О трояне на скриншотах - перепроверил ещё раз, у меня такие ключи удаляются. Тестировал даже с теми троянами, которые указаны на скриншотах. Попробуйте повторить то же самое на виртуальной машине, если получится - придётся прислать заархивированную виртуальную машину. То же самое и о белом окне - у меня конкретно в этой ситуации оно появляется, если у вас не появляется и нужно выяснить причину - присылайте виртуальную машину любым удобным способом.

 

#425 12.06.2012 11:48:14

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

я тож тестил антисмс с базой увс - старты тестового "зловреда" через cmd.exe были удалены.
(winxp pro sp3)

 

Board footer


© simplix