Просто частенько на вин 7 и 8 этаверсия Win Pe вылетает в БСОД при загрузке. Вы хотели пожелание, ну тогда сделайте ещё версию на Win Pe 3 (для 7) и на Win Pe 4 (под 8).
simplix сообщает:
AntiSMS развивается, но для новой версии должно быть достаточно много изменений, не выпускать же их по мелочам.
Почти за 3 месяца ничего не появилось нового для внедрения/исправления?
В порядке просьбы: отличная идея использовать BitTorrent Sync для обнов, надеюсь, найдёт применение и для AntiSMS.
Отредактировано 0 0 (17.06.2013 11:24:59)
Всем доброго времени суток!
Ситуация в следующем: мой напарник столкнулся вчера с вирусом о подмене сайтов соц сетей, майл.ру и т.п. антисмс с этой гадостью не справилась. я по удаленке тоже ничего не смог сделать (из-за нехватки времени). так и расстались с тем абонентом.
Сегодня другой абонент с той же историей. антисмс ничего конкретного не нашла. я по удаленке "руками" ничего тож не нашел. avz молчит. и тут я нагуглил гадость о подмене файла rpcss.dll. Скачал др веб курейт и просканил только этот файл (C:\Windows\system32\rpcss.dll) - нашелся зловред, но др веб не смог его вылечить. заменил этот файл файлом из дистрибутива ОС от симпликс. И всё заработало.
В инетах данный вирус начал фигурировать в мае-апреле. значит что-то новое.
Simplix, возможно ли добавить проверку этого файла в антисмс?
ОС: windows xp sp3 (в обоих случаях)
инфицированный файл прилагаю (пароль на архив 12345)
Отредактировано weldance (19.06.2013 14:19:40)
weldance
Я предлагал, чтобы антисмс создавал html отчёт, в котором будет отражена информация по не подписанным dll и sys: имя файла, md5, ссылка на вирустотал. Этот отчёт помог бы быстро находить заразу, которая сидит в файлах, которые не обрабатываются антисмс.
у юзеров проблема с rpcss.dll уже месяца три
решается только заменой из под live cd
причем не забываем, что у каждого дистрибутива windows (а так же редакции x86/x64) свой rpcss.dll
g0dl1ke
у последнего человека стояла хп от зверя, а я подменял файл из симпликовской сборки.
на форумах выкладывают файл rpcss.dll и он вроде всем подходит. надо разобраться с подменами этого файла.
Отредактировано weldance (19.06.2013 15:13:35)
там билды в 99% совпадают, так что замена пройдет без эксцессов
не все rpcss.dll одинаково полезны
себе то я сделал копии rpcss.dll от всех версии windows, начиная с xp
Отредактировано g0dl1ke (19.06.2013 15:15:07)
g0dl1ke сообщает:
себе то я сделал копии rpcss.dll от всех версии windows, начиная с xp
если есть для Vista x64 поделись.
Скрытый текст (раскрыть): моя прога по восстановлению файлов
0 0 сообщает:
Почти за 3 месяца ничего не появилось нового для внедрения/исправления?
В порядке просьбы: отличная идея использовать BitTorrent Sync для обнов, надеюсь, найдёт применение и для AntiSMS.
Появилось, но я не могу выпустить новую версию по желанию, сначала она тестируется и исправляется, добавляются новые функции и опять тестируется. Всему своё время. BTSync тоже будет использоваться, более удобный инструмент трудно придумать.
weldance сообщает:
Simplix, возможно ли добавить проверку этого файла в антисмс?
Да, конечно, спасибо за подробный отчёт, в следующей версии будет добавлено лечение этого файла, а также предупреждение в подобных случаях. Пока что есть два дополнительных вопроса по этой теме: 1) Есть ли у кого-нибудь дроппер (файл с интернета, который патчит rpcss.dll)? 2) Какие системы заражаются - только WinXP, или все WinXP-Win8? Сами заражённые файлы других систем тоже пригодятся, возможно на их основе получится сделать универсальное лекарство.
art9 сообщает:
Я предлагал, чтобы антисмс создавал html отчёт, в котором будет отражена информация по не подписанным dll и sys: имя файла, md5, ссылка на вирустотал. Этот отчёт помог бы быстро находить заразу, которая сидит в файлах, которые не обрабатываются антисмс.
Я ведь отвечал, что утилита sigverif для этой задачи уже встроена в каждую систему. А в следующей версии AntiSMS появится проверка и логирование библиотек служб, что позволит наглядно увидеть случаи вроде rpcss.dll.
sigverif мне понятно. Но инфа полученная с лайва внушает больше доверия.
simplix
sigverif файл rpcss.dll не проваряет
Провел эксперимент rpcss.dll в отчете отсутствует
art9
Моё мнение - нужно расширять функциональность исходя из фактических случаев. То есть попался случай, где была пропатчена сервисная библиотека - с этого момента проверяем все библиотеки служб, т. е. только то, что может быть заражено, а не все файлы подряд неизвестно зачем.
SergeyZV
Sigverif прекрасно проверяет rpcss.dll, вы что-то не так сделали.
simplix
Например, в системе сидит руткит в C:\WINDOWS\system32\drivers\hjhfc.sys , но он может сидеть и в другом месте. А если антисмс в логе даст его sha1, то могу попросить пользователя прислать лог и проверить на вт.
Т.е. это не какая-то новая фича в лечении антисмс, а только лог. Пользователю это не принесёт никаких изменений в юзании утилиты, но если антисмс не поможет, то можно изучить лог и проверить подозрительные файлы.
Ведь в шапке написано, что в планах расширенный лог.
Отредактировано art9 (20.06.2013 14:41:13)
simplix
В данном примере был Eltima Powered Keylogger.
http://virusinfo.info/virusdetector/rep … 4D4041E728
Пример обнаружения руткитов: антисмс создаёт лог запуска драйверов, а при запуске в активной среде сверяет его. По примеру функции uvs.
Отредактировано art9 (20.06.2013 17:51:18)
art9 сообщает:
Пример обнаружения руткитов: антисмс создаёт лог запуска драйверов, а при запуске в активной среде сверяет его. По примеру функции uvs.
Ууууу... Ребята, AntiSMS тем и был крут, что его могла запустить блондинка и её "мозг" бы не взорвался, так как было всё автоматизированно.
Вы начинаете усложнять и изобретать велосипед.
0 0
Почему был? Тут только рассуждения о том, как с помощью антисмс реализовать более мощную помощь этой блондинке без усложнения пользования.
art9
Вот это хороший пример, удалив подпись с драйвера кейлоггера мы имеем полноценный руткит. В общем нет особых проблем с тем, чтобы заносить в лог расположение неподписанных драйверов, хотя с драйверами есть нюансы и проверять их сложнее, чем обычные приложения. А вот отключать драйвера опасно тем, что некоторые устройства могут перестать работать. По поводу обнаружения руткитов подумаю, как этим не нагрузить пользователя.
Кто из проверенных пользователей хочет провести тестирование новой версии - пишите мне ПМ. Изменений достаточно много и дополнительная проверка не помешает.
Павел Версия доводится до ума, люди уже потестили и выявили недочёты в новой версии, автор исправляет и оптимизирует. А на счёт "Здрасте" в личку - мы не в детском саду чтобы обижатся. Так что "культура-мультура" такая.
happywanderer сообщает:
Павел Версия доводится до ума, люди уже потестили и выявили недочёты в новой версии, автор исправляет и оптимизирует. А на счёт "Здрасте" в личку - мы не в детском саду чтобы обижатся. Так что "культура-мультура" такая.
В ПМ загляните
Новая версия AntiSMS 4.0
Изменений достаточно много, все они указаны в шапке темы.
Благодарю тестеров, которые много помогали в проверке бета-версий: 0 0, art9, glax24, Core-2, MBTY, Sergikaz, g0dl1ke.
Отдельное спасибо Xemom1 за создание загрузочного диска WinPE на основе Win8.
Уже опробовал новую версию. Переместила и отключила KMS, может добавить в исключения?
Ну не критично, можно и включать каждый раз.
Отредактировано Parabol (11.07.2013 03:05:31)
Я так понимаю SysFiles.bin помещён в AntiSMS.exe?
Да точно - сам посмотрел.
Отредактировано SergeyZV (11.07.2013 06:56:51)