simplix — 09.02.2012 21:34:00

AntiSMS

Эффективная программа для быстрого автоматического лечения блокировщиков и троянов


Ссылка на официальную страницу: AntiSMS.com

Тестирование новых версий (требуется регистрация)
Контрольные суммы | Точная версия | Загрузка новых версий (инструкция)

https://antisms.com/AntiSMS.png
Отдельная программа для использования в своём WinPE
(рекомендуется опытным пользователям)
Скачать: AntiSMS 8.4 (~29 МБ)

https://antisms.com/ISO.png https://antisms.com/ISO8.png
Готовый загрузочный диск с программой
(рекомендуется неопытным пользователям)
Скачать: Диск на основе WinXP (~60 МБ)
Диск на основе Win8 от Xemom1 (~127 МБ)

https://antisms.com/AntiSMSusb.png
Утилита для записи диска на основе WinXP на флешку
Скачать: AntiSMS USB Installer 3.5 (~450 КБ)

Полезные разработки и ресурсы для работы с AntiSMS


Если вы опытный пользователь:

1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.

Если вы неопытный пользователь:

1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Возможности программы:

• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-10 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимо минимум 512 МБ ОЗУ.
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
• Исправляются ярлыки от вредоносных сайтов.
• Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
• Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
• Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Описание способов интеграции AntiSMS

Интеграция в рабочую систему
1) Windows XP. Необходимо поместить образ AntiSMS.iso рядом с AntiSMS.exe, затем запустить основной файл AntiSMS.exe и выбрать пункт интеграции. Примечание: можно предварительно обновить образ AntiSMS.iso, перетянув его на AntiSMS.exe в проводнике, так как лечить компьютер будет именно основной файл в образе.
2) Windows 7/8/8.1/10 и их серверные аналоги. Нужно просто запустить основной файл AntiSMS.exe и выбрать пункт интеграции.

Интеграция в оригинальный образ Windows 7/8/8.1/10
1) Меню восстановления при запуске с диска/флешки. Нужно перетянуть файл Windows.iso/sources/boot.wim на AntiSMS.exe в проводнике.
2) Среда восстановления, доступная после установки системы. Нужно примонтировать необходимый индекс файла Windows.iso/sources/install.wim, затем найти в нём файл Windows\System32\Recovery\winRE.wim и перетянуть его на AntiSMS.exe в проводнике, затем отмонтировать install.wim с сохранением изменений. Вместо этого можно использовать UpdatePack7R2 с ключом /AntiSMS.

Интеграция в сборку Windows 7/8/8.1/10
1) В частности речь о сборках m0nkrus, где файл Windows\System32\Recovery\winRE.wim перенесён в третий индекс файлов Windows.iso/sources/boot*.wim для оптимизации размера образа. AntiSMS версии 8.2.1 и выше автоматически интегрируется в меню восстановления при запуске с диска/флешки и в среду восстановления, доступную после установки системы, если поочерёдно перетянуть файлы boot*.wim (как правило boot.wim для x86 и boot64.wim для x64) на AntiSMS.exe в проводнике.
2) AntiSMS версии 8.2 и выше на системах Windows 8/8.1/10 также будет добавлен прямо в меню MSDaRT на место справки, причём полноценную справку можно вызвать из пункта "Справка -> Вызов стравки" самих утилит MSDaRT. Для Windows 7 утилита будет добавлена рядом с MSDaRT.

Интеграция в загрузочные диски и флешки.
1) Для обновления оригинальных загрузочных дисков достаточно перетянуть iso-образы (AntiSMS.iso и AntiSMS8.iso) на AntiSMS.exe в проводнике.
2) Для обновления программы на флешке в составе сборки нужно найти поиском файл AntiSMS.exe и заменить его на новую версию. Например в сборках Strelec он находился в папке SSTR\AntiSMS, а у Core-2 в папке boot.wim\Program Files\AntiSMS.

История изменений (раскрыть):

Версия 1.3 от 19.02.2012
Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
Если в папках автозагрузки есть скрытые или системные исполняемые файлы - они удаляются.
Полностью очищаются системные и пользовательские временные папки.
Все нестандартные записи в файле hosts будут закомментированы.
Автозапуск на всех устройствах кроме дисковода будет отключен.
Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
Все отладчики системных процессов в Image File Execution Options будут удалены.
Все ограничения (Policies) пользователей и системы будут удалены.
В политике ограниченного использования программ будет выставлен неограниченный уровень.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

Версия 1.4 от 29.02.2012, добавлено:
Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
Вылечиваются MBR-блокировщики MBRLock.6 и MBRLock.14 (других нет в наличии). Резервная копия заражённого сектора сохраняется в корне раздела с системой под именем MbrLockX.bak, где X - номер вылеченного винчестера.
Восстанавливаются параметры запуска исполняемых файлов.
Правильно обрабатывается параметр AppInit_DLLs - из множества параметров убираются только неподписанные.
Из автозагрузки реестра убираются vbs-скрипты, можно восстановить через msconfig.
В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
Критически важные для загрузки системы службы теперь не отключаются.
Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
Для Windows XP x86 и Windows 7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны. Эти файлы есть на загрузочном диске, однако если AntiSMS будет использоваться в другом WinPE и диск с WinXP будет вставлен, то файлы будут взяты оттуда (только для Windows XP).
Загрузочный диск теперь полностью поддерживает файловую систему exFAT.
Для Windows 7 теперь Autoruns будет запускаться, но каталог системы нужно подключать вручную.
В некоторых случаях автозагрузка пользователей могла не обрабатываться - исправлено.
Значительно ускорена работа утилиты.

Версия 1.5 от 06.03.2012
В некоторых случаях параметры AppInit_DLLs могли не обрабатываться - исправлено.

Версия 1.6 от 07.03.2012
Добавлено лечение MBRLock.19, этот троян удаляет таблицу разделов, поэтому резервная копия заражённого сектора помещается во временную папку.
С большой вероятностью мог не обрабатываться файл hosts - исправлено.
Начиная с этой версии, AntiSMS также находится в корне загрузочного диска.

Версия 1.7 от 09.03.2012
Добавлено лечение MBRLock.17 всех модификаций, доступных на данный момент. Троян удаляет таблицу разделов, копия сектора создаётся во временной папке.
Теперь программа корректно определяет режим Windows PE во всех случаях.

Версия 1.8 от 14.03.2012
Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
Реализована более глубокая чистка системы от вредоносных действий троянов.

Версия 1.8.3 от 12.04.2012
Пополнена база известных загрузочных секторов.

Версия 1.8.4 от 17.04.2012
Добавлено определение новой модификации MBRLock.6.

Версия 1.8.5 от 27.04.2012
Реализовано правильное транслирование букв несистемных разделов.

Версия 1.9 от 15.05.2012
Реализована базовая поддержка логов и бекапов в папке %Temp%\AntiSMS.
Доработан и исправлен механизм обработки файлов автозапуска.
Доработано исправление файла hosts от некоторых видов троянов.
В обработку включены пользовательские профили типа Default.
Пополнена база известных загрузочных секторов.

Версия 1.9.3 от 17.05.2012
Добавлена обработка ярлыков и скриптов в папках автозагрузки.

Версия 1.9.4 от 20.05.2012
Корректная обработка нескольких систем в одном разделе.

Версия 1.9.5 от 24.05.2012
Папка Files также может располагаться рядом с AntiSMS.exe.
Резервная копия вылеченного сектора помещается в папку Backup.
Мелкие доработки журнала и резервного копирования.
Обновлены драйвера контроллеров MassStorage на диске.

Версия 2.0 от 30.05.2012
Оптимизирована работа программы.
Расширен диапазон проверяемых системных файлов.
Добавлены резервные копии файлов для Windows Vista.

Версия 2.1 от 05.06.2012
Добавлена поддержка базы проверенных файлов uVS.
Усовершенствована проверка системной базы хэшей.

Версия 2.3 от 14.06.2012
Накопительные обновления и исправления.

Версия 2.4 от 18.06.2012
C хэш-базой uVS утилита работает в среднем на 35% быстрее.
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

Версия 2.5 от 15.07.2012
Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Добавлена поддержка пользовательской базы хэшей uVS.
Сообщения в Unicode - русский язык видно на любой системе.

Версия 2.6 от 16.10.2012
Обновлена база хэшей.
Исправлены найденные ошибки.
На диск добавлен Total Commander.
Обновлены драйвера контроллеров MassStorage.

Версия 3.0 от 12.11.2012
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.

Версия 3.1 от 06.01.2013
Обновлена база хэшей.
Исправлены найденные ошибки.
Усовершенствована проверка сертификатов.
Пополнена база известных загрузочных секторов.

Версия 3.2 от 14.01.2013
Добавлена обработка элементов Active Setup.

Версия 3.3 от 08.02.2013
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.

Версия 3.4 от 27.03.2013
Обновлена база хэшей.
Добавлено определение NTFS-потоков.
Обновлена утилита для записи на флешку.
Улучшена обработка назначенных заданий.
Пополнена база известных загрузочных секторов.

Версия 3.5 от 31.03.2013
Исправлено несколько критических ошибок.

Версия 4.0 от 10.07.2013
Системные файлы включены в состав программы, теперь SysFiles.bin не нужен и не используется (Hashes.bin как и раньше не обязателен).
Обновлены системные файлы для всех систем с учётом всех исправлений, добавлено восстановление msconfig.exe и rpcss.dll.
Реализовано сохранение отладочной информации для диагностики неполадок на случай внезапной поломки программы.
Добавлена проверка сервисных библиотек и отключение соответствующих служб, даже если основной файл проверен.
Все неподписанные драйвера, которые участвуют в загрузке системы, будут занесены в лог, но не отключены.
В журнал будут занесены записи отключенных элементов AppInit, названия разделов служб и драйверов для быстрого поиска в реестре.
Организовано более тщательное резервирование отключённых и исправленных элементов автозагрузки и драйверов.
Значительно переработан механизм проверки подписанных файлов, который позволяет выявлять даже подписанные вредоносные файлы.
В логе обозначается, используется ли в процессе настройки внешняя база хэшей Hashes.bin.
Для драйверов в лог заносится также производитель файла без подписи, чтобы безопасные драйвера можно было узнать визуально.
Для операционной системы указывается точная версия и разрядность.
Командные файлы в автозапуске просто отключаются, так как невозможно проверить их команды автоматически.
Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
Для ключей Shell и Userinit в лог добавляются предыдущие записи, по которым можно отследить сложные сценарии запуска вирусов.
Решена проблема ложного срабатывания некоторых антивирусов, в частности аваста.
Значительно увеличена скорость работы программы благодаря замене алгоритмов проверки и оптимизации под многоядерные процессоры.
В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 4.1 от 26.07.2013
Увеличена скорость работы программы, оптимизирован размер и снижено требование к свободному месту.
Для работы программы больше не нужна внешняя утилита reg.exe, работа с реестром ведётся через API.
Исправлены найденные ошибки.

Версия 4.2 от 10.01.2014
Добавлено лечение новой модификации блокировщика MBRlock.17.
Мелкие накопившиеся исправления и дополнения.
Пополнена база известных загрузочных секторов.
Обновлена база хэшей.

Версия 5.0 от 19.01.2014
Добавлена поддержка Windows 8.1 x86-x64.
Накопительные исправления и дополнения.
Обновлена база хэшей.

Версия 5.1 от 01.04.2014
Добавлена утилита для сброса паролей пользователей.
Дополнен и оптимизирован алгоритм поиска файлов.
Переписан алгоритм работы с hosts.
Обновлена база хэшей.

Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.

Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.

Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.

Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.

Версия 6.4 от 07.09.2014
В пункт "Устранение неполадок" добавлена возможность сброса настроек сети.
Реализован более тщательный сброс настроек сети, добавлен сброс TCP/IPv6.
Если файл hosts не существует, будет создан стандартный.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Оптимизирован алгоритм проверки файлов.
Улучшено распознавание системных переменных.
Доработан алгоритм определения вредоносных DNS-записей.
Добавлено предупреждение при ошибке очистки некоторых разделов автозапуска.
Изменено поведение чистки App Paths, теперь создаётся только файл AppPaths.reg.
Усовершенствован поиск файлов без расширений.
Улучшено определение вредоносных записей в назначенных заданиях.
Добавлено восстановление стандартных префиксов протоколов.
На диске отключено плавное прокручивание списков и обновлён DiskCryptor.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.5 от 03.10.2014
Добавлено исправление ярлыков от вредоносных сайтов.

Версия 6.5.1 от 04.10.2014
Алгоритм исправления ярлыков усовершенствован.
BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 6.5.3 от 12.10.2014
Очередная оптимизация исправления ярлыков, исправление ошибок.
В связи с ужасной работой BitTorrent Sync этот ресурс удалён.

Версия 7.0 от 21.12.2014
С ключом /start будет выведен запрос на запуск лечения, это полезно для автозагрузки WinPE.
Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
Добавлены присланные сигнатуры известных загрузочных секторов.
Добавлена проверка ключевых изменений, ошибки будут занесены в журнал.
Исправлена проблема при работе с ярлыками, которая могла появиться в редких случаях.
Оптимизировано восстановление системных файлов, теперь права доступа не имеют значения.
Добавлена проверка файлов из CLSID, неподписанные заносятся в журнал.
Добавлено отключение драйверов для сертификатов из чёрного списка.
CLSID из чёрного списка будут удалены с созданием резервной копии.
Обновлена база хэшей, добавлены различные оптимизации и исправления.
Обновлён Partition Assistant на официальных загрузочных дисках до версии 5.6.
Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Версия 7.1 от 04.01.2015
Реализовано управление правами доступа для лечения особо сложных вирусов.
Ускорено сканирование системы и уменьшено требование к свободному месту.
Оптимизирована 64-разрядная версия.

Версия 7.2 от 14.01.2015
Добавлена функция обновления интегрированного AntiSMS через интернет.
Значительно усовершенствовано определение переменных в путях файлов.
Дополнен чёрный список производителей вредоносных программ.
Добавлено лечение нового вида вредоносных ярлыков.

Версия 7.3 от 03.03.2015
Добавлена поддержка зашифрованных разделов DiskCryptor в меню восстановления.
Добавлены присланные сигнатуры известных загрузочных секторов.
Улучшена проверка и исправление ярлыков вредоносных программ.
Усовершенствован и ускорен алгоритм обработки чёрного списка.
Дополнен чёрный список производителей вредоносных программ.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Усовершенствована обработка скриптов и ярлыков.
Улучшено отображение записей CLSID в логах.
Исправлены мелкие проблемы и неточности.
Обновлена база хэшей безопасных файлов.

Версия 7.4 от 17.04.2015
Реализовано обновление ядра системы для решения проблем загрузки.
Дополнено лечение браузера Chrome от некоторых видов Adware.
Дополнен чёрный список производителей вредоносных программ.
Добавлена дополнительная проверка при обработке служб.
Обновлена база хэшей безопасных файлов.

Версия 7.5 от 05.06.2015
Добавлена возможность интеграции в меню восстановления дистрибутива системы.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствовано восстановление работоспособности альтернативного ядра системы.
Исправлены мелкие проблемы, улучшена работа со службами и назначенными заданиями.
Обновлена база хэшей безопасных файлов, добавлен ряд известных загрузочных секторов.
Добавлено предупреждение о проблемах с винчестером, если файлы читаются слишком долго.

Версия 8.0 от 27.07.2015
Добавлена интеграция AntiSMS в меню загрузки Windows XP, доступно лечение из рабочей системы.
Добавлена поддержка Windows 10, включая исправление некоторых базовых системных файлов.
Снижено требование к свободной памяти и увеличена скорость создания архива с журналом.
Добавлено автоматическое исправление неглубоких повреждений системного реестра.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствован алгоритм сброса сетевых настроек до значений по умолчанию.
Добавлен новый вид проверки вредоносных программ в назначенных заданиях.
Резервная копия файла hosts теперь помещается в карантин для анализа.
Улучшена проверка и исправление ярлыков вредоносных программ.
Добавлено лечение некоторых видов MBR-блокировщиков.
Обновлена база хэшей безопасных файлов.

Версия 8.1 от 23.09.2015
Добавлена возможность обновлять оригинальный AntiSMS.iso из WinXP.
При запуске AntiSMS из меню Пуск лечение происходит автоматически.
Реализована очистка групповых политик с созданием резервной копии.
Обновлена база оригинальных системных файлов до актуальных версий.
Дополнен чёрный список сертификатов для лечения Adware.
Оптимизирован размер основного файла и iso-образов.
Обновлена база хэшей безопасных файлов.

Версия 8.2 от 30.10.2015
В программу из меню Пуск добавлена возможность работы в тихом режиме.
Дополнен чёрный список сертификатов для лечения Adware.
Обновлена база хэшей безопасных файлов, добавлены известные загрузочные секторы.
В лог добавляется сетевое расположение проверяемого компьютера.
Добавлено резервное копирование отключенных заданий.
В белый список добавлены известные DNS-сервера.
Усовершенствовано определение некоторых новых троянов.
Добавлено резервное копирование раздела AppInit.
Сделано понятное описание ошибок Dism при интеграции.
На Win8-10 добавлена возможность интеграции прямо в меню MSDaRT.
Значительно улучшено взаимодействие со средой восстановления в сборках.
Обновлена база оригинальных системных файлов до актуальных версий.
Добавлена поддержка дисков, зашифрованных BestCrypt Volume Encryption.

Версия 8.3 от 07.02.2016
При запуске проверяется наличие новой версии и с согласия пользователя обновляется.
Реализована модульная загрузка новой версии, поэтому обновление происходит быстрее.
Теперь обновление программы возможно и в WinXP благодаря переходу на wget.
Добавлена поддержка некоторых сборок с нестандартной конфигурацией.
В WinXP также возможна интеграция при наличии записанного на диск AntiSMS.iso.
Обновлён Downloader и более автоматизированы некоторые автоматические сценарии.
Добавлена поддержка разблокировки дисков, зашифрованных через BitLocker.
К восстанавливаемым файлам добавлен dnsapi.dll, а сами файлы обновлены.
Дополнен чёрный список сертификатов для лечения Adware и другие исправления.

Версия 8.4 от 06.07.2016
Накопительные обновления и исправления.

happywanderer — 10.02.2012 04:34:17

Последнее время использую AntiWinLockerLiveCD, пока не подводил, но напрягает размер (146мб :shock:), и надо отдельно носить дополнительно или флешку или диск. Круто если Ваша утилита будет такой же по функционалу и лишена этих недостатков :good:. И ещё вопросы:исправляет ли она заражённые explorer.exe, taskmgr.exe, userinit.exe,, - уж больно часто попадаются, и лечение будет функционировать только в ХР? Спасибо!

simplix — 10.02.2012 13:26:56

Системные файлы пока не исправляет, но это есть в планах.

MBTY — 12.02.2012 12:59:52

Вирусёнок. AntiSMS 1.2 с ним не справился, 1.3 и выше - справляется.
Запустил из под WNPE Autoruns, нашел этот файл. Запустил редактор реестра там же и нашел все строки реестра, где используется этот файл. Выкладываю реестр и собственно сам файл http://rghost.ru/36477876, пароль на архив 123
Реестр (раскрыть): Windows Registry Editor Version 5.00

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec"="0"
"ExcludeProfileDirs"="Local Settings;Temporary Internet Files;History;Temp"
"BuildNumber"=dword:00000a28
"Shell"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"multifon.exe"="\"C:\\Program Files\\MegaFon\\MultiFon\\multifon.exe\" /autostart"
"AlterGeoUpdater"="C:\\Program Files\\AlterGeo\\Html5 geolocation provider\\html5locsvc.exe"
"S60197191"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S797749"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S54265"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S72169116"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11699114"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S199154176"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1041263"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S338474"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S183179166"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S2719197"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S12746190"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11613425"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11178143"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1113336"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

simplix — 12.02.2012 14:05:39

MBTY
Спасибо за файлик. Автозагрузка пока не обрабатывалась, так как пока нет возможности автоматически определить вирус в ней. Можно легко добавить лечение конкретно этого вируса, но нужно лечить и все остальные. Сейчас я работаю над реализацией проверки цифровых подписей системных файлов, возможно и с автозагрузкой что-то придумаю.

Kipovec — 12.02.2012 20:22:37

simplix
"принимайте" "на пробу" http://rghost.ru/36406368 пароль 111 "реакция" вирустотал https://www.virustotal.com/file/64e010f … /analysis/   + Авира

MBTY — 12.02.2012 22:59:24

Kipovec
Этот вроде итак лечится. Позавчера подобный убил с помощью AntiSMS

simplix — 13.02.2012 01:07:49

Kipovec
Спасибо, принято к сведению. Чем больше разных образцов будет собрано - тем лучше.

MBTY
Последний тоже лезет в автозагрузку, так же как и первый, поэтому автоматически пока не лечится.

P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим :)

Kipovec — 13.02.2012 05:21:16

MBTY
"экземпляр" приложен для "экспериментов", у меня "проблем" с подобным не возникает 5-15 минут и НЕТу нечисти.

simplix
"P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим"
ПРИЯТНАЯ новость - потестим.

hal — 13.02.2012 11:01:22

simplix, а чем AntiSMS отличается в работе от UVS (http://dsrt.dyndns.org/uvs.htm)?
Полным автоматизмом?

clientyra — 13.02.2012 23:12:36

Такой вопрос, какие системы Windows лечит (все или только XP) ?, и ещё вопросик, действует эта утилита только из под WinPE этой сборки или же к примеру с Alkid-a тоже результат будет ( запуск утилиты от имени пользователя заражённой системы ) ?

P.S. Пардон, за невнимательность, первый вопрос отпал.

simplix — 13.02.2012 23:35:46

clientyra
Теоретически утилита должна работать с любого WinPE, но тестируется только на моём. Программу не нужно запускать от имени какого-то пользователя, она всё делает автоматически и самостоятельно. Главное чтобы реестр заражённой системы не использовался другими программами, т. е. желательно сразу после загрузки WinPE запустить AntiSMS, а затем уже перезагружаться в рабочую систему.

hal
UVS создана для подготовленного пользователя и далеко не каждый разберётся, что именно нужно делать. Мне же хочется создать полностью автоматический инструмент, который будет лечить максимальное количество троянов нажатием одной кнопки. Задача оказалось несколько сложнее, чем предполагалось в начале, однако со временем всё будет реализовано.

Пока помечаю тему как Beta, так как до гарантированного излечения, которым можно будет смело пользоваться во всех случаях, нужно подождать. Сейчас нужно как можно больше разных образцов, в частности таких, которые записываются в MBR. Пока мне повезло поймать только MBRlock6.

Kipovec — 14.02.2012 07:53:24

simplix
есть ещё "проблема" - в system32 "загружаются" некие.dll в результате пользователь не может работать в нете, через 2-5 сек при загрузке страницы - выскакивает заставка "заплатить денюшку за пользованием прокси".
Так же "известны" некие.dll, в результате блокируется :D доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).
К сожалению, этих "вещиц" в наличии нет - "прибиваю автоматом".

MBTY — 14.02.2012 09:38:03

Так же "известны" некие.dll, в результате блокируется  доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).

Эх. Мне бы на работу таких дллок мешка два. Ато секретутки сидят во вконтактах, что прогноз погоды по пол часа грузится

art9 — 14.02.2012 16:56:44

Хотелось бы больше информации о том, что утилита правит, проверяет - а то запускать кота в мешке не хочется.
Пожалуйста, выложите подробный список действий утилиты.

Kipovec — 14.02.2012 18:21:59

MBTY
"аб чём" проблема, бесправный юзер и блокировка в хост. Или политики запретов в роутер-сервер (включая анонимки). Или каждый комп под паролем + прога-шпиён, и с какого доступ - "владельцу" зарплату в МИНУС (самый действенный).

simplix — 19.02.2012 23:04:15

Добавлена версия 1.3 и в шапке указан подробный список того, что умеет утилита.

MBTY — 20.02.2012 10:09:41

Создание отдельного маленького загрузочного диска. *
* уже возможно; если будет востребовано - сделаю быстро.

Хочу хочу хочу

Bitmarker — 20.02.2012 13:10:02

Сегодня на работе у бух-ов нарисовался винлокер.  AntiSMS 1.3 сработал отлично, нашел и уничтожил! После перезагрузки сканировал свежим CureIT-ом, ничего не нашел.

Для статистики: +79833204903 - на этот номер предгагалось отправить деньги

hal — 20.02.2012 13:45:06

Судя по описанию, получается примерно то же, что делает UVS, только в автоматическом режиме :)

simplix сообщает:

Все нестандартные записи в файле hosts будут закомментированы.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

А вот после указанного в ряде случаев некоторые программы не будут работать. В общем, без последующего напилинга не обойтись :cool: Надо бы предусмотреть backup наподобие того, что сделано в AVZ в виде соответствующих reg-файлов.

А вообще вещь получается хорошая :good:

P.S. Плюсуюсь к созданию маленького загрузочного диска. Иногда приходится "лечить по телефону", для этих случаев был бы очень хороший инструмент. С последующим "долечиванием" через TeamViewer :cool:

MBTY — 20.02.2012 16:16:05

hal
закомментированы - это ж не удалены, а у остальныъ элементов просто галочки будут сняты на запуск - мона будет включить. то ли дело, если позиции автозапуска совсем удалить, а туточке всё разумно отрубается, но не трется

art9 — 20.02.2012 16:44:08

simplix сообщает:

Все ограничения (Policies) пользователей и системы будут удалены.

Данное исправление в AVZ не рекомендуют использовать в Windows 7/Vista, т.к. это может привести к незагружаемости ОС.
Для этих  версий Windows данный пункт AVZ советуют  заменить  на скрипт:


Код:

begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Может в данной программе тоже это следует учитывать?

И еще.
Данная программа работает только с live CD.
Но иногда, получается вызвать Безопасный режим с командной строкой - может все таки дать возможность работать с активной windows ?

af_pro — 20.02.2012 18:40:37

simplix
К сожалению или к счастью вирусов пока не попалось. Запустил несколько раз утилиту, порадовал аскетический интерфейс в стиле русского радио. Учитывая весьма значительный объем агрессивно-инвазивной работы программы, было бы не лишним организовать генерацию лог файла с исходным состоянием системы и проделанной работой.
Весьма скромные размеры утилиты позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.

MBTY — 20.02.2012 18:45:56

af_pro сообщает:

позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.

Она уже там

af_pro — 20.02.2012 20:04:59

simplix
Рабочей системе полтора года. После холостого запуска утилиты, система начала загружаться ощутимо быстрее. Однако полезный побочный эффект.
:shock::good:

art9 — 21.02.2012 10:24:02

еще места для исправлений:
1) удаление параметров Shell или Userinit в HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
2) удаление HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
и
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
3) HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager
параметр BootExecute должен быть "autocheck autochk *"
4) Задания Windows тоже часто используются для старта зловреда, но т.к. очень много полезных заданий, то лучше использовать переименование файлов, чтобы потом можно было вернуть обратно.
5) если в автозагрузке прописана программа wscript.exe, то отключение ее - через ее запускаются зловредные скрипты, а она имеет цифровую подпись

simplix — 21.02.2012 11:19:59

В шапку добавлен первый вариант загрузочного диска для AntiSMS, оставлены некоторые полезные и бесплатные программы.

art9
1 и 2 уже работает, 4 было в планах - дописал в шапку, 3 и 5 на заметку.

art9 — 21.02.2012 12:34:37

вот список временных папок, может будет чем-то плезно:
C:\users\ess\appdata\local\temp
C:\temp
C:\windows\temp
C:\windows\serviceprofiles\localservice\appdata\local\temp
C:\windows\serviceprofiles\networkservice\appdata\local\temp
C:\users\ess\appdata\local\microsoft\windows\temporary Internet Files
C:\users\ess\local Settings\application Data\mozilla\firefox\profiles\gpxy9y30.default\cache
C:\users\ess\local Settings\google\chrome\user Data\default\cache
C:\users\defaultapppool\appdata\local\temp
C:\users\defaultapppool\appdata\local\microsoft\windows\temporary Internet Files
C:\users\default\appdata\local\temp
C:\users\default\appdata\local\microsoft\windows\temporary Internet Files

так же следует удалить тут:
C:\recycler
C:\$recycle.bin

И программные файлы от сюда:
C:\windows\fonts
C:\users\ess\cookies
C:\users\defaultapppool\cookies
C:\users\default\cookies

MBTY — 21.02.2012 15:11:17

simplix
C:\windows\fonts
не удаляй. там шрифты системы

art9 — 21.02.2012 15:16:22

MBTY сообщает:

simplix
C:\windows\fonts
не удаляй. там шрифты системы

Вообще-то я написал, что там следует удалить программные файлы, а не все файлы.

up
Новые винлоки кидают сюда: http://forum.ru-board.com/topic.cgi?for … start=2480
и далее по форуму.

Кстати, antiSMS - название не очень звучит, сейчас вымогатели больше работают без смс.
Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

happywanderer — 21.02.2012 18:04:59

art9 сообщает:

Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

SimplixKills ;)

pdi77 — 22.02.2012 13:04:38

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

art9 — 23.02.2012 10:08:14

1) очистка AppInit_DLLs, желательно с фильтром, чтобы не удалялись записи антивирусов, например,  "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

2) можете ли выложить скриншоты при работе с утилитой?

UP

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

Shadow_Man — 24.02.2012 20:06:56

art9 сообщает:

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

А вот такие вещи надо делать с согласия пользователя, т.к. многие качают софт прямо на рабочий стол, а потом уже перекидывают куда надо.

UPD:
Лог файл лучше сохранять на рабочем столе и открывать по завершении работы программы.
Можно еще чистить папку %WINDOWS%\SYSTEM32\DLLCACHE

happywanderer — 24.02.2012 21:43:41

Своих приучаю и себя - не хранить на рабочем столе ни чего лишнего, тем более exe-ники, для этого использую кнопку в total commandеr, для запрета изменений на раб. столе.

Sergikaz — 25.02.2012 17:16:09

pdi77 сообщает:

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

Согласен с этим полностью. Сегодня заделал я себе usb-cdrom на флешку с последним образом сборки. Решил загрузиться с флешки на своём компе. Загрузился в WinPE, всё отлично загрузилось. Порадовало присутствие в программах BlueScreenView. Опечалило, что если на винте одна система Seven, Autoruns не запускается. Но это я отвлёкся.
Нельзя было не заметить иконку на Рабочем столе утилиты AntiSMS. Вещь на этом WinPE очень нужная!!! Ну щёлкнул я по иконке, запустил значит. Выскочило бодрое обещание "Делаю всё хорошо, подождите..", а я задумался. И где же ты делаешь "хорошо"? Всё дело в том, что в системнике у меня три винта и на каждом винте у меня как минимум 2 независимых операционных систем. Я любитель экспериментов, у меня такой извращённое хобби. Однако, мне же все таки хочется знать, хочется контролировать последствия.
Утилита отличная, идея очень хорошая. Как тут уже предлагали, очень нужно восстановление системных файлов explorer.exe, taskmgr.exe, userinit.exe. Три дня назад лечил винлокер. Пролечил утилитой AntiSMS, попробовал загрузиться в систему, а винлокер опять не пускает. Как оказалось, заражён userinit.exe. Опять пролечил AntiSMS, сходил в папку i386 сборки, нашёл нужный системный файл и распаковал его на "больную" систему. Так вот, у меня предложение simplix. Если утилита AntiSMS запущена из-под WinPE вашей сборки, значит дистрибутив Windows XP "под рукой". После проверки, что "больная" система является ХР, то восстановление (распаковка и замена) определённых системных файлов производить в любом случае. Не зависимо от того, были они заражены или нет. Это реализовать не сложно, можно просто скрипт написать, но если это будет уже заложено в AntiSMS на вашем WinPE, то я смело буду по телефону довать рекомендации: загрузитесь через Биос с диска simplix, выберите "загрузка небольшой операционной системы WinPE", когда загрузится Рабочий стол, то два раза кликните (запустите) по иконке AntiSMS, выньте диск и загрузитесь на свою систему.
Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать, а потому надо как можно больше добавить эффективности утилите и упростить работу с ней (правда, уже проще некуда)))).

simplix — 25.02.2012 20:20:36

Утилита делает ровно то, что написано в шапке, т. е. если винтов и систем много, то вылечены будут они все. Autoruns запускается через RunScanner, с Win7 действительно не работает, но её можно запустить вручную, не ярлыком, и указать каталог с системой (подключить средствами самой программы). Лично я пользуюсь Regedit PE, там в избранное добавляются ключевые ветки автозапуска. Логи - разве что в будущем, когда весь необходимый функционал будет реализован. Сделать ещё нужно много, далеко не всё написано в шапке. Сейчас уже реализовано лечение MBRLock 6 и 14 (других образцов на руках нет), когда будет добавлено ещё несколько серьёзных доработок, тогда и появится следующая версия.

Я очень мечтаю о таком сценарии "лечения" по телефону.

Я тоже, поэтому и взялся за полностью автоматическое лечение системы. Область применения не ограничивается только лечением по телефону, маленький образ может скачать кто угодно, независимо от знаний компьютера, и откуда угодно, хоть на скорости модема. Это замечательно.

art9 — 26.02.2012 15:18:53

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.
С возможность скопировать их в определенную папку.

Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

И кстати, будут ли скриншоты?

happywanderer — 26.02.2012 20:31:46

Sergikaz сообщает:

Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать,

art9 сообщает:

С возможность скопировать их в определенную папку.
Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Ребята молодцы, надежду не теряют, а у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS, лично у меня терпения нехватало - теперь уж или я к Вам или Вы ко мне - последнее чаще.

Smulev — 27.02.2012 09:39:00

simplix
Полезная программа у вас получилась. Сегодня опробовал, больной комп элементарно починился (правда ещё пришлось скопировать userinit.exe с рабочей системы, после того как его грохнул антивирусник при проверке)
Маленькая просьба, а можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ? А то у меня всё чаще попадаются диски и флэшки отформатированные в нее.....

mariolast — 27.02.2012 22:34:09

Как образ диска АнтиСМС запустить с флешки из под груб4дос?

MBTY — 28.02.2012 06:19:44

mariolast
Если в поиске форума написать GRUB, то ваши волосы станут мягкими и шелковистыми...и ни одной новой дырки
Бля

Amigos — 28.02.2012 18:04:36

сегодня при помощи 

[AntiSMS 1.3 (93.1 KB)

успешно полечен свежий винлокер https://www.virustotal.com/file/0103d89 … /analysis/

art9 — 28.02.2012 20:14:15

simplix,
Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Представляет собой командный файл преобразованный в EXE файл с помощью утилиты bat2exe.
Введет лог работы в файл c:\testantibann.log
Прописывает в себя в разные ветки автозапуска и копирует себя в разные папки системы.
Пока взял самый минимум вариантов "заражения". Думаю, потом усовершенствую, если нужно будет.

Ссылка: http://upwap.ru/2066550
Пароль: 123

simplix — 29.02.2012 03:14:32

Новая версия 1.4, все изменения в шапке.

art9 сообщает:

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.

Трояны легко могут менять время файлов, это не показатель. Лучше сделать быструю проверку свежим антивирусом.

art9 сообщает:

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

Учитываются только те исполняемые файлы, которые имеют сигнатуру MZ в начале файла. Но это не основная зачистка, а дополнительная, так как без автозапуска они безвредны.

art9 сообщает:

И кстати, будут ли скриншоты?

Было бы что скриншотить...

happywanderer сообщает:

у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS

Достаточно один раз поехать, выставить загрузку в порядке CD->HDD и оставить записанный диск.

Smulev сообщает:

можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ?

Хорошая была идея.

art9 сообщает:

Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Спасибо. Версия 1.4 текущий тест проходит.

hal — 29.02.2012 09:12:52

Версия 1.4. Шикарно! И всего в 122 кб :cool:

g0dl1ke — 29.02.2012 10:08:03

возможен ли откат действий, на всякий случай?

11:10:47
про msconfig я понял - "галочки" поставить и все вернется на круги слова, а что делать например c  AppInit_DLLs, туда падает не только каспер, а например комодо

12:47:30
возможно ли сделать по аналогии с avz папку "restore" или что то типа, куда упадут удаленные файлы и импорты ключей реестра, в reg файле, со значениями до изменений?

simplix — 29.02.2012 10:51:36

g0dl1ke
Полный откат невозможен, так как не приоритетно откатывать стандартные ключи реестра, но откат самых важных этапов лечения возможен через msconfig. Вот как раз "всякого случая" произойти не должно, утилита построена по принципу "лучше ничего не сделать, чем навредить". Возможно полный откат будет запланирован на будущее, но для этого как минимум нужно найти серьёзный повод в виде ошибки или нестандартного случая.

11:28:34
Файлы комодо обязательно должны быть подписаны, поэтому записи о них тоже не будут удалены.

kpuk — 01.03.2012 17:52:35

А как утиль определяет что запущена под винПЕ??
а то у мя при запуске с винПЕ которая идёт на борту hiren by lexapass  ругается что это не вин пе и что работать она небуит(

simplix — 01.03.2012 23:43:57

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

art9 — 02.03.2012 20:50:14

Обновил тестовую утилиту для проверки антибаннерных программ.
Изменение:
+ различные варианты загрузки через папки "Автозагрузка"
+ ежеминутный старт через Назначенные задания.

Скачать: http://upwap.ru/2072743
Пароль: 123
На свой страх и риск! Опасно!

MBTY — 04.03.2012 22:26:00

Дожили. Получил ПК на лечение. Блокировщик был примерно такого вида Голубенький такой, но не на весь экран. Скачал касперский рескью диск. Базы были от 01.03, а дело было 02.03 и, не обновившись, проверил ПК. Ну и чтоб вы думали? Каспер вылечил файлы в TEMP, еще там во временных файлах инета, даже в HOSTS нашел трояна, и поправил его. Перегружаюсь, а блокировщик на месте. Решил, что ну стоит тратить время на обновление баз рескью сиди и повторную проверку в 2 часа, а просто с Антисмс 1.4 всё отремонтировал разом. Понравилась кстати фраза "Делаю всё хорошо". Вот как то так. Делайте выводы.

art9 — 05.03.2012 17:29:19

файл hosts не обрабатывается, если у файла атрибут "только чтение"

UP
Еще, после отключения зловреда, AVZ показывается кое-какие остатки в реестре: http://s58.radikal.ru/i161/1203/64/2d2083753621.jpg
Хотя, автозапуска не происходит, так что, полагаю, это не принципиально.

Еще. У меня ctfmon.exe заменен файлом-пустышкой с помощью утилиты xpAntiSpy,
После AntiSMS у меня он восстановился, я его опять отключил. Потом опять запустил AntiSMS - восстановления уже не было....  хм....

UP2
Про файл ctfmon.exe я наврал! Он восстанавливается. Так что все веригуд.

Только зачем-то появился файл C:\WINDOWS\taskmgr.exe - он должен быть в папке system32

ps
Последняя версия тестовой утилиты пока не лечится (даже без Назначенного задания)

UP3
Появилась первая инструкция по борьбе с вымогателями с использованием AntiSMS: http://antivir.h18.ru/metodika/0035.html

simplix — 06.03.2012 11:55:10

Утилита обновлена - добавлено небольшое исправление к алгоритму обработки AppInit_DLLs.

art9
hosts проверю, статья - отличная! taskmgr появился вместо taskman, тоже исправлено. Спасибо за тестовую утилиту, буду разбираться.

art9 — 06.03.2012 21:50:01

1) В текущей версии можно восстановить настройки сети из рабочей Windows. Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту. Но, если образ такой маленький, то можно в него кинуть и утилиту в доступном виде, а то пользователь сначала побежит к соседу чтобы записать образ на носитель, а затем побежит, чтобы закачать утилиту на флэшку (если не будет доступен инет из-за последствий зловреда). И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

2) чтобы записать образ на флэшку достаточно ли этой инструкции из инета:

Смонтировать LiveCD на флэшку можно через программу UltraISO:
1. Вставляем флешку.
2. Открываем iso-образ в UltraISO (проверял на версии 9.3.0.2600).
3. Меню: Самозагрузка - Записать образ Жесткого диска
4. В открывшемся окне: Disk Drive - Выбираем нашу флешку (у меня подставляется автоматом), Метод записи - Выбираем USB-HDD
5. Жмем кнопку: Форматировать - FAT32
6. После завершения форматирования, жмем кнопку: Записать

?

MBTY — 06.03.2012 23:30:46

art9
1) Аntismsъ.exe есть в образе (в WinPE).
2) Ехе лежитъ отдельно для техъ, кто какъ разъ-таки в состоянии пользовать UltraISO и прочее.
3) Чо два раза бегать к соседу я не понял. Прийди раз да все сразу и сделай. Или у вас однозадачный сосед?
4) Ридми - если внимательно прочтете, то таких вопросов больше не возникнет.

http://savepic.su/1534232.jpg

art9 — 07.03.2012 08:50:12

Ну тогда повторюсь еще раз другими набором букв и слов: антиСМС имеет функцию для восстановления настроек инета из рабочей системы. И это единственная функция, которая работает из рабочей Windows. На лайве нет exe в открытом виде при работе в установленной WIndows.  Почему бы ее не добавить на лайв в виде файла antisms.exe, в корне например?

MBTY — 07.03.2012 10:56:46

Соглашусь, что стоит растолковать всем где находится и как достать antisms.exe из ISO образа. Мало ли какие ситуации бывают. Нашел два самых простых способа и, собственно, сделал два демо-ролика, в которых показано как это осуществить.
1)С использованием Total Commander, в котором есть хоть малолмальский набор архивных плагинов (сейчас другого и нен найти)
2)Через проводник с установленным в ОС архиватором (на ролике 7-zip, но для WinRar способ аналогичен)
http://rghost.ru/36891581
P.S. В TC на WINPE.IS_ нажимается не Enter, а CTRL+PageDown - я пока не понял как в эти ролики вписывать текст, по шустрому за  5 минут сделал

simplix — 07.03.2012 22:09:46

art9 сообщает:

Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту.

Разумное замечание, раз эта идея возникла не только у меня - так и сделаем. А если кому-то утилита понадобится в обычном виде - легко достанет её из образа.

art9 сообщает:

И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

В общем-то при запуске в системе утилита сообщает, какую страничку нужно посетить для подробностей. В будущем было бы очень полезно добавить на этот диск инструкцию, как выставлять загрузку с BIOS. Вот здесь есть хорошая и подробная инструкция.

art9
Здесь вы наверное выкладывали программу, поправьте ссылочки на те, что в шапке, а то старые скоро не будут доступны.

simplix — 07.03.2012 23:27:09

AntiSMS обновлена до версии 1.6, изменения в шапке.

MBTY — 08.03.2012 01:13:07

simplix
Не очень то рационально - удалить ехе с шапки.
1) Если на чужом компе вирусы, а флешки с софтом под рукой нет, то соственно часто становится всёравно лежит ли файл в корне образа или внутри образа в образе или еще где. Всеравно ISO открыть становится нечем.
2) Если у меня ПК и сеть на нем залочена, есть старый WNPE, то я мог просто грузануться с WNPE, скачать ТЕЛЕФОНОМ файлик, подключить телефон к пк как флешку и собственно запустить новый Аntisms.ехе, а теперь получается нужно в любом случае перекачивать 30 метров. Телефоном это и дорого и долго.
Случаи конечно я описал редкие, но они не так уж и невозможны. Убрав ехе с первого сообщения шансы всех людей самостоятельно вылечить ПК просто переполовинились.

Понимаю, что в образе есть стандартные системные файлы, которыми заменяются инфицированные, если это необходимо и качать ISO лучше, чем качать ехе, но и сама ехе вполне самодостаточна...

simplix — 08.03.2012 02:07:15

MBTY
Убедил, значит будет и ссылка, и в корне образа.

art9 — 08.03.2012 11:18:48

simplix
ссылку поправил.

Интересно, при удалении блокиратора, который портит таблицу разделов, компьютер вернется к жизни или еще нужно будет с помощью другой программы восстанавливать таблицу разделов?

siva — 08.03.2012 11:49:47

Вчера без проблем избавился от такого блокиратора Trojan.MBRlock.6
СПАСИБО за утилиту!

simplix — 08.03.2012 12:17:43

art9
Загрузочный сектор во всех случаях восстанавливается полностью, включая таблицу разделов, в таком виде, в котором он был до заражения компьютера. Но если таблица разделов была удалена, то все диски будут видны только после перезагрузки - тогда не помешает запустить AntiSMS ещё раз, чтобы просканировать рабочую систему.

olzaruta — 08.03.2012 22:12:21

simplix ПРИВЕТ!  Подготовил для вас один новый винлокер+несколько блокировщиков-шифровщиков! Выложить здесь или там?

simplix — 08.03.2012 23:10:47

olzaruta сообщает:

...винлокеры тут выкладываются под паролем для спецов, и именно для того что бы рядовые пользователи знали опасность в лицо и умели противостоять им...не будет материала для исследования..не будет и защиты....

Это вы точно сказали. Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

olzaruta — 08.03.2012 23:49:56

simplix сообщает:

Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

- Выложу пока здесь...там критиков больно много развелось...:)
- Свежий локер   http://zalil.ru/32839169 пароль на архив tinezadnyi но он так же какой то недоделанный...скрин http://i28.fastpic.ru/big/2012/0309/7a/ … 56297a.jpg
- Шифровщики 4 шт:
- Первый: http://zalil.ru/32734710 пароль на скачку 2012 скрин http://i32.fastpic.ru/big/2012/0219/ce/ … 63b6ce.jpg
- Второй: http://rghost.ru/36920026 пароль на скачку 2012
- Третий: http://rghost.ru/36920049  пароль на скачку 2012
- Четвертый: http://rghost.ru/36920062  пароль на скачку 2012

- Но не уверен что шифровщиков нужно  через ваш софт лечить...по моему для них необходим спец механизм...хотя...как знать...

Нашел trojan.mbrlock.17  http://safezone.cc/forum/showthread.php?t=16225  но скачать не могу...не дают...может вы попробуете что нибудь предпринять?

simplix ну как материал? rojan.mbrlock.17 удалось выцепить?

opp — 09.03.2012 15:11:38

Загрузился с CD, выбрал WinPE, запустил из под нее AntiSMS v1.3. После перезагрузки перестал грузиться Novell Client for Windows (XP). "msconfig -> Обычный запуск" ситуацию не исправил. Правда, после очередной перезагрузки, можно было вручную запустить клиента NetWare и подключиться к серверу. Вещь, конечно экзотическая, по нонешним временам, но вполне встречающаяся.
P.S. До проверки система была здоровая, просто решил потестить утилиту AntiSMS.

Да, Novell Client меняет экран входа в систему (а еще устанавливает NICI - инфраструктуру шифрования).
До проверки стояла версия клиента Novell Client 4.91 SP5 for Windows ( http://zalil.ru/32843187 ). После проверки AntiSMS решил заодно обновить клиента до последнего Novell Client 4.91 SP5 for Windows (IR1) ( http://zalil.ru/32843286 ).
Установка новой версии "поверх" старой (обновление) положительного эффекта не дало. В начале загрузки открывается стандартный (вместо новелловского) экран входа в систему и тут же открывается окошко "Поиск доменов для входа..." (кажется). И висит, пока не нажмешь Ctrl-Alt-Del. В общем, через несколько таких попыток (Ctrl-Alt-Del) удается войти просто в этот комп, но в итоге оказывается, что новеловский клиент подцепился к серверу нормально и подключились сетевые диски.

simplix — 09.03.2012 15:16:29

olzaruta
Локер по первой ссылке толком не рабочий. Да и в принципе наверное все подряд публиковать не стоит, т. к. их тысячи, лучше выкладывать такие, с которыми программа не справилась, а до сих пор такого не было ни одного.
Шифровальщики только сегодня скачал, посмотрю. Хотя тут и так понятно, что универсального алгоритма лечения быть не может.
По другой ссылке MBRLock.17 находится не дроппер, а дамп секторов винчестера. Таких дампов у меня много, в принципе лечение можно разработать и по ним, но чтобы наверняка всё оттестировать - нужен живой дроппер (exe-файл, который заражает MBR).

opp
Я предполагал, что такая ситуация может возникнуть... Дело в том, что Novell Client насколько я помню меняет экран входа в систему, т. е. прописывает в GinaDll свою библиотеку. Туда вполне могут прописываться трояны, поэтому параметр изменяется к стандартному. Очень рекомендую пользоваться только новыми версиями AntiSMS, в них много исправлений и новый функций, а старые версии менее эффективные (видно по истории изменений в шапке).

simplix — 09.03.2012 18:07:29

Программа обновлена до версии 1.7, лечение MBRLock.17 добавлено на основе анализа дампов, т. к. дроппера можно ждать долго.

opp
В 1.7 и выше учитывается Novell Client и его значение GinaDll. Странно, что библиотеку под Windows XP Novell даже не подписала.

art9 — 09.03.2012 18:59:56

как я понимаю, антиСМС в лечении загрузочных вымогателей работает по принципу "черного списка". Т.е. файловые баннеры лечатся универсальным способом, а загрузочные только если известны "в лицо".
Может тогда была бы полезна возможность переписать загрузочный сектор на стандартный? Как это делают подобные другие программы.
Конечно, это более опасно. Но, например, была бы кнопка "Если лечение не помогло", после ее нажатие появляется пугающая надпись, что используйте этот способ лечения, только если не помогло безопасное лечение, ну и если пользователь соглашается, то перезаписывается загрузочный сектор.

barsuk — 09.03.2012 20:01:44

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

навскидку включил AlcorMini_2012-03 данный параметр установлен там как Вы и сказали, но все равно не грузится (тоже что и из обычной ХР), хотя с PE от винды Вашей всё гууд обрабатывается

можно ли как то упростить эту процедуру блокировки или сделать предупреждение что запуск не из PE неэффективен и все равно принудительным нажатие СОГЛАСИЯ завести утилиту?
или хотябы подскажите в чем дело, а то утилита нужная! и хотя я встроил Ваш PE в свою мутизагрузку, но все равно хочется чтоб запустить можно было не только из Вашей PE

simplix — 09.03.2012 22:21:07

art9
Лечатся только известные MBR-блокировщики, неизвестные не лечатся, т. к. это рисковано. Во-первых загрузчик может быть нестандартный, тогда запись стандартного может убить альтернативный загрузчик или снести активацию. Во-вторых так можно окончательно убить таблицу разделов. Но не всё так плохо - на данный момент лечатся все MBR-блокировщики, которые можно реально поймать (6, 12, 13, 14, 17, 19), а новые будут оперативно добавляться. Здесь вирмейкеры оказываются в невыгодном положении, т. к. создание сложного блокировщика требует много времени и тестирования, а создание алгоритма лечения очень быстрое.

barsuk
С версии 1.7 ключ SystemSetupInProgress не используется, программа будет работать на любом WinPE.

barsuk — 10.03.2012 06:19:59

как раз это версия была 1.7, вот скрин
http://i28.fastpic.ru/big/2012/0310/01/ … ce6001.png
---------------
также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe
---------------
и как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской (я такую юзаю)
---------------
и еще вопросик т.к. в мультибут я добавил Ваш PE от диска Винды:
будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

opp — 10.03.2012 07:01:09

simplix сообщает:

Странно, что библиотеку под Windows XP Novell даже не подписала.

Возможно это последствия конкурентной борьбы на рынке серверов. Хотя сейчас у новелла с мс дружба.

simplix — 10.03.2012 10:22:23

barsuk сообщает:

как раз это версия была 1.7

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

barsuk сообщает:

также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана. Задача программы стоит не полностью вылечить систему, а разблокировать её для проверки антивирусом.

barsuk сообщает:

как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской

Потому что русская встречается у 95% пользователей и замена повреждённых английских файлов на русские тоже решает проблему.

barsuk сообщает:

будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

Обязательно.

barsuk — 10.03.2012 10:26:38

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

это не мой)) просто у меня  в мультибуте
http://narod.ru/disk/42633129001.b3de29 … 3.rar.html

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана.

согласен, но файлы нужные и уезвимые) просто подумал лишним не будет :D

насчет английской винды и файлов: можно ли сделать чтоб самому (мне) накидать туда файлов из system32 и они проверялись?
папку сделать пустую WXPEN в которую если кинуть файлы, то копирование происходило не из русской папки а из этой?
я понимаю что для Вас еще важно чтоб все поместилось на 700-CD, но даже на моем ПК где ДВД и не пахло я и CD уже не юзаю... юзаю CDROM-область флешек, так что у меня еще 3,5ГБ свободно на 8ГБ-шной флешке)) а если файлы можно будет восстанавливать таким образом то думаю будет хорошо

Savage-i — 12.03.2012 06:53:21

simplix
В последней версии 1.7 все нормально работает.
Принесли ноут Acer, с диагнозом, что был локер. После чего-то вообще перестал загружаться и писал что не знает с чего загружаться. Со слов клиента.
Загрузился с Windows 7 LiveCD 5.5 xalex, запустил AntiSMS с флешки - все пролечил. Перезагружаюсь - тишина. Загрузил Acronis Disk Director Suite - не было ни одного активного раздела вообще. Далее уже долечил стандартным загрузчиком от Windows 7. Он нашел еще проблемы в загрузке и сам исправил. Все заработало
Я к тому, что реально ли есть локер который подавляет атрибут Активного раздела?

simplix — 12.03.2012 11:44:28

barsuk
Возможно что-то из этого будет реализовано в будущем.

Savage-i
Скорее всего клиент занимался самолечением и что-то сделал неправильно. Если MBR-блокировщик вообще был и AntiSMS его вылечил, то в конце работы вы увидите сообщение, что винчестер тоже вылечен, а во временной папке WinPE (на моём это B:\Temp) и на разделе с системой (если таблица разделов не повреждена) будет файл MbrLock0.bak с копией заражённого MBR. Таких локеров, которые просто убирают атрибут активного раздела, я не видел.

Savage-i — 12.03.2012 13:51:44

simplix
Вероятней всего что клиент пытался лечить самостоятельно. Но я просто подумал что МБР-локер такое мог сотворить. После лечения вроде не видел в системном разделе файл с копией МБР, может не обратил внимания.
Но все равно спасибо за чудесную утилиту! Надеюсь будет конкурентной для AntiWinLocker.
В будущем планируется ли создание программы как самостоятельное приложение в ОС, например как AntiWinLocker? Чтобы налету подавляла возможность заражения (по методу AntiWinLocker)
Будет ли добавлена возможность лечения Win2k3 Server (каталог с файлами для восстановления). Есть сборки типа nCore (lwgame.net), которые заточены под рабочую станцию

olzaruta — 12.03.2012 18:10:57

simplix вот этот локер-вредитель системы http://zalil.ru/32855694 пароль на архив 20122 Ваша программа не лечит!!!!! Скрины в архиве, он блокирует винду и портит настройки системы.....блокирует диспетчер..меняет обои раб.стола...вместо часов в правом нижнем углу надпись ГНОЙ, пропал значек мой компьютер...и т.д и т.п.

Fiolet — 12.03.2012 18:14:38

simplix
Спасибо большое за все Ваши проекты!:good:
В продолжении идей Savage-i хотел бы предложить возможно "нереализуемый вариант":
Прописать программу в автозагрузку Безопасного варианта входа в систему - чтобы программа на автомате вылечила систему.:unknown:

A_B — 12.03.2012 19:12:45

simplix
Благодарю Вас, очень сильно выручили меня (на работе, при попытке загрузить AVZ появилось красное окно с предупреждением о блокировке Win XP). Благо дело это случилось в конце дня. С утра, вооружился Вашим загрузочным CD, затем запустил AntiSMS.exe и по окончании его работы перезагрузил комп в обычный режим и все стало ОК!
Дома, как любитель экспериментов, решил сделать испытание «тестовым файлом xxx_po….zip», за что автору этого файла отдельное спасибо. Мой нынешний nod32 v.4.2 сразу его заглушил и для продолжения эксперимента пришлось вырубить nod32 и запустить тот файл вновь
Появился синий прямсугольник, блокирующий работу WinXP. Загрузился  с  диска от AntiSMS.iso и запустил AntiSMS.exe, однако положительного результата не было, и после этого я прервался. Через 10 мин подхожу а синий блокирующий прямоугольник исчез ... Перезагрузил комп и все само стало ОК?
Вопросы: где найти следы удаленных зловредов, и каких именно, для обоих случаев?

simplix — 12.03.2012 19:55:05

Savage-i
Создание утилиты для рабочей системы вообще не планируется, если вас устраивает функциональность AntiWinLocker - пользуйтесь им. Если сравнивать загрузочные диски AntiSMS и AntiWinLockerLiveCD, то они достаточно разные как по размеру, так и по возможностям - там упор сделан на ручное редактирование, у меня же на полную автоматизацию. Да и понимание того, как должна работать такая программа у меня своё, это позволяет не использовать чужие идеи и возможные ошибки. Однако вряд ли можно назвать AntiWinLocker конкурентами, скорее коллеги - одно дело делаем.

Savage-i сообщает:

Будет ли добавлена возможность лечения Win2k3 Server

Скорее всего такая возможность появится в будущем, чтобы пользователь AntiSMS сам мог добавить файлы для нужных систем.

olzaruta
Я уже видел этот локер ChatADMIN, но на самом деле программа его лечит (проверено на версии 1.7). Если бы система осталась заблокированной, вот тогда можно было бы сказать что не лечит, а так - разблокирована полностью. То, что ChatADMIN портит систему, это не проблема AntiSMS, самое главное что появляется доступ ко всем настройкам, можно запустить антивирус и отредактировать автозагрузку через msconfig. AntiSMS не будет восстанавливать абсолютно все настройки в таком виде, в каком они были бы при переустановке системы. Согласитесь, восстановление времени вместо текста или координат фона рабочего стола совсем не входит в задачи разблокировки. Но я посмотрю, что можно сделать в подобных случаях, чтобы было разблокировано как можно больше возможностей в системе.

Fiolet
Программа не будет работать в системе, т. к. троян может тут же заражать систему заново, в том числе и в безопасном режиме. Лучше запишите загрузочный диск и выставьте очерёдность загрузки CD->HDD в BIOS, когда возникнут проблемы - достаточно вставить диск и перезагрузить компьютер.

A_B
На данный момент резервные копии удаляемых файлов не делаются, так как удаляются они только из тех папок, где легальных программ быть не может. Это будет реализовано в будущем.

Savage-i — 13.03.2012 06:20:50

simplix
Спасибо за разъяснения.
Это будет хорошо, если будет возможность восстанавливать файлы различных систем.

Еще бы хотелось пожелать. Если AntiSMS не сможет пролечить MBR-локер, может тогда встроить функцию, которая бы делала копию зараженного MBR и сохраняла в виде файла. А дальше этот файл можно отправить Вам на анализ. А уж по дампу можно придумать лечение и выпустить обновленную версию

g0dl1ke — 13.03.2012 10:13:44

по поводу ChatADMIN: 1.7 лечит, но не до конца.
вот лог avz


Код:

9. Мастер поиска и устранения проблем
 >>  Блокировка редактора реестра
 >>>  Блокировка редактора реестра - исправлено
 >>  Блокировка диспетчера задач
 >>>  Блокировка диспетчера задач - исправлено
 >>  Установлена большая задержка перед открытием меню (более секунды)
 >>>  Установлена большая задержка перед открытием меню (более секунды) - исправлено
 >>  Рабочий стол - заблокировано отображение иконки Мой компьютер
 >>>  Рабочий стол - заблокировано отображение иконки Мой компьютер - исправлено
 >>  Заблокирован элемент Выполнить в меню Пуск
 >>>  Заблокирован элемент Выполнить в меню Пуск - исправлено
 >>  Некорректный порог предупреждения о недостатке свободного места на диске
 >>>  Некорректный порог предупреждения о недостатке свободного места на диске - исправлено
 >>  Заблокирована служба работы с USB накопителями
 >>>  Заблокирована служба работы с USB накопителями - исправлено
 >>  Заблокирована возможность установки и удаления программ
 >>>  Заблокирована возможность установки и удаления программ - исправлено
simplix — 13.03.2012 15:11:02

g0dl1ke
В следующей версии всё-таки будет чистка от программ типа ChatADMIN. Кстати AVZ исправляет далеко не всё, к тому же неправильно определяет блокировку редактора реестра и диспетчера задач - на самом деле AntiSMS делает эту разблокировку.

Altorn — 14.03.2012 02:10:51

Уважаемые коллеги! Сегодня боролся с TrojanMBRlock. По классификации Dr.Weba - TrojanMBRlock6 c кодом разблокировки 113331 (найдено по номеру кошелька) Так CureIT его не взял! Эта зараза блокировала запуск сканера!? Записал последнего на две флешки, запускал из под WinPE.
Вопрос: Возможно ли такой розум у этой заразы? Поделитесь мнениями. Спасибо.

simplix — 14.03.2012 03:12:52

Новая версия - 1.8, изменения как обычно в шапке. Последний тест от art9 проходит, ChatADMIN и подобные вредители нейтрализуются (в частности то, что можно автоматизировать и проверить).

Altorn
У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE. Но AntiSMS лечит такие трояны, а дальше CureIt можно запустить после перезагрузки уже в рабочей системе.

Savage-i — 14.03.2012 06:35:40

simplix
Как я понимаю, сам ISO образ можно не перекачивать, основа не изменяется? Просто скачать обновленную утилитку и самому обновить ISO?

pdi77 — 14.03.2012 10:04:09

В архиве Drive1.bin, возможно когда-то пытались использовать активатор, т.к видно записи про груб.
После выполнения команды bootsect /nt60 /c: /force /mbr файл получается идентичный.
http://ifolder.ru/29280623

simplix — 14.03.2012 11:31:58

Savage-i
Конкретно между версиями 1.7 и 1.8 образ не менялся, но в будущем такое запросто возможно, так что лучше по возможности загружать образ. Если у вас свой WinPE - убедитесь, что скопировали папку Files с оригинальными файлами.

pdi77
Похоже у вас два винчестера и команду bootsect вы выполняете для первого, поэтому на втором ничего не меняется.

olzaruta — 14.03.2012 11:41:17

http://forum.ru-board.com/topic.cgi?for … rt=5040#11
http://forum.ru-board.com/topic.cgi?for … art=5040#7
http://forum.ru-board.com/topic.cgi?for … art=5020#5
-тут выложил блокировщиков-шифровщиков...вечером будет еще один mbr

Kipovec — 14.03.2012 12:42:49

simplix сообщает:

....У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE...

А ещё "бывают" материнки на которых WINPE НЕ запускается (этим "грешат" мамки с чипом от NVideo в особенности со встроеной графикой) зависая на экране запуска с надписью "виндовсблаблабла".
Тоже происходит и с "лайфсд" (но эти уходят в бесконечный перезагруз) и только (увы не довелось попробовать вашу утилиту, на бывшем в руках даже не пионерском - скорее октябрятском (банальный автозапуск из папки темп, без какой либо порчи, чего нибуть)) AntiWinLockerLiveCD
запускается, им и "чистил-смотрел".

Herz — 14.03.2012 21:05:33

Почему  такое выдает - так ли необходимо это ограничение ?
http://i29.fastpic.ru/big/2012/0314/90/5708c2f10465b83f2bdde6b1a7dab790.jpg

DJeir — 15.03.2012 03:45:30

simplix
Спасибо огромное за утилиту! Переоценить её невозможно! Запускаю теперь не только для лечения, но и для общей очистки после восстановления раздела или винды. Суперская штука! Столько времени экономит! А то все ручками приходилось..:shock:
И не только за antiSMS, но и за сборку, и за PE, и за все ОГРОМНОЕ СПАИБО!:good:

Vitokhv — 16.03.2012 02:25:25

simplix
Здравствуйте.
Если у Вас есть желание, мы бы хотели пригласить на наш форум forum.virlab.info где Вы бы могли изучить поведения баннеров используя их исходники.
Так же есть несколько предложений для загрузочного образа:
- uVS (для возможности выявления месторасположения файлов баннера, специалистам)
- Master Boot Record (MBR) для простых блокировщиков использующих пароль на виду.
- TDSSkiller (для сбора логов MBR жестких дисков и их расшифровки на форуме Касперского)

g0dl1ke — 16.03.2012 08:47:08

Авторы антивиноркера переманивают simplix :)

Vitokhv — 16.03.2012 09:07:13

Я лишь предлагаю, то о чем просит simplix "Сейчас нужно как можно больше разных образцов..." пост #12
И идеи для охвата любого типа баннеров. Пока сложной задачей остается шифрование MBR применяемое в новых блокировщиках.

Savage-i — 16.03.2012 09:39:30

g0dl1ke
Прикольно подмечено. У AntiWinLockerа уже с октября не обновляется LiveCD...  наверно поэтому-что стопор у них с лечением MBR-локеров... :D

Vitokhv — 16.03.2012 10:48:37

Вы парни думайте прежде чем писать. Многим помогла как идея AntiWinLocker так и AntiSMS программы, а что сделали Вы?
Если все упирается в лечение MBR то открою Вам секрет, ни один из антивирусных продуктов не способен разработать лечение данного блокировщика. Только лишь по тому, что компания Microsoft запрещает использование WinPE в коммерческих целях. И цена вопроса несколько десятков долларов, которые должна оплатить антивирусная компания за использование их продуктов.
На форуме мы обсуждаем поведение баннеров, извлеченные в процессе лечения. Каждый из них мы отправляем в антивирусные лаборатории. И взять 1% срабатывания детекта по всему миру, уже можно говорить о пользе, за которую даже не скажут спасибо.

simplix — 16.03.2012 11:21:24

olzaruta
Спасибо, но у шифровальщиков никак не может быть универсального решения, только выкладывать их и шифрованные файлы на антивирусных форумах, где специалисты постараются помочь.

Kipovec
Дело в том, что WinPE на основе WinXP не поддерживает AHCI-режим изначально, для многих контроллеров в него нужно интегрировать драйвера - что и сделано для самых распространённых случаев. WinPE на основе Win7 изначально поддерживает AHCI-режим, поэтому вероятность того, что он увидит винчестер, гораздо выше. Но там свои проблемы - большой размер образа, гораздо большие требования к памяти - на слабом компьютере он даже не запустится. В том числе поэтому оставлена возможность использовать AntiSMS в составе любого загрузочного диска, чтобы специалист мог собрать один или несколько WinPE по своим предпочтениям и использовать их в работе по ситуации.

Herz
Необходимо, почитайте эту тему, о причинах я уже не раз писал. К тому же вы не запустите утилиту на рабочей системе когда экран заблокирован.

Vitokhv
Спасибо за предложение. Моё сообщение #12 касалось старых версий AntiSMS, сейчас ситуация немного изменилась - уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом.
По поводу дополнительных утилит на диске объясню свою позицию - диск должен оставаться маленьким, чтобы пользователи со слабыми каналами могли быстро его скачать, а возможности AntiSMS должны обеспечивать качественное лечение, которое заменит все остальные утилиты. Например UVS будет заменён тогда, когда в AntiSMS появится полноценный бекап, чтобы по его содержимому можно было найти все вредоносные файлы. Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения). А в TDSSkiller необходимость отпала с версией 1.8, где было добавлено сохранение нестандартных записей в файл.
Вы также можете использовать AntiSMS в своих целях, ведь разработчиков много и у каждого своё видение, поэтому у всех есть возможность собрать такой диск, на котором будет присутствовать необходимый набор утилит.

Savage-i — 16.03.2012 12:06:59

Vitokhv
Я понимаю, что все работают на благо народа, против долбаных локерописателей. Конечно все скажут спасибо. Но хотелось просто подметить, что ваш вариант давно заморозился (имею ввиду LiveCD). А между прочим с тех пор уже много разновидностей локеров понаплодилось. Делайте сами выводы
simplix
Согласен. И будет очень прекрасно, когда ваша разработка заменит многие в совокупности мелкие утилиты...

hal — 16.03.2012 12:58:14

Запустил сегодня AntiSMS на одном компьютере с профилактической целью (пользователь жаловался на медленную работу, блокера не было) и получил сообщение о нестандартном MBR:

http://rghost.ru/37050387

jarem1980 — 16.03.2012 20:13:03

После работы AntiSMS 1.8 получил сообщение о нестандартном MBR:
http://rghost.ru/37059031
http://rghost.ru/37059060
После всех проделанных рекомендованных манипуляций интернет не заработал.

Prohojiy — 16.03.2012 22:26:10

MBR-локеры по моему опыту вообще не проблема - обновил MBR например в Paragon Hard Disk Manager'е или Acronis'ом и всего делов

mvk2000 — 17.03.2012 05:45:47

Prohojiy

simplix сообщает:

Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения).

olzaruta — 17.03.2012 15:35:41

Еще один локер http://rghost.ru/37070130 ( 2012), блокирует много чего..долго писать....вашу программу на нем не пробовал...пока нет возможности, прошу протестить винлокер.

Herz — 17.03.2012 21:16:48

olzaruta сообщает:

блокирует много чего

Обычный шелл. 1.8 чистит нормально.

art9 — 18.03.2012 12:06:12

simplix
в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание? Конечно, никаких неудобств это не причиняет. Но Задание это очень полезное, а обычному юзеру довольно сложно будет вернуть его к жизни.

Новая версия тестовой утилиты для проверки антибаннерных программ, вроде AntiSMS.
+ Файлам в папке Автозагрузка присваивается атрибут "только чтение",
+ одна копия теста стартует через cmd.exe

В версии 1.8 данные фокусы не учтены.
http://upwap.ru/2102815
Пароль: 123
На свой страх и риск! Опасно!

Еще сейчас зловреды стартуют через lnk, пример в HiJack:


Код:

O4 - Startup: AdobeLoadereygeyx.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: AdobeLoadergexrqa.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: kkeydodouble.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: xqurzsdouble.lnk = C:\WINDOWS\system32\cmd.exe

Может такие lnk (где ссылка на cmd.exe) тоже следует отключать?

up
del

sov44 — 18.03.2012 22:05:45

Запускал AntiSMS через BSDW как образ \BCDW\image\AntiSMS_1_8.iso ,загрузка непроисходит.  При запуске на прямую - всё ОК! Подскажите "хитрый" способ запуска с BCDW.

MBTY — 19.03.2012 00:41:50

Пробуйте, бетманы :crazy: создавалка загрузочной флешки с AntiSMS, всё нужное вшито в ехе, создается загрузка тем же bootIT, но ТОЛЬКО HDD и ТОЛЬКО FAT32, тот же груб загрузчик, но без меню как такового, а с загрузкой AntiSMS сразу же. Маппинг напрямую.

Virustotal нашел 4 вируса, какие находит и в BootIT - ясно почему. Сторонние загрузочные области в него вшиты и BootIT умеет форматировать диск.

Скачать. Ссылка фиксирована.

g0dl1ke — 19.03.2012 07:26:25

Vitokhv
вы конечно молодцы, но как то же лечили баннеры и лечим без вашего антивинлокера.
например база файлов у меня всегда с собой есть, а если что - восстановлю с диска.
а что до проги, что контроллирует автозапуск и убивает баннеры - она тоже не есть панацея от всех бед, многие баннеры ее обходили.
MBTY
а если образ прикрутить к грубу?


Код:

title SimplixAntiSMS
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/AntiSMS.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/AntiSMS.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

с меню и прочим :crazy:

MBTY — 19.03.2012 07:50:28

g0dl1ke
title SimplixAntiSMS
map /img/AntiSMS.ISO (0xff)
map --hook
chainloader (0xff)

ТОЛЬКО для Wnpe и AntiSMS от SImplix достаточно такого варианта, а потому отпадает нужда в драйвере FiraDisk (DIRECT.GZ) и связанной с этим драйвером уличной магией (write (99) [FiraDisk]..........)

g0dl1ke — 19.03.2012 07:56:51

то есть сосется на прямую и все ок?
а то у меня и так вроде пашет, тока с plop драйвером не дружит.
уличная магия?

barsuk — 19.03.2012 13:41:23

распаковать в корень носителя и если адреса другие то подправить то что надо править)

; GRUB
title  ■PE■ Windows PE Simplix Edition 15.03.12\n Windows PE от Simplix датированный 15 March 2012.
chainloader /WNPE/WINPELDR.BIN

; СУСЛИК
LABEL SMPLX-PE
MENU LABEL  ■PE■ Windows PE ^Simplix Edition 15.03.12
TEXT HELP
Windows PE от Simplix датированный 15 March 2012.
ENDTEXT
COM32 /syslinux/chain.c32
APPEND ntldr=/WNPE/WINPELDR.BIN

с СДРОМ областью флэшки не каких проблем и с Plop`ом тем более

simplix — 20.03.2012 01:25:01

В шапку добавлена программа AntiSMS USB Installer 1.1, разработанная совместно с MBTY для лёгкого создания загрузочной флешки AntiSMS.

art9 сообщает:

в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание?

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

art9 сообщает:

В итоге Windows, скорее всего перестанет загружаться.

Не перестанет. Чтобы не повторяться, посмотрите это.

art9 — 20.03.2012 05:51:37

simplix сообщает:

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

На подопытном компьютере сборка установлена очень давно - может из-за этого.
Во всяком случае, Задания дефрагментатора не удаляются, т.к. файлы его подписаны.

http://s019.radikal.ru/i605/1203/40/e1249e21ce7c.png

Fiolet — 21.03.2012 03:47:29

simplix
А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.

И может быть удобней было бы включать Назначенные задания через AutoRuns. (главное чтоб неопытные пользователи, еще чего не поотключали там :unknown:)

И Вывести информационное окно: где что обратно включать.

Cash939 — 21.03.2012 13:23:02

пол дня с бубном вокруг компа танцевал, а антисмс за 1 минуту все проблемы решил...:oops:
Автору респект!!! И низкий поклон!:good:

dimkot — 22.03.2012 17:52:32

Тоже нестандартный MBR. Локер был. Win7 Starter. Вуаля: http://rghost.ru/37163532

Vitokhv — 24.03.2012 04:09:19

Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO

barsuk — 24.03.2012 04:45:30

универсального работающего способа не может быть для всех флэшек (т.е. контроллеров внутри) и материнок, особенно если загрузка не сразу происходит целиком в память

Fakel — 24.03.2012 13:24:58

Здравствуйте. скачал, сделал образ на флешке, запускаю систему не видит. В чем может быть проблема?

Waterclo — 24.03.2012 13:48:17

Fakel
А в BIOS загрузка с флэшки включена? А если включена, то материнка какая? Надо хоть какую-то информацию давать, а не факт наличия отсутствия видимости.
Почитай внимательно здесь.

Fakel — 24.03.2012 13:57:35

Так система с антисмс загружается со флешки. а вот систему с  винта не видит. Винт сам тоже не видит естественно. Я так думаю трабла с драйверами контроллеров. Новый скачал antiwinlocker. он хоть автоматически не помог, но вот систему хотя бы увидел. Система win 7 ultimate родная стоит.

Waterclo — 24.03.2012 14:07:06

Fakel
Ну, уточни хоть - на чём установлена система, которую загрузочный диск не видит. Ноутбук какой или материнка? Если подозреваешь проблему с драйверами, то надо указывать для какого оборудования, конкретно.

Fakel — 24.03.2012 14:09:33

Acer Aspire 5560G. Чипсет AMD Hudson-2, AMD K12, AMD A70 Fusion Contol Hub.

Savage-i — 24.03.2012 14:12:57

Fakel
Сделай проще. Если грузится AntiWinLocker LiveCD, то загрузись с ним. Запусти в нем FreeCommander, а дальше утилитку AntiSMS, предварительно ее записав на флэшку.

Fakel — 24.03.2012 14:18:29

Savage-i
Следующий раз так и сделаю. Я удалил уже блокиратор. спасибо всем за участие.
На самом деле про проблему написал чтоб у других не возникала. Вроде в версии 1.3 написано что добавлены драйвера для различных контроллеров. а тут раз и такая бяка.

Многоуважаемый simplix об этом и писал. что win pe сделанная на семерке видит почти все контроллеры, но много весит. под хр наоборот. Я так понимаю антисмс написана с использованием win pe под хр? может стоит сделать и под семерку? когда ничего не помогает, то можно и скачать большой образ. тем более сейчас редко где проблемы со связью увидишь.

Savage-i — 24.03.2012 14:43:40

Fakel
Зачем изобретать велосипед. У любого пользователя есть различные LiveCD на основе Win7 и WinPE... а добавить туда утилитку проще простого...

simplix — 24.03.2012 16:09:13

art9 сообщает:

На подопытном компьютере сборка установлена очень давно - может из-за этого.

Именно из-за этого, в 2009 году задание ERUNT не было подписано, на таких компьютерах вы можете просто запустить файл I386\SVCPACK\Erunt.exe с нового диска.

Fiolet сообщает:

А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.

Сначала нужно выполнить проверку системы антивирусом, без этого включение автозагрузки обратно может снова активировать блокировщик.

Fiolet сообщает:

И может быть удобней было бы включать Назначенные задания через AutoRuns

Разница в том, что autoruns - сторонняя программа, а msconfig является частью любой системы.

Vitokhv сообщает:

Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO

А при чём здесь UltraISO? В шапке выложена утилита для создания загрузочной флешки.

Fakel сообщает:

может стоит сделать и под семерку? когда ничего не помогает, то можно и скачать большой образ.

Подумаю над этим вариантом, тем более это будет не замена, а дополнение к маленькому образу.

olzaruta — 24.03.2012 20:16:10

Прошу протестить http://rghost.ru/37201326 (2012) wishmaster.exe , AntiSMS версия 1,6 не справилась ( 1,8 проверить пока нет возможности), он начисто сносит MBR (главную загрузочную запись) и затирает мусором таблицу разделов, запуск на ваш страх и риск, действует на ХР...Семерка не по зубам ( хотя как знать)
Скрин при запуске http://files.myopera.com/Aminux/albums/ … royer1.png
Скрин после перезагрузки http://files.myopera.com/Aminux/albums/ … royer2.png

http://rghost.ru/36821986 ( 2012) и еще один пакостник-блокировщик, прошу протестить.

MBTY — 24.03.2012 22:30:07

Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения

Herz — 24.03.2012 22:35:43

olzaruta сообщает:

Прошу протестить  wishmaster.exe

1.8 тоже не лечит
Но - диск директор серверный решил вопрос за полторы минуты.

vladshishkin — 25.03.2012 11:24:20

Протестил вашу сборку LiveCD
Есть полноценный рабочий стол,проводник,можно получить доступ к файлам и папкам,
запустить некоторые программы. Даже ДокторВеб !!!
Но, некоторые программы зависают, ну да ладно.
Не работают три волшебные кнопки и диспетчер задач запустить не получится (что-бы выгрузить зависшее приложение).Хотя он есть в сборке.
Я предлагаю поместить ярлык диспетчера задач рядом с ярлыком: Свернуть все окна.
А также ярлык от программы cleartemp (весит мало,пользы много).Можно в инете найти.
Далее очень не хватает архиватора например 7Zip (около 1Мб) Хотя бы для того что бы распаковать системные файлы с этого диска, для ручной замены.
Программа запускается сразу после клика на ярлык без диалогов,добавьте пожалуйста хоть один: *Продолжить*  *Отмена*. 
Автозапуск с дисков в сборке по умолчанию включен! И вирусы на дисках,
использующие Авторан для размножения могут заразить и сборку!!!
При клике на иконку в моем компьютере СД, сразу запускается программа AntiSMS(Делаю все хорошо).Немного напрягает. Добавьте хоть один диалог.
Делаю все хорошо!? А что хорошо,что делаешь? Хотя бы лог файл о проделанной работе. Если что то отключает, удаляет надо знать что. А так чем программа лучше вируса!?
С уважением, Владимир.
Успехов в развитии проекта!!!
Жду новых ваших сборок.

MBTY — 25.03.2012 12:57:41

vladshishkin Если хотите LiveCD, то попробуйте WNPE из сборки. С ТС, в который можно прикрутить и архиваторный плагин и много каких плюшков. А этот образ AntiSMS же изначально создавался для выполнения одной единственной задачи. Не стоит его перегружать набором софта, который затребует каждый юзер. Сборку заразят они, допустим (хотя такое "заражение" и заражением не назовешь), но после перезапуска сборки - всё будет как при первом запуске. CD, DVD, RAM диски, LiveCD.... вся фигня.. низя их заразить. Какой диалог вам надо? Да/Нет? Можете нарочно скачать этот образ, нарезать, грузануться с него, нарочно запустить АнтиСМС и ПЕРЕДУМАТЬ? Лог Simplix обещал позже. Если вдуматься о том количестве проектов, которые тащит на себе simplix, то торопить его и требовать чтото лучшее (хотя куда лучше) просто неприлично.

vladshishkin — 25.03.2012 13:15:07

Перегружать сборку 7zip 1 mb  и пару иконок!? И все это для удобства.
В данном случае это сборка с рабочим столом и.т.д
А если LiveCD сделан только для одной цели, то можно и без рабочего стола обойтись!!!
Загрузился ------- Делаю все хорошо...
Форум для того и создан что бы улучшать программу, LiveCd.
Про Авторан, как то не очень будет если вирусы и в сборку залезут!!!

barsuk — 25.03.2012 13:23:46

vladshishkin
вообщето суть программы не лайв-сд а сама программа размером 100кб

Перегружать сборку 7zip 1 mb  и пару иконок!? И все это для удобства.

1мб 7зип + скок надо другим пользователям. всем не угодишь!

залейте на флешку или диск набор мультизагрузки и в какой нибудь папке поместите этот 100кб файл программы и всё (я так и сделал)! эффект тот же что и хотели Вы + много еще чего. это бесмысленная трата времени делает то что уже есть

А если LiveCD сделан только для одной цели, то можно и без рабочего стола обойтись!!!

а идея то неплохая((

PS: вообще не вижу смысла чето мудрить с лайв-сд и прочим, хотя может толк есть если на базе семерки сделать ченибудь тоже совсем обрезанное. главное с моей точки зрения сама программа, т.к. она одна, а лайв-сд как мусора на свалке

MBTY — 25.03.2012 13:56:58

vladshishkin
Как он вылезет? Авторан, допустим, прописался в реестр LiveCD, который развернут в RAM, сразу же он не стартанет, а только после перезапуска ПК. Перезгружаем. RAM сбрасывается полюбому и LiveCD разворачивается в RAM каждый раз заново.
Этот диск не для лечения от вирусов, а для лечения от локеров. Мы с вами только что о локерах говорили. Для лечения вирусов нужно юзать что-то на линуксе.  Kaspresky Rescue CD, например.
Как вариант, можете взять AntiSMS.exe и запихнуть его на свою любимую LiveCD, которая защищена от вирусов, обладает набором софта и т.д. и т.п.

vladshishkin — 25.03.2012 17:32:39

Итак от слов к делу. Все что я описывал ранее реализовал:
Авторан выключен.
Появились две иконки: *диспетчер задач* и *очистка папки Темп* в быстром запуске возле иконки: Свернуть все окна
Интегрирован архиватор 7Zip
Включен в автозагрузку Process Killer - был в сборке,но не работал.
Process Killer - альтернатива диспетчеру задач.(запускается нажатием:Ctrl + Shift + ~)
Добавил программу для записи образа на диск.
Программу AntiSMS  не трогал - это к автору.

Размер архива: 30.84 Мб.
http://depositfiles.com/files/0242feqda

:drinks::drinks::drinks::drinks::drinks:

art9 — 25.03.2012 23:04:07

по-моему, главный плюс antisms - это возможность эффективной работы даже в неумелых руках.
кстати, интересная мысль - чтобы даже рабочего стола не было, чтобы сразу запускался аСМС.

И мне думается, желательно добавить несколько информативных фраз. Например, при работе аСМС: "Идет процесс лечения Windows от баннеров-вымогателей...". А по завершению: "Лечение завершено. Выньте диск (флэшку) из компьютера и нажмите любую клавишу для перезагрузки....".

А еще можно добавить в процесс лечения: создание во временной папке txt файла с краткой информацией (если вы опытный сделайте то-то, а если не опытный, то то-то...). И добавление в RunOnce вызов Блокнота на этот файл. При этом данное действие делать только если exe Блокнота подписан.

g0dl1ke — 26.03.2012 10:21:16

simplix, а если вирус заразил/заменил/удалил системные файлы (exe, dll, etc..) может прикрутить возможность брать эти файлы с папки i386? (если использовать winpe с simplix winxp и зараженная система не отличается от winxp)

MBTY — 26.03.2012 10:28:46

g0dl1ke
В образе уже есть папка FILES, в которой имеются основные системные файлы для ХР и для 7ки х64/х86. Такие дела :drinks:

g0dl1ke — 26.03.2012 10:49:52

пропустил :crazy:
*ушел проверять*

добавил бы в папку windows 7:
svhost.exe
wuaueng.dll
winlogon.exe
wuauclt.exe

vladshishkin — 26.03.2012 16:02:00

Привет, друзья Я вернулся!!!
Могу переделать сборку: убрать рабочий стол, все проги. В центр экрана поместить огромную кнопку <Удалить Баннер >.Если будут желающие, переделаю образ. Хоть ради прикола. Или лично для MBTY
Сборку могу пересобрать, хоть сегодня, будут желающие, Пишите.

Кстати вчера нечаянно клацнул на ярлык AntiSMS (у меня на буке Win7 Home Premium)
По умолчанию автозапуск с носителей был выключен, так AntiSMS его активировал.
Вопрос: ЗАЧЕМ!!! Теперь опять убирать... А что еще сделала программа , сюрпризом будет:crazy:
Для простого пользователя лечение может не ограничатся загрузкой LiveCD и запуском AntiSMS. Потребуется дополнительная настройка системы...
У программы есть аналог,код выдернул с LiveCD, может будет полезен, запускается с удаленным реестром.(Reg файл)


Код:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"Shell"="explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="userinit.exe"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"forceunlocklogon"=dword:00000000
"UIHost"="logonui.exe"
"LogonType"=dword:00000001
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"EnableQuickReboot"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
  00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxdev.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\klogon.dll"
"Logon"="WLEventStop"
"Startup"="WLEventStart"
"Lock"="WLEventStart"
"Unlock"="WLEventStop"
"Logoff"="WLEventStart"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRun"=dword:00000001
"DisableLocalMachineRunOnce"=dword:00000001
"DisableCurrentUserRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"NoInternetOpenWith"=dword:00000001
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
"NoDispCPL"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet003\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00

Сайт: http://krasgmu.net/publ/2-1-0-64

Vitokhv — 26.03.2012 17:07:46

simplix сообщает:

А при чём здесь UltraISO? В шапке выложена утилита для создания загрузочной флешки.

Спасибо, пропустил.

Хочу отметить, что рабочий стол вовсе не мешает, польза есть и в ярлыке check disk
Сегодня восстановил с помощью него поврежденные сектора жесткого диска.

Насчет дополнений к образу, думаю излишне, так как все остальное можно сделать и в активной системе.
Например: лечение от вирусов, запрет автозапуска с дисков, некоторые системные файлы.
Кто-то говорил о диспетчере задач, работает.
Насчет сторонних программ, на файлообенниках удаляют аккаунт за нарушение авторских прав.

Waterclo — 26.03.2012 18:44:43

vladshishkin
Веди себя скромнее и внимательно прочитай правила форума. Для выражения эмоций есть отдельная тема, хватит меряться длиной "заслуг". Если есть возможность, делай то, что может принести конкретную пользу окружающим.

Vezunchik
Отдельная программа для использования в своём WinPE.

DJeir — 28.03.2012 11:59:05

Нестандартный MBR http://rghost.ru/37269141

Dimson81 — 28.03.2012 15:50:05

Нестандартный MBR Drive0.bin

DJeir — 30.03.2012 07:37:33

Еще нестандартный MBR http://rghost.ru/37306849 Продолжать выкладывать?

simplix — 30.03.2012 12:23:27

DJeir
Выкладывайте, если не сложно.

oan — 02.04.2012 19:13:27

Нестандартный MBR
http://rghost.ru/37372842

FagotAdmin — 04.04.2012 15:05:29

MBTY сообщает:

Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения

Не ваша правда, этот троян лечится двумя дисками, 1) С помощью консоли восстановления сначала перезаписываем MBR 2) Берем последний Hirens Boot CD в загрузочном меню запускаем мини Windows  XP   после запуска ищем в списке тулз утилиту под названием MiniTool Partition Wizard Home Edition и восстанавливаем раздел, все просто, прогонял на Windows XP  такой способ лечения от этой заразы 3 раза.

Regards...

clientyra — 04.04.2012 22:59:30

Нестандартный MBR : http://rghost.ru/37412898

GenAleks — 05.04.2012 00:47:59

simplix, может Вам будет полезно для модернизации Вашей программы, то что выловил антивирус после блокировки   Windows ХР SР3.
Использовал AntiSMS 1.6 (небыло возможности записать 1.8), запустил AntiSMS 1.6, перезагрузился в рабочую систему, выполнил быструю проверку - нашел троян в корне С:/, переместил в папку инфектед, заархивировал, восстановил автозагрузку и службы, перезагрузился, после загрузки системы поизошла автоматическая перезагрузка и снова заблокировалась Windows. Повторно прошелся AntiSMS после загрузки в рабочую систему Windows загрузилась в Выборочный запуск и слител модуль SpIDer Gate в Dr.Web 6. Повторно выполнил быструю проверку и снова нашел троян в корне С:/, переместил в папку инфектед, заархивировал. Странно, антивирус нашел один вирус, а в папке инфектед оказалось 2 файла с одним временем.
http://files.mail.ru/QG9TRY
Пароль virus
P.S.
Напишите маленькое FAQ что Вам высылать в таких случаях для анализа.

Хорошее дело делаете.

Спасибо.

С ув. Gennadiy

art9 — 05.04.2012 07:51:30

simplix
1) в архиве из сообщения выше  только bak зараженного mbr, т.е. быстрая проверка нашла только файл, который создала AntiSMS.
Может данный файл лучше помещать в архив с паролем "virus"? А получается, после быстрой проверки пользователь вводится в заблуждение (думает, что антивирус прибил заразу).

2) в инфо для неопытного пользователя сказано, что сначала нужно проверить антивирусом, а затем включить автозапуск. но "быстрая проверка" производит поиск зловредов в определенных папках, а также файлы, которые прописаны в автозапуске. может лучше советовать сначала включить автозапуск , а затем проверять антивирусом?

3) опять же возвращаясь к сообщению выше... может в архив к копии mbr также копировать файлы, которые были отключены? Т.е. если антивирус не находит заразу, то пользователь сможет отправить этот архив в антивирусные лаборатории.
Опять же в процессе лечения AntiSMS может генерировать txt файл во временную папку, в котором будет указана инфо для опытного/неопытного пользователя, а также ссылка на данный архив и ссылки для отправки в антивирусные лаборатории (http://support.kaspersky.ru/virlab/helpdesk.html и т.п.)

Voha56 — 05.04.2012 13:45:55

Прога супер! Но мне также понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

GenAleks — 05.04.2012 20:51:48

Так что получается, вирус не удален? а что это за второй файл в архиве? и что необходимо сделать?

art9 — 05.04.2012 22:07:29

FAQ, РАБОТА С ФОРУМОМ, Рекомендация 6 сообщает:

:shock: Не нужно цитировать предыдущее сообщение, его и так видно! :shock:

GenAleks
опираясь на свое чисто субъективное мнение, нужно проверить компьютер разными антивирусными сканерами, причем выполнять не быструю, а полную проверку.
http://www.kaspersky.ru/antivirus-removal-tool
http://www.malwarebytes.org/products/malwarebytes_free
http://www.surfright.nl/en/downloads/

И заметьте, что АнтиСМС полностью справился со своей задачей.

GenAleks — 05.04.2012 22:53:55

Спасибо art9, учту рекомендации.
Полная проверка проводилась, к сожалению не видел что еще нашел антивирус, но со слов было найдено пару вирусов и они были удалены.
Что касается АнтиСМС, насколько я понял, он не удаляет вирусы, а восстанавливает, тоесть разблокирует Виндовс - "Вылечиваются все известные MBR-блокировщики", с этой задачей АнтиСМС справился на 150%. Почему MbrLockX.bak определяется как троян.

Savage-i — 06.04.2012 11:42:12

GenAleks сообщает:

Почему MbrLockX.bak определяется как троян.

Так это и есть вирус, который находит AntiSMS. Он копирует зараженный MBR в этот файл, а уже потом лечит MBR от локера

vladshishkin_Forever — 07.04.2012 11:56:20

Voha56 сообщает:

Мне понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

Открываешь образ в UltraIso.Извлекаешь файл-архив-образ WinPE.IS_
на жесткий диск.Образ сжат в CAB. Архив распаковываешь утилитой CABTools:
http://forum.oszone.net/thread-93596-2.html
,после установки появляется в контекстном меню Отправить 2 новых пункта:
Cжать в CAB
Распаковать CAB
Жмешь распаковать-получаешь: WinPE.ISO
редактируешь образ в UltraISO:
Кидаешь Total в папку tools. Скачиваешь на сайте: WinPE ModelRam исходник
http://forum.simplix.ks.ua/viewtopic.php?id=193
Создан он в NSUS-скачать бесплатно можно здесь:
http://nsis.sourceforge.net/Main_Page
Редактируешь файл под себя в блокноте (Размещение иконок,ярлыков)
После установки NSUS в контекстном меню появляется строчка "Compile NSUS Script"
После компиляции, получаем файл: ModelRam.exe
В сборке ModelRam находится в папке Windows\system32
Меняешь на свой ModelRam и собираешь образ в обратном порядке.

Автору сборку Большое спасибо!!! Переделал под себя. Советую открыть отдельную тему по переделки данной LiveCD.

DJeir — 08.04.2012 08:01:17

Нестанд. MBR http://rghost.ru/37466677 Локера не было.

Sergikaz — 08.04.2012 08:49:36

simplix
Частенько запускаю AntiSMS на компах для профилактики. Так же заметил на многих системах не стандартный MBR, при этом локера не было. Выкладывать такие MBR для анализа?

Herz — 08.04.2012 18:59:03

Sergikaz сообщает:

Частенько запускаю AntiSMS на компах для профилактики.

Смысл в таком запуске ? Убить МБР что ли ?

Sergikaz — 08.04.2012 19:46:26

Herz
Утилита отлично чистит временные файлы, хорошо чистит автозагрузку, чистит hosts, удаляет autorun.inf с разделов. Это то, с чего надо начинать работу (чистку-профилактику) на любом компе, который впервые попал к вам в руки.

DJeir — 09.04.2012 03:11:22

Именно так. Раньше все это делал ручками. Не шибко долго, но время отнимало. А теперь antisms тынц и готово. Красота!

Amigos — 09.04.2012 09:11:34

И снова здравствуйте!
Пара вопросиков по AntySMS 1.8
Проверяется ли ветка реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]  ?
насколько понял, не проверяется :( , хотя теоретически зловреды её могут использовать для своего запуска

по "нестандартным MBR"
у меня попросила опубликовать их, публикую http://www.mediafire.com/file/4bggvgjzh … 9_12-05.7z
все mbr на всех 3 дисках стандартные, единственное, на одном из дисков (который разбит на 4 раздела) один из разделов отведён под AcronisSecureZone - наверно ругается на неё.

simplix — 09.04.2012 11:29:43

Скорее всего на этой неделе будет внеплановый выпуск, куда будут добавлены сигнатуры собранных MBR-файлов. Времени катастрофически не хватает.

Amigos — 10.04.2012 08:06:26

"нестандартный MBR"  http://www.mediafire.com/file/o1dd6niuq … 0_11-05.7z
ноутбук Samsung. Возможно под "не стандарт" попал самсунговский "раздел восстановления"

Jon46 — 11.04.2012 20:57:02

Спасибо!
Эту заразу +79133995791 вылечил за 15 минут, включая запись флэшки.
Касперский опростоволосился - час гонял и фиг-вам...

Огромное СПАСИБО!

GIF — 12.04.2012 12:13:07

Нестандартный MBR http://rghost.ru/37540197

simplix — 12.04.2012 12:22:56

Новая версия - 1.8.2, в неё добавлены известные загрузочные секторы, присланные вами. Изменений в основном алгоритме нет, поэтому обновляться не обязательно.

Userello — 13.04.2012 18:31:08

Ещё один нестандартный MBR - мультизагрузчик Symon http://rghost.ru/37564210

hal — 13.04.2012 21:17:42

Сегодня лечил ноутбук от локера, нестандартный MBR:
http://rghost.ru/37567787

Keer — 15.04.2012 20:17:07

http://zalil.ru/33079108 вылечил спасибо огроменное вам

simplix — 16.04.2012 02:51:43

Версия 1.8.3, добавлены последние присланные загрузочные сектора.

simplix — 17.04.2012 23:37:32

Попалась новая модификация MBRLock.6, в связи с чем AntiSMS обновлена до 1.8.4.

conductor2009 — 18.04.2012 12:30:17

simplix
а можно сделать iso образ что бы запускать из BCDW
а то как я запущю с сд если у меня весь экран банером забит и не возможно работать
с мышкой али клавкой:shock: и приходиться грузиться с РЕ
да и ещё не надо кучу дисков писать с этой прогой али PartitionWizard али Emsisoft Emergency Ki

jarem1980 — 18.04.2012 14:19:49

Здравствуйте! В шапке "Отдельная программа для использования в своём WinPE" версия 1.8.3. Проверил контрольные суммы совпадают.В iso образе версия 1.8.4

happywanderer — 18.04.2012 14:54:33

conductor2009 Внимательно читайте шапку - там выбор на все случаи жизни. ;)

pikaoleg — 18.04.2012 16:39:36

simplix
Выручает очень, низкий поклон за труды:good:,

latifff — 18.04.2012 20:19:58

Автор, спасибо огромное за труды!!!!!! Нестандатный mbr при холостом запуске http://zalil.ru/33097698. Система ощутимо быстрее работает. Ещё раз спасибо!!!

simplix — 18.04.2012 21:00:24

jarem1980
У вас и некоторых других провайдер кеширует файлы, поэтому качается старая версия. Пробуйте загружать с другого провайдера или компьютера, на крайний случай можно вытянуть из iso-образа.

latifff
Подобный MBR уже добавлен.

conductor2009 — 19.04.2012 08:18:24

happywanderer сообщает:

conductor2009 Внимательно читайте шапку - там выбор на все случаи жизни. ;)

если вы такой грамотный попробуйте 3апустить из под
\BCDW\AntiSMS.iso ; AntiSMS... ; позваляет разблокировать ВИНДУ ...;
флаг в руки !!! :crazy:

barsuk — 19.04.2012 09:16:44

conductor2009
BCDW образы (ISO) не грузит впринципе! попробуйте распаковать образ и запустить WINPELDR.BIN

happywanderer — 19.04.2012 13:46:46

conductor2009 на грамотность не претендую, но кажется программа фунциклирует по прямому назначению только из под WinPE, а смысл вот этого не понял:

а то как я запущю с сд если у меня весь экран банером забит и не возможно работать

, мож чёт не докурил? :unknown:

Sergikaz — 19.04.2012 15:13:17

conductor2009
Выражайте пожалуйста свои вопросы более понятно, иначе спор и упрёки будут продолжаться очень долго.
По поводу BCDW. Грузить ISO образы он умеет, но для этого  нужен BCDW 2.0a1. Но и он не абсолютно любой ISO образ может загрузить. Проект этого загрузчика так и забросили на пол пути. Вторая версия дальше "альфы" не продвинулась, нет нормального справочного материала. Всё новые "способности" находятся энтузиастами методом тыка. К примеру, определили, что BCDW распознает образ не по расширению, а по содержимому. Расширение образа может быть любое. Каким видит этот загрузчик образ AntiSMS.iso по содержимому - никому не известно.
Если у вас уже есть загрузочный диск с BCDW-загрузчиком и вы хотите добавить в него AntiSMS.iso, то я сразу отвечу, что не знаю как. С BCDW возился очень давно. Очень большой его минус, что он может загружать только с CD и DVD. В виду его "недоработанности" давно перешёл на другие загрузчики, с намного большим функционалом и возможностями. Выяснять, каким методом запустит на BCDW образ AntiSMS.iso, нет никого желания. Как мне кажется, мало сейчас кого найдётся с таким желанием. Проще и быстрее содержимое загрузочного диска с BCDW-загрузчиком переделать для загрузки с флешки с другим загрузчиком. Я уже почти забыл, как носить с собой CD и DVD. Всё уже давно на флешках.

barsuk — 19.04.2012 16:20:27

Sergikaz
мой пост как будто не заметили :shock::D:)
BCDW как и всё прочее робит с флэшки с сдром раздела и как я уже заметил кажись грузит лайвы на базе ХР! (грузил пару месяцев назад кажись)
-------------------------------------------------
simplix :oops:
смотри что например лично мне хочется насчет поддержки файлов различны ОС
вот у меня есть на флэхе с сдром разделом ОСИ установочные (т.е. дистры):
V32 - семерка 32
V64 - понятно что
I386 - VLRU
ENVL\I386 - VLEN
.....
+ может у кого к примеру в
RU03\I386 - 2003 винда

т.е. мое предложение создать рядом с файлом EXE-антиэсэмеса файл ASMSPATH.INI (или не создавать его - т.е. если его нет то по дефолту все пути, а если он есть то пути берутся из НЕГО!).
ну и нем прописать пути на моей флэшке чтобутилита сама лезла в RU03\I386 и брала файлы для 2003 оттуда
к примеру можно типа такого по ДЕФОЛТУ!

VLRU = I386
; VLEN = ENVL\I386
; 2003 = RU03\I386

т.е. ;  это по дефолту чтоб не использовать типа ЗАКОМЕНТИРОВАЛИ :rolleyes:

tomik — 21.04.2012 07:21:25

DJeir сообщает:

Нестандартный MBR http://rghost.ru/37269141

Стесняюсь спросить,ребята,это только для ХР.?! Или как!? ..:oops:

Voha56 — 21.04.2012 07:45:06

tomik сообщает:

DJeir сообщает:

Нестандартный MBR http://rghost.ru/37269141

Стесняюсь спросить,ребята,это только для ХР.?! Или как!? ..:oops:

Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.

DJeir — 21.04.2012 07:49:41

Мне нестандартные загрузочные записи попадались только при лечении или восстановлении Xp.

akuroman — 23.04.2012 08:42:42

Нестандартный MBR http://rghost.ru/37722903

jameszero — 23.04.2012 20:03:56

Нестандартный MBR http://clck.ru/1-YSD

sceatch — 25.04.2012 10:09:50

Скажите, а поддержка Ahci в Iso образе есть? Если нет, то будет ли? Если нет, то как добавить? (т.к. в некоторых биосах нет переключателя Ahci).

-----

Все, вопрос снят, сделал поиск по сайту.
Огромная благодарность за грамотный продукт!

Ytro — 27.04.2012 09:58:06

Ребят СПАСИБО за прогу выручала не раз !!!

А можете добавить в неё следующие функции:
-Выбор раздела с операционной системой
-Лог всех проделанных изменений

И сообщите пожалуйста как скоро .

Ещё раз спасибо и молодцы :good:

simplix — 27.04.2012 21:34:17

AntiSMS обновлена до 1.8.5
Раньше гарантированно правильно распознавался только системный раздел, даже если его буква была совсем другой в WinPE. В этой версии AntiSMS реализовано правильное определение и всех остальных разделов. К примеру у нас есть несколько десятков разделов от C: до Z: и после загрузки WinPE они перемешались абсолютно произвольным образом и блокировщик запускается с одного из этих несистемных разделов, тогда AntiSMS правильно определит изменённую букву раздела и найдёт блокировщик, при этом время работы утилиты не увеличилось.

barsuk
Ручное указание файлов для восстановления через ini-файл запланировано на будущее, так как эта функция сейчас почти не актуальна. По простой причине - вирусы ловят только малоопытные пользователи, следовательно у них в 99.99% случаев установлена либо WinXP, либо Win7, и они уже лечатся. Ставить серверную систему обычный пользователь себе не будет, и ему никто её не поставит, а запустить вирус на сервере предприятия невозможно из-за ограничения прав и грамотной настройки системы. Отсюда автоматически получается так, что на серверных системах блокировщиков практически не бывает.

Ytro
Выбора раздела не будет, обрабатываются все системы, чтобы любой пользователь мог легко вылечить свой компьютер. Логи и другие фичи будут внедряться по мере появления свободного времени - эта разработка никем целенаправленно не финансируется, так что придётся просто ждать.

art9 — 28.04.2012 12:17:11

simplix
http://upwap.ru/2219809

Core-2 — 28.04.2012 13:10:03

Просьба к автору : Включить в состав uVS.
Спасибо за работу !!!:drinks:

sceatch — 28.04.2012 15:25:51

Добрый день, еще раз спасибо за Вашу работу. Хочу взнос сделать, куда отправить?

--

Ах да, еще хотел спросить, на форуме OSZone был аддон с AHCI, если не ошибаюсь, по-моему тоже Ваша работа. Это он  в ISO интегрирован? И если нет - то большая просьба интегрировать его. И присоединяюсь к добавлению uVS. Спасибо!

more — 28.04.2012 20:42:22

а нафига этот uVS ???

Вроде данный образ сделан для быстрой загрузки и запуска AntiSMS.
Все для простоты и минимализма, а вы предлагаете раздуть ее на целых 20Мб(если с базой).
Когда тут ранее за предложение добавить 7-Zip - человека чуть не закопали)))))) (хотя реально нехватает, поскольку на флешке все доп файлы пожаты в 7z)

И для пользования uVS надо куда более 2 кликов - а это лишние вопросы, причем скорее всего обращения к автору сборки, а не к создателю uVS...

зы. По поводу добавления, что скажете насчет oleacc.dll, частенько нехватает для запуска чего-нить.

MBTY — 28.04.2012 21:28:43

more
Согласен. Логичнее было бы попросить, чтобы создатель uVS сделал WNPE со своей утилиткой, нежели просить это сделать за него других людей. Или, что вобще то логичнее всего, доавить в WNPE что либо сосбтвенноручно, а не просить (как тут уже много раз писалось) добавить что-то для себя любимомго, не думая о других - вот я хочу uVS - добавьте мне и за меня...

Core-2 — 28.04.2012 21:49:29

Вашей работой удивлена. Сама борюсь давно с вымогателями.Спасиб конечно ,огромное уважение к ВАМ.Включаю Вашу разработку в свои изделия.

Vitokhv — 29.04.2012 07:17:08

Может все кто сталкивался с баннерами, объединимся, изучим вместе образцы баннеров, их поведения. Возможно кто-то умеет извлекать из них код разблокировки.
Те, кто желает подстроить WinPE под себя, можно сделать разные варианты, даже с поддержкой ACHI но то, что образ AntiSMS имеет более простые действия по лечению его не стоит усложнять и загружать.

Когда все будет выглядеть как мануал по созданию образов и поиска кода внутри баннера, специалистам будет легче извлекать вирусы, а пользователям не придется объяснять, по телефону, своим родителям как загрузиться с диска.

happywanderer — 29.04.2012 14:28:31

Vitokhv "Оптимист - это плохо проинформированный пессимист", смысл изучать и извлекать??? - есть инструмент простой и эффективный, зачем делать операцию на глаза через задний проход?:shock:

Vitokhv — 29.04.2012 17:42:04

Вы пропустили ситуацию, когда человек находится за границей и обращается к своим близким, друзьям, чтобы те помогли найти код. Иначе, по телефону объяснить как записывать образ, загружаться с диска это займет много времени или даже пытаться не стоит, да та же фраза "зайди в BIOS" многих озадачит. Таких случаев много, и даже в разделе AntiSMS есть просьбы прислать "код" если баннер его использует. Вот пример где есть куча инструкций по лечению но их не используют.
Если говорить о простом, то это либо восстановление системы, либо командный безопасный режим.

vladshishkin_Forever — 29.04.2012 18:02:35

more сообщает:

а нафига этот uVS ???

Когда тут ранее за предложение добавить 7-Zip - человека чуть не закопали)))))) (хотя реально нехватает, поскольку на флешке все доп файлы пожаты в 7z)
По поводу добавления, что скажете насчет oleacc.dll, частенько нехватает для запуска чего-нить.

Я перестал советовать по поводу сборки. Под себя все переделал, добавил 7Zip, .dll Размер остался примерно тем же. Для запуска антивирусных сканеров не хватает всего одной rich*.dll, которая весит 3,5 Кб Ранее я рассказывал как пересобрать образ под себя, это не так уж сложно. Не будем отвлекать автора.

happywanderer — 29.04.2012 19:19:32

Vitokhv А Вы пропустили ситуацию, в каком количестве в день выпускают, ЛЮДИ, ЗАРАБАТЫВАЮЩИЕ НА ЭТОМ ДЕНЬГИ, такие блокеры??? Думаете они сидят на месте? Для простых обывателей, таких как мы с Вами, всё упирается во время. А друзьям и знакомым за границей можно посоветовать "интернет-кафе" как самый крайний случай во время "буйства" смартфонов и т.д и т.п., для "исправления" сложивщейся ситуации, если они конечно не находятся в каком-нибудь тоталитарном государстве типа Северной Кореи ;). В общем Кто ищет, тот обрящет. Сумел заразить - сумей и вылечить. Не хочешь "шевелить" мозгами - плати деньги, людям которые в этом понимают или "специальнообучены" или жди-ищи код на спец. ресурсах. Это мне напоминает автомобилистов, даже те кто "всё знает и всё умеет" едет менять масло и "переобутся" в автосервис. Всё как всегда упирается в нехватку времени.
vladshishkin_Forever да, видел Ваши "советы" :lol:, но это не обиду. Создал бы тему, всё подробно описал, выложил - люди бы спасибо сказали. Здесь же не диктаторский форум.

more — 01.05.2012 04:49:06

vladshishkin_Forever
Твоя сборка вроде неплохо получилась.

По поводу размеров сборок - огорчает один момент.
Сэкономили на кб-ных *.dll, но зато ОБОИНУ покрасивше поставили!!! :unknown:
Ведь можно же просто чего-нибудь однотонное - это же больше метра получается

radteh — 01.05.2012 09:32:49

Добавьте пожалуйста английский интерфейс или подскажите как прикрутить поддержку русского в hiren bootcd, а то вместо надписей вопросики.:oops:

barsuk — 01.05.2012 13:37:26

radteh
поддерживаю! даже не из-за кракозябр, а потому что утилита простая. сам использую в большенстве своем программы на английском языке, да и в любом случае это будет способствовать международному признанию продукта):D:good:
ну в зависимости от языка системы фейс или русский иначе всегда английский, хотя прога для работы из PE, а там не знаю можно будет так нормально сделать или нет т.к.  хз на чем РЕ-основаны) небось всегда английский будет

PS: думаю лучше это организовать в INI-файле о котором я писал выше. т.е. в нем выбрать параметр языка, но это для более новых версий

MBTY — 01.05.2012 13:44:57

Создается такое впечатление, что все дружно решили сделать этот WNPE своей родной осью. Столько предложений по ее изменению. Одно офигительней другого. И вот я уверен, что каждый по разу-два запустил WNPE поглядел на функционал. Закрыл и счел нужным насоветовать автору как надо делать LiveCD. Успокойтесь уже. Ладно бы недочет какой нашли или на каком-нибудь бы железе LiveCD не стартанул, ато уже читать смешно тему. Косметологов полон форум.

radteh — 01.05.2012 18:06:09

Я вообще-то попытался интегрировать AntiSMS в Hiren’s BootCD http://www.hirensbootcd.org/, и возникла проблема с не читаемыми сообщениями. Если программу запустят в операционке без поддержки русского языка, опять не читабельные сообщения. По функционалу может добавить полу автоматический режим, а то мало ли какие специализированные проги не подписанные в автозапуске.
PS LiveCD использую постоянно, так как сисадминю помаленьку.

Sergikaz — 01.05.2012 19:56:03

возникла проблема с не читаемыми сообщениями.

Извините, а чего там читать??? Там всего то два окошка (с нестандартный MBR, то три). Автор AntiSMS  -  уважаемый simplix. На его WinPE всё отлично работает. После отработки AntiSMS, можно запустить Autoruns и посмотреть состояние автозагрузки, включить что требуется. Все восстановительные работы можно провести не выходя с этого WinPE.
Правильно высказался MBTY, если чего-то хотите, то изменяйте под себя как угодно. Хоть чёрный фон, хоть выход в интернет для обновления, ну всего что душа желает. Не мешайте делать simplix его дело как он сам хочет.

radteh — 01.05.2012 20:44:15

Я не прошу менять WinPE, просто тексты в AntiSMS на инглише сделать (причём не сиюминутно), но видно это сверхтяжёлая задача.

MBTY — 01.05.2012 21:23:36

radteh
Если текста не видите значит, скорее всего, в вашей LiveCD шрифтов нет нужных же. А если шрифта нет, то и английские буквы будут закорючками.
И вы же понимаете, что тогда будет море людей, возмущающихся почему всё стало на английском (потому что он никому кроме вас не понадобился) Если же сделать выбор языка по умолчанию, то снова все будут писать "А нафига выбор языка сделали, если тут всего две строки текста, автор ты чё??" и всё в этом духе.
Потребности большинства не должы перевешивать потребностей меньшинства.

barsuk — 02.05.2012 07:34:51

MBTY
а зачем вообще на русском делать, тем более там всего две строчки? да и английский как правило всегда работает! а иероглифы типа русского и т.д. это уже внешний лоск. а насчет нужны шрифтов то это непонятно! почему русские шрифты сразу нужные? может они кому то . не нужны!
а про выбор я уже написал что имено считаю приемлемым. а имено сделать INI-файл в котором также пути к дистрибутивам указаны + язык по умолчанию русский, а если параметр добавить то будет английский! помойму такая схема будет удобна всем! (т.к. ini файл simplix и так собирался в будущем добавить!)

PS: была бы моя воля я сделал тупо всё английское и не парился бы с параметрами

simplix — 02.05.2012 09:17:30

Сделать английский интерфейс - идея хорошая, об этом я думал ещё давно, но вот реализовать пока не дошли руки, так как связи с англоязычными пользователями нету. Даже не знаю, распространены ли за границей такие методы вымогательства или уже давно всё решено на уровне операторов. Например друг из Испании говорил, что СМС-вирусов у них вообще нет, так что я решил не спешить с переводом. Но в планах это есть, как и много всего другого.

Насчёт включения на диск всякой всячины - здесь всё просто. Есть базовый диск для быстрого лечения, он будет максимально простым и маленьким, а уже на его основе, если это кому-нибудь нужно, можно создавать сборки с uVS и прочими утилитами. Можно и нужно создать отдельную тему, где будут выкладываться эти сборки с описаниями. Можете создавать отдельные темы, потом мы их объединим и оформим.

Vitokhv, вопрос о доставании кодов внутри блокировщиков достаточно спорный и я не сторонник этой идеи по вполне логичным причинам. Во-первых это может потребовать значительных усилий, ведь совсем не сложно сделать так, что поиск кода даже специалистом займёт очень много времени. Во-вторых, и это самое главное, нет никакой гарантии, что троян честно удалится и не появится снова через какое-то время. Доверять вымогателям в чём-либо не приемлемо в принципе. Моя позиция - только лечить, чтобы разблокировал систему не троян, а его отсутствие после работы утилиты, с обязательной последующей антивирусной проверкой.

В будущем AntiSMS, как и запланировано, будет создавать резервные копии для их анализа специалистами. Работы в этом направлении ведутся, но быстрый результат не могу обещать - на всё нужно время, и не мало. К тому же у меня случилась небольшая неприятность - умер винчестер со всеми данными, и пока я их восстановлю может пройти от нескольких дней до двух недель.

g0dl1ke — 02.05.2012 10:22:28

по поводу uvs - весит мало, а вот "могет" очень много

Мирыч — 02.05.2012 15:57:46

Столкнулся - нестандартный MBR - выложил - http://rghost.ru/37875136

af_pro — 02.05.2012 18:28:55

simplix
Соболезную по поводу смерти винта. Это большая неприятность.

olzaruta — 02.05.2012 21:08:37

вместо загрузчика винды ставит анимацию алгоритма жизни http://rghost.ru/37880252 (2012), прошу проверить вашей программой, сам не имею пока возможности.

hal — 02.05.2012 22:01:38

Сегодня впервые столкнулся с MBRLock.6.
UVS показал пару подозрительных файлов, убрал их из автозагрузки - не помогло.
Запустил AntiSMS 1.8.4, перегрузил компьютер - а Windows сразу после загрузки пошла на перезагрузку и после этого я опять увидел знакомое окно блокировки...
Пришлось лечить снова и грузить комп в безопасном режиме, где DrWeb обнаружил штук 5 разных троянов.
В процессе лечения слетели какие-то настройки и интернет перестал подключаться, пришлось опять же запускать AntiSMS из-под Windows и сносить сетевые настройки и потом настраивать их заново.
Вместо ожидаемых 15 минут убил 2 часа на лечение компьютера...

simplix — 03.05.2012 00:03:09

hal
Если блокировщик удаляет таблицу разделов (файлов из WinPE не видно), тогда AntiSMS нужно запускать дважды: при первом запуске лечится загрузчик и таблица разделов, а после перезагрузки, когда уже видно файлы, нужно запустить AntiSMS ещё раз - вылечится всё остальное.

art9 — 03.05.2012 06:24:00

а если, АнтиСМС сама будет себя запускать второй раз, когда испорчена таблица разделов?

hal — 03.05.2012 09:02:49

simplix, может, есть смысл в целях профилактики блокировать доступ на запись в ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon текущему пользователю?
Ну и другие ветки, которые чаще всего модифицируются блокерами.
Или блокеры уже умеют сами переписывать разрешения?

radteh — 03.05.2012 19:02:57

Попробовал AntiSMS в деле. На экране заражённой машины был чёрный фон с текстом. Утилита в целом справилась со своей задачей, но в ветке "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" есть ключ "System" с пустым значением, на заражённой машине там оказалось имя какого-то файла с расширением "tmp". После работы программы AntiSMS этот ключ оказался не чищен.

olzaruta — 03.05.2012 20:32:54

1) Новый вирус сразу меняет загрузчик и ставит анимацию жизни  http://rghost.ru/37880252 ( 2012) проверьте лечит ли его AntiSMS
2) Новый mbr локер Internet Police ( скрин http://www.1st.rv.ua/wp-content/uploads … -virus.jpg) http://rghost.ru/37898566 ( 2012)
прошу протестировать AntiSMS, пароль на архив infected

simplix — 04.05.2012 03:06:40

art9
После исправления таблицы разделов обязательно нужна перезагрузка, чтобы Windows PE увидела разделы.

hal
Блокировщики умеют всё, что может администратор, а пользователь без прав администратора не сможет поломать систему.

radteh
Хорошее замечание, учту его в следующей версии.

olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.

happywanderer — 04.05.2012 05:05:30

нужно восстанавливать таблицу разделов специализированными утилитами.

пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит? :oops:

Runner35 — 04.05.2012 08:08:53

happywanderer сообщает:

нужно восстанавливать таблицу разделов специализированными утилитами.

пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит? :oops:

На XP и 2003 успешно помогал Partition Table Doctor 3.5 , на 7 не сталкивался

http://rghost.ru/37903334 pass на архив 225, там и загрузочный образ и программа

sceatch — 04.05.2012 16:04:31

simplix сообщает:

восстанавливать таблицу разделов

однажды сталкивался с подобным, хорошо помогла следующая вещь http://www.cgsecurity.org/wiki/TestDisk_RU

lid111 — 05.05.2012 02:07:13

simplix, было бы неплохо в шапке рядом с номером версии указывать дату.

A_B — 11.05.2012 05:39:21

Всем привет и Спасибо нашему Админу - simplix за постоянную помощь :)
Недавно словил блокировку Виндов, успешно вылечил и согласно рекомендации выкладываю подозрительный файл.

http://ifolder.ru/images/download_1.jpg

hal — 11.05.2012 09:54:10

Поворчу немного :(
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.
Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.

MBTY — 11.05.2012 10:21:29

hal
Согласен. То же самое подумал, но не стал писать. Перезалил файл от A_B
http://rghost.ru/38020407

jameszero — 11.05.2012 18:41:45

Нестандартный MBR http://clck.ru/d/dDH6eSD114IiO

A_B — 12.05.2012 04:52:29

hal сообщает:

Поворчу немного :(
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.

Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.

Написали как укрупненный ветеран, хотя свое ворчание вполне можно было изложить в пределах одной строки.
Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.


МВТУ, thanks:)

UserX — 12.05.2012 20:50:36

A_B сообщает:

Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.

Однако, достаточно проблематично профессионально отвечать на вопрос, который не был задан...

g0dl1ke — 14.05.2012 15:16:21

simplix сообщает:

art9
olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.

http://www.cgsecurity.org/wiki/TestDisk_RU
лечит, проверил уже 5 раз, собственно мануал можно почитать тут: клик

simplix — 14.05.2012 19:00:23

g0dl1ke
Это не лечение, а восстановление, то есть TestDisk является той самой специализированной утилитой, которая пытается восстановить разделы, причём 100% гарантии нет, что всё получится. Но когда таблица разделов удалена полностью и троян не оставил резервную копию - такими утилитами и нужно восстанавливать.

g0dl1ke — 15.05.2012 08:01:08

ну я так назвал :D
итог то один - все работает, вопрос в том, что имеет автор с убивания таблицы - ведь денег не просит...
или just4fun?

simplix — 15.05.2012 12:45:53

Новая версия AntiSMS 1.9, изменения в шапке.

Larin — 15.05.2012 16:00:30

АнтиСМС просил передать :)
http://memories.ks.ua/Drive2.bin

A_B — 15.05.2012 18:11:34

simplix сообщает:

Новая версия AntiSMS 1.9, изменения в шапке.

Спасип за искреннюю и бескорыстную заботу, доктор:)

specialist — 16.05.2012 08:02:19

simplix
уже три раза воспользовался данной утилитой (версии 1.8.5), все три раза она успешно выполнила свое предназначение, за что вам огромное спасибо.
от себя замечу, что даже на второй запуск утилиты уже в отремонтированной из под livecd системы (когда предлагается восстановить настройки сети) она не исправила в протоколе TCP/IPv4 сетевого соединения Получить адрес DNS-сервера автоматически (может это под полным восстановлением настроек сети и не подразумевалось).
от себя замечу что какие то отличные от значений по умолчанию (получать автоматически) значения в последнее время прописывают вирусы (вторая альтернатива правке hosts), после чего иногда практически никуда нет выхода, а иногда на определенные ресурсы (поисковики, социальные сети, сайты антивирусных компаний). например вчера, столкнулся с невозможностью открытия яндекса и подменой реального vk.com на поддельный, который повторяет дизайн и просит отправить sms для "верификации". при открытии яндекса вылазило во всех браузерах
http://yandex.ru/yandsearch?text=welcom … &lr=18. т.е. вирус был, нагадил, его удалили а, пардон, кучка осталась и мерзко пахнет.
у большинства дома роутеры, adsl которые уже сами настроены на получение и трансляцию актуальных DNS-серверов от местных провайдеров, да и по причине отсутсвия последних тоже в большинстве случаев эта опция стоит получать DNS автоматически (а вирус прописывает свои значения).
было бы замечательно если в будущих версиях это значение становилось дефолтным.
Еще раз спасибо за утилиту.

simplix — 16.05.2012 11:00:10

specialist
После сброса сетевых настроек поля DNS-серверов тоже устанавливаются по умолчанию, проверял. Может быть троян что-то дополнительно испортил в системе, в таком случае мне нужен или этот троян, или виртуальная машина с такой проблемой.

specialist — 16.05.2012 11:10:39

к сожалению эта машина более недоступна, но раз это уже реализовано, хорошо. будем считать разовой несработкой
еще раз спасибо за утилиту и ответ.

more — 16.05.2012 12:07:45

Если можно, в истории рядом с версией не помешала бы еще дата, от какого она :)

barsuk — 16.05.2012 12:37:54

дата не че не изменит! функционал в шапке расписан всё равно (там же БАЗ нету антивирусных)
а если бы я делал я бы вообще не так (1.8.1)  версии обозначал, а просто AntiSMS L0516 (L-год, 05-месяц, 16-число. к SMI контроллеров так все производственные утилиты идут и мне нравится такая система). хотя у такой системы есть один маленький недостаток - после 26 года может возникнуть небольшая путаница в обозначении.))
PS: в утилите можно было такое ПОЛЕ (в котором можно выделить) сделать со ссылкой на блокировщик или на сайт (на порно сайтах их нету!) где его можно подцеппить (имено блокировщик, а не другую шнягу). т.к. у меня антивирус почти всегда в оффе (99%времени) и я не разу не подцеплял такую шнягу и думаю другим тоже интересно (может ктото эксперемент хочет поставить):lol:

simplix — 17.05.2012 23:37:21

Новая версия AntiSMS 1.9.3. Особая благодарность art9 за подробные отчёты и замечания.

Yoti — 18.05.2012 19:21:16

1) Поддержка XPx64 и Vista планируется?
2) От каких SP используются файлы или они для всех одинаковы?

simplix — 19.05.2012 01:40:19

Yoti
WinXP x64 и Vista всегда поддерживались, но замена неподписанных файлов есть только в WinXP x86 и Win7 x86+x64, как самых распространённых системах. Поддержка малоиспользуемых систем возможно появится в будущем. Все восстанавливаемые файлы имеют последние публичные версии.

Fiolet — 19.05.2012 18:05:26

Программка СУПЕР!
Но сегодня лечил комп в котором Рабочий-Главный WindowsXP стартовал с папки WINDOWS.0 , а прога обработала папку WINDOWS - систему, которая стояла раньше (или не использовалась в данный момент) и Баннер остался :unknown:

Core-2 — 19.05.2012 21:53:28

simplix Хочу выразить огромную благодарность за проделанную работу. Сильная программа ! Прошла успешные тесты на имеющейся коллекции "заразы". Жаль не удаётся поймать её онлайн . Исколесила кучу порно-ресурсов в поиске.Благо,друзья помогали,делясь "уловом".
Всего наилучшего !
С Уважением к Вам .

simplix — 20.05.2012 02:32:32

Новая версия AntiSMS 1.9.4.

Fiolet, Core-2
Спасибо вам за тестирование.

Действительно, если в одном разделе было несколько систем (что очень нежелательно), некоторые из них могли не обрабатываться. Сейчас это уже исправлено.

Fiolet — 20.05.2012 05:19:08

simplix Огромное СПАСИБО за труд!!!:good:

Core-2
Частенько обновляются ссылки на сайты с Порно-Баннерами на сайте Malware Domain List, и конкретно на форуме www.malwaredomainlist.com/forums/index. … c=4625.255
Осторожно!!!:crazy:

Core-2 — 20.05.2012 10:19:39

Fiolet Спасибо большое ! Не знала . Пошла пополнять копилочку. Предупреждение об осторожности излишни. Ошибка исключена . :rolleyes:

Yoti — 20.05.2012 21:03:19

simplix сообщает:

но замена неподписанных файлов есть только в WinXP x86 и Win7 x86+x64, как самых распространённых системах

Виста очень частая система на буках.

Riko — 20.05.2012 21:07:02

Доброго времени суток, вашей утилитой довел новенький здоровый ноут (запустил проверить работает или нет, чтобы на другом компе включить) до синего экрана смерти...

Yoti — 20.05.2012 21:08:28

Riko сообщает:

запустил проверить работает или нет, чтобы на другом компе включить

Автор - Петросян, выложил посмеяться. Ок?

Riko — 20.05.2012 21:19:36

Yoti прости ничего смешного тут не вижу.
И ваще не ок на том компе столько инфы, которую терять нельзя


Но все равно БОЛЬШОЕ спасибо автору, на нужном компе сработало, ноут еле-еле откатил :good:

svoit — 20.05.2012 22:08:09

Yoti прости ничего смешного тут не вижу.

я тоже, но возможно дело в том, что тузла пытается восстановить надежные или стандартные параметры и при отсутствии цифровой подписи у нужных дров заменяет их на другие, которые тут работать не будут но они с подписью.
(например ACHI дрова без подписи могут быть заменены на стандартные с подписью). Возможно я и не прав

MBTY — 20.05.2012 22:24:13

Я понимаю, шо тут не стол заказов и вобще я не по теме, да и стаж мой на этом форуме не позволяет писать шото там, где не положено, но обращусь к Core-2 тут (вдруг она на другие ветки и в личку не заглядывает)
Насоветуйте мне, добрый человек, файл boot.wim-установщик семерки, в котором всего ну ооооочень по минимуму. Чем меньше он в мегабайтах, тем лучше (и само собой меньше оригинального). А если вас не затруднит выпустить такой вариант или написать в личку КАК это сделать самому, то я вобще буду благодарен.

simplix — 20.05.2012 22:43:18

Riko
Всё бы хорошо, но вы предоставили настолько мало информации о проблеме, что фактически ничего не сообщили. Дело в том, что в AntiSMS реализовано множество защитных механизмов, которые предотвращают любое повреждение системы, поэтому вероятность того, что проблема у вас появилась из-за утилиты, практически равна нулю. Если же вы уверены, что программа стала причиной неполадки, и хотите помочь в диагностике, напишите - какой именно BSOD вы получили (можно фотографию экрана), пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

Rimer101 — 21.05.2012 01:47:37

Simplix агромное спасибо тебе за твой труд благодаря тебе я компов 15 от порно банеров избавил не снялся только тот что сидит не на жостком диске   а в оперативе тот что стартует сразу после старта биоса и до загрузки windows и помимо снятия банеров твоя прога прекрасно востанавливает систему на днях у клиента полный зависон компьютера у мышки вечные часики не одна прога не запускается это гдето минуту продолжалось а патом мышка даже не шевелится после лечения твоей прогой все промблемы исчезли никаких зависонов все проги запускаются всё работает на ура,и у меня предложение давайте каждый будет сообщать какой антивирусник стоял на заблокированной банером системе чтоб люди могли знать какой антивирус следует использовать а какой на помойку.

Yoti — 21.05.2012 02:21:47

simplix сообщает:

Все восстанавливаемые файлы имеют последние публичные версии.

А лечение vanilla xp проверялось? Например, в виртуалке.

svoit сообщает:

например ACHI дрова без подписи могут быть заменены на стандартные с подписью

simplix, это так?

MBTY сообщает:

Насоветуйте мне, добрый человек, файл boot.wim-установщик семерки, в котором всего ну ооооочень по минимуму. Чем меньше он в мегабайтах, тем лучше (и само собой меньше оригинального). А если вас не затруднит выпустить такой вариант или написать в личку КАК это сделать самому, то я вобще буду благодарен.

Полностью поддерживаю идею, хоть пока и не добрался до практики - первый ответ темы.

Rimer101 сообщает:

не снялся только тот что сидит не на жостком диске   а в оперативе тот что стартует сразу после старта биоса и до загрузки windows

Жаль, что для пользования компьютером не требуется димплом об окончании специальных курсов...

Core-2 — 21.05.2012 12:26:55

MBTY Почти не реально уменьшить меньше оригинала и , + с добавлением полезных функций. Мои загрузчики регулярно обновляются по мере возможности и с выходом новых Анти-СМС и ативирусных утилит.Так же есть наборы-конструкторы с плагинами по изготовлению модифицированных boot.wim и LiveCD&USB на базе Win7PE. Ресурс виден в профиле.
Не сочтите за рекламу.

Fiolet — 21.05.2012 13:55:41

simplix 
У меня установлена программка Mkey, в ней я забиндил на комбинацию клавиш действие: Убить задачю - она снимает активную задачю - Баннер, и дальше подчищаю хвосты uVS`ом.
И вот пожелания:
Можно ли добавить функционал к AntiSMS в ввиде установки (интеграции) в систему и последующих действий:
При нажатии определенной комбинации клавиш AntiSMS убивает все не системные задачи с последующей зачисткой системы.
А еще ОЧЕНЬ хочется, чтоб была возможность запускать AntiSMS в активной системе, даже для профилактики.:drinks:
А по окончанию работы программы, здорово былоб запускать MsConfig совместно с информационным окном, где указать - что включить.

Riko — 21.05.2012 18:14:23

simplix
С удовольствием предоставил бы вам эти данные, однако ноут вылечил, а сфотать или записать номер ошибок как-то в голову не пришло ))
Спасибо за ваш труд, прога очень стоящая (смотрел спосбы лечения от Dr.Web, Kasperskiy, Nod) вообще в сравнение даже не идет ))

korsak — 21.05.2012 18:14:43

simplix
По поводу использования в других WinPE - папка FILES должна находиться обязательно в корне диска или просто в одной папке  с ANTISMS.EXE ? И можно ли сделать второй вариант (если он конечно еще не сделан :) )

art9 — 21.05.2012 18:20:28

Riko сообщает:

simplix
С удовольствием предоставил бы вам эти данные, однако ноут вылечил, а сфотать или записать номер ошибок как-то в голову не пришло ))

А что мешает еще раз повторить?

Riko — 21.05.2012 19:19:13

art9
ноут еле-еле вытащил, почему-то все бэкапы оказались с каким то битым файлом. И вообще я досих пор не понимаю как он восстановился, потому что пока он это делал выдал ошибок 50 и это был последний бэкап... хотя все они до этого были исправны, а это значит, что глючит либо прога восстановления либо я не знаю что. Боюсь не спасти в следующий раз комп ))))

simplix — 21.05.2012 23:46:46

Yoti, svoit
Откуда вы придумали, что драйвера вообще обрабатываются? И в шапке темы об этом ничего не написано.

Fiolet
В активной системе AntiSMS работать не будет, используйте для этого антивирусы/песочницы. Также для этой цели есть AntiWinLocker.

Riko
К сожалению без вашего содействия эта проблема так и останется лично вашей, по одной только фразе "синий экран" выяснить причину невозможно. Без тех данных, которые я просил прислать, можно сделать вывод, что проблема была с самим компьютером.

korsak — 22.05.2012 03:24:13

А меня пропустил :oops:

korsak сообщает:

simplix
По поводу использования в других WinPE - папка FILES должна находиться обязательно в корне диска или просто в одной папке  с ANTISMS.EXE ? И можно ли сделать второй вариант (если он конечно еще не сделан :) )

simplix — 22.05.2012 10:45:45

korsak
Папка Files должна находиться в корне диска или в папке Support, второй вариант (расположение рядом с AntiSMS.exe) будет реализован в следующей версии.

Yoti — 22.05.2012 15:58:42

simplix сообщает:

Yoti, svoit
Откуда вы придумали, что драйвера вообще обрабатываются? И в шапке темы об этом ничего не написано.

Не придумывал, уточнил =)

simplix сообщает:

второй вариант (расположение рядом с AntiSMS.exe) будет реализован в следующей версии.

Тоже жду.

Core-2 — 22.05.2012 16:34:55

Yoti сообщает:

Тоже жду.

Аналогично.:)

AlexW — 23.05.2012 10:09:12

После успешного избавления от очередного локера, перезагрузился и обнаружил, что с рабочего стола пропали иконки, первой мыслью мелькнуло, что в системе ещё что-то порушено, а оказалось - стандартный функционал Windows
Галочку "Отображать значки рабочего стола" локер снял:
http://i.pixs.ru/storage/1/5/5/newpng_9374451_4853155.png

Пожелание - добавить это к автоматическим фиксам реестра, если возможно
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideIcons=0

simplix — 23.05.2012 23:54:44

Программа обновлена до версии 1.9.5.

AlexW
Спасибо за замечание, оно учтено в текущей версии.

sceatch — 24.05.2012 12:06:38

В папке Files обрабатываются только текущие файлы, или можно добавить свои? Спасибо.

simplix — 24.05.2012 12:41:56

sceatch
Только текущие. Мне пока не встречались трояны, которые меняли другие системные файлы, если вам такой попадётся - пришлите имя файла и желательно сам троян.

olzaruta — 24.05.2012 13:38:49

simplix сообщает:

sceatch
Только текущие. Мне пока не встречались трояны, которые меняли другие системные файлы, если вам такой попадётся - пришлите имя файла и желательно сам троян.

Троян-блокировщик винды, подменяет системные файлы userinit.exe и taskmgr.exe http://rghost.ru/38256552 ( 2012 )
Троян-блокировщик ( для буржуйских винд) подменяет explorer.exe http://rghost.ru/38241656 ( infected ) и http://rghost.ru/38110899 ( infected )

art9 — 24.05.2012 13:58:22

olzaruta
эти файлы антисмс восстанавливает

sceatch — 24.05.2012 16:55:08

Simplix, вот мой список, который проверяю обычно я, основные цели для вирусов, часть - цели текущие, часть - цели, которые однозначно будут инфицироваться в будущем. Список, думаю, не полный. (Часть уже присутствует в Вашем списке).

logonui.exe
userinit.exe
winlogon.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\csrss.exe
C:\WINDOWS\System32\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\netdde.exe
C:\WINDOWS\System32\clipsrv.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\lsass.exe
ctfmon.exe

Плюс, "апплеты" системы (те, что с расширением .mmc) - тоже уязвимое место.

Это, конечно, в основном, работа антивирусов, но по теме, список что выше довольно уязвим.
Спасибо.

Yoti — 25.05.2012 19:01:19

Хотелось бы поддержку восстановления файлов Vista. Скачать и выложить?

Core-2 — 27.05.2012 17:35:25

simplix Ваше изделие 1.9.5 работает на моих Live CD из папки Program Files (FILES и ANTISMS.EXE).Может правильнее чтоб они лежали в корне образа ? Или с выходом крайней версии это уже не имеет значения ?
Спасибо.

simplix — 30.05.2012 02:57:20

Друзья, наконец-то на свет появилась версия AntiSMS 2.0 - теперь в программе реализовано всё то, что было запланировано с самого начала. Утилитой можно смело пользоваться в любых случаях, на данный момент она справляется со всеми существующими блокировщиками, в том числе MBR-локерами. И в то же время имеет высокую скорость работы, малый размер, исключительную простоту использования и эффективность.

В этой версии формат хранения резервных системных файлов был изменён, а их количество пересмотрено и дополнено. В корне загрузочного диска находится файл SysFiles.exe - это и есть архив с необходимыми файлами для восстановления. Поддерживаются системы WinXP x86, Win7 x86-x64, Vista x86-x64. Файл SysFiles.exe можно держать как в корне диска, так и рядом с файлом AntiSMS.exe - кому как будет удобнее в своём WinPE.

DJeir — 30.05.2012 05:01:02

simplix
Просто огромное тебе спасибо!

A_B — 30.05.2012 06:06:30

simplix
Премного благодарны (я и мое окружение) за Вашу бескорыстную и искреннюю заботу о нас! Просьба, если иногда кого-то "заносит" в переписках-просьбах, не берите это близко к сердцу, спаситель Вы наш :)

Vnoukoff — 30.05.2012 08:02:19

simplix
Большое Вам спасибо за такую программу! :good:

dt1 — 30.05.2012 08:35:46

simplix
СПАСИБО ВАМ за ваши проекты и труд над ними!:good:

Core-2 — 30.05.2012 08:38:48

Грандиозная работа ! Спасибо ! http://gn.ucoz.ua/im/devushki/cs.gif

hal — 30.05.2012 09:19:40

simplix
Крутбл :D
Присоединяюсь к благодарностям.

Вчера только успешно использовал диск AntiSMS у давних клиентов. Диск оставил им, на всякий случай, рассудив, что денег я и без блокеров заработаю :cool:

Кстати, файл hosts не обработался, пришлось после AntiSMS вручную удалить блокировку vk.com и его зеркал.
Версия была 1.9.5.

simplix — 30.05.2012 10:54:06

hal
Вы бы прислали тот файл hosts, а то я пробовал повторить у себя и никаких проблем не выявил, hosts корректно обрабатывается на всех системах.

hal — 30.05.2012 12:30:04

Прислать не могу, я его уже откорректировал.
Windows XP SP3 Simplix Edition

По памяти: после стандартной строки
127.0.0.1       localhost

стояли еще 4 строчки:

127.0.0.1      vk.com
127.0.0.1      www.vk.com
127.0.0.1      vkontakte.ru
127.0.0.1      www.vkontakte.ru

simplix — 30.05.2012 12:58:32

Всё правильно, записи 127.0.0.1 не меняются, чтобы не навредить другим программам. В данном случае эти записи добавил не троян, а программа LoviVkontakte.

art9 — 30.05.2012 13:12:25

было бы полезно, чтобы 127001 удался если заблокированы таким способом сайты антивирусов

maks — 30.05.2012 13:27:23

simplix, спасибо дружище! Отдельное спасибо за SysFiles.exe :good:

Столкнулся с такой проблемой. У меня флешка 32 гб в NTFS была, ваша программа отформатировала в FAT32. Нельзя ли при форматировании добавить опцию с выбором файловой системы в AntiSMSusb.exe?

hal — 30.05.2012 13:52:33

art9
Думается, такой функционал уже давно есть в утилите :cool:

maks — 30.05.2012 14:07:52

При загрузке на ноутбуке вылазит синий экран с ошибкой - Stop: 0x000000B4 The Video Driver Failed to Initialize

simplix — 30.05.2012 21:01:23

art9 сообщает:

было бы полезно, чтобы 127001 удался если заблокированы таким способом сайты антивирусов

Неблагодарное это занятие - на одном вирустотале представлено 42 антивируса, а сколько ещё мелких антивирусов на свете... Искать, добавлять и отслеживать эти сайты не имеет смысла, учитывая что компьютер будет разблокирован. В инструкции рекомендуется проверить компьютер CureIt'ом, а он уже сам предложит восстановить пустой hosts, удалив из текущего все записи.

maks сообщает:

Нельзя ли при форматировании добавить опцию с выбором файловой системы в AntiSMSusb.exe?

FAT32 работает быстрее и больше подходит для флешки. Но если сильно нужно - воспользуйтесь DirectGRUB

maks сообщает:

При загрузке на ноутбуке вылазит синий экран с ошибкой

Значит BIOS вашего компьютера конфликтует с таким методом загрузки образа с флешки, при этом с диска этот же образ загрузится нормально, и эта же флешка на компьютере другой конфигурации будет работать. Не бывает абсолютно 100% беспроблемного способа загрузки образов с флешки, например создатели GRUB4DOS не могли протестировать его работу со всеми видами ноутбуков, и Microsoft не тестировали свои драйвера в такой конфигурации, и производители ноутбука не могут предусмотреть все варианты загрузки.

svoit — 31.05.2012 07:41:04

создатели GRUB4DOS не могли протестировать его работу со всеми видами ноутбуков

может я  не прав, но контроллеров USB и разных вариантов BIOS очень не много (в сумме хватит пальцеив одной руки), откуда же такое разнообразие и такая не совместимость (при том, что все стандартизовано)

mselin — 31.05.2012 08:56:44

Так для полноценной работы AntiSMS с WinPE нужно рядом положить SYSFILES.EXE из ISO образа?

hal — 31.05.2012 10:47:45

mselin, именно так, на тот случай, когда системные файлы подменены.

sceatch — 31.05.2012 14:39:12

Прошу помочь советом. Возможно, кто-то сталкивался с подобным. У меня 2 вопроса.
1. Касательно проприетарности WinPE. Пробовал вместо нее бесплатную альтернативу ReactOS, хотел протестировать в связке с AntiSMS, но пока не выходит. На реальном железе отказывается грузиться, в виртуальной ОС - траблы. Но значёк AntiSMS отображается, траблы судя по всему, из-за LiveCD-версии ReactOS. Вопрос - стоит ли вообще продолжать это, или кто-то уже тестировал и результат отрицательный?
2. Существует ли хоть один способ создать зашифрованную загрузочную флешку? Делал шифрование готовой загрузочной флешки с grub4dos через прграмму DiskCryptor, далее не эту же флешку ставил загрузчик DiskCryptor-а, grub в MBR при этом не затирается, но это не сработало. Что можно предпринять? Есть ли у кого-нибудь опыт в этой области?

MBTY — 31.05.2012 16:50:58

sceatch
1) ReactOS !=Windows. С тем же успехом можно загрузиться с LinuxLiveCD и запустить AntiSMS под Wine
2) http://www.kingston.com/ru/usb/encrypted_security или же разбить флешку на два раздела. Маленький с TrueCrypt и большой с зашифрованными им данными

sceatch — 31.05.2012 17:27:15

MBTY, спасибо.
1. А как же реестр Windows под Wine? Тоже будет работать?
2. Мне нужно будет грузиться с этой флешки. TrueCrypt не умеет встраивать свой загрузчик на флешку, а только на системный раздел или создавать rescue образ ISO, если не ошибаюсь. Даже если я создам 2ой зашифрованный TrueCrypt-ом раздел, grub все равно это дело не поймет.
На счет hardware-encrypted флешки, большое спасибо, раньше слышал как-то про нее, но когда занялся этим вопросом, про нее даже не вспомнил. А Вы не в курсе, если я сделаю из нее загрузочную, grub сможет прочесть iso файлы в режиме on-the-fly? По-моему, она (флешка) их только под уже загруженной виндой раскриптовывает на лету.
---
Из всего этого, для меня получается совсем мрачные выводы.
1. ReactOS, если даже на моей машине с LiveCD не пошла, что уж говорить об остальных, особенно кривых нетбуках. Отпадает.
2. Linux+Wine, похоже, тоже отпадает, т.к. в линуксах я не разбираюсь практически совсем.
3. TrueCrypt, скорее всего, не осилит такую связку. Если даже DiskCryptor не осилил.
4. Остается флешка с аппаратным шифрованием. И то, если она будет поддерживать расшифровку на лету в буте. И это будет неуниверсальный метод, т.е. не все захотят покупать такие флешки.
P.S.: этот вопрос надеюсь что не будет считаться офф-топом к данной теме, т.к. есть необходимость сделать полностью легальное решение, заменив проприетарный WinPE альтернативным свободным решением. Это для многих важно. Поэтому и прошу помощи опытных людей.

Gazeman — 31.05.2012 18:55:26

спасибо за прогу отчень помогла:)

simplix — 31.05.2012 19:32:49

svoit сообщает:

может я не прав, но контроллеров USB и разных вариантов BIOS очень не много

Если бы это было так, то вирусы уже давно заражали бы BIOS. Попробуйте прошить BIOS от одной материнской платы на другой и посмотрите на результат.

sceatch
Определитесь с терминологией, проприетарное - не значит платное, даже с открытыми исходниками ПО может быть проприетарным. Скорее всего вам нужно сделать так, чтобы ПО было лицензионным, т. е. использовать WinPE полностью законно. Насколько мне известно, Microsoft разрешает использовать WinPE в своих целях за небольшую плату, для уточнения которой вам лучше позвонить им в офис.

Core-2 — 01.06.2012 07:48:04

Малость не в тему. За GRUB4DOS . Вчера купила ноут Samsung 300E5Z-S01 , bios Phoenix . Так вот , - не грузится ни один USB HDD на основе grub  , активаторы на его же основе приводят к полной остановке загрузки ОС. Думала , кривой один экземпляр . Проверена в магазине вся линейка . Все отказывались грузиться. Так стоит ли винить разработчиков grub ? Думаю , вся вина на местных "биосописцев" и производителей компьютеров , толком не протестировавших свои детища.

Yevgen16 — 01.06.2012 10:46:02

Core-2 сообщает:

Малость не в тему. За GRUB4DOS . Вчера купила ноут Samsung 300E5Z-S01 , bios Phoenix . Так вот , - не грузится ни один USB HDD на основе grub  , активаторы на его же основе приводят к полной остановке загрузки ОС. Думала , кривой один экземпляр .

Попробуйте поставить загрузчик syslinux, было пару раз, когда grub не грузил, а с syslinux'ом благополучно грузилось.

Core-2 — 01.06.2012 10:57:14

Yevgen16 Проще ноут поменять . Зачем такая недоделка после одного дня покупки ? Ради этого переделывать все флешки нет резона. Да и grub привычнее , распространённее , удобнее.

Да вот уж не богатая , чтоб позволять себе за такие деньги убитый или недоделанный ноут. Зачем мне гемморой за почти 22 т.р.? Пусть меняют . Права то я , по сути.

Тема зарыта , нафлудили и так порядочно .

Yevgen16 — 01.06.2012 11:36:45

Ну смотрите сами... у богатых свои причуды :d

viprus — 01.06.2012 20:53:23

Приветствую автора. Предложение, если SysFiles.exe может реально понадобиться при лечении, может стоит его так же выложить для скачивания в шапке? Не многие же образ качают. У меня, например, куча своих LiveCD есть - зачем мне весь образ. А так приходится его скачивать и из него доставать SysFiles.exe, чтобы рядом с лечилкой положить.

maks — 01.06.2012 22:12:52

Поддерживаю viprus :)

И еще вопрос: в SysFiles.exe три папки: Vista, Win7 и WinXP. Они просто распаковываются в TEMP, а дальше руками?

Rimer101 — 01.06.2012 22:50:01

подскажите пожалуйста что именно востанавливает SysFiles.exe  или в каких именно случаях её нужно запускать а в каких достаточно запуска только AntiSMS.

korsak — 01.06.2012 23:05:35

имхо вы зря паритесь с SysFiles.exe. Прога сама распаковывает и берет оттуда нужные файлы. И руками запускать SysFiles.exe не надо

art9 — 02.06.2012 16:42:51

Кстати, новый exe файл теперь заставит сомневаться пользователя. Ведь если есть EXE  - значит его нужно запустить!

Rimer101
Не обращайте внимание на файл SysFiles.exe. Вам нужно только загрузиться с liveCD и нажать на ярлык "AntiSMS". Другими вещами не забивайте голову - утилита сама все сделает.

Алекс — 03.06.2012 10:30:56

Здрасьте ,господа Админы форума и программы Антисмс!
Сёдня попробовал вашу прогу,записал на диск её, загрузился с него, всё запустилось ок.
Но дело в том,что я пробовал на абсолютной здоровой системе с Вин ХР.. в общем,после работы программы этой и ребута компа, у меня ОС вообще не загрузилась.. :lol:
Несколько минут висело "добро пожаловать" и всё.. Ни на что не реагировала система.
В общем,ваша удивительная прога что-то намутила там и винду мне загробила.. спасибо ,ребята! :good:  Пришлось использовать ERD commander и откатываться к точке восстановления.. благо,он помог.
В общем,жду Ваших комментариев.. почему такое происходит?

art9 — 03.06.2012 10:52:30

Алекс
я пробовал антиСМС  на нескольких здоровых компьютерах (win xp home; win xp pro; win 7) - ни разу проблем с запуском системы не было.
Если это действительно правда, то повторите эксперимент, сохраните логи АнтиСМС и выложите их сюда.

Алекс — 03.06.2012 11:13:32

art9 сообщает:

Если это действительно правда, то повторите эксперимент, сохраните логи АнтиСМС и выложите их сюда.

а по Вашему- я прикалываюсь тут и  небылицы выдумываю?:D  нафиг мне это нужно?
канешно это правда. я только вчера об этой проге узнал,решил попробовать, и вот что из этого вышло- система просто заглохла..:(  логи выслать пока не могу,так как я откатился на точку восстановления.. если только заново повторять эксперимент,и потом логи эти искать.. ксати,где они хранятся? в какой папке должны быть после работы проги?

glax24 — 03.06.2012 11:28:43

Алекс
Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.

Sergikaz — 03.06.2012 11:37:09

Алекс сообщает:

пробовал на абсолютной здоровой системе с Вин ХР

Вы уверены в таком абсолютном и категоричном утверждении?
Лично я не могу так категорично сказать про свою ОС, хотя регулярно слежу за чистотой. Система без переустановки работает уже 21 месяц. Регулярно запускаю на проверку сканеры от различных антивирусов. Кроме отдельного антивируса стоит отдельный файервол. Однако, я прекрасно понимаю, что антивирусы могут обнаружить только те вирусы, сигнатура которых имеются в их базах.
Теперь по поводу вашего случая.
Утилита делает на системе определённые изменения. Некоторые из них:


Код:

• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.

Сам часто на своей системе провожу опыты с различными твикерами-улучшателями. Бывает, про это уже и забыл, а вот новые файлы, службы, драйвера от этого эксперимента потом дают о себе знать. Поэтому, даже если у вас "абсолютно здоровая" от вирусов система, то очень возможно, что-то было в автозагрузке "без подписи".

Алекс сообщает:

В общем,жду Ваших комментариев.. почему такое происходит?

Если действительно интересно "почему такое происходит", если это действительно не "камушек в чужой огород", то сделайте как написал art9. Сделайте образ системы, сохраните важные данные и повторите эксперимент. В случае ошибки AntiSMS, то вы только поможете исправить глюк и заслужите большое уважение в наших глазах. ;)

Алекс — 03.06.2012 12:55:29

Sergikaz сообщает:

Вы уверены в таком абсолютном и категоричном утверждении?
Лично я не могу так категорично сказать про свою ОС, хотя регулярно слежу за чистотой. Система без переустановки работает уже 21 месяц.

Да,абсолютно уверен!Господа авторы проги,не надо меня за болванчика считать.. :) я сам в компах кое-чё шарю,занимаюсь иногда ремонтом и настройкой компов и ноутов ,и уже не один раз занимался ручным лечением компов от троян-винлоков без всяких дополнительных программ типа вашей..
Абсолютно уверен что моя ОС чиста, ваша вот работает уже 21 месяц,а моя с 2009 года (это сколько уже? ) , изначально был сделан образ системы Акронисом,с установленными дровами,программами и настройками под себя.. иногда откатываюсь на этот образ (где то раз в 2-3 месяца) ,дополняю его свежими програмками, и делаю новый образ..
Антивирусами регулярно проверяю. у меня стоит Outpost SS pro как основной, и изредка прогоняю Др. веб кьюрит. Система чиста и здорова,в этом я точно уверен.:good:

что касается моего случая,возможно ваша программа отключила что-то нужное из автозагрузки,поэтому у меня всё и повисло..
Кстати, по-моему это не совсем правильно- то что программа отключает всё что попадя без цифровых подписей.. :shock:  как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?..
в общем,я думаю- надо Вам поразмыслить более конкретно над тем,что должна отключать программа,а что-нет..

Будет свободное время,повторю эксперимент и скину логи.

JAcK — 03.06.2012 13:35:39

Алекс
На чистой Windows программа неможет отключить ничего нужного.
Так что как Вы сами должны понимать закавыка в комлексе программ которые Вы савили на чистую Windows.
Да и логика программы правильная, поскольку программа предназначена для работы с зараженой, заблокированой системой, то правильно считает все неподписанные автозагружаемые программы потенциально опасныим.
И согласитесь, если система не способна загрузиться без какойто сторонней программы в автозагрузке то она уже далеко не чистая.

Sergikaz — 03.06.2012 13:36:09

как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?..

Для начала, юзерам (и не только им), надо ознакомиться с первым постом этой темы. В том числе и с "История изменений (раскрыть)". Тогда не надо будет задавать многие вопросы и шанс наломать дров будет сведён к минимуму.

Будет свободное время,повторю эксперимент и скину логи.

Да уж, это же так много времени займёт у такого опытного пользователя. Проще кинуть камушек в чужой огород и рассказывать всем какой этот огород беспонтовый, да поучить других как картошку окучивать.

На этом, лично я, флуд заканчиваю. Это абсолютно пустой разговор. ИМХО.

Алекс — 03.06.2012 13:47:08

Sergikaz сообщает:

Да уж, это же так много времени займёт у такого опытного пользователя. Проще кинуть камушек в чужой огород и рассказывать всем какой этот огород беспонтовый, да поучить других как картошку окучивать.

На этом, лично я, флуд заканчиваю. Это абсолютно пустой разговор. ИМХО.

Уважаемый,Вы по-моему начинаете обвинять меня во лжи и провокации, что не совсем уместно в данном случае.. Или вы до сих пор думаете,что я это всё придумал что бы осквернить имя вашей проги? :lol: 
я ж сказал- будет время -сделаю эксперимент повторный!!
на это нужно время, хотя бы пол-часа ,час. нужно загрузиться с вашего диска,провести якобы лечение, потом загрузить мою винду (она опять не загрузиться) , потом зайти с флэшки Win PE в комп, найти там эти самые логи, потом откатиться через ERD на точку восстановления, и уже только потом можно будет о чём то говорить и скидывать логи вам..
По вашему это минутное дело?!  у меня щас комп занят,он мне нужен пока в рабочем состоянии, и нету пока времени на эксперименты.  Завтра примерно в это же время- возможно повторю эксперимент.
----------------------------------------------
И ещё... если прога мне действительно поможет при лечении клиентских компов, и окажется мне полезной, то я отблагодарю авторов денежным вознаграждением.
пока о ней ничего полезного сказать не могу..  но возможно ситуация изменится.
Sergikaz, и не надо глупостей про огороды молоть.. :unknown:
я сам заинтересован в том,что бы такая программа была и работала эффективно,и без лишних заморочек.. и мне нету ризона писать глупости и провокации в адрес программы. пишу как есть,по делу.

simplix — 03.06.2012 14:01:57

По поводу SysFiles.exe - не ожидал, что его начнут запускать, в следующей версии видимо переименую его во что-то нейтральное и выложу отдельно. Конечно SysFiles.exe не нужно запускать вручную, AntiSMS всё делает автоматически, просто использует этот файл в своих целях. А сделан он в виде архива для того, чтобы люди могли просматривать и изменять его содержимое для своих целей.

Других участников форума я прошу не обвинять в некомпетентности людей, которые пишут о проблемах - сам факт того, что они не отмахнулись, а пришли и написали свой опыт работы с программой, достоин уважения. А причину проблемы покажут дальнейшие тесты и отчёты.

Алекс
Спасибо за описание проблемы, в общем случае мне нужна такая же информация, как и здесь:

Пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

В отличии от этого случая у вас появился не синий экран, а просто висело "Добро пожаловать". Для начала можно выяснить, проблема возникает из-за редактирования реестра или файлов системы. Если вы перед запуском AntiSMS сделаете резервную копию папки C:\Windows\System32\Config, а после запуска утилиты восстановите её на место и проблема исчезнет - значит дело в реестре и отчёт из цитаты выше мне очень поможет в диагностике.

Алекс сообщает:

как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?

Эта информация есть в первом сообщении темы, в инструкции для неопытных пользователей.

Алекс — 03.06.2012 14:13:43

simplix сообщает:

Алекс
Спасибо за описание проблемы, в общем случае мне нужна такая же информация, как и здесь:

Пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

Логи обязательно скину, но не сёдня. завтра возможно примерно в это же время.. я работаю днём, время свободное только вечером бывает да и то не всегда.:)

simplix,Спасибо за внимание. прога по отзывам вроде не плохая, но нужно её дорабатывать и допиливать.. :)

simplix — 04.06.2012 11:48:52

Вопрос к посетителям форума - у кого-нибудь есть аккаунт на хабре и желание опубликовать статью о AntiSMS от своего имени? Саму статью я написал и отправил в песочницу, но реакция админов несколько удивила - после почти недельной задержки они написали ответ, что топик не был одобрен, причём не указали ни одной причины или нарушения. Топик красиво оформлен и грамотно написан, песочница завалена статьями и похуже, в данном случае я считаю отклонение несправедливым. Целью статьи является только донесение до широкой аудитории компьютерных специалистов самого факта существования программы, ведь масса людей могли бы лечить компьютеры за пять минут, если бы просто знали о существовании этой программы.

Core-2 — 04.06.2012 12:31:00

simplix AntiSMS успешно распростаняется на многих ресурсах. И стоит ли унижаться перед неадекватными админами ? Нужно немножко подождать . Программа пользуется популярностью и спрос на неё будет постоянным пока не будут давать реальные тюремные сроки за кибер-мошенничество .
Готова разместить статью на нескольких ресурсах от Вашего имени , где мне это право дано людьми .

simplix — 04.06.2012 12:59:17

Core-2
Спасибо за помощь, но так как на хабре не приветствуется копирование статей с других ресурсов, то я бы дождался появления топика сначала там, а потом уже где угодно. Но это не значит, что на других ресурсах нельзя кратко добавить описание от себя со ссылкой на сайт, этого будет достаточно. Я не считаю админов хабра неадекватными, наоборот - люди замечательные, так как читаю его много лет и вывод небезосновательный. Но вот конкретно модератор песочницы не всегда понимает, будет ли статья полезна сообществу, и видимо при отсутствии личного интереса её убирает. Мне подсказывают, что случай не единичный - несколько лет назад статья, не допущенная даже в песочницу, была опубликована другим человеком и оказалась интересной обществу. Иногда и я недоумеваю - статья про твик, один-единственный твик, который элементарно гуглится, набирает кучу плюсов и добавлений в избранное, тогда как действительно полезная информация совсем не проходит. Ну да ладно, время всё расставит по местам.

Алекс — 04.06.2012 13:23:59

Sergikaz
Логи моей проблемы все скинул админу, на все эксперименты ушло почти 2 часа личного времени.. 
Кто там говорил что разговор пустой и ни о чём? :unknown:
simplix
Спасибо за внимание, жду результатов исследования.. :drinks:

hal — 04.06.2012 16:47:50

Алекс
2 часа - это явный перебор :)
Запустить утилитку - 2 минуты, перегрузка, убедиться, что не грузится - еще 5 минут максимум.
Перегрузить комп, загрузить WinPE - еще 5 минут, восстановить реестр - 2 минуты.
Полчаса - это с перекурами :drinks:
На этом оффтоп прекращаю.

simplix — 04.06.2012 21:07:43

Исследование отчётов Алекс показало, что проблема была в операционной системе - там полностью отсутствовали каталоги безопасности, поэтому и сама система, и все сторонние программы определяли системные файлы как неподписанные, и соответственно отключались AntiSMS с возможностью включения через msconfig. Эту ситуацию я смоделировал у себя и получил ожидаемый результат - система всё равно загружается, но так как большинство служб и автозагрузки отключено, то интерфейс больше напоминает безопасный режим. Такой случай крайне редкий и за всё время существования программы встретился первый раз, так что в следующей версии я добавлю ещё одну проверку, которая позволит проверять и повреждённую систему, но в этом случае лечение не будет гарантировано. Лучший вариант в этой ситуации, который на 100% решит проблему, - переустановка системы.

art9 — 04.06.2012 21:15:17

simplix
правильно ли я понял, что вызвать msconfig в этом случае все равно можно, и вернуть Обычный вариант автозапусков без шаманств?

simplix — 04.06.2012 21:27:43

art9
Конечно можно, на то и рассчитано, чтобы систему всегда можно было загрузить. Только когда большинство служб отключены вход в систему может немного замедлиться, у меня на тестах нужно было подождать на 10-20 секунд дольше, а вот почему у Алекс происходило именно подвисание - это уже особенности его системы, которые нужно исследовать напрямую (по интернету будет долго и не удобно), поэтому я и советую ему переустановку.

Алекс — 05.06.2012 12:59:44

art9 сообщает:

simplix
правильно ли я понял, что вызвать msconfig в этом случае все равно можно, и вернуть Обычный вариант автозапусков без шаманств?

может и можно вызвать msconfig, но в моём случае это сделать было не реально.. "добро пожаловать" висело около 5 -ти минут, и я так и не дождался даже появления рабочего стола..
И кстати, повторюсь ещё раз- моя система не настолько уж страшна и запущена.. :crazy:
Всё работает идеально и без глюков, просто скорее всего это вина горе-сборщиков Виндоуса "зверь CD" - вероятно они что то намутили в этой "чудо-сборке" и большинство файлов оказались без цифровой подписи. но на общую работу ОС это никак в принципе не влияет,насколько я заметил за несколько лет..

simplix — 05.06.2012 13:01:55

Новая версия 2.1

1) Файл SysFiles.exe переименован в SysFiles.bin, чтобы люди не пытались его запускать вручную. Это по-прежнему обычный самораспаковывающийся архив, но вручную его запускать не нужно, программа работает с ним самостоятельно и при необходимости восстанавливает системные файлы автоматически. Файл может располагаться как в одной папке с программой, так и в корне диска. Скачать SysFiles.bin можно здесь.

2) Добавлена поддержка базы проверенных файлов программы Universal Virus Sniffer, за что её автору огромное спасибо. Обновления базы можно скачивать непосредственно на этой страничке или здесь (724993 хэшей в базе [14.03.2013]). Для использования в программе файл MAIN нужно переименовать в Hashes.bin и поместить в каталог с AntiSMS или в корень диска. Добавить файл в образ диска можно с помощью UltraISO. Сама программа uVS не требуется для AntiSMS, но вы можете дополнять базу проверенных файлов с помощью uVS, а потом подключать эту базу к AntiSMS.

Примечание: для использования с uVS версии 2.5 и выше прочитайте это сообщение.

Алекс — 05.06.2012 13:20:44

hal сообщает:

2 часа - это явный перебор :)
Запустить утилитку - 2 минуты, перегрузка, убедиться, что не грузится - еще 5 минут максимум.
Перегрузить комп, загрузить WinPE - еще 5 минут, восстановить реестр - 2 минуты.
Полчаса - это с перекурами :drinks:

А Вы прибавьте ещё к этим пол-часам:
1)Зайти с другого вин PE (который кстати грузится чуть дольше,чем PE- антисмс)в комп,скопировать папку с конфигами системы,сжать её в архиве,выйти из вин -PE, зайти в рабочую ОС,зайти в инет, залить этот архив на файлообменник,скинуть ссылку админу.
2)После проведения эксперимента-опять зайти в вин -PE, скопировать уже изменённые конфиги ОС,сделать опять архив на них.
3)откатиться на точку восстановления через ERD-сommander, что бы можно было нормально заходить в ОС и работать дальше.
3) зайти в рабочую ОС, снова залить изменённые конфиги и папку Temp на файлообменник,скинуть ссылку.
Ну вот как раз 2 часа и получается.. ;)  Админ подтвердит :)
ладно,дело то не в этом, ради хорошей и эффективной проги  можно и потратить время.:drinks:
-------------------
simplix
"Сама программа uVS не требуется для AntiSMS, но вы можете дополнять базу проверенных файлов с помощью uVS, а потом подключать эту базу к AntiSMS."
не совсем понял.. для чего нужен uVS? он работает отдельно или уже встроен в анти-смс? или его нужно отдельно запускать?

hal — 05.06.2012 14:17:08

uVS - это шикарная утилитка для лечения компьютеров от разных гадостей в ручном режиме.
АntiSMS делает примерно то же самое, но в автоматическом режиме, и предназначено для неопытных (или ленивых :D ) пользователей, в этом ее ценность.

Алекс — 05.06.2012 15:27:16

hal
ясно:) но я думаю- антисмс предназначена в большей степени не для ленивых пользователей, а для сис-админов и для тех кто занимается настройкой-ремонтом компов.. :D  ленивые пользователи лучше позвонят и мастера вызовут,который приедет и всё сделает за них :crazy: ленивые узнают о таких вещах и программах самые последние,как правило... ))

hal — 05.06.2012 17:33:28

Алекс
Админы при наличии времени и возможности предпочитают помучиться и c помощью AVZ, uVS и autoruns понять, где на этот раз разместилась очередная зараза :cool:

А AntiSMS хороша для тех случаев, когда нет времени или желания разбираться.
Или компьютер находится, к примеру, в другом городе, в таком случае проще объяснить юзеру, как записать диск и с его помощью провести лечение (если юзер достаточно подготовлен, классическим блондинкам метод не подходит).

Резюмирую - AntiSMS подходит более-менее подготовленным пользователям. Как вариант - совсем неподготовленным, если у них уже есть записанный диск.

Waterclo — 05.06.2012 17:50:45

Ребята!
Вот представляете - не могу оценить до сих пор AntiSMS. Никто из моих друзей, родственников и знакомых, кому устанавливал систему, не ловил никакой заразы. Устанавливаю в строгом соответствии с вот с этими рекомендациями. Возни много, соответственно, но себя оправдывает. Надо хорошо подумать, как сей процесс автоматизировать по запросу. Тем более, что разумные предложения от народа уже поступали, но все времени не хватает хорошо подумать - то праздники, то похороны.

art9 — 05.06.2012 18:30:25

потестил новую версию с базой безопасных Uvs - это вообще бомба. очень ювелирное удаление зловредных записей.
очень желательно включить в образ

svoit — 05.06.2012 19:46:35

Waterclo

Устанавливаю в строгом соответствии с вот с этими рекомендациями. Возни много, соответственно, но себя оправдывает

вот бы этот процесс немного автоматизировать по возможности (а то действительно  довольно сложен), например основную часть настроек уже внести в образ и с него ставить уже настроенною винду для безопасного пользования. А после установки дров ещё немного усилить защиту.

simplix — 05.06.2012 20:12:22

art9
В образ база пока не включается из-за большого размера, вместо этого есть видеоинструкция, как самому легко добавить базу в образ с помощью UltraISO. К тому же это дополнительный компонент, совсем не обязательный для работы программы.

Waterclo, svoit
Любая защита системы её же средствами упирается в ограничения, что именно пользователю можно делать, а чего нельзя. Вряд ли здесь можно предусмотреть универсальную конфигурацию ограничений, которая устроит всех пользователей. А им совершенно справедливо не понравится, что в систему встроены какие-то ограничения, которые нужно изучать. Для этих целей Microsoft придумала компромисс в виде UAC, а в WinXP ничего такого нету.

art9 — 05.06.2012 20:39:51

simplix
возможно ли выкладывать ссылки как с базой так и без? я бы знакомым советовал качать больший образ (все равно балванку будут юзать только для одной этой цели - места полно)

simplix — 05.06.2012 20:50:18

art9
Конечно можно, сам образ с базой есть здесь, размер - 42 МБ.

glax24 — 06.06.2012 08:02:14

simplix
С базой наблюдается одна особеность, если в автозагрузку добавить следующее


Код:

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "virushi" /t REG_SZ /d "cmd.exe /C pbaner.exe"

то запись после проверки остается, если без базы то запись отключается.
В первом случае считается что cmd.exe легитим и запись остается.(надо проверять то, что запускается через cmd, а не сам файл cmd.exe)

proto — 06.06.2012 09:37:31

simplix, хотелось бы иметь возможность работать с базами UVS-а (MAIN) без их переименования. Работаю из-под "пешки" и с UVS-ом и с AntiSMS-ом, а каждый раз менять название файла не хочется.
Это возможно? Хотя бы как вариант для тех, кому это нужно?

Алекс — 06.06.2012 10:49:03

Waterclo сообщает:

Ребята!
Вот представляете - не могу оценить до сих пор AntiSMS. Никто из моих друзей, родственников и знакомых, кому устанавливал систему, не ловил никакой заразы.

У меня есть 2 троянчика-винлока в запасе.. :crazy:  хранятся в архивчике на моём компе. я их вытаскивал из заражённых компов клиентов, и оставил на память себе.. если надо- могу запросто залить куда-нидь на файлообменник и ссылку скинуть.
когда запустишь их,система заблокируется и сможешь проверить анти-смс в действии.. :)

g0dl1ke — 06.06.2012 10:59:09

а куда статья с хабра пропала?

Core-2 — 06.06.2012 11:55:17

g0dl1ke сообщает:

а куда статья с хабра пропала?

Да там админом один из SMS вымогателей пристроился . Достойнее выхода не нашёл .

g0dl1ke — 06.06.2012 12:13:11

http://webcache.googleusercontent.com/s … st/145288/

g0dl1ke — 06.06.2012 15:02:02

да, якобы ты перевел статью в черновики
жесть какая то, хабрам то какой профит от отсутствия софтинки на сайте?
аль касперский переживает :lol:

simplix — 06.06.2012 23:52:09

glax24
Принял к сведению, проверю этот момент, спасибо.

proto
Замечание справедливое, в следующей версии я добавлю такую возможность - файл MAIN можно будет держать в одном каталоге с AntiSMS.exe, при этом Hashes.bin тоже будет работать.

Core-2, g0dl1ke
Не удивлюсь, если подобный функционал появится в антивирусах, так как сейчас по части полной автоматизации аналогов программы не существует. Может это и к лучшему, главное что начало положено.

g0dl1ke — 07.06.2012 00:50:28

simplix
ну так то и ты можешь любого забанить на этом ресурсе ;)
просто обычно не наблюдал за хабравцами такого лютого баттхерта, как вчера
в принципе ничего не случилось: твое творение набирает популярность, тебя прекрасно знают в рунете (одна сборка винды чего стоит), а хабром больше/хабром меньше - погоды не сделает, разве что действительно выйдет "новый" касперский с функционалом antisms или аналогичная утилита с спец EULA.
так уже было с avz, правда там вроде все законно, вроде...
доброй ночи всем :cool:

Vitokhv — 07.06.2012 02:35:46

Вот, где заблудшие люди ищут помощи: http://www.ixbit.ru/forum как только они этот форум находят..
А насчет "Habrahabr" я уже упоминал о использовании WinPE в коммерческих целях, из за чего далеко-подобная сборка на основе uVS была запрещена на форуме Касперского, хоть и была не коммерческой (бесплатной). Даже дали права Модератора, и позже все забрали : )
Думаю им выгоднее рекламировать свой продукт, а админам "Хабра" не охото получить по голове от Microsoft.

Пока на моих ресурсах просмотров AntiSMS:
- первый 859 просмотра
- второй 2141 просмотра
- хорошие отзывы : )
Но вскоре закроюсь, т.к. платный хостинг, могу отдать домен Вам simplix

Алекс — 07.06.2012 10:27:54

g0dl1ke сообщает:

тебя прекрасно знают в рунете (одна сборка винды чего стоит)

Можно узнать о  какой сборке идёт речь? ссылку ,если можно, на описание.

glax24 — 07.06.2012 10:44:51

Алекс
форум не такой уж и большой чтобы не найти.
http://forum.simplix.ks.ua/viewtopic.php?id=15

Core-2 — 07.06.2012 14:33:38

simplix сообщает:

в следующей версии я добавлю такую возможность - файл MAIN можно будет держать в одном каталоге с AntiSMS.exe, при этом Hashes.bin тоже будет работать.

Ждём . :good: Отличное решение. Работаю с обеими программами. И держать две одинаковые базы в одном образе LiveCD - лишь увеличение веса и времени загрузки.
Но тогда ведь придётся ложить файлы AntiSMS в папку с uVS либо прописывать в программе точный и единый путь к базам .

Sergikaz — 07.06.2012 17:28:29

AntiSMS версии 2.0 обнаружил нестандартный MBR. Блокировки системы не было, утилита запускалась для профилактики.
http://rghost.ru/38534952

glax24 — 07.06.2012 18:38:35

Core-2 сообщает:

Но тогда ведь придётся ложить файлы AntiSMS в папку с uVS либо прописывать в программе точный и единый путь к базам .

Тогда может уже пока сделать файл настройки для AntiSMS (AntiSMS.ini), где будет возможность менять путь к базам и системным файлам.

korsak — 07.06.2012 19:05:17

glax24 сообщает:

Тогда может уже пока сделать файл настройки для AntiSMS (AntiSMS.ini), где будет возможность менять путь к базам и системным файлам.

Для LiveCD есть другой выход

art9 — 09.06.2012 12:52:03

http://habrahabr.ru/sandbox/44916/

happywanderer — 09.06.2012 13:56:02

art9, Боги снизошли? :D Simplix forever :drinks:

Core-2 — 09.06.2012 14:23:29

Не избежен повтор алгоритма simplix монополистами , акулами АВ софта. Факт приимуществ AntiSMS давно уже очевиден. :good:

simplix — 09.06.2012 14:28:50

g0dl1ke
На этом ресурсе я крайне не хочу никого банить, такие меры принимаются лишь при значительной неадекватности человека.

Что касается соблюдения буквы закона, то для меня приоритетной является помощь пользователям, а не мифическая недополученная прибыль копирастов. До сих пор не было ни одной официальной просьбы что-то убрать с ресурса, вот когда Microsoft решит, что моя некоммерческая деятельность им мешает, тогда и буду искать решение этого вопроса.

Vitokhv
Насчёт домена написал альтернативное предложение в ПМ.

Core-2, glax24
Для выпуска новой версии нужны более значимые изменения. База хэшей uVS - всего лишь необязательное дополнение к программе. Но если вы используете две программы, то я не вижу никакой проблемы в том, чтобы поместить AntiSMS в каталог uVS, они не покусаются. Делать только для этого отдельный файл конфигурации нерационально.

Sergikaz
Принято. Всем другим, кто выкладывает нестандартные MBR - даже если я не пишу об этом в теме, всё равно их обрабатываю.

art9
Спасибо. Интересно, по какой причине эта статья попала в песочницу - только из-за того, что здесь обзор трёх программ, а не одной? Именно обзор программы был одной из причин моей блокировки, так было указано администрацией хабра. Надеюсь этого автора не забанят после того, как кто-то подарит ему инвайт.

art9 — 09.06.2012 14:51:11

simplix

дак этот автор- я :)
кстати, можно еще взять и потестить эти три софта на определенном количестве зловредов, потом сделать статью "тестирование анти баннерных программ 2012".  это более любят читать чем просто обзор какого то определенного софта

barsuk — 09.06.2012 15:39:28

это более любят читать чем просто обзор какого то определенного софта

я наоборот не когда не читаю (или читаю ради того чтоб потрещать) ТЕСТИРОВАНИЯ! т.к. все тестирования (даже Ваше art9 - ХОТЬ В ЧЕМ-ТО) имеют свою корупционую или иную заинтересованую составляющую и вообще на вкус и цвет товарища нет
PS: я как то месяц-другой назад запустил АнтиСМС на своей чистой от вирусов английской системе и он мне сбил элементарные настройки системы (не автозагрузка и прочее - было неприятно очень т.к. еще я непонял почему это сбилось и что вообще сбилось - растерен маляшь был), так что идеала не существует .............

Алекс — 09.06.2012 15:55:09

barsuk сообщает:

PS: я как то месяц-другой назад запустил АнтиСМС на своей чистой от вирусов английской системе и он мне сбил элементарные настройки системы (не автозагрузка и прочее - было неприятно очень т.к. еще я непонял почему это сбилось и что вообще сбилось - растерен маляшь был), так что идеала не существует .............

у меня примерно та же история.. :(  система без вирусов , но с повреждёнными цифровыми подписями (точнее- их вообще нету ,и куда пропали они-так и не понял.. :D ) , и на моей горе-системе анти-смс упорно отказывается корректно работать.  точнее- может она и корректно работает, но вин-локов не удаляет при этом.
И я вот так и не понял до конца - можно ли программу доработать ,что бы она нормально справлялась с вин-локами на таких же ОС как и у меня (без цифровых подписей) ? :unknown:
Это нужно не для моей системы конкретно (я её буду на днях сносить,ставить другую) , а вообще- нужно на будущее, возможно мне попадётся такая же примерно ОС на чужих компах.
что касается Хабра- почему все туда так стремятся попасть? :)
Инфа о анти-смс размещена на многих ресурсах уже и так.. нужно просто время для раскрутки, и вполне без Хабра можно раскрутиться ,я думаю.

simplix — 09.06.2012 16:04:59

art9
Теперь ясно, а то ведь там автора не видно. Сделать тестирование всех существующих разблокировщиков было бы замечательно, по аналогии с тестами антивирусных продуктов на коллекциях вирусов, только для объективности оно должно проводиться независимыми тестерами, а не авторами. В отчётах у вас очень хорошо получалось наглядно показывать проблемные места программы, так что если решите взяться за такое тестирование - уверен, оно поможет многим пользователям сделать правильный выбор.

barsuk
Утилита развивается в том числе благодаря отзывам пользователей, а так как вы не написали, какие конкретно настройки системы у вас сбились, то и решения не получили.

Алекс
Принцип работы утилиты основан именно на проверке цифровых подписей, поэтому без них корректно проверить систему не получится. Такие повреждения попадаются крайне редко (ваш случай первый за мою практику), вероятность встретить их близка к нулю.

Алекс — 09.06.2012 16:29:31

simplix
, а можно ли как-то изменить поведение программы - что бы она успешно работала на ОС,подобных моей? или это не реально? ну там- код дописать, новые функции привентить к ней и т.д.. ? :)  можно ли,допустим сделать дополнительный режим в котором будут проверяться только подозрительные файлы в автозагрузке?  это же можно как-то реализовать наверно.. то бишь- проверяется автозагрузка и отключается всё подозрительное от туда, при этом ничего не проверятся в системных файлах.
Ну а потом уже переходить на обычный режим..

то бишь- другими словами, я хочу сказать что можно ли сделать разные режимы работы (проверки) в программе? а не один, как реализовано сейчас..

art9 — 09.06.2012 16:40:01

по-моему, в случае если в Windows проблемы с цифровыми подписями, то АнтиСМС должна просто об этом сообщить и дать совет переустановить нормальную Windows.
Такая Windows не должна использоваться.

Алекс — 09.06.2012 16:45:39

Отличное предложение! :good: я кстати думал об этом тоже и хотел предложить,но как-то вылетело из головы. Симликс, можно ли в новую версию добавить такую функцию- программа после проверки будет сообщать что-то типа "Ваша Виндоус повреждена и не должна использоваться.. переустановите систему! "  , это в случае если проблемы с цифровыми подписями.

Sergikaz — 09.06.2012 16:59:49

art9 сообщает:

Такая Windows не должна использоваться.

Совершенно согласен. Это далеко небезопасная операционная система.
Некоторые пользователи забывают, что главная задача утилиты "Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)". Она предназначена для лечения, для разблокировки ОС и совершенно правильно делает, что запрещает грузиться не подписанным файлам и их службам. Другой разговор, что более опытным пользователям полезно узнать побольше подробностей. В логе утилиты, после её работы, можно увидеть много строчек типа "Проверены и восстановлены важные ключи реестра пользователя  ....". Если бы добавить возможность записывать в логе все "важные ключи реестра пользователя", которые восстановила утилита, то это намного упростило бы восстановление в непредвиденных ситуациях.
Может, пора добавлять в утилиту поддержку дополнительных параметров командной строки? Что бы расширить функционал утилиты для опытных пользователей, а для простых юзеров так и оставить "работу утилиты в один клик".

simplix — 09.06.2012 17:02:56

В журнале версии 2.1 выводится соответствующее предупреждение, если системный каталог безопасности повреждён. Но я подумаю, как можно уведомить об этом пользователей, которые не просматривают журнал.

Sergikaz
В планах есть и резервное копирование реестра, и детальное журналирование исправленных записей. А что конкретно подразумевается под поддержкой дополнительных параметров командной строки, что именно будут делать опытные пользователи этим способом?

Алекс — 09.06.2012 17:22:54

simplix
Обычные юзеры вряд ли просматривают логи и журналы.. они то впервые с программой может встретились,зачем им в журналах копаться ещё? :)  доработать функцию оповещения о повреждённых подписях обязательно нужно. ;)  может выводить после проверки большое сообщение прям на рабочий стол ? ну там где пишется "сейчас всё хорошо" , выводить сообщение :"всё уже очень плохо... "  :D , ну или что-нидь типа того. что бы пользователь сразу обращал на это внимание и понимал что у него беда с ОС.

Sergikaz — 09.06.2012 19:01:03

simplix сообщает:

что конкретно подразумевается под поддержкой дополнительных параметров командной строки, что именно будут делать опытные пользователи этим способом?

Я подозреваю, что резервное копирование реестра и детальное журналирование исправленных записей (и много других дополнительных функций, которые в будущем можно добавить) будут занимать в работе утилиты намного больше времени. В тоже время, простого юзера совсем не интересует резервное копирование реестра, системных файлов, детальное журналирование исправленных записей и т.д. Ему бы поскорее вернуть к жизни ОС, разблокировать её. Я уверен, что простые пользователи даже не подозревают о наличии папки Temp на виртуальном разделе WinPE, где сохраняется важная информация и файлы. Для них эта папка не важна! Что бы не превратить утилиту в медленного, функционального монстра, я и предложил сделать возможность запускать расширенные функции утилиты через параметры командной строки. Если хочет пользователь подробно знать каждый шаг утилиты, сохранить весь реестр, сохранить системные файлы и т.д., пожалуйста - запускай утилиту из командной строки с нужными параметрами. Сиди и жди, пока утилита всё это отработает. К тому же, через параметр командной строки, можно сделать возможным запустить утилиту из-под самой, "живой" ОС. Так сказать, в целях профилактики, с подробным отчётом о выполненной "профилактике", о состоянии системы, с предложением просмотреть этот отчёт. Через командную строку можно прикрутить к утилите очень многие специфичные возможности и в то же время, она останется для простого пользователя утилитой для быстрого лечения, с уникальной  "работой в один клик".

simplix — 09.06.2012 19:38:16

Sergikaz
Для указанных задач совсем не нужно делать разграничение пользователей на опытных и неопытных, лучшим вариантом будет работа утилиты в максимально подробном режиме, но все эти подробности будут в журнале и резервных копиях. Журналирование любой степени детальности совершенно не замедлит работу утилиты, как и частичное резервирование параметров реестра. Все данные программа специально сохраняет во временной папке, которая существует до перезагрузки, таким образом специалист может при необходимости скопировать её для своих нужд, а обычного пользователя это не затронет и место на винчестере не отнимет.

glax24 — 09.06.2012 21:40:05

simplix сообщает:

Сделать тестирование всех существующих разблокировщиков было бы замечательно

Написал небольшой тест (у art9 тоже есть тест) портит ключи автозагрузки, в тесте есть 4 разновидности банеров (можно заменить на свои вместо существующих, только с теми же именами).
Данный тест AntiSMS проходит, осталось протестировать остальные утилиты и сколько уйдет времени на лечение.
http://rghost.ru/38576382
Пароль на архив, имя архива.

Herz — 09.06.2012 21:44:24

AntiSMS - прогамма для удаления всяческих винлоков неопытным юзером.
Если Вы более опытны - юзайте спецпроги для обнаружения сохранения и удаления данных зловредов.
И нагружать лишним функционалом AntiSMS ( притом абсолютно невостребованым )  - имхо не стоит.

korsak — 09.06.2012 21:50:03

simplix
В сообщении после окончания работы , кроме "Все хорошо", не помешает краткая информация об отключенных сомнительных элементах - только как повод-напоминалка для корректировки автозагрузки и служб, например:

Отключено 5 сомнительных элементов автозагрузки
Отключено 3 неподписанные службы
Подробности в журнале во временной папке B:\temp\Antisms

MBTY — 09.06.2012 21:55:30

Автоматическое открытие лога действий блокнотом было бы самое то, кажися.

korsak — 09.06.2012 22:03:02

Автоматическое может и не надо - а дополнительная кнопка не помешает

g0dl1ke — 09.06.2012 23:23:27

тестирование на предмет удаления баннеров разными автоматическими програмами еще требуется?

FagotAdmin — 09.06.2012 23:32:56

simplix сообщает:

Вопрос к посетителям форума - у кого-нибудь есть аккаунт на хабре и желание опубликовать статью о AntiSMS от своего имени? Саму статью я написал и отправил в песочницу, но реакция админов несколько удивила - после почти недельной задержки они написали ответ, что топик не был одобрен, причём не указали ни одной причины или нарушения. Топик красиво оформлен и грамотно написан, песочница завалена статьями и похуже, в данном случае я считаю отклонение несправедливым. Целью статьи является только донесение до широкой аудитории компьютерных специалистов самого факта существования программы, ведь масса людей могли бы лечить компьютеры за пять минут, если бы просто знали о существовании этой программы.

TO simplix
Готов разместить вашу статью на своих сайтах не сочтите за рекламу:
http://novirus.ks8.ru/
http://antivirusfagot.blogspot.com/
http://keydrweb.ru/

g0dl1ke — 09.06.2012 23:37:02

и причем тут ключи на дрвеб?

FagotAdmin — 09.06.2012 23:46:36

g0dl1ke сообщает:

и причем тут ключи на дрвеб?

Ресурс посещаем, какая разница, ключи или не ключи?

barsuk — 10.06.2012 06:24:20

размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше?:D:lol: странно и подозрительно это будет выглядить!

Автоматическое открытие лога действий блокнотом было бы самое то, кажися.

а Вы уверены что у всех тем кто загадил свою систему есть блокнот вообще (хотябы его аналог)? а то будет пытаться открыть то чего нету)):D таким боком и сам файл блокнота (английский 69120кб ) придется бросать:shock:)) хотя най лайв-ве наверно он есть)) :) забыл что про лайв идет речь

Автоматическое может и не надо - а дополнительная кнопка не помешает

согласен. лучше не пугать людей.

MBTY — 10.06.2012 07:46:59

barsuk

а Вы уверены что у всех тем кто загадил свою систему есть блокнот вообще (хотябы его аналог)?

Мы уверены, что загаженность системы не влияет на наличие блокнота в wnpe из под которой запускается antisms

art9 — 10.06.2012 12:39:43

предложение добавить удаление такого белого окна: http://www.cyberforum.ru/windows-xp/thread438451.html

Версия 2.1 его не удаляет.

http://forum.windowsfaq.ru/showthread.php?t=130614 - тут еще про него

happywanderer — 10.06.2012 14:52:36

Да частенько сталкивался с таким окном, но "грешил" на "криворукие сборки", т.к. проверка на "вшивость" не давала результата.

simplix — 10.06.2012 15:13:18

glax24
Спасибо, наверняка ваш тест пригодится тому, кто захочет написать статью о тестировании антиблокировщиков. Мне, как условно заинтересованному лицу, делать это нежелательно, статья должна быть объективной и беспристрастной.

korsak, MBTY
На данный момент я не вижу необходимости выводить эту информацию в конце работы программы, просто потому что она не будет нести никакого смысла. Какая пользователю разница, сколько и чего было отключено, если ему нужно всего лишь вылечить компьютер? Вся полезная информация есть в логе, открыть который можно парой щелчков при необходимости. Он-то и предназначен для специалистов, пользователь там может ничего не понять, и поэтому бессмысленно выводить его на экран для всех. Лично я смотрю лог очень редко и использую в работе первую инструкцию, т. е. запускаю AntiSMS и после перезагрузки ставлю в msconfig галочки где нужно. К тому же специалист наверняка прочитает описание программы и всегда будет знать, где находятся логи, а пользователю оно сто лет не надо.

g0dl1ke
Тестирование не то что требуется, оно желательно, если у кого-то возникнет желание написать такую сравнительную статью, которая поможет пользователям сделать выбор, какой же программой эффективнее и безопаснее пользоваться. Другие люди, прочитав статью, возможно захотят разместить её у себя на сайте. Никакого спонсирования у нас нет, ровно как и прибыли от этого проекта, поэтому распространение программы зависит только он нашего альтруизма и самих пользователей.

Вообще по сути автором программы считается не только тот, кто пишет её, а и все участники этого форума, которые помогают в тестировании, развитии и распространении программы. Это наш общий труд, так что вы сами можете решить, как участвовать в этом деле. Никакие ограничения на программу изначально не налагались.

FagotAdmin
Если есть желание разместить - буду только благодарен. Абзац выше относится и к этому виду помощи.

art9, happywanderer
Это окно убирается начиная с версии 1.4, если же у вас есть компьютер, где оно не убирается - пришлите пожалуйста его реестр, это папка C:\Windows\System32\Config.

art9 — 10.06.2012 15:53:08

simplix
к сожалению окно уже убрал с помощью AVZ (6-й таблеткой).
источник его появления не известен - не вникал , поэтому повторить ситуацию не могу.

happywanderer — 10.06.2012 16:40:38

simplix окна попадались ещё до того, как появился AntiSMS, поэтому не утверждаю что не лечит. Если и попадётся, то поверю и отпишусь. В основном  это попадалось на сборках типа Zver, Best  и т.п.

Sergikaz — 10.06.2012 16:42:13

Сегодня провёл эксперимент на своём системнике. У меня в системнике стоит три винта и на них располагаются 5 различных операционных систем. Загрузился с WinPE, запустил AntiSMS 2.0. Скопировал папку Temp на флешку. Заглянул в лог, чего там AntiSMS "сделал хорошо". Меньше всего изменениям подверглась система супруги. Было заблокировано в Планировщике два задания от принтера НР из-за не подписанных файлов и из автозагрузки удалён dslstat.exe для USB-adsl модема (левые драйвера). С разделом Windows 8 разговор был короткий: "Операционная система поддерживается частично!" и только проверены, восстановлены  ключи реестра, да очищены временные папки. На моей Семёрке тоже мало изменений. Из автозагрузки удалён "updatemailru.exe не подписан и его служба отключена" - туда ему и дорога. Была отключена служба "DrWU.exe /$ervice не подписан и его служба отключена". Конечно, ничего страшного, зашёл да запустил опять службу, вернул настройки обратно. Только я вот одно понял, если бы я не посмотрел лог и не увидел, что DrWU отключён, то я бы потом через какое-то время стал бы голову ломать "почему у меня антивирус перестал обновляться". :unknown: Потому поддерживаю мнение, что на финальном окошке "теперь всё хорошо", надо добавить рекомендации дальнейших действий: 1. посмотреть (сохранить) папку Temp, почитать AntiSMS.log, 2. обязательно после загрузки системы проверить антивирусом, 3. запустить msconfig и восстановить нужные программы в автогагрузке и в сервисах. Главное напомнить, рекомендовать, а что будет делать после этого пользователь - это его проблемы. Продолжу рассказ о моих системах. Как я и предполагал, само больше изменений утилита сделала на "игровой" системе сборки Game-Edition. Восстановила из резервных копий 7 системных файлов, много чего поотключала из автозагрузки.
Так же отмечу, что msconfig везде отлично отработал, восстановил всё. Действительно, через msconfig легко и просто всё сделать как надо. Только вот теперь ещё юзерам надо понятнее объяснить, как запустить msconfig на их компе. :)
В целом, утилита отлично справилась на моём многооперационном системнике. :good:

simplix — 10.06.2012 17:25:25

art9
AVZ создаёт резервные копии автоматически, вы можете найти исправленные записи реестра в папке Backup\Дата.

Sergikaz
Интересно, каким образом автообновление DrWeb оказалось у вас неподписанным? Может это чья-то самописная утилита для его обновления? Ведь все модули официального антивируса должны быть подписаны, и обновляться он должен без всяких дополнительных программ. Если же утилита официальная - напишите полное название и версию антивируса, чтобы я смог проверить это у себя.

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения. Но решение не окончательное, я ещё подумаю, как найти компромисс между информативностью и ненавязчивостью.

Sergikaz — 10.06.2012 17:58:23

simplix
Это утилита альтернативного обновления антивируса и она не подписанная. :oops:
Просто это пример, когда была отключена "личная", незаметная, тихая служба и если бы я не просмотрел AntiSMS.log, то ломал бы голову через 7 дней над загадкой. Это хороший урок для меня. Теперь я буду просматривать AntiSMS.log всегда, в любом случае. Но на чужих ошибках не учатся, а потому лучше всё же предупредить, напомнить. Можно, как уже советовали, на финальном окне прикрутить кнопочку "Рекомендации". Кому интересно - почитает.

simplix — 10.06.2012 18:16:31

Sergikaz
Вообще-то в данном случае нужно было всего лишь прокрутить список служб в msconfig и обратить внимание на снятые галочки, среди которых была и эта служба. По второй инструкции (msconfig -> Обычный запуск -> ОК) вообще не пришлось бы ничего просматривать.

Sergikaz — 10.06.2012 18:24:54

Согласен. Я так и сделал. :)
Но я подозреваю, что многие вообще не смотрят AntiSMS.log, не заглядывают в msconfig, не проверяют систему антивирусом. Когда потом у них "не правильно" работает загрузившаяся система, они обвиняют в этом AntiSMS и переустанавливают систему.

art9 — 10.06.2012 18:34:07

Sergikaz
Предлагаю определить наши догадки в разряд наших фантазий.
Неужели из-за неисправности антивируса, из-за нелегального дополнения, пользователь будет переустанавливать систему? Не проще удалить антивирус и поставить другой?
В мануале кстати написано, что нужно запускать msconfig - это обязательная часть использования утилиты

happywanderer — 10.06.2012 19:22:06

simplix, потверждаю, ни версия 1.9, ни версия 2.1 "белое окно" не "берёт". файлы config сбросил в личку.

sceatch — 10.06.2012 19:24:54

По-моему, все эти кнопочки и дополнительные сообщения - лишняя трата времени. Новые пользователи, знакомясь с новой программой, читают FAQ, что и как работает, а как иначе узнать что программа умеет и как с ней обращаться. Simplix все это понятно и доходчиво описаал на первой странице. А то этих сообщений с просьбами аж на трех страницах уже, надоело. Если уж добавлять, то единственное что можно добавить - это в финальному сообщению "Теперь все хорошо" на следующей строке - "Подробности в log.txt". Или же, что более автоматично, создавать в конце работы программы ярлык на msconfig.exe на реальной системе. Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

korsak — 10.06.2012 19:31:53

simplix сообщает:

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения.

Суть предложения была не совсем в том чтобы делать указку на логи для непродвинутых, а для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено. То есть во второй ситуации смысл тупо в экономии времени - в случаях когда действительно "Все хорошо" :) 
Юзеру который возится со своим компом это не важно, а когда лечишь комп клиента - каждая перезагрузка на счету. Время - деньги. Да и в первом случае будет быстрее понятно - на чем акцентировать внимание.

glax24 — 10.06.2012 22:38:29

happywanderer сообщает:

файлы config сбросил в личку.

можно на общее обозрение.

FagotAdmin — 10.06.2012 22:58:56

barsuk сообщает:

размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше?:D:lol: странно и подозрительно это будет выглядить!

В наше тяжелое время размещение на своих сайтах как Вы выразились, мусора, помогает поддержать штаны, например размещение мусора на своих 3 сайтах мне оплачивает интернет каждый месяц и даже на 3 месяца вперед.
А сайты да, посвящены тематике лечения вирусов, антивирусной тематике, и тематике администрирования. Двое из них посещаемые, а для общего дела (рекламы AntiSMS) это и нужно.

simplix — 10.06.2012 23:25:48

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.

sceatch сообщает:

Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

Я думал об этом, но вариант не универсальный - неопытный пользователь не будет знать, что делать с этим окном, если он не читал инструкцию. При этом система будет отлично работать даже без запуска msconfig, что для неопытного является более приемлемым вариантом. И соответственно те, кто читали или распечатали себе инструкцию, не нуждаются в автозапуске msconfig.

korsak сообщает:

для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено ... когда лечишь комп клиента - каждая перезагрузка на счету

Опять же, если система не чистая, то что-то да будет отключено наверняка, учитывая сколько хлама установлено на среднестатистическом компьютере. Лучшим вариантом в данном случае будет просто запустить msconfig в рабочей системе после AntiSMS, при этом вы сразу увидите, были ли сделаны изменения в автозагрузке по вариантам запуска: "Обычный запуск" - изменений не было, "Выборочный запуск" - изменения были. Это действие занимает буквально секунды и не требует дополнительных перезагрузок.

Larin — 11.06.2012 01:31:15

Еще один:
http://memories.ks.ua/Drive1.bin

g0dl1ke — 11.06.2012 10:44:57

antisms 2.1 и зарубежный локер on simplix winxp
http://i36.fastpic.ru/thumb/2012/0611/3c/7f8b2b694caed13416d30b0139cbc23c.jpeghttp://i26.fastpic.ru/thumb/2012/0611/e4/3e88e496cc15726ec4bd6f554bb3c3e4.jpeghttp://i26.fastpic.ru/thumb/2012/0611/2e/14b2651e545f982860f78b45b89b4b2e.jpeg

simplix — 11.06.2012 11:18:12

g0dl1ke
Локер обычный, такие лечатся, а ошибка ясно говорит, что места на разделе с временной папкой настолько мало, что файлы для восстановления не распаковываются. Диск B: с папкой Temp создаётся в памяти и занимает 40% от её количества. Если блокировщик не подменял системные файлы, то AntiSMS справится и без SysFiles, поэтому оставлена возможность продолжить работу программы.

g0dl1ke — 11.06.2012 11:42:14

машина старая, 128 sdrаm ;)
а то что мелькает фраза про win7, а система хр - это нормально?

weldance — 11.06.2012 12:34:23

simplix, может я немного не по делу, но подобные сообщения встречались выше (например, просьба в удалении белого окна через AntiSMS)
Теперь к делу: сегодня столкнулся с таким вирусом - не открываются скайп, опера, хромы, KIS 2012 и др. программы. Обнаружил вредоносный файл вот тут "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" параметр "AppInit_DLLs" значение "C:\Windows\system32\hdbuuyj.dll". ОС win7x64.
Как выяснилось "По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINE\Software\WOW6432Node"
Если возможно, добавьте в свою программы данное правило.

Ab-Man37 — 11.06.2012 12:43:12

Уважаемый Simplix.
Спасибо за чудный продукт (AntiSMS).
С версией 2.1 Win_PE возникла проблема.
При загрузке с CD все работает, а вот если гружусь с МультиЗагрузочной флэшки (Grub) при запуске AntiSms - сообщение: "Sysfiles.bin не найден или поврежден".
До версии 2.1 все было OK.   Помогите !

weldance — 11.06.2012 15:55:01

Ab-Man37
присоединяюсь

simplix — 11.06.2012 15:56:15

g0dl1ke
Во временную папку распаковываются все файлы, а используются только необходимые. 128 МБ ОЗУ слишком мало, весь образ распаковывается в память, нужно хотя бы 256 для нормальной работы.

weldance
Спасибо, очень хорошее замечание, обязательно добавлю.

Ab-Man37, weldance
В GRUB'е нужно подключать FiraDisk, чтобы в WinPE было видно CD-дисковод с содержимым ISO-файла - на нём и находится нужный файл. Образ дискеты FiraDisk вы можете найти на флешке после работы AntiSMS USB Installer из шапки, там используется такое меню:


Код:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)
weldance — 11.06.2012 16:18:09

simplix
спасибо, поправил меню, всё работает.

g0dl1ke — 11.06.2012 19:06:59

у меня выглядит так:


Код:

title SimplixLiveCD
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/SimplixLiveCD.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/SimplixLiveCD.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

правда почему та иногда на старых компах не загружается меню или недозагружается
кстати, live cd из simplix winxp без проблем работает на 128 ram

glax24 — 11.06.2012 20:40:36

g0dl1ke сообщает:

live cd из simplix winxp без проблем работает на 128 ram

Про работу winxp никто и не говорил, 128 ram мало для распаковки SysFile.bin.

simplix
Как же так, подмена локером файла logonui.exe и все AntiSMS отдыхает.

simplix сообщает:

Проверил - не подтверждаю, даже с базой запись отключается.

http://10pix.ru/img1/2196/7890516.th.jpg  http://10pix.ru/img1/2228/7890517.th.jpg  http://10pix.ru/img1/2324/7890519.th.jpg  http://10pix.ru/img1/2388/7890521.th.jpg
http://10pix.ru/img1/2436/7890524.th.jpg
Что я делаю не так?

simplix сообщает:

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы)

Удалил все значения из System при старте нет белых окон.
http://10pix.ru/img1/3480/7890875.th.jpg

simplix — 12.06.2012 11:38:13

glax24
Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.

О трояне на скриншотах - перепроверил ещё раз, у меня такие ключи удаляются. Тестировал даже с теми троянами, которые указаны на скриншотах. Попробуйте повторить то же самое на виртуальной машине, если получится - придётся прислать заархивированную виртуальную машину. То же самое и о белом окне - у меня конкретно в этой ситуации оно появляется, если у вас не появляется и нужно выяснить причину - присылайте виртуальную машину любым удобным способом.

art9 — 12.06.2012 11:48:14

я тож тестил антисмс с базой увс - старты тестового "зловреда" через cmd.exe были удалены.
(winxp pro sp3)

happywanderer — 12.06.2012 13:23:40

simplix наконец добрался до той машины, присланный Вами вариант AntiSMS "белое окно" удалил. Спасибо. :good:

glax24 — 13.06.2012 20:51:17

simplix сообщает:

Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.

А если в следующих версиях банеры начнут подменять файл logonui.exe? И поверьте пользователи будут больше радоваться обычному окну приветствия чем банеру. А что мешает пользователю после лечения вернуть свой любимый logonui из сборки? (только лишь наличие самого образа)

simplix — 14.06.2012 02:31:38

Новая версия AntiSMS 2.3
Основные изменения - реализация всех исправлений, которые обсуждались на форуме с предыдущей версии.
Новый SysFiles.bin - http://antisms.simplix.info/SysFiles.bin
Образ с Hashes.bin - http://antisms.simplix.info/AntiSMS.iso

Особая благодарность art9 и glax24 за помощь в тестировании, ваши отчёты и замечания сильно помогают в развитии программы.

glax24
Учитывая, что наконец попался троян, который подменяет logonui.exe, в версии 2.3 добавлено его восстановление. Но AntiSMS отличает трояна от модифицированного файла какой-то сборки, поэтому экран приветствия у пользователя не поменяется.

Алекс — 14.06.2012 12:40:30

simplix
а куда пропала версия 2.2 ? после 2.1 сразу на 2.3 перепрыгнули? :D
в новой версии реализовано то о чём юзеры просили? - сделать после "всё хорошо" какое-нидь дополнительное сообщение о том что конкретно хорошо, или что всё очень плохо ? :)

simplix — 14.06.2012 12:58:19

Алекс
В версии 2.2 была маленькая ошибочка, поэтому тут же была создана 2.3. По поводу сообщений я уже неоднократно высказывался, смотрите лог после работы программы, там есть вся нужная информация.

Antonon — 14.06.2012 14:51:57

simplix
Большое спасибо за программу.

Scampy — 14.06.2012 16:24:28

А не планируется ли работа программы как в автоматическом режиме, так и в ручном? Может не актуально конечно, но неплохо было бы посмотреть где что сидит прежде чем править.

Алекс — 14.06.2012 17:01:53

Scampy сообщает:

но неплохо было бы посмотреть где что сидит прежде чем править.

где что сидит - в большинстве случаев можно легко узнать через утилиту типа autoruns (она есть на сборке) . то бишь- в большинстве случае, винлока можно найти в автозагрузке под именем типа 37e32d80.ехе или ему подобных. но я встречал случаи когда винлоки тщательно маскировались, и даже в автозагрузке их найти не удавалось.

Gazeman — 15.06.2012 04:28:37

отличная прога автору низкий поклон

Yuretasdert — 15.06.2012 09:54:38

Программа супер, огромное спасибо :) Но вот если бы была возможность выбора опций, цены бы ей не было, не всегда вирусы такого типа делают то, что программа сбрасывает (точнее один не делает все сразу) поэтому хотелось бы выбирать какие действия производить.

simplix — 15.06.2012 10:27:00

Scampy, Yuretasdert
Смысл программы именно в автоматизации всех действий с поправкой на msconfig, а для опытных пользователей есть Universal Virus Sniffer.

man1948 — 15.06.2012 12:52:09

Спасибо за поддержку проги !
Я знал про MBR , но попал 2 раза - не было инфы о вашей проги !

С тех пор слежу за вашей прогой на всяк случай!

удаления блокираторов

Первая десятка Тем (по количеству просмотров)
:oops::oops:
13145 

Скрытый текст (раскрыть): http://www.yaltanet.com.ua/forum/index.php?topic=290.msg1922#msg1922

weldance — 15.06.2012 14:04:53

simplix сообщает:

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.

glax24 сообщает:

Удалил все значения из System при старте нет белых окон.

Как я понял ошибка в основном связана с winXP home (хотя не факт). Сегодня "вылечил" такую ОС таким вот скриптом:


Код:

Reg Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "dontdisplaylastusername" /t REG_DWORD /d "0x00000000" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticecaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticetext" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "shutdownwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "undockwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "NoInternetOpenWith" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "LegalNoticeCaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "LegalNoticeText" /t REG_SZ /d "" /f

лично у меня на ОС от simplix в этой ветке следующие параметры:


Код:

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "dontdisplaylastusername" /t REG_DWORD /d "0x00000000" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticecaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticetext" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "shutdownwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "undockwithoutlogon" /t REG_DWORD /d "0x00000001" /f
barsuk — 15.06.2012 15:51:56

+ 250kB к архиву с файлами если сжимать раром при добавлении 32 битной английской ХР сп3)
вот файлы (на случай если Вы хотите, но время нету на поиск файлов))) система обновлена по майские обновы) если надо могу прогнать по июнь)
http://rghost.net/38679816

также можно проверить что там с WIndows FLP (возможно что тоже самое что и в английской винде. но точно помню что загрузочный сектор отличается как минимум хешью, да и про обновлении с оригинала (сп2) до оригинальной СП3 файл загрузочного сектора тоже обновляется. хотя не думаю что много у кого она стоит :D. если надо то могу нарыть файлы))

viprus — 15.06.2012 23:28:45

simplix сообщает:

Но AntiSMS отличает трояна от модифицированного файла какой-то сборки,

Огромное спасибо, ювелирная работа!:)

GenAleks — 16.06.2012 10:49:05

simplix сообщает:

Новая версия 2.1
Добавить файл в образ диска можно с помощью UltraISO.

RGhost — файлообменник
Tweaks.rar (3.0 МБ)

Доступ к файлу запрещён: copyright violation.

simplix — 16.06.2012 11:20:50

GenAleks, Gore.dine.S, Алекс
Исправлено, файл выложен на другой файлообменник.

Алекс — 16.06.2012 11:31:46

Уважаемый simplix
может быть лучше выкладывать на другие файлообменники файлы?
на ргхосте часто удаляют файлы за нарушение авторских прав.

TVR13 — 16.06.2012 17:11:53

simplix
Спасибо за прогу! Весчь отличная!!!:good::drinks:
Я не особо опытный пользователь и вот у меня появился  вопрос / пожелание:
Можно ли сделать так, что бы служба которая отвечает за раскладку клавы не пропадала из автозагрузки???
Простому юзеру тогда точно не придётся лезть в мсконфиг!
Спасибо!:)

glax24 — 16.06.2012 18:15:34

TVR13 сообщает:

simplix
Можно ли сделать так, что бы служба которая отвечает за раскладку клавы не пропадала из автозагрузки???

Как правило в сбоках файл ctfmon.exe идет модифицированный (без цифровой подписи). А файлы не прошедшие проверку отключаются в автозапуске. Тут 2 варианта заменить этот файл на оригинал, или включать его в случае отключения через msconfig.

art9 — 16.06.2012 18:53:17

вообщето если этот файл без цифровой подписи, то антисмс должна его заменить на оригинальный.

simplix — 16.06.2012 19:19:43

Неподписанные системные файлы проверяются и восстанавливаются до проверки автозагрузки, поэтому автозагрузка раскладки клавиатуры не будет отключена на поддерживаемых системах.

Fiolet — 17.06.2012 10:41:27

Поддерживаю glax24 насчёт ctfmon.exe
У меня пару раз он откючался из автозагрузки на разных системах.

simplix — 17.06.2012 12:52:28

Fiolet
Вы какой версией AntiSMS пользуетесь? На WinXP x86, Vista x86-x64 и Win7 x86-x64 последняя версия не отключает ctfmon, т. к. он заменяется на оригинальный до проверки автозагрузки.

glax24 — 17.06.2012 12:55:04

simplix
С новой версией все в порядке.:good: Файл заменяется и не отключается.
Fiolet
Обновите программу.

Fiolet — 17.06.2012 14:46:12

Да, Спасибо! С новой версией всё отлично!

TVR13 — 17.06.2012 15:39:09

simplix
С ctfmon теперь всё понятно,но тут подкралась ещё одна мыслишка:
Возможно ли сделать что то типа как в акронисе, загрузка проги при нажатии клавиши F при запуске системы????
Было бы очень удобно,образ где нибудь положить в системе, а  клавишой F вызывать его.
Отпала бы нужда таскать к родственникам , друзьям и.т.д флэшку или диск. Можно было бы тогда удаленно помогать им!

simplix — 17.06.2012 16:58:50

TVR13
Просто выставляете в BIOS приоритет загрузки CD -> HDD и оставляете им диск с AntiSMS, дальше можно и по телефону. Тот же номер с флешкой, но диск дешевле.

TVR13 — 17.06.2012 17:27:35

Логично!:D
Спасибо за подсказку!:drinks:

art9 — 17.06.2012 17:42:51

simplix
Будет ли обновляется образ AntiSMS+.iso при обновлении базы uVS?

TVR13 — 17.06.2012 18:29:24

Что то ни как не въеду с последней версией. Загружаюсь с флэшки и получаю типа не найден файл sysfiles.bin хотите продолжить без него и.т.п...хотя на флэшке он есть! Куда копать???:unknown:

weldance — 17.06.2012 18:41:53

TVR13
тебе сюда и ниже

TVR13 — 17.06.2012 18:52:20

weldance сообщает:

TVR13
тебе сюда и ниже

У меня меню лист отличается от этих. Пробовал эти , тогда вообще не запускается!
Вот как у меня и что где подправить надо?


Код:

title Start AntiSMS
map --unhook
root (hd0,0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff
weldance — 17.06.2012 18:57:40

TVR13
тебе нужно подключать FiraDisk
т.е. я думаю, сделать надо как-то так:


Код:

title Start AntiSMS
map --unhook
root (hd0,0)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

но если честно, немного не пойму твой код

art9 — 17.06.2012 19:05:24

simplix,
Сейчас очень много пользователей, которые негодуют от постоянного появления в системе таких "полезных" штуковин, как бары от фирм в названии темы, Guard/защитники, спутники и т.п.
Это можно увидеть по поисковым запросам; по темам на хабре.

У моих знакомым обязательно этот букет присутствует. И бороться деинсталляцией абсолютно не эффективно - в следующий раз та же картина. Да и после удаления остаются остатки.

Может мой пост натолкнет вас на создание соответствующей утилиты, Удалятора навязчивого софта от mailru, yandex, qip и т.п.?

Как я понимаю примерно такой функционал:
1) завершение процессов всяких гуардов
2) деинсталляция
3) зачистка следов.

Т.к. эти файлы имеют информацию о создателе софта, то нет необходимости удаления по сигнатуре. Частое обновление удалятора будет не нужным.

Наличие автоматического удаления при загрузке Windows позволит держать систему неопытного пользователя в чистоте. А т.к. утилите не нужно будет сидеть резидентно, то она не будет отнимать ресурсы компьютера.

Например, после установки Агента МаилРУ "по умолчанию" получаем в автозапуске следующее:

C:\Program Files\Mail.Ru\Agent\magent.exe
C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
C:\Documents and Settings\ВСЕ ПОЛЬЗОВАТЕЛИ\Application Data\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
C:\Documents and Settings\ВСЕ ПОЛЬЗОВАТЕЛИ\Application Data\AlterGeo\Update for Html5 geolocation provider\html5loc.dll
C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe

Все кроме запуска самого Агента - лишнее.

Думаю, что утилита будет востребована и обретет популярность.

TVR13 — 17.06.2012 19:17:48

Так тоже не пошло. Копаю дальше!

simplix — 17.06.2012 19:23:00

art9
При выпуске новой версии утилиты будет обновляться и база. Она не имеет большого значения, а кому нужно - обновят вручную.

TVR13
Протестируйте несколько вариантов:

1)


Код:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)

2)


Код:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
root (0xff)
chainloader (0xff)

3)


Код:

title AntiSMS
map --unhook
root (hd0,0)
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

И какой результат после использования AntiSMS USB Installer?

Waterclo — 17.06.2012 19:37:58

art9
Соглашусь, идея разумная. Всех, кому устанавливаю систему, сразу предупреждаю чтоб не устанавливали никаких баров и гуардов, ибо это способ отслеживания интернет активности и утечки личной информации, благодаря которой можно огрести различные трояны, персональную рекламу и море спама.
Только вот зачем тему для запроса создал отдельную? Сообщение и без того не осталось бы без внимания. Впрочем, пусть висит пока. Думаю, если simplix-у не до этой проблемы, то может MBTY подумает.

simplix — 17.06.2012 19:40:29

Идея хорошая, но неужели до сих пор никто не написал программу для автоматического удаления этого хлама? Если так, то я с удовольствием возьмусь за этот проект.

TVR13 — 17.06.2012 19:41:49

simplix
Все варианты не подходят,я тоже тут несколько своих комбинаций попробовал результат тот же!:crazy:
Результат после использования AntiSMS USB Installer положительный,но мои флэшки 16-ти гиговки и не могу я их форматировать в фат32 так как они выполняют ещё и другие задачи в нтфс.
Использую я winsetupfromusb всякие ОС хр 7-ки акронисы, антивинлокеры ставлю без проблем, а вот анти смс последних версий ни как! Теперь сижу ломаю голову:crazy:

Core-2 — 17.06.2012 19:46:13

TVR13 Используйте версию на основе 7PE , грузите её из ISO.Не будет проблем.Версию предоставлю ,если надо.

Смотрите РМ. В UltraISO прежде удалите файл подтверждения загрузки с CD- BOOT\BOOTFIX.BIN

art9 — 17.06.2012 19:47:08

simplix
никто.

Waterclo
перенесите куда следует.

TVR13 — 17.06.2012 19:57:05

Предоставьте если не трудно!
Загоню её всё тем же winsetup....:drinks:

simplix — 17.06.2012 19:58:47

TVR13
Файлы SysFiles.bin и Hashes.bin могут располагаться как в корне диска (не флешки, для iso нужен FiraDisk), так и рядом с AntiSMS.exe, так что если не получается первое - используйте второе.

Waterclo — 17.06.2012 20:06:49

simplix
:shock: В том всё и дело, что этих вероломных довесков развелось слишком много, а идея универсального удалятеля пришла art9, видимо под влиянием работы твоей AntiSMS.
Думаю надо объявить сбор инсталяторов этого опасного хлама, как MBR от блокировщиков, ибо оно приходит не только от поисковиков и "дерьмосоциальных" сетей, но может установиться и с разнообразным софтом.

MiklF — 17.06.2012 20:07:46

А без  Grub с НОВЫМИ версиями ПРАВИЛЬНО грузиться можно ?
Со Старыми правильно грузил syslinux:
MENU LABEL AntiSMS
KERNEL /memdisk
APPEND iso raw
INITRD /antisms.iso
Теперь - ошибка SysFiles.bin.

simplix — 17.06.2012 20:38:03

Waterclo
Пока не нужно ничего собирать, этого добра на каждом углу хватает. Когда выйдет первая версия - создам отдельную тему, тогда и будем дополнять.

simplix — 17.06.2012 21:06:45

MiklF
В старых версиях просто не выводилось сообщение, когда SysFiles не был найден.

В общем понятно, одним грабом не обойтись. В следующей версии встрою FiraDisk в iso-образ, тогда дисковод будет создаваться с любым загрузчиком.

man1948 — 17.06.2012 22:05:38

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! :drinks::good:

simsot1 — 17.06.2012 23:54:26

simplix
За такую прогу: downloader_turbobitua.exe ставит подобный хлам. По запарке забываешь убрать галки с довесков.

Dimson81 — 18.06.2012 00:07:32

simplix сообщает:

В следующей версии встрою FiraDisk в iso-образ, тогда дисковод будет создаваться с любым загрузчиком.

Было бы неплохо!

MBTY — 18.06.2012 01:32:52

Waterclo

то может MBTY подумает.

У меня видюха за 10 тыщ сгорела (не без моей помощи) спустя неделю после истечения срока гарантии. Я щас в унынии. С горя валяюсь на диване, деньги все брату занял, так что новая будет не скоро. Сидю на интегрированой от Intel i7. Короче я щас могу чо хошь програмировать. Ну я так понял simplix взялся. Кстати вопрос спрошу. Кто-нибудь замечал с какой приблудой ставится webalta тулбар для IE? Я у себя за месяц его дважды сносил и у бати откуда то взялся. Да и на ремонт приносят тоже с ним частенько. То всё время маилру защитники всякие были у вех, а теперь эта фигня. Никак не пойму ОТКУДА оно лезет.

Sergikaz — 18.06.2012 02:29:57

TVR13 сообщает:

simplix
Все варианты не подходят,я тоже тут несколько своих комбинаций попробовал результат тот же!:crazy:
Результат после использования AntiSMS USB Installer положительный,но мои флэшки 16-ти гиговки и не могу я их форматировать в фат32 так как они выполняют ещё и другие задачи в нтфс.
Использую я winsetupfromusb всякие ОС хр 7-ки акронисы, антивинлокеры ставлю без проблем, а вот анти смс последних версий ни как! Теперь сижу ломаю голову:crazy:

Я так понял, что вы хотите добавить AntiSMS на уже созданную, загрузочную флешку форматированную в NTFS? Тогда надо учитывать ещё, что загрузка образа очень чувствительна к фрагментации на этой флешке. Когда отрабатывает AntiSMS USB Installer, то он на чистую, форматированную флешку копирует образ, нужные файлы и  всё записывается на неё цельными файлами. Всем советую, после добавления образа и дополнительных файлов на рабочею, загрузочную флешку, проводить дефрагментацию этих файлов при помощи WinContig. В случае TVR13 может и помочь.

Waterclo — 18.06.2012 03:01:29

MBTY
:( Да уж, сочувствую... :unknown:
Подобные тулбары ставятся обычно Java скриптами или элементами управления ActiveX, при посещении сайтов, разместивших у себя для заработка вредоносный элемент. Интернет обозреватели должны быть портативными (Pale Moon Portable, language packs - устанавливаются перетаскиванием мышкой файла на открытую страницу обозревателя) и с установленными плагинами для блокировки скриптов, неутвержденного VeriSign ActiveX, редиректов и фиксации "домашней страницы".
Могут они так же установиться с помощью загрузчика, который грузится по ссылке "скачать на высокой скорости". Пример - downloader от turbobit, skymonk от letitbit и подобное от других мудрецов. Благодаря этим загрузчикам в комплекте с заявленым содержимым обязательно в тихаря подгрузится ещё какая-нибудь хрень, оплаченая заказчиком.
Ещё можно огрести из контейнера - запароленого SFX архива, пример - TM FilePacker или SafeSurf и подобное.
А ещё способ распространения всякой заразы - сетевые игры, в том числе на "фекально-социальных" сетях.

Алекс — 18.06.2012 05:59:16

man1948 сообщает:

После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! drinks

да,такое бывает.  Вам ещё повезло ,что просто системные файлы посыпались некоторые..
иногда бывает что и кое-какие из компонентов компьютера сгорают или ломаются после подобных скачков. и тогда уже анти-смс не поможет.. :crazy:
Поэтому,категорически рекомендую использовать ИБП (источник бесперебойного питания),что бы подобных случаев не возникало вообще.
Стабильное питание компа- это залог его долгой и без глючной работы. :drinks:

simplix — 18.06.2012 12:16:46

Новая версия AntiSMS 2.4
C хэш-базой uVS утилита работает в среднем на 35% быстрее.
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

В этой версии решено включить базу хэшей в состав диска, это немного ускорит работу программы и предотвратит отключение некоторых проверенных, но неподписанных файлов. Если же у кого-то медленный или дорогой интернет и понадобится диск на 30 МБ - пишите, сделаю (AntiSMS полноценно работает и без базы хэшей).

Алекс — 18.06.2012 13:30:48

simplix
извиняюсь,а что дают Hashes.bin и драйвер FiraDisk ? если предыдущая версия допустим и так нормально работала, нужно ли мне обновляться на эту версию?

barsuk — 18.06.2012 14:18:08

про приблуду от великой поисковой системы байду не забудьте (baidu.com)
PS: пути проникновения мне были не понятны (я и не разбирался - раза два-три подхватывал). или в самой большой библиотеке мира ихней подцепил (wenku) или на каком то родственном сайте (защитных механизмов кроме рук моих кривых нету). по наблюдениям у китайцев очень мало вирусов. по этому, когда я на их сайтах я раслаблен. даже если все стенки кучей всплывающей рекламой с китаежками голыми пестрят
PS2: ни каких других тулбаров никогда НЕ цеплял, на скок помню! поэтому меня интересует имено этот экземпляр :rolleyes:. удаляется в пару кликов но все же неприятно

weldance — 18.06.2012 14:33:29

simplix сообщает:

Новая версия AntiSMS 2.4
...В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk...

я так понимаю, теперь меню GRUB4DOSa будет немного по другому выглядеть (не так как тут)? не могли бы вы написать сам код меню для GRUB4DOS и Syslinux.
p.s. просто сейчас нет времени самому тестировать разные варианты менюшек.
p.p.s. и еще... последующие версии antisms будут собираться на основе версии 2.4 (т.е. с Hashes.bin и FiraDisk)???

art9 — 18.06.2012 14:44:07

возможно ли добавить такую функцию: если запуск антисмс с нажатой клавишей шифт, то база увс не используется? А то иногда нужно почистить автозапуск и др. случаи бывают, когда без увс надо.
в общем оба варианта запуска хороши. и оба нужны

weldance — 18.06.2012 15:19:50

art9
я в таких случаях заливаю на флешку два образа antisms и выбираю нужный... они весят-то около 30-40 м.

simplix — 18.06.2012 18:15:03

Алекс
Почитайте несколько последних страниц, эти вопросы много раз поднимались. Обновляться не обязательно, если возможности новой версии вам не нужны.

weldance
Работать будет и новое и старое меню. Минимальный вариант конфигурации такой:

Grub4Dos:


Код:

title AntiSMS
map /AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

SysLinux:


Код:

label AntiSMS
kernel memdisk
append iso raw initrd=AntiSMS.iso

При этом AntiSMS.iso переименовывать нельзя, т. к. FiraDisk ищет его по имени.

art9
Для того база и была добавлена, чтобы снизить количество отключений легальных программ. Конечно, всё будет работать и без базы, но с ней - немного лучше, не хуже, поэтому отключать её тогда, когда она уже есть на диске, нет смысла.

TVR13 — 18.06.2012 20:35:57

simplix сообщает:

Новая версия AntiSMS 2.4
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

simplix Вы волшебник!:good: Спасибо!!!:drinks:

simplix — 18.06.2012 21:42:57

GenAleks, art9
Ваше обсуждение здесь.

GenAleks — 18.06.2012 21:49:16

simplix сообщает:

GenAleks, art9
Ваше обсуждение здесь.

Сори, промахнулся, исправлюсь

Спасибо.

С ув. Gennadiy

mitmash — 20.06.2012 10:18:25

weldance сообщает:

TVR13
тебе нужно подключать FiraDisk
т.е. я думаю, сделать надо как-то так:


Код:

title Start AntiSMS
map --unhook
root (hd0,0)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

но если честно, немного не пойму твой код

У меня лично замечательно работает следующий вариант menu.lst (Флэшка GRUB4DOS):

title SimplixWinPE + AntiSMS-2.4(PLOP!!!)
map /IMG/SimplixWinPE+AntiSMS_2.4.iso (0xff) || map --mem /IMG/SimplixWinPE+AntiSMS_2.4.iso (0xff)
map --hook
chainloader (0xff)

Прошу прощения у Simplix-а за некоторую модернизацию исошника :-((. Взял файл WINPE.IS_ из его
сборки Windows XP Pro SP3 VLK Rus simplix edition (x86) 15.06.2012 (там есть Total Commander, а я
без него жить не могу ;-)) )

Katherine — 20.06.2012 11:21:45

Здравствуйте, форумчане:)
Нужен совет по поводу такой ошибки: http://img341.imageshack.us/img341/1101/62734609.png
Выдается она программой MultiBoot USB
Записывала на флешку с помощью программы AntiSMSusb, пробовала и с grub4dos и с syslinux - выходит одно и то же. Как с этим бороться? Жду ответа:)

simplix — 20.06.2012 11:45:57

Katherine
При загрузке образ пытается распаковаться в память, а ошибка означает, что или образ повреждён, или памяти слишком мало (нужно >256 МБ).
MD5: 1e8dd991b2aa6dda2446d5817f458e68 *AntiSMS.iso (v2.4)

Katherine — 20.06.2012 12:07:44

MD5 такой же, как у вас.
ОЗУ 2ГБ
надо попробовать без этой программы:)
___________
надо же, все получилось)
зато в программе до сих пор не грузится: все таки в программе проблемка)

MBTY — 20.06.2012 12:29:46

Katherine
Не тестируйте GRUB+RAM на qemu. Никогда. маппинг напрямую - наздоровье, ram маппинг - глючит в зависимости от хрен пойми чего. То работает то нет

wwwmom — 21.06.2012 12:32:48

Спасибо автору за программу. Время, когда его нет, сильно экономит.

Единственный вопрос, что делать, если системный диск не С. (т.е. винда не на С)
Прога пишет, что винды нет. Может ключи какие-нибудь для запуска есть?

simplix — 21.06.2012 13:12:32

wwwmom
Программа обрабатывает все системы на всех дисках. Если она не нашла систему, значит её там нет, либо она настолько повреждена, что даже подключить реестр не удалось (система не загружалась и до работы программы). Попробуйте сначала выполнить Check Disk на рабочем столе, поставив две первые галочки.

Classic — 21.06.2012 15:10:04

Не запускается с флешки, падает в BSOD после заставки Windows XP.
Проверял на 2 компьютерах.

simplix — 21.06.2012 15:28:12

Classic
Пробуйте с другой флешкой и/или методом SysLinux. Если и это не поможет - пишите на диск. Метод загрузки с флешки не обеспечивает 100% гарантию.

XaHyMaH — 21.06.2012 18:00:32

AntiSMS попросил выложить нестандартный MBR: http://rghost.ru/38795389
На компе стоит Убунтовский бутлоадер, если что.
За прогу спасибо :good:

svoit — 21.06.2012 21:25:49

Метод загрузки с флешки не обеспечивает 100% гарантию.

жаль что даже раздел CD на флешки также никакой гарантии не дает

Waterclo — 21.06.2012 22:06:26

barsuk
AntiDust - средство быстрой очистки системы от навязчивых сервисов и других "легальных" троянов.
Про защитные механизмы я пояснял здесь. Установи то, что я рекомендовал по ссылкам и настрой систему - голова болеть не будет. Посмотри ещё моё сообщение выше, я дополнил его ссылками на очень хороший, быстрый интернет обозреватель и плагины для обеспечения его безопасности.
Я не в состоянии вспомнить, когда ловил заразу или переустанавливал систему. Никто из тех, кому ставил систему с подобными программами и настройками ничего не ловят. Всё время удивляюсь - откуда народ гребёт заразу?

simplix — 21.06.2012 23:12:50

XaHyMaH
Спасибо.

svoit
Это касается не только AntiSMS, но и абсолютно всех загрузочных флешек. У кого-то синий экран будет из-за самой флешки, у кого-то BIOS не поддерживает такой вид загрузки и так далее. Конкретно в случае с флешками вероятность успешного запуска составляет в среднем 95%, всё зависит от оборудования.

MiklF — 22.06.2012 18:15:32

... синий экран ... - бывает когда порт Usb3

Waterclo — 23.06.2012 00:56:35

MiklF
:lol::shock::unknown: "... синий экран ..."
Надо бы оглашать, хоть для статистики характеристику оборудования, ибо пусть хоть Usb324 . Однако, там в FAQ есть предупреждения и рекомендации...

Алекс — 23.06.2012 10:28:19

simplix
сёдня я запускал для пробы Антисмс 2.3 на ноуте приятеля, после работы программы появилось сообщение,что "обнаружен не стандартный mbr . пришлите его на форум.. "  короче я его скопировал из папки Temp. куда присылать- в личку или здесь?
это как-то поможет для развития программы? программа сможет MBR чинить? :)

hal — 23.06.2012 10:51:32

Алекс
Поможет. Выкладывай на обменник и ссылку сюда.

Алекс — 23.06.2012 10:59:31

ок,вот ссылка http://rghost.ru/38823951

braid — 23.06.2012 12:10:17

версия 2.4 не работает из под hbcd 14 ((( выскакивают 2 мессаги с кракозябрами, типа окей окей, и все

MiklF — 23.06.2012 19:45:25

Уважаемый Waterclo, Что за реакция ? Я объяснил когда возникает BSOD.

Waterclo — 23.06.2012 23:21:25

MiklF
Уважаемый, реакция стандартная. Стоило бы заглянуть сюда. Я может и не подарок, но стараюсь объяснить как умею... :unknown:

MBTY — 24.06.2012 11:54:25

Тук тук. Я с советами как сделать мир лучше...
1) Кусок лога работы AntiSMS
Скрытый текст (раскрыть): Файл C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл %SystemRoot%\system32\Ati2evxx.exe не подписан и его служба отключена, создана резервная копия
Файл C:\WINDOWS\system32\ati2sgag.exe не подписан и его служба отключена, создана резервная копия
Файл C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe -start не подписан и его служба отключена, создана резервная копия
Файл C:\WINDOWS\system32\msdtc.exe не подписан и его служба отключена, создана резервная копия

simplix
Мож стоит впилить в AntiSMS автозамену таких переменных на понятные начинающему юзеру пути? Тоесть Системрут назвать на с:\Windows. Видимо в реестре именно Ati2evxx был прописан таким макаром с переменной, но начинающий пользуватель может не знать что это за папка.
2) AntiSMSusb дюже грубо размер флешки считает. Флешка в парвославные 4 гигабайта посчиталась как 3. Обидно Скрытый текст (раскрыть): http://savepic.net/3013745m.jpg

vovec79 — 24.06.2012 12:50:20

2) AntiSMSusb дюже грубо размер флешки считает. Флешка в парвославные 4 гигабайта посчиталась как 3. Обидно

Вот это точно несущественно , главное  - форматирует , ставит образ , флешка грузится и РАБОТАЕТ !!!
А вот когда она бы 4-х гиговую флешку форматировала в 3-х тогда бы надо было бить тревогу !


P.S. Автору респект и уважуха !!! Всякие хвалёные антивирусы отдыхают или курят в сторонке ...

MBTY — 24.06.2012 13:46:17

vovec79
simplix очень любит точность и Качество (с большой буквы) у своих проектов и степень существенности моего предложения определит он и только он.
P.S.

simplix — 24.06.2012 14:52:26

Алекс сообщает:

это как-то поможет для развития программы? программа сможет MBR чинить?

Шапка, которую некоторые не читают, сообщает:

Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.

За файлик спасибо, добавлю.

braid
HBCD не имеет поддержки русского языка, поэтому сообщения видно как кракозябры. Но это не значит, что программа не работает, просто вы так видите сообщение "всё хорошо".

MBTY
По первому пункту - лог предназначен для продвинутых пользователей, к тому же важно занести в журнал оригинальные строки, чтобы их можно было найти поиском в реестре. Если пользователь не знает, что такое %SystemRoot%, то журнал ему тоже ни о чём не скажет. По второму - число округлялось до целых, исправить вообще не вопрос (что уже и сделано).

Алекс — 24.06.2012 15:02:49

simplix, дело в том,что на той системе где обнаружился этот не стандартный мбр , не было никаких троянов и винлоков! я запускал просто для пробы анти-смс там.
так почему же там не стандартный мбр появился? возможно ли это потому,что во время работы программы с CD ,в компе ещё стояла флэшка с другим(посторонним) лив-сд ?
Может антисмс распознала не стандартный мбр на флэшке этой? :unknown:

Sergikaz — 24.06.2012 15:56:39

И я так же про маленькую информативность. Утилита работает безупречно. :good: Пришёл, запустил, перегрузил и радуйся. :D Совсем недавний случай. Пришёл к человеку, у которого блокер денежку запросил. Запустил утилиту. Утилита отработала, заглянул в лог-файл. Записей было мало, показала  конкретный подозрительный файл, который был удалён. Ничего нужного отключено не было. Перегрузил. Всё заработало как прежде. Дал обновиться установленному Нод 32 и показал человеку как надо проводить полную проверку. Антивирус ничего не нашёл. Перед уходом, посоветовал скачать Сureit и проверить систему ещё раз. Через полторы недели этот человек опять словил блокера (уже другого). Процедура уже стандартная, но когда заглянул в лог-файл утилиты, то не увидел там ничего конкретного. Только общие записи, типа:
"Проверены и восстановлены важные ключи реестра пользователя ....
Очищена временная папка пользователя ...
Очищена системная временная папка"
Никаких файлов не восстанавливалось, автозагрузка каких-то файлов не отключалась, копии файлов не создавались. То есть, в этом логе я не увидел никакого намёка на блокера (что это за гадость, где сидела, как запускалась). Однако, после перезагрузки система заработала нормально, утилита сработала отлично.
Я понимаю, что главное результат, но всё же хочется "знать врага в лицо" и как он запускается.

art9 — 24.06.2012 16:34:24

Sergikaz
дак, зловред находился во временной папке - если АнтиСМС будет помещать в карантин все содержимое временных папок, то это будет не разумно.

Sergikaz — 24.06.2012 17:55:33

art9 сообщает:

зловред находился во временной папке - если АнтиСМС будет помещать в карантин все содержимое временных папок, то это будет не разумно.

Перемещать явный зловред никто не просит, его надо удалять. Меня интересуют способы запуска, где он был прописан в автозагрузке. Ведь зловред могут "прописать" в другую папку, не во временную.

Прекращаем здесь спорить "какой антивирус лучше"...

simplix — 24.06.2012 19:03:43

Алекс, al7eks
Ваши сообщения здесь.

Sergikaz, art9
Сейчас нет детальных записей журнала работы с реестром помимо стандартной автозагрузки, это запланировано на будущее.

weldance — 24.06.2012 20:45:48

simplix
такой вопрос: имеются много ПК с ОС win7 и winXP. Системы находятся на диске C. Можно ли скопировать antisms.iso на диск D и добавить его в загрузчик? С winXP (boot.ini) вроде разобрался... а вот с win7 проблема:(... если кто в курсе, скиньте как это сделать для win7 и winXP.
p.s. я думаю этот вариант будет попроще, чем всем раздавать диски/флешки.
p.p.s. и желательно чтоб можно было просто перезаписывать файл antisms.iso на более новую версию

---
есть конечно вариант через grub... но тогда, соответственно, меняется загрузчик (такой вариант не подходит)... в этом случае, кстати, antisms заменит его на стандартный winXP/win7?

mvk2000 — 25.06.2012 05:16:39

weldance

этот вариант будет попроще

но не поможет против MBR Locker-ов, так что диски/флешки иметь все равно нужно..
А вот зачем antisms.iso обязательно на диск D: не сообразил..

есть конечно вариант через grub... но тогда, соответственно, меняется загрузчик

Grub можно добавить пунктом к загрузчику Windows и менять не обязательно..

weldance — 25.06.2012 11:02:46

mvk2000

А вот зачем antisms.iso обязательно на диск D: не сообразил..

эт только моё желание.... можно и на системный диск кинуть.

Grub можно добавить пунктом к загрузчику Windows и менять не обязательно..

если знаешь как - напиши или скинь ссылочку (на win7 и winXP)... я чет найти не могу, нашел только запуск win7 и winXP через grub.

man1948 — 25.06.2012 13:59:02

Для прод польз Мы боремся с последсвиями !

2IP StartGuard следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.

http://www.yaltanet.com.ua/forum/index. … 32#msg1232

пока ничего не ловил с .....0

Лёшка_К — 25.06.2012 14:17:38

man1948 сообщает:

2IP StartGuard следит за реестром Windows и как только...

Программулинку использую даааавно, на различных OSях! Ресурсы не "кушает", а всегда на страже, т.е. "расскажет", если что-то добавится в Автозагрузку (папки или реестр); свежая всегда здесь и описание там же.

simsot1 — 25.06.2012 14:48:24

По мне так PTstartmon не плох.

wwwmom — 25.06.2012 16:25:09

2simplix

Программа обрабатывает все системы на всех дисках. Если она не нашла систему, значит её там нет, либо она настолько повреждена, что даже подключить реестр не удалось (система не загружалась и до работы программы). Попробуйте сначала выполнить Check Disk на рабочем столе, поставив две первые галочки.

Ну может быть у меня уникальный случай. Но система была живой и UVS справился.
Диск с виндой шел после всех дисков создаваемых кардридером.

Второго такого случая в практике не было, поэтому вновь проверить не могу.

weldance — 25.06.2012 17:14:02

man1948 сообщает:

2IP StartGuard следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.

я ещё много полезных программок могу подсказать, но все они (в том числе и вами рекомендованная) задает много вопросов и рядовому пользователю непонятно, что можно разрешать, а что нет...
p.s. были случаи - люди устанавливали Dr.Web Security Space и их Брандмауэр постоянно спрашивал разрешение на те или иные действия почти всего софта на ПК... сами понимаете, что эти пользователи в ужасе, т.к. понятия не имеют, что разрешать, что - нет

man1948 — 25.06.2012 18:10:12

Для прод польз

К сожалению только для Для прод польз

Не знаешь - отвечай - нет !

Не так часто что то просится в автозагрузку.

А если что нухно всегда можно добавить ручками !

weldance — 25.06.2012 19:26:39

man1948
вот после таких советов у людей потом и блокируются браузеры, скайпы и т.п.:)

Sergikaz — 25.06.2012 19:30:38

weldance
Если вам надо добавить в загрузчик Win7 образ  AntiSMS, то могу посоветовать утилиту EasyBCD 2.0.2. Через эту утилиту очень легко организовать разнообразную мультизагрузку в Семёрке. Есть в ней возможность сделать загрузку и с ISO-образа. Я кинул образ AntiSMS в корень диска С:, указал на него утилите и спокойно загрузился с этого образа, выбрав его при старте.

weldance — 25.06.2012 19:53:24

Sergikaz
спасибо.. попробую

TVR13 — 25.06.2012 21:49:16

Sergikaz Спасибо и мне тоже пригодилась!

Gore.dine.S — 27.06.2012 14:45:02

Нестандартный MBR: http://rghost.ru/38900238

BeeBonus — 28.06.2012 10:23:42

Доброго всем дня!

Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp. Пришлось воспользоваться программой конкурентом.

svoit — 28.06.2012 12:16:24

после загрузки с диска система не видела диска "С"

вполне возможно что вам нужно было бы программу вставить в другой лайвсд, а то в местном может не хватать дров для дисков в апчхи режиме

BeeBonus — 28.06.2012 13:01:11

svoit
Согласен, можно еще при загрузки системы подсунуть дрова на дискете... Я про то, что LiveCD, скачиваемый отсюда, не годится для массового использования, со многими ноутами будут такие траблы. На мой взгляд нужно отказаться от XP, а LiveCD собрать на W7, тогда Продукт будет более универсальным.

sceatch — 28.06.2012 14:21:12

А можно ли выдернуть все драйверы на ahci из дистрибутива с win7 и интегрировать в этот iso? Там ведь в принципе только inf и кое-где sys файлы? Или от семерки не подойдет? Уважаемый simplix, что скажете?

Core-2 — 28.06.2012 15:07:07

sceatch Есть варианты  AntiSMS на основе wim 7-ки с интегрированными драйверами SCSI SATA RAID IDE . Если надо.

Waterclo — 28.06.2012 15:07:54

sceatch
От Кочерги не подойдёт.

weldance — 28.06.2012 15:33:52

BeeBonus сообщает:

...Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp. Пришлось воспользоваться программой конкурентом.

пользуюсь LiveCD от Simplix несколько раз в день на разных машинах уже около года... проблем возникало 3-4 за всё время. На крайний случай на флешке лежит LiveCD с win7.

sceatch — 28.06.2012 15:39:28

Core-2, Спасибо, бываю на вашем сайте, видел много хороших проектов, и вроде бы тоже тот диск про который вы говорили. Я просто хотел узнать про возможность иинтеграции в simplix win pe , т.к. пока он самый быстрый, и просто очень понравился. Да и железо не везде нормально тянет win pe на основе семерки. А некоторые экземпляры аж до 5ти минут грузятся.

Sergikaz — 28.06.2012 16:22:13

sceatch
Может я лезу не в своё дело, но было бы больше пользы, если бы вы написали на каком "железе" WinPE-simplix не обнаружил винт. Какого драйвера Sata-контроллера не оказалась у simplix. Предполагаю, что интеграция всех возможных Sata драйверов в WinPE может привести к большим конфликтам этих драйверов и необоснованно увеличит размер WinPE.

Waterclo — 28.06.2012 17:09:54

Sergikaz
Всё верно, без характеристик железяки, разговор теряет смысл.

sceatch
Я же об этом и оповещаю народ в ПРЕДУПРЕЖДЕНИЯХ, только видно легче развести бодягу, чем дать сразу нужную информацию.

sceatch — 28.06.2012 19:28:12

Я не помню точно какое железо было, но на 2 ноутах, оба куплены в этом году (Asus и HP, моделей не запомнил). Чуть выше на этой странице писал BeeBonus про проблемы с ahci, возможно он приведет характеристики своего железа. Я постараюсь узнать модели ноутов, хочется хоть чем то помочь. Насчет того, что с обилием драйверов будут конфликты, то это не так.

BeeBonus — 28.06.2012 22:06:43

Я завтра напишу, чтто за система у меня

simplix — 29.06.2012 01:43:57

weldance сообщает:

имеются много ПК с ОС win7 и winXP. Системы находятся на диске C. Можно ли скопировать antisms.iso на диск D и добавить его в загрузчик?

Как уже заметили, это на спасёт от MBR-блокировщиков. Диск очень дешёвый, а на одно предприятие хватит и одного диска.

wwwmom сообщает:

Диск с виндой шел после всех дисков создаваемых кардридером.

Спасибо, когда мне попадётся такая машина - обязательно проверю.

Gore.dine.S
Спасибо, забрал.

BeeBonus сообщает:

Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp.

Идея создания образа на основе Win7 витает давно, но у неё есть как свои плюсы, так и минусы. Главный минус - большой размер образа. Тем не менее со временем и такой образ будет создан, чтобы вероятность определения винчестера была ещё выше. У кого интернет дешёвый и быстрый, тем конечно будет предпочтительнее использовать новый WinPE.

Core-2 сообщает:

Есть варианты  AntiSMS на основе wim 7-ки с интегрированными драйверами SCSI SATA RAID IDE . Если надо.

А вы использовали чистый Microsoft Windows AIK, или дополнительно интегрировали туда свои драйвера контроллеров? Насколько мне известно чистый тоже неплохо справляется.

BeeBonus сообщает:

Я завтра напишу, чтто за система у меня

Было бы очень хорошо, нужна точная модель контроллера или рабочие драйвера к нему на WinXP.

Core-2 — 29.06.2012 05:51:17

simplix Я не использую Microsoft Windows AIK . Уж очень заумный инструмент . Есть более простые вещи от наших народных умельцев. А интеграцию драйверов делала лишь по просьбе одного пользователя , у которого были подключены дополнительные HDD через сторонние контроллеры. Если интересуетесь инструментом интеграции , то можете взять его для теста у меня на сайте >> Форум » Программы » "Хирургическое отделение" » Создание Windows PE (Windows 7)>> Creates_WinPE_v12 x86
Могу и сама сделать специально для Вашей темы образ на основе 7PE. Нужны лишь требования,пожелания, картинка фона. :)

MBTY сообщает:

Картинка фона без вариантов

Я серьёзно говорила. А эту картинку поставьте себе на рабочий стол.

BeeBonus — 29.06.2012 09:41:16

Доброго дня,

Контроллер следующий:
Intel(R) 631xESB/6321ESB Ultra ATA Storage Controller - 269E

MBTY — 29.06.2012 11:09:29

Core-2
очень хочу таки образ на основе 7PE.
Требование одно. Чем меньше вес, тем лучше.
Пожелание: Если можно - вкачестве основого лаунчера (или как там в 7ре это называется) использовать чего нить такое, что потом было бы возможно кастомизировать и набивать новым софтом.
Картинка фона без вариантов
http://savepic.net/3047815.jpg

weldance — 29.06.2012 11:18:11

simplix
MBTY
где-то год назад создал 7pe на основе Microsoft Windows AIK... оболочку использовал Total Commander. Размер правда ~156 МБ. Как сделать его еще меньше пока не знаю :(... хотя необходимости не возникало - грузится быстро, проблем с драйверами и т.п. не возникало.

Herz — 29.06.2012 23:27:53

Жаждущие - так сделайте себе такой антиСМС - если переключить HDD в IDE режим не умеете.
67 мв -
http://i43.fastpic.ru/big/2012/0630/de/ … 1b94de.jpg

Runner35 — 30.06.2012 07:37:51

Herz сообщает:

если переключить HDD в IDE режим не умеете.

есть уже ноуты без режима IDE (В БИОСе выбора нет), только ACHI, так что без вариантов... как пример, попался (HP Pavillion G) винты которого не видит даже образ Виндовс 7 (оригинальный). Без интеграции SATA драйверов не обошлось (

simplix — 30.06.2012 12:48:13

Core-2
Спасибо, позже посмотрю что к чему, помощь пока не нужна.

BeeBonus сообщает:

Контроллер следующий:
Intel(R) 631xESB/6321ESB Ultra ATA Storage Controller - 269E

Странно, это же обычный IDE-контроллер, с ним проблем быть не должно.

Doberman — 01.07.2012 19:09:19

BeeBonus
Tак есть же "RusliveMicro" (со всеми интегрированными Masstorage ) от NikZZZZ размером ~45Mb. Найдешь на "ru-board" либо на трекерах. Пока я не встречал где бы она не увидела жесткие диски.

Vitokhv — 04.07.2012 03:05:57

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

art9 — 04.07.2012 08:17:01

Vitokhv
вы ошибаетесь. b:/temp/antisms. при загрузке с lived переменная temp отличается

man1948 — 05.07.2012 10:39:05

man1948 сообщает:

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! :drinks::good:

с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/

система -зверь- где искать заморочку ?

Первая десятка Тем (по количеству просмотров)
удаления блокираторов        9256

Скрытый текст (раскрыть): http://www.yaltanet.com.ua/forum/index.php?topic=290.15

happywanderer — 05.07.2012 11:39:07

man1948 сообщает:

система -зверь- где искать заморочку ?

тут ;)

man1948 — 05.07.2012 16:59:37

Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!

Есть желание покопаться - может ...

Проверить файл hosts - норма !

Почему некоторые ?

лог выложил http://rghost.ru/39077454

http://forum.simplix.ks.ua/viewtopic.ph … 725#p12725

3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!

simplix AntiSMS +  AVZ + art9  Большое спасибо за помощь!!! :drinks:

art9 — 05.07.2012 17:06:22

man1948
выложите логи AVZ, UVS, hj,
посмотрим что у вас.
Только пишите в другую ветку форума.
например forum.simplix.ks.ua/viewtopic.php?id=114&p=5

LeoZhu — 07.07.2012 18:54:01

Simplix, Привет Вам !
Спасибо за отличную программку :drinks:
Ковыряю потихоньку PE7, возникли некоторые затруднения с интеграцией AntiSMS, вернее подвеса который с ней идёт Hashes.bin и SysFiles.bin.
С Hashes.bin разобрался, поместил AntiSMS.exe  в папку uvs\SHA\ и запускаю :
"батником" (раскрыть):
ren MAIN Hashes.bin
wait 500
AntiSMS.exe
ren Hashes.bin MAIN
wait 500
explorer x:\Windows\Temp\AntiSMS\


А вот SysFiles.bin и папку uvs\STORE - в которой почти тоже что и в SysFiles.bin
подружить их между собой не получается (чтобы избежать дублирования файлов).
:oops:
Хочу предложить Вам такой вариант для - (Отдельная программа для использования в своём WinPE):
- добавить возможность работоспособности AntiSMS.exe в папке с программой UVS (или рядом с ней), чтобы она работала с содержимым папки uvs\STORE также как с SysFiles.bin, а с папкой uvs\SHA и файлом MAIN в ней, как с Hashes.bin.
Это несколько упростит и упорядочит PE-сборко-строительство :).

MBTY — 07.07.2012 23:35:20

LeoZhu
Утилиты wait нет ни в ХР ни в 7ке, так что эта комманда будет вызывать ошибку. Батник то сработает, но пользователь будет видеть сообщение
"wait" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

simplix — 08.07.2012 00:09:29

Vitokhv сообщает:

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

В каком смысле не смог? Папка %Temp% должна существовать в любом случае для работы AntiSMS, а если утилита отработала, то и соответствующая папка появится. Если не отработала, то покажет сообщение об ошибке, например что не удалось обнаружить системную папку.

LeoZhu
Файл MAIN не обязательно переименовывать в Hashes.bin, AntiSMS поддерживает файл MAIN, если он находится в одной папке с AntiSMS.exe
Папка uvs\STORE не нужна, так как у AntiSMS есть собственное хранилище системных файлов - SysFiles.bin

Vitokhv — 08.07.2012 03:31:54

Как я понял, логи хранятся в оперативной памяти диска b:\Temp\AntiSMS
т.е. системный путь %Temp%\AntiSMS указывает именно на загруженную систему WinPE и после перезагрузки про логи можно забыть :)
Впрочем, это будет нужно только тем, кто знает где искать; ничего лишнего :good:

Алекс — 08.07.2012 07:39:24

simplix
Вчера клиент ноут приносил с винлоком,подхватил его где-то на просторах рунета.. :D
попробовал через анти-смс 2.3 пролечить,удалось:drinks:. но я сначала предварительно нашёл его в автозагрузке через ERD и скопировал себе на комп.
Так вот,посмотрел логи после работы антисмс,там ничё не было указано про то,что отключена автозагрузка этого трояна.. он сидел под именем upndown.ехе ,но в логах его так и не увидел.. :unknown: почему так ?

art9 — 08.07.2012 09:10:59

Алекс
Троян сидел во временной папке и был удален до создания логов.

LeoZhu — 08.07.2012 17:56:29

MBTY сообщает:

Утилиты wait нет ни в ХР ни в 7ке

Скрытый текст (раскрыть):
это мелкая 3-кило-байтная утилька для временной задержки в миллисекундах - wait
ещё есть не менее интересная 1,5 кило-байтная утилька для скрытого запуска приложения hidec
например из меню ТС
%COMMANDER_PATH%\hidec %COMMANDER_PATH%\Program Files\uvs\SHA\AntiSMS-st.bat
или так, запуск exe'шника  ( hidec 123.exe )
или так, запуск cmd'шника ( hidec 123.cmd )


Simplix
Не-e, я имел ввиду, если это конечно возможно, добавить возможность работы AntiSMS в папке с программой UVS (или рядом с ней), вообще без наличия файликов Hashes.bin и SysFiles.bin. Чтобы AntiSMS работала с содержимым уже имеющемся у UVS в папках STORE и SHA.
Т.е. чтобы можно было просто закинуть AntiSMS в папку с программкой UVS (или рядом с ней). И не добавлять в PE'ху - дополнительных 3,65 мегабайтов ценнейшего места которое "на вес золота" в в любом livecd или PE.:rolleyes:

simplix — 08.07.2012 18:51:09

Vitokhv
Всё правильно. Кому логи и бекапы нужны - копируют их себе куда посчитают нужным.

Алекс
Не все записи в реестре заносятся в журнал, некоторые просто исправляются.

LeoZhu
Раньше я не смотрел, где в uVS находится файл MAIN, теперь вижу, что лучше помещать AntiSMS.exe в основную папку, рядом со startf.exe - это и будет сделано в следующей версии. Однако AntiSMS полностью самостоятельная программа и полноценно работает без файла MAIN (он же Hashes.bin), также и файл SysFiles.bin всегда будет использоваться, независимо от папки STORE в uVS. К слову, папка STORE весит 36 МБ, а SysFiles.bin всего 3 МБ.

LeoZhu — 09.07.2012 00:37:57

Simplix
Поделюсь своими результатами и своими пожеланиями к AntiSMS
1. Какими настройками сжатия 7-zip'а создавать архив SysFiles.bin
2. Структура расположения файлов в архиве SysFiles.bin строго так как есть сейчас ? (SysFiles.bin\Win7\x86\все в одной папке) или можно создать архив со структурой расположения по папкам как обычно они находятся в системе т.е. (SysFiles.bin\Win7\x86\WINDOWS\explorer.exe), (SysFiles.bin\Win7\x86\WINDOWS\System32\taskmgr.exe) ... и т.д. чтобы можно было заменить всё разом (копированием с заменой) и не искать какой файл в какой папке должен лежать, почему возникло такое пожелание нашу чуть дальше !
3. Провел несколько экспериментов "С полным отсутствием и подменой файлов на другие" на системе win7-32-rus-sp1-ult, из под PE7. ( AntiSMS запускался с наличием Hashes.bin и SysFiles.bin из одной папки ).
- Удалил explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо > explorer.exe восстановился всё правильно для нужной винды (восстановлен из резервной копии??)!
P.S.Скрытый текст (раскрыть):
Журнал работы AntiSMS, время - 2:49:28 09.07.2012

Найдена операционная система в папке K:\Windows
Операционная система опознана как Windows 7
Файл K:\Windows\System32\wuauclt.exe восстановлен из резервной копии
Проверены и восстановлены важные ключи системного реестра
Файл K:\Program Files\Classic Shell\ClassicStartMenu.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл %SystemRoot%\system32\imdsksvc.exe не подписан и его служба отключена, создана резервная копия
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя admin
Проверены и восстановлены важные ключи реестра пользователя admin
Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\09.07.2012-1\Backup

Работа AntiSMS завершена, время - 2:49:40 09.07.2012

- Удалил explorer.exe, создал копированием первый попавшийся exe'шник с именем explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо  > explorer.exe не восстановился! (т.е. вирус сможет также заменить реальный explorer.exe собой - в практике такое встречалось - можно ли как-то организовать в AntiSMS чтобы он проверял контрольную сумму из файлов Hashes.bin и SysFiles.bin и при отрицательном варианте делал замену такого неправильного файла, а тот который был, копию в темп).
4. Вживил  в SysFiles.bin некоторые файлы которых там не было например regedit.exe. "удачно - т.е. AntiSMS не ругается на отсутствие SysFiles.bin и восстанавливает с него файлы при их отсутствии".
- Удалил regedit.exe > запустил AntiSMS > ... > Теперь всё хорошо  > regedit.exe не восстановился к сожалению, так как его не было в SysFiles.bin изначально, наверно из-за этого. Можно ли сделать так чтобы AntiSMS сверяла все файлы в SysFiles.bin, даже тех которых не было там изначально, с их реальным наличием в системе, и при отсутствии восстанавливала их из SysFiles.bin! Если это не возможно сделать, то тут бы не помешало то о чем я писал выше " создать архив со структурой расположения по папкам как обычно они находятся в системе"
5. AntiSMS ругнулся на X:\Windows\System32\imdsksvc.exe - и отключил его в службах и сделал бэкап (версия imdisk 1.5.7)
Уф! вроде пока всё!:)

MBTY — 09.07.2012 02:18:43

Свойства архива
Кофиг файл SFX Скрытый текст (раскрыть):
;!@Install@!UTF-8!
InstallPath="%TEMP%\\SysFiles"
GUIMode="2"
;!@InstallEnd@!


А вообще это SFX архив - как душа пожелает, так и пакуйе. Лишь бы конфиг для него был таким же, как у оригинального

art9 — 09.07.2012 06:14:58

LeoZhu
explorer.exe не восстановился, т.к. вы поместили на его место первый попавшийся EXE с цифровой подписью. Например, если заменить explorer.exe файлом regedit.exe, то он не восстановится, т.к. у обоих файлов есть цифровая подпись.
Если explorer.exe будет заражен вирусом или на его место запишется троян, то файл будет восстановлен.

simplix — 09.07.2012 10:54:11

LeoZhu
Файл SysFiles.bin не предназначен для самостоятельного пополнения. Туда уже добавлены самые распространённые файлы, которые нужны для запуска компьютера. Добавлять, к примеру, regedit.exe не нужно, так как он не участвует в автозапуске и будет вылечен антивирусом (инструкция в шапке темы), иначе так половину дистрибутива можно добавить. Но если вам попадётся троян, с которым AntiSMS не справится - присылайте, будем смотреть его по факту. Об остальном всё правильно сказали MBTY и art9.

Алекс — 09.07.2012 12:59:50

art9
simplix
понятно,спасибо за ответ.:drinks: ну,я хоть на деле убедился позавчера в первый раз,что Антисмс работает. :good: а то всё не получалось проверить её в действии..
кстати,нужен кому-нидь свежий троянчик? :crazy:

LeoZhu — 09.07.2012 15:26:17

Simplix, MBTY, Art9 - Спасибо !!!
По AntiSMS все понял, еще раз спасибо, если что найду обязательно сообщу. Буду тестить AntiDust 1.0 - крайне полезна утилита будет !!! :)

Vitokhv — 11.07.2012 08:56:07

Возможно не столь важно, но у пользователя сбивается программа AntiWinLocker подробнее тут.

art9 — 11.07.2012 09:11:07

Vitokhv
пользователю достаточно прочитать мануал к программе Antisms для решения его проблемы.
(msconfig)

dema777 — 11.07.2012 09:26:49

Добрый день.
Не осилил прочитать все 23 страницы, может это уже проскакивало  в общем заметил вот что вчера, при загрузки с флешки с установленным AntiSms  появилась надпись типа нет системного диска или раздела, загрузился с LiveCD и заметил вот что, если система стоит на диске С то все ок прога работает на 5+ а если винт разбит на несколько частей и на диске С парочку скрытых файлов а все остальное аж на диске Н, кривые руки у людей еще не отменяли кто ставит систему, с такой бедой уже сталкивался кто? можно сделать загрузочную флешку чтобы она проходила по всем разделам?

weldance — 11.07.2012 13:23:23

dema777
AntiSms сканирует все диски и ищет на них системы, после работает с ней (ними, если их несколько). так что должно всё работать как положено.

Vitokhv — 11.07.2012 17:10:18

Возможно ли подружить файл сервиса ServiceAntiWinLocker.exe без подписи?
SHA1: 96c097f599611a24f12613d8f0f14b71b257273f
MD5: c25ad8ca641c01e96c853a019a6420b5
VirusTotal

art9 — 11.07.2012 17:18:03

Vitokhv

Как вариант, прислать хэш автору UVS Кузнецову - он добавит ее в базу чистых, а эта база используется утилитой Antisms.

PROROK — 11.07.2012 18:39:25

simplix
Administrator
,

Вчера я поймал один блокировщик, а сегодня уже второй... естественно, удаляю их собственноручно (однако, сохраняю в архиве под паролем "на память").
Решил проверить эту программу (AntiSMS) - скачал образ, и записал диск. Запустил блокировщик (файл блокировщика находился на другом физическом диске), и убедился, что моя Win7sp1x86 заблокирована.
Загрузился с этого AntiSMS_CD-диска, и запустил программу с ярлыка на Рабочем столе - появилось окошко с сообщением "Буду делать хорошо..." и через время ещё сообщение - "Теперь всё хорошо". Перезагрузил компьютер, и Windows по-прежнему заблокирована.

Так какого хрена программа написала, что "Теперь всё хорошо", если Windows по-прежнему заблокирована?! - этим вопросом я начал поспешные и напрасные обвинения в адрес Автора программы AntiSMS. На второй день я во всём разобрался, и теперь редактирую этот свой комментарий, чтобы прояснить ситуацию, и принести свои извинения simplix.

Дело было так:
после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял. Возможно, именно этот случай привёл к тому, что программа AntiSMS не смогла разблокировать Windows, однако полной уверенности в этом нет, ведь Windows находилась на жестком диске, который замечательно определялся.
На следующий день переподключил свои жесткие диски так, чтобы все определялись в BIOS.
Скопировал блокировщик на его место по-умолчанию (C:\Users\имя пользователя), и запустил... перезагрузился, чтобы убедиться, что Windows заблокирована. Загрузился с AntiSMS_CD-диска, и запустил программу... после сообщения "Теперь всё хорошо!" перезагрузил компьютер, и убедился, что Windows больше не заблокирована. Для пущей убедительности, запустил блокировщик с другого жесткого диска -  AntiSMS снова разблокировала Windows. Таким образом, программа AntiSMS хоть и не удалила файл блокировщика (http://4.firepic.org/4/images/2012-07/1 … 4u5zf5.jpg), тем не менее разблокировала Windows, а это означает, что программа AntiSMS эффективная, и написана грамотным человеком!

P.S. на всякий случай проверил AntiWinLockerLiveCD версия 4.0.1 - тоже справилась с моим простейшим блокировщиком, но в 2 раза дольше, чем это делает AntiSMS, хотя и нагляднее (показывает что делает, и где находится файл блокировщика).

Core-2 — 11.07.2012 18:51:08

PROROK Сообщение своё позорное отредактируйте или удалите ! Вирусописцы не дремлют и изощряются по всякому. Возможно это просто новый вариатн заразы. И прежде чем писать такое громогласное заявление , сначала б прочитали отзывы и пост.
Автор AntiSMS работает над программой опираясь на отзывы ,тесты и помощь пользователей.
А тут припёрся PROROK . Сделал необоснованное заявление и свалил. Нет бы просто помочь людям в работе.

А программа СУПЕР ! :good: Аналога нет. Или Вы ещё скажете,что типа Каспер рулит !?
Каспер и остальные курят бамбук !

И по поводу Вашей ссылки на блокировщик :
http://s018.radikal.ru/i503/1207/ca/87e315f23a9at.jpg

barsuk — 11.07.2012 19:13:56

PROROK
поймите Ваши слова были бы справедливы если с Вас брали деньги за эту программу. Нужно было не критиковать, а для начала прислать этот вирус автору, а потом уже рассуждать о чём то.
хотя в фраза "Теперь стало хорошо" мне тоже не очень нравиться)) лучше бы сделали чето типа: А теперь возможно всё хорошо;)

Core-2

Аналога нет. Или Вы ещё скажете,что типа Каспер рулит !?

все гениальное очень просто. а то что у каспера нету это незначит что они не могут. мне просто кажится что они и НЕ ХОТЯТ и в этом главная проблема. да и отчистка от вирусов системы не является функцией антивиурсной программы вообще, а делать хорошо людям бесплатно (livecd) у них наверно не модно или есть какието другие причины

И по поводу Вашей ссылки на блокировщик :

не думаю что файлы там проверяются на вирусы т.к. во всяком на драйвера прошивальщиков флэшек накоторые можно сказать все антивиурсные программы реагируют депозит не жалуется. возможно причина другая

на яндекс почему-то не загружается

на яндекс можно загрузить, но аккаунт заблокируется до удаления файла (дрвеб проверяет)

PROROK — 11.07.2012 19:23:31

Core-2,

Аналога нет?! - AntiWinLockerLiveCD версия 4.0.1 (http://www.antiwinlocker.ru/antiwinlock … anual.html - это не реклама, а просто ещё один инструмент для нашей общей борьбы с блокировщиками.

Core-2 — 11.07.2012 19:28:28

PROROK Слышь ! Ты мне не тыкай тут. Я с тобой не корешилась.А по части инструментов понятия имею,будь уверен.
AntiWinLockerLiveCD версия 4.0.1 наконец то обновили.Уже ,думала ,забросили навсегда.Да и надолго ли его хватит,если опять забросят.

simplix — 11.07.2012 19:31:32

dema777
Не совсем понятно, что у вас происходит - AntiSMS не лечит систему, когда она находится на диске H, или вы только думаете, что она её не вылечит? Здесь даже был один отзыв, когда утилита не увидела систему, которая находилась после четырёх букв кардридера, однако я проверял и такой случай - всё работает. Дайте немного больше информации, чтобы я мог вам помочь.

Vitokhv
После выхода новой версии хэш изменится, так что сигнатуры файлов вряд ли будут добавляться в программу, для этого и предназначена база хэшей. Я не в курсе, как у автора uVS организовано пополнение базы - он самостоятельно добавляет туда хэши или есть форум с доверенными пользователями, которые пополняют базу. Можете попробовать найти эту информацию и отправить хэш им для пополнения базы. Сейчас я выяснил, что если в uVS вручную добавлять программу (правой клавишей мыши на файле, затем "Добавить хэш файла в базу проверенных"), то эти хэши не дописываются в файла SHA\MAIN, как я предполагал, а записываются в новый файл SHA1, который находится в каталоге uVS. В следующей версии AntiSMS я добавлю поддержку файла SHA1, чтобы пользовательская база проверенных файлов тоже учитывалась при поиске исключений.

PROROK
Никто ваш пост удалять не будет, мне важны все отзывы. Сообщение о том, что всё уже хорошо, сделано потому, что программа не может отличить вредоносный файл от безопасного, но сам принцип работы программы подразумевает разблокировку компьютера на 100%. Единственным слабым местом загрузочного диска, но не AntiSMS, является поддержка не всех 100% существующих контроллеров жёстких дисков, а когда WinPE физически не видит файлы на диске, то и AntiSMS сделать ничего на сможет. На данный момент этот вопрос решается использованием других загрузочных дисков на базе Win7 или WinXP с поддержкой множества контроллеров, многие авторы уже добавляют AntiSMS в свои проекты. Другие не очевидные слабые места выясняются благодаря таким отзывам как ваш, а если человек предоставляет сам блокировщик и помогает довести дело до конца - такая помощь бесценна для всех. К сожалению выложенный файл недоступен - "Такого файла не существует, доступ к нему ограничен или он был удален из-за нарушения авторских прав". Если не затруднит, закачайте его с более сложным паролем на rghost.ru для диагностики.

Пожалуйста, ведите себя здесь прилично.

PROROK — 11.07.2012 19:33:41

simplix
Administrator


Как вы просили:
http://rghost.net/39158449

simplix — 11.07.2012 20:04:23

PROROK
Проверил - блокировщик самый обычный, AntiSMS его успешно лечит на тестовом компьютере. Значит причин, по которой программа у вас не сработала, всего две: либо WinPE не увидел вашего винчестера, либо конфигурация вашей системы была нестандартной.

Первый вариант на данный момент решается использованием другого WinPE, который видит больше контроллеров жёстких дисков, чем мой. Например тот же AntiWinLockerLiveCD 4.0.1 основан на Win7, который поддерживает больше контроллеров, чем WinXP - там в разделе "Инструменты" есть AntiSMS, на данный момент немного устаревшая версия 2.1, но и она справляется с вашим блокировщиком.

Второй вариант - нужно анализировать вашу систему. Для этого нужно заразить её этим блокировщиком и убедиться, что после перезагрузки он блокирует систему. Затем сразу после запуска AntiSMS скопировать папку %Temp%\AntiSMS (на моём диске это B:\Temp\AntiSMS) и реестр рабочей системы (Windows\System32\Config), и архив этих двух папок прислать мне в ПМ. Это очень поможет в диагностике, если мы имеем дело не с первым вариантом, а со вторым.

PROROK — 11.07.2012 20:24:00

simplix
Administrator
,
на виртуалке я не пробовал, а заражал свою рабочую Систему. Жесткие диски у меня старые, поэтому ваша программа их хорошо определила. Важным моментом является то, что я запускал блокировщик с другого диска, и соответственно в реестре путь к нему был другим (а по-умолчанию блокировщик размещается в С:-Пользователи-Имя Пользователя). Кстати, должен сказать и добрые слова в ваш адрес: в regedit в Избранное добавлены удобные ссылки. Вашу просьбу о зарожение моей Системы для сбора нужной информации отложу на завтра. А сейчас представляю вашему вниманию ещё один такой-же блокировщик (вашу программу на нём не проверял) - http://rghost.net/39158991   (Блокировщик в архиве под паролем REG, а архив в ISO-образе для надёжности).

weldance — 11.07.2012 20:25:23

simplix
запустил данный баннер и загрузился с флешки:


Код:

title Run AntiSMS
find --set-root /Antisms/Antisms.iso
map /Antisms/Antisms.iso (hd32) 
map --hook 
chainloader (hd32) 
boot

AntiSMS написал, что все хорошо, но в итоге баннер остался.
После загрузился с флешки:


Код:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /XP/FIRA.GZ (fd0)
map /Antisms/Antisms.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/Antisms/Antisms.iso;floppy,vmem=find:/XP/FIRA.GZ;\n\0
chainloader (0xff)

и всё ок... ОС работает
соответственно, PROROK что-то не так делал.
PROROK не нужно "плохо" отзываться о AntiSMS - моим знакомым она не раз помогала (100% случаев), хотя сам удаляю баннеры "ручками"

meufora — 11.07.2012 20:36:48

Спасибо. Софт быстро и качественно решает проблему с винлок.

simplix — 11.07.2012 20:42:56

PROROK
Если AntiSMS не видит файла по указанному пути, то не удаляет это значение, чтобы ничего не испортить. Но и поиск файла по дискам я считал пройденным этапом, так как удалось придумать для этой цели хороший алгоритм. Тогда будем ждать логи и реестр, возможно они покажут, что было не так. Ещё одна просьба - нужно будет сохранить реестр самой WinPE после работы AntiSMS, для этого достаточно выполнить команду:


Код:

Пуск -> Выполнить -> reg save HKLM\System %Temp%\System

Файл System во временной папке и будет нужным файлом реестра.

weldance
В первом случае баннер останется - вы же поместили AntiSMS.iso не в корень диска, а в папку Antisms. При выпуске версии 2.4 со встроенным драйвером FiraDisk я предупреждал, что драйвер ищет образ AntiSMS.iso по имени и в корне, иначе нужно загружать его вторым способом (через GRUB). При этом в первом случае должно было быть предупреждение, что файл SysFiles.bin не найден и заменённые системные файлы не будут восстановлены.

glax24 — 11.07.2012 20:52:36

PROROK сообщает:

то есть почувствовал себя обманутым, и какая-то насмешка в этом сообщении.

А если бы программа выдала сообщение "У вас все плохо", вы бы еще больше расстроились, надо проще относиться к таким вещам.
Проверил 2 ваших блокера на своей машине, ничего особенного в них нет, антисмс с ними справляется. И после завершения работы антисмс можно проверить программой Autoruns  что автозапуск чист.(Пуск-Программы-AutoRuns)

weldance — 11.07.2012 20:54:10

simplix
а баннер от PROROK заменяет системные файлы?
хотя всё равно - главно AntiSMS сработал!!!!

glax24 — 11.07.2012 20:56:34

weldance сообщает:

simplix
а баннер от PROROK заменяет системные файлы?

Нет системные файлы не заменяются.

g0dl1ke — 11.07.2012 22:07:48

а это нормально, что пиарившийся тут антивинлокер 4.0.1 использует antisms? :shock:
http://i42.fastpic.ru/big/2012/0711/97/13bd87c1582e6bf0f3be945ad1d98b97.png

weldance — 11.07.2012 22:11:47

glax24
тогда почему он не сработал без SysFiles.bin?

simplix — 11.07.2012 23:14:02

weldance
Проверил - эти два блокировщика однотипные, у меня файлы не заменяли, лечение сработало и без SysFiles.

g0dl1ke
AntiSMS разрешается использовать всем в любых целях, тем более коллегам.

dema777 — 12.07.2012 04:57:38

simplix сообщает:

dema777
Не совсем понятно, что у вас происходит - AntiSMS не лечит систему, когда она находится на диске H, или вы только думаете, что она её не вылечит? Здесь даже был один отзыв, когда утилита не увидела систему, которая находилась после четырёх букв кардридера, однако я проверял и такой случай - всё работает. Дайте немного больше информации, чтобы я мог вам помочь.

Сама программа пока не подводила, а вот WinPE не всегда видит диски с системой, прочитал ниже пару постов и понел над этим работают, значит будем ждать, спасибо за ответ

Vitokhv — 12.07.2012 06:32:13

g0dl1ke
Вы так рассуждаете как будто здесь конкуренция, обе программы бесплатны, и многие кто пользовался не задумывался об оплате. Лишь только сложностью лечения, так как для каждого баннера в ручном режиме нужен свой подход и своя инструкция.

Core-2
От себя добавлю, что использую AWL для выявления поведения баннеров, чтобы знать их действия и уязвимости. Да программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

g0dl1ke — 12.07.2012 12:34:21

Vitokhv разве создатели антивинлокера не просят денег за свой продукт?
simplix какие именно файлы входят в состав SysFiles.bin и принимаешь ли ты пожелания по его составу ?

PROROK — 12.07.2012 12:51:35

simplix
Administrator
,
вы там это...   извините меня, пожалуйста :oops:

Свой поспешный комментарий я отредактировал.

Сегодня сделал всё, как вы хотели - скопировал (сохранил) нужные файлы до запуска AntiSMS и после завершения успешной работы вашей программы, но загружать в интернет эти файлы (354 МБ) для меня слишком долго (пол-дня), и в свете новых обстоятельств теперь бессмыслено (ведь программа со своей задачей справилась).

Так что ещё раз приношу свои извинения за преждевременные несправедливые обвинения в Ваш адрес, и благодарю Вас за понимание и тактичность.

AntiSMS - это безвозмездный труд профессионала своего дела simplix, который помогает всем людям эффективно бороться с вредоносными программами-блокировщиками!

simplix — 12.07.2012 13:25:03

g0dl1ke
SysFiles.bin - обычный архив, в котором уже собраны самые нужные файлы. Замена других системных файлов не влияет на загрузку системы, так что они будут добавляться по необходимости.

PROROK
У вас получился очень большой архив, давайте включим в него не всю папку Windows\System32\Config, а только файлы Software и System из этой папки. До запуска AntiSMS файлы можно не копировать, только после запуска нужны: эти файлы, папка %Temp%\AntiSMS и реестр из той же WinPE c помощью reg save (выше давал инструкцию). Так архив получится очень маленький, а самое главное - поможет найти причину, почему у вас утилита не сработала в первый раз.

UPD: Прочитал ваше сообщение:

PROROK сообщает:

после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял.

Если так, то логи можно не выкладывать, причина предельно ясна.

Vitokhv — 12.07.2012 13:45:12

g0dl1ke
LiveCD бесплатен, насчет ПО это уже платная утилита устанавливаемая на активную систему, с пробным периодом на 30 дней.
Для удаления баннеров без использования LiveCD (нажали на соответствующую клавишу, определили файл баннера, удалили)
Все просто: кому-то нужно удалить баннер без лишних манипуляций, а кому-то необходимо найти сам баннер, и его действия, тем самым хотя бы на 1% защитив от такого троянца обладателей антивирусов.
К примеру безопасный режим: http://www.youtube.com

Dr. MefistO — 12.07.2012 14:53:23

simplix
Спасибо за самую чоткую программу для лечения системы!
По просьбе программы выкладываю DriveX.bin файл для анализа: http://zalil.ru/33568415

Core-2 — 12.07.2012 14:54:33

Vitokhv сообщает:

... программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

Есть повод удивиться. Довольно длительное время программа не обновлялась. А по части сторонних коментариев, скорее всего ошиблись. У меня есть своя голова , не малый опыт , терпение , и желание повлиять на ситуацию распространения подобной заразы в сторону её уничтожения . Любыми методами.http://gn.ucoz.ua/im/yatakoy/pioneer.gif

На данном этапе самым эффективным и простым способом является AntiSMS. Сбоев - 0. Так же как и у старого доброго uVS. Будем тестить и свежий AWL в составе сегодняшнего Live & Boot CD/USB .

g0dl1ke — 12.07.2012 15:39:22

simplix можно добавить winlogon.exe - его часто заменяют баннеры
Vitokhv и подразумевает коммерческое использование?
да и в целом, если я не ошибаюсь - любые livecd на базе *.win незаконны

simplix — 12.07.2012 16:04:54

Dr. MefistO
Спасибо, добавлю.

g0dl1ke
Блокировщики не заменяют winlogon.exe, это один из важных системных процессов, без него система не загрузится.

По поводу использования в составе AntiWinLockerLiveCD - во-первых AntiSMS не продаётся в составе этого диска, все могут загрузить его бесплатно, во-вторых делать ли свою программу платной - исключительно выбор автора. Никто ведь не ходит на работу бесплатно, а создание программ - большой труд, который требует массу времени и ресурсов, поэтому продавать свои программы каждый имеет полное право.

А что касается использования WinPE и других программ на этом форуме - они используются исключительно для увеличения популярности и доходов для своих авторов. Если кто-то из этих авторов считает иначе, программы будут убраны по первому требованию законных владельцев.

g0dl1ke — 12.07.2012 18:32:55

simplix, заменяют, точнее сказать - изменяют.
простой пример: есть сборки винды/твикеры, что вносят изменения в winlogon.exe, с целью изменения экрана входа в систему - с косметической точки зрения. Вирусы же (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D или баннеры) изменяют/заменяют файл, как например происходит с explorer.exe.
вообщем мое дело предложить, ибо 1 файлик в составе SysFiles.bin не сделает "погоды", зато может решить проблему, если потребуется.

simplix — 12.07.2012 18:51:26

g0dl1ke
Ресурсы экрана входа в систему находится в logonui.exe, для этого winlogon.exe никто не патчит. Его могут заражать вирусы, но AntiSMS - не антивирусная программа, и замена одного winlogon.exe, когда заражены многие другие исполняемые файлы, ситуацию не изменит. А вот если пропатченный файл заменить оригинальным на OEM-версии WinXP, то у пользователя слетит активация.

g0dl1ke — 12.07.2012 20:35:55

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя.

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.  В настоящее время известно более сотни вирусов, использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

LeoZhu — 12.07.2012 22:18:53

Simplix, возможно ли в следующей версии  AntiSMS сделать так чтобы например в папке Windows (или windows\temp) пролеченой системы появлялась папка antisms (с логами от этой ситемы) c тем же содержимым что и в рам диске PE'хи (%Temp%\AntiSMS\), на тот случай если забыл, или посмотрел и уже потом забыл (понадеясь на свою память), что там было, для админа польза - а юзеру все равно!
"P.S." (раскрыть):
так и планировал делать через батники и nircmd выводить сообщение о предложинии сохранять например на диске С: папку с логами, потому как бывают случаи, когда админ оставляет LiveCD юзеру на всякий случай и/или юзер сам пытается отремонтироваться, вот тут может и пригодиться эта фишка с сохранение логов (что и как делалось), хотя в вообщем-то в msconfig и так будет видно :), кроме списка восстановленых фаилов.

P.S.S. "Мысли вслух"
Добавил в архив SysFiles.bin фаилы из UVS (и плюс добавил на своё усмотрение немножко фаилов) в результате архив получился около 10,2 МБ благодаря тому что в 7zip дубли повторно не архивируются.
Неплохо получилось если б Вы с Автором UVS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, как-то так примерно.

trew911 — 13.07.2012 00:58:56

да кстати  было тоже висел ms.exe   увидел через  uvs  . убрал, на всякий случай прошёлся anti sms 2/4  и всё капец висим на винлогонеее  , через лайв менял системные

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe

и т.д  и через runscanner+ regedit смотрел ветки винлогон, и так же чистил

и тута тоже чистил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

и по указке

запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст


всё равно висел на винлогоне!  при альт+таб  виден был винлогон

3 пальца не помогали как будто таск менеджера небыло.

короче пришлось сносить  ХР как не печально!

simplix — 13.07.2012 01:22:45

g0dl1ke
Спасибо, я в курсе как работает winlogon.exe. Попробуйте вручную заменить его на любой другой файл или найдите блокировщик, после замены winlogon на который система не падает в BSOD при загрузке, тогда можно будет вести речь о добавлении.

LeoZhu
Добавление такой возможности не планируется, чтобы не засорять винчестер пользователя, а в ряде случаев, когда блокировщик повреждает таблицу разделов, файлов вообще не видно до перезагрузки и логи нельзя сохранить на винчестер. Оправдание "забыл" вообще не принимается, нельзя целенаправленно загрузившись с диска для лечения от блокировщика забыть о такой важной детали; кому нужно - скопируют, кому не нужно - даже смотреть не будут. Как вариант, можете создать батник, который сначала запускает AntiSMS, а затем копирует папку с логами на винчестер или флешку.

trew911
Чтобы дать хоть какую-то информацию по вашему случаю нужно увидеть тот самый ms.exe, иначе угадывать, что именно он сделал, совершенно бессмысленно. Если он у вас остался - закачайте на rghost.ru с паролем virus.

Be1blY — 13.07.2012 02:31:50

Спасибо за программу, знакомый принес бук HP с баннером. Камперский секьюрити грузиться с флешки отказался. Нашел сборку софта, с Вашей программой, загрузился с LiveCD и вот пишу уже с этого ноут бука. После проверки, программа написала, что изменена таблица MBR. Вот, передаю на анализ файлы из папки Temp.

Vitokhv — 13.07.2012 06:54:50

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

g0dl1ke — 13.07.2012 13:31:10

simplix
естественно сейчас я не найду готового семпла, но прецеденты имели место быть.
как в случае подмены explorer и userinit

Rawtang — 13.07.2012 17:56:21

При проверке вашей утилитой показало что существует нестандартный MBR. Вот ссылка на него Скрытый текст (раскрыть): rghost.ru/39192101

va99 — 15.07.2012 01:31:29

Vitokhv сообщает:

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Этот путь ведет прямиком к експлореру. Проще говоря, нужно изменить в строковом параметре значение на explorer.exe

simplix — 15.07.2012 18:30:42

Новая версия AntiSMS 2.5

Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Сообщения теперь отображаются в Unicode - русский язык видно на любой системе, в том числе на английском Hiren's BootCD.

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

Gazeman — 16.07.2012 03:26:09

simplix
огромное спасибо за новую версию.отчень нужная вещь в нынешнее время.

g0dl1ke — 16.07.2012 10:31:00

total commander можно добавить в antisms.iso?

Алекс — 16.07.2012 11:24:33

simplix сообщает:

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

Вот про это не понял.. :unknown: Симпликс,это нужно когда используется антисмс как отдельная программа на другом лив-сд? :unknown:  Не совсем понятно,и сложно для понимания простым обывателям..
Насчёт Тотал Коммандера - поддержу идею! было бы не плохо,если бы он был в сборке. :drinks:

g0dl1ke — 16.07.2012 14:05:59

место он занимает на много, а пользы over9000

Core-2 — 16.07.2012 14:18:50

Алекс сообщает:

...это нужно когда используется антисмс как отдельная программа на другом лив-сд?

Это нужно для совместного использования  AntiSMS и uVS в составе сторонних LiveCD&USB. В этом случае экономится место на диске.

Ab-Man37 — 16.07.2012 15:12:57

Уважаемые ( Автор или другие посвященные ).
Версия 2.5 не грузится с МультиЗагрузочной флэшки. Сообщение:
" Error 60: File for drive emulation must be in one contigous area ".
Подобное уже было при переходе с вер. 2.0  на 2.1. Настройки в MENU.LST с FIRA у меня остались до сих пор. Вернул на флэшку AntiSMS.iso от прежней версии. Все работает.  ???
Сори. Вопрос снят. Дефрагментировал ISO.

Jabbb — 16.07.2012 15:24:10

Ab-Man37
Это скорее всего сообщение grub'а. Дефрагментируйте ISO, с которого пытаетесь загрузиться.

Ab-Man37 — 16.07.2012 16:01:09

Jabbb.
Спасибо. Вы - настоящий друг, а я - лопух. Слышал же о необходимости дефрагментации ISO на флэшке.

glax24 — 16.07.2012 20:49:19

g0dl1ke сообщает:

total commander можно добавить в antisms.iso?

TC вещь необходимая, ну или хотя бы FAR (вообщем необходим файл менеджер).

art9 — 16.07.2012 21:57:16

А что мешает засунуть командер (или другой софт) через УльтраИСО?
Если записывать на флэшку, то еще проще.

safety — 17.07.2012 07:17:05

добрый день,
вопрос по интеграции antiSMS и uVS:
нужны ли какие то дополнительные настройки для того, чтобы antiSMS при анализе системы использовал базовые файлы хэшей проверенных файлов uVS (из подкаталога SHA) и собственный файл хэшей из текущего каталога, если antiSMS добавлен в текущий каталог uVS?
(прошу прощения, если этот вопрос был уже ранее обсужден.)
------
каким образом AntiSMS определяет файл хэшей безопасных из текущего каталога uVS? по настройкам из settings.ini?

Core-2 — 17.07.2012 09:17:50

safety Сообщение 613 . Всё ясно и понятно . Ни каких настроек не надо . Просто распологаем
AntiSMS.ехе и SysFiles.bin в каталоге uVS.

safety — 17.07.2012 11:30:14

Core-2, есть сомнение что это так. ("Ясно и понятно").
Почему я так думаю? Поскольку antiSMS по словам автора научен работать с двумя файлами хэшей (MAIN из каталога SHA, который uVS в своей сессии открывает только для чтения, и пользовательский файл из текущего для uVS каталога, куда добавляются новые хэши), значит эти файлы никак не помещаются в один SysFiles.bin.  Во вторых, uVS через свой интерфейс добавляет новые хэши в пользовательский файл, (который определяется в настройках settings.ini. settings.ini - это тоже файл настроек uVS). Значит, новые хэши автоматически никак не могут попасть в SysFiles.bin.

Если только, конечно, antiSMS не конвертирует автоматически при запуске файлы хэшей проверенных в uVS (и основной (авторский) MAIN из SHA и пользовательский из текущего каталога) в свой формат SysFiles.bin
-----------

Core-2 — 17.07.2012 12:59:00

safety AntiSMS не надо ничего переконвертировать и перезаписывать SysFiles.bin. Файлы uVS он просто использует.

safety — 17.07.2012 13:36:40

Core-2,
тогда еще один вопрос: какие данные помещены в Sysfiles.bin?

Core-2 — 17.07.2012 13:44:30

safety Откройте архиватором.:) Там чистые системные файлы.
http://s54.radikal.ru/i145/1207/f8/1056a17af2a3t.jpg

safety — 17.07.2012 15:23:10

ок, спасибо :)
теперь все стало более-менее понятно.
hashes.bin - это аналог безопасных MAIN в uVS
SysFiles.bin - это аналог чистых системных файлов хранилища STORE в uVS
-----------
тогда предложение разработчику: может  продолжить интеграцию с uVS и в случае, если отсутствует файл SysFiles.bin в текущем каталоге uVS выполнить поиск необходимого файла для замены из подкаталога  STORE?

MBTY — 17.07.2012 17:29:28

safety
А что мешает пользоваться И тем И другим, а не делать всё в 1? Зачем дублировать функционал? uVS это uVS, AntiSMS это AntiSMS.

safety — 17.07.2012 19:47:42

MBTY,
о дублировании функционала не идет речь, поскольку uVS для лечения использует интерактивные методы, antiSMS - автоматические. Речь идет о том чтобы избежать дублирования данных (hashes.bin/MAIN и SysFiles.bin/STORE) в случае их совместного использования:
---------
хотя, структуры каталогов с чистыми файлами несколько различаются.

LeoZhu — 17.07.2012 19:56:24

Safety, по поводу выполнить поиск необходимого файла для замены из подкаталога  STORE
почитайте тут http://forum.simplix.ks.ua/viewtopic.ph … 767#p12767
Я уже писал раннее, что неплохо получилось если бы UVS и AntiSMS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, в результате архив не распухнет (сильно), благодаря тому что в 7zip дубли повторно не архивируются.
Дело осталось за меленьким найти контакт с автором UVS и все это объяснить как-то.

P.S. Simplix , спасибо за обновление !

Doberman — 18.07.2012 10:46:53

Я бы предложил ввести в программу: (Hash.ini) и (Sysf.ini), где бы указывалось расположение файлов: Hashes.bin, SysFiles.bin соответственно. Заодно можно было бы регулировать какие либо настройки. (Например отключать проверку неподписанных служб ( imdisk)) и т.д.

xcv150 — 18.07.2012 11:09:28

Нестандартный MBR http://rghost.ru/39270975 Хорошая программка! Только вот при загрузке системы с флешки долго не появляется ярлык самом проги (2-3 минуты)! Это так надо??? Образ дефрагментировался и для флешки в биосе выставлялся приоритет при загрузке! Если запускать через MobaLiveCD, то скорость загрузки возрастает в 2-3 раза!

Vitokhv — 18.07.2012 12:21:56

Весьма интересный экземпляр ссылка.
Блокирует любой безопасный режим.
После использования AntiSMS 2.5 остается ключ реестра:
HKEY_CURRENT_USER\Software\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon    AppData (файл Setup.exe)

glax24 — 18.07.2012 22:03:59

Vitokhv
Спасибо за сэмпл.
http://10pix.ru/img1/1824/8145136.th.jpg
HKEY_CURRENT_USER\Software\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon    AppData
Никак не влияет на загрузку системы.

art9 — 18.07.2012 22:28:55

glax24
А что вообще это дало автору зловреда? Зачем этот ход?

glax24 — 18.07.2012 22:52:42

art9
А вы обратите внимание еще на другого зловреда(на скрине). В документации написано что через эти записи можно запустить при старте, когда я писал свой тест тоже использовал эти ключи, но на практике это ничего не дало. А что автор хотел сделать это только ему известно.

art9 — 18.07.2012 22:58:55

glax24
Я понял, что нужно смотреть на другие записи. Но другие - они удаляются Антисмсом, поэтому я обращаю внимание только на эту запись. Но если на практике этот ключ не дал стартовать зловреду, то обсуждение данного варианта зловреда не заслуживает внимания.

trew911 — 20.07.2012 17:06:54

Vitokhv сообщает:

Весьма интересный экземпляр ссылка.
Блокирует любой безопасный режим.
После использования AntiSMS 2.5 остается ключ реестра:
HKEY_CURRENT_USER\Software\​Microsoft\​Windows NT\​CurrentVersion\​Winlogon    AppData (файл Setup.exe)

dr сразу
http://ipic.su/img/img6/fs/kiss_4kb.1342793239.png

art9 — 20.07.2012 17:46:37

trew911
Тут идет обсуждение утилиты AntiSMS, а не крутизны какого-то антивируса :D

BlackSan — 23.07.2012 12:29:52

давно интресуюсь как работает программа, она подгружает ключи с помощью Reg Load? изменяет и выгружает? или загружает своими методами?*

Kipovec — 23.07.2012 12:52:39

art9
А "всегда попадаются" "экземпляры" готовые пофлудить и "пи..кой померятся" о "крутости" антиФиря.
Так "прискакал" тут один "блокиратор" ссыль на вирустотал https://www.virustotal.com/file/d594518 … 343036001/ ,  но поскольку я привык "ручками поковыряться", то прогу не пользовал ;)  ссыль http://rghost.ru/39366374 пароль 111 Да и "владельцам вебины (если верить ;) вирустоталу), срочно "стучать" в техпотдержку.

Алекс — 23.07.2012 13:29:33

Kipovec
Спасибо за трояна. это винлок,насколько я понял? :unknown: файл скачал,но он  имеет атрибут "скрытый" . пришлось переделывать его в "видимый" :) зачем скрытым его сделали? пошлю его в тех поддержку Аутпоста,у них в базе его нету вроде..

glax24 — 23.07.2012 15:18:55

Алекс
Скорее всего никто ему атрибут скрытый не ставил, он такой и был. Используйте файловые менеджеры такие как TC или FAR, в них чтобы скрытые файлы были видны не надо ничего переделывать, а достаточно нажать одну кнопку.

Алекс — 23.07.2012 15:33:37

glax24
Ну так я отписался,что из скрытого сделал видимый. как раз через тотал коммандер и делал его. Не думаю,что он был скрытым изначально.. Зачем злоумышленникам делать его скрытым?! им ведь надо что бы юзер скачал его себе на комп и запустил его.. :crazy: а если он скрытый,то никто его и не увидит даже..

glax24 — 23.07.2012 15:55:35

Алекс сообщает:

glax24
Не думаю,что он был скрытым изначально.. Зачем злоумышленникам делать его скрытым?!

Изначально нет, но после запуска и копирования файл делается скрытым, а сам файл который запускали иногда самоуничтожается.

MetersBonwe — 24.07.2012 03:18:18

Пожелание по готовому загрузочному диску с программой
Уважаемый автор! Неплохо было бы добавить прогрессбар на этапе запуска системы.
http://s017.radikal.ru/i410/1207/52/8862f7cad532.png
Не сразу понятно - грузится WinPE или висит :)
Программа очень нужная. :good:

Алекс — 24.07.2012 07:41:28

Уважаемый Симпликс!  Прошу обратить особое внимание на вот этого винлока,присланного Kipovechttp://rghost.ru/39366374 . Это действительно интересный и опасный экземпляр.. :shock:
Только что проводил эксперименты с ним на своей ОС - XP Sp 3. Запустил его,он заблокировал винду,запустил Антисмс 2.4 ,она вроде как пролечила всё,написала "всё хорошо". Ребут,вроде всё запустилось и работает. Захожу в msconfig ,обычный запуск,снова ребут. Загрузка ОС и опаньки - этот самый винлок опять висит во весь экран,винда заблокирована! :unknown: 
Не знаю,может в версии 2.5 эта проблема уже решена,пока не пробовал её,но в 2.4 этот винлок не поддаётся лечению..

art9 — 24.07.2012 07:56:57

Алекс
1. А вы перед включением автозапуска обратно проверили компьютер анти вирусным сканером?
2. Вы обратили внимание, что в мануале пишется про ваш случай? Запустите ещё раз Антисмс и мсконфиг не трогайте.

Так что Антисмс всё сделала правильно

weldance — 24.07.2012 08:02:19

Алекс
наверняка этот блокировщик прописывается в автозагрузке. соответственно после успешного отключения его антисмсом вы опять его включаете:

Алекс сообщает:

Захожу в msconfig ,обычный запуск...

т.е. необходимо самому просмотреть где нет "галочек" в mscofig->автозагрузка - одна из них и запускает блокировщик

Kipovec — 24.07.2012 08:08:11

Алекс
В таких случаях, я, принципиально не меняю ни имени, ни атрибутов файла. Как "вынуто" из системы, так и выложено (разве что, в архив под пароль).

glax24 — 24.07.2012 08:09:21

weldance сообщает:

наверняка этот блокировщик прописывается в автозагрузке.

Этот локер прописывается только в автозагрузку.

Алекс — 24.07.2012 08:10:00

art9, weldance

Подобный случай только был с этим винлоком. до этого экспериментировал с другими 4-мя винлоками, и Антисмс успешно с ними справлялась.. то бишь- я делал всё то же самое ,что и описано в предыдущем посте, и повторно блокировщики не появлялись.. Хотя и они все тоже прописываются в автозагрузку..
Насчёт проверки антивирусом - этот винлок не фигурирует в базах большинства антивирусов! Посмотрите на VirusTotal, у меня Агнитум Аутпост , отправил им файл на анализ,что бы добавили в базу его. ;)

glax24 — 24.07.2012 08:46:37

Алексэто обычный Локер, ничего особенного в нем нет

art9 — 24.07.2012 08:47:04

Алекс
Ну тот может заменял системный файл или прописывал себя в подозрительной  папке, которую Антисмс очищает. А этот , может, пишет себя в неподозрительную папку и в автозапуск прописывается обычным способом. Если почитать мануал, то становится все понятно.
Что касается проверки антивирусным сканером, то если так написано в мануале, значит так и нужно делать без самодеятельности.

Алекс — 24.07.2012 08:59:15

glax24 сообщает:

Алексэто обычный Локер, ничего особенного в нем нет

но остальные-то тоже обычные,и прописываются в автозагрузку все они. Но с остальными подобных проблем не возникало. Это единственный случай на моей практике ,когда после msconfig-обычный запуск , локер опять активируется. Поэтому и прошу Simplix*a обратить на него внимание..

Sergikaz — 24.07.2012 11:52:09

Очень важный, обязательный пункт инструкции (как для опытных, так и для юзеров), для полного лечения системы:
После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
Я приучил себя всегда смотреть лог-файл AntiSMS и сохранять на флешку папку Temp. Поэтому, давно заметил, что утилита не только чистит систему от мусора, но и выполняет удаление конкретных небезопасных файлов.
Вырезка из конкретного лог-файла (раскрыть):
Файл E:\Users\Админ\AppData\Roaming\taskhost.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe признан небезопасным и удалён, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\taskhost.exe признан небезопасным и удалён, создана резервная копия


Если Алексу до этого случая всё "нормально" проходило без проверки антивирусом, то это говорит о большой эффективности утилиты AntiSMS. Только, без лечения антивирусом, очень большая вероятность, что  файл блокировщика, трояна так и останется лежать на винте.
Что-бы закончить на этом, напомню:

simplix сообщает:

....уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом....

Vitokhv — 24.07.2012 12:09:50

Что касается простого баннера с автозагрузкой, не нужно делать поспешных выводов, чтобы так глобально рассуждать.
По поводу работы AntiSMS: Файл C:\Documents and Settings\Virlab\Рабочий стол\1jfuweif.exe не подписан и его автозагрузка отключена, создана резервная копия
ссылка на тему о действиях баннера

Алекс — 24.07.2012 12:19:40

Sergikaz сообщает:

После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.

Ну,это и ежу понятно - что копия файла блокировщика остаётся где-то на жёстком диске,после работы утилиты Антисмс, и что нужно потом включать антивирь и чистить/лечить систему..  Но в данном случае,повторюсь - этого винлока нету в базах большинства антивирусных продуктов,то бишь- лечить и чистить дальше не предоставляется возможным. Во время более ранних экспериментов,которые проходили обычно так- работа Антисмс,ребут,msconfig-обычный запуск и снова ребут ,я включал потом как обычно свой антивирь на полную проверку ОС,он находил в системе остатки винлока и удалял их. Обычно они остаются в папке System Volume Information,кстати.
Кстати,что-то Симпликса не видать.. :unknown: У него отпуск может? :drinks:
---------------
Vitokhv
Хотел узнать- как Вы делаете подобные скриншоты? - http://megaimg.ru/show2.php?id=5975&pic=336566  винда же блокируется,никаких действий совершать то низя.. :unknown:  Поделитесь секретом;)  ещё хотелось бы узнать -как делаются подобные скриншоты в БИОСе?

Dr. MefistO — 24.07.2012 12:35:50

Сколько по времени (минимум-максимум) может отрабатывать программа процедуру лечения? У меня уже в районе полчаса шурудит.

Алекс — 24.07.2012 12:40:35

Dr. MefistO
у Вас чё-то не то с жёстким диском или с ОС..  у меня за 10 секунд всё происходит. полчаса- это перебор. :D

hal — 24.07.2012 12:40:54

У меня от 10 до 30 секунд примерно. Полчаса - это явный перебор.
Обращение к диску идет?

Dr. MefistO — 24.07.2012 12:55:54

Лампочка Hdd моргает редко. Раз в 5-8 секунд.

glax24 — 24.07.2012 14:53:49

Алекс
Локер запускается в VirtualBox или VMWare и делается скриншот, вот и весь секрет.

Dr. MefistO — 24.07.2012 15:06:41

Подтверждаю: траблы с винтом. Виктория нашла дефекты.

Алекс — 24.07.2012 15:15:34

glax24
Спасибо за инфу,буду знать.. :drinks:  а я вот видел несколько раз скриншоты сделанные в БИОСе (не на фотокамеру) . может кто знает как их делать там? :unknown:
Dr. MefistO
Ну дык,я сразу на это подумал.. ;) и кстати- не обязательно запускать неудобную викторию и тестировать жёсткий. Достаточно установить Crystal Disk Info на винду,если будут какие-то ошибки или дефекты появляться с жестаком,то прога сразу сообщит об этом.. ;)

Dr. MefistO — 24.07.2012 15:20:04

Алекс сообщает:

glax24
Спасибо за инфу,буду знать.. :drinks:  а я вот видел несколько раз скриншоты сделанные в БИОСе (не на фотокамеру) . может кто знает как их делать там? :unknown:
Dr. MefistO
Ну дык,я сразу на это подумал.. ;) и кстати- не обязательно запускать неудобную викторию и тестировать жёсткий. Достаточно установить Crystal Disk Info на винду,если будут какие-то ошибки или дефекты появляться с жестаком,то прога сразу сообщит об этом.. ;)

Другого выхода не было. Т.к. кристал диск помогает только тогда, когда он установлен на винду. А реальную ситуацию она не исправит, в отличие от Виктории с ее ремапом.

Алекс — 24.07.2012 16:52:40

Dr. MefistO
Crystal Disk Info ситуацию с бэдами не исправит канешно,но он сразу предупредит о возможных проблемах.. для этого он и нужен. :drinks:

Sujet — 25.07.2012 11:06:44

Всем привет!
Подскажите если заблокирован компьютер Xp который заражен пользователем Домена Виндоуса (не локальным) с перемещаемым профилем. Есть шанс что эта утилита поможет? Я не понимаю - заражение происходит одного конкретного пользователя или всего компьютера?

glax24 — 25.07.2012 12:25:10

Шанс есть, поможет.

alik — 01.08.2012 11:33:45

Добрый день. При запуске antisms возникает проблема. На экране появляется надпись Setup is inspecting computer's hardware configuration... и далее загрузка не идет. Проверял с флешки и с диска. В чем трабла подскажите пожалуйста.

trew911 — 03.08.2012 21:12:51

тут интересный глюк был  заходя на сайты страница не отображается а как бы вместо неё текст как исходный код страницы!, все мои варианты не помогли(вроде Админ) помог только загрузочный  антисмс+Uvs ещё дополнительно чищу

Vitokhv — 04.08.2012 03:16:29

Так происходит после заражения значения реестра AppInit_DLLs

DJeir — 04.08.2012 03:17:07

trew911, это не глюк, это вирусяка. Выполни скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\oxoreya.dll','');
DeleteFile('C:\Windows\system32\oxoreya.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

art9 — 04.08.2012 06:04:14

кстати, антисмс обрабатывает AppInit_DLLs и зловреды прописанные таким способом должны излечиваться.

trew911 — 04.08.2012 07:54:10

DJeir сообщает:

trew911, это не глюк, это вирусяка. Выполни скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\oxoreya.dll','');
DeleteFile('C:\Windows\system32\oxoreya.dll');
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

СПС в блокнотик на флеху!

glax24 — 04.08.2012 11:26:10

DJeir
На вашем месте я бы не раздавал скрипты для АВЗ не видя логов, если этот скрипт подошел вам, то это не значит что он поможет другому.

DJeir — 05.08.2012 11:57:35

glax24
Это скрипт я использую постоянно уже года два в таких случаях. На разных системах и машинах клиентов. Результат всегда один - полная и безоговорочная победа!:)

barsuk — 05.08.2012 14:37:21

насчет маленькой 7PE то есть же!
вот я 120МБ шный вариант тестил скорость и поедание
http://rutracker.org/forum/viewtopic.ph … 7#54529347

+ от того же автора такой же версии есть 80МБ (не пробовал еще)
приятно на вкус, тока жалко что на китайском языке!
может кто то сможет сделать чтото наподобии на Английском?:unknown:

g0dl1ke — 05.08.2012 15:24:19

http://forum.oszone.net/post-1398613-541.html
http://forum.oszone.net/post-1404313-581.html

barsuk — 05.08.2012 16:20:39

g0dl1ke
помойму разница между Вами предложенным 126МБ (я скачал и посмотрел размер WIM-файла) и 80МБ заметна
а кто думает что там вообще нету прог сторонних то вот что увидел открыв WIM-файл:
RUNSCANNER
IMAGINE
GHOST
7-ZIP
DISKGENIUS
PTDD
ULTRAISO
WIMTOOL

так кто меньше?

MBTY — 05.08.2012 18:18:35

barsuk
Я шота ссылки не вижу на 80мб образ. Пост вижу, а где там качают - нет

barsuk — 05.08.2012 18:27:16

вот он)
http://narod.ru/disk/58906696001.3ff73a … 1.rar.html
щас залил на флэшку и замерю скорость загрузки и ОЗУ потребляемое!
ждите :drinks:
------------------
тестил на SM3257AA MLC memory первый этап загрузился за 17 секунд, а вот дальше гдето так же как и 120МБ образ(зависит от мощности ПК) и большая часть успеха даже не в образе, а в том что MLC память. зато оперативки есть поменьше она! - почти на 40МБ!
http://imgs.su/tmp/2012-08-05/1344180956-424.jpg

PS: ссылку удалю через неделю, так что кому надо качайте щас. мне лишний мусор в профиле яндекса не нужен, а на rghost у меня значительно медленее заливается

Vitokhv — 05.08.2012 18:57:00

Win7PE: http://rutracker.org/forum/viewtopic.php?t=3369525 - 93Мб

glax24 — 05.08.2012 21:12:59

DJeir сообщает:

glax24
Это скрипт я использую постоянно уже года два в таких случаях. На разных системах и машинах клиентов. Результат всегда один - полная и безоговорочная победа!:)

Это хорошо, но не надо забывать что параметр AppInit_DLLs используют также легитимный софт, например тот же касперский.

g0dl1ke — 05.08.2012 23:08:57

антисмс.исо
не?

DJeir — 06.08.2012 16:57:12

glax24
Когда стоит касперский, таких проблем с браузерами (исходный код вместо страницы) не бывает. Не вижу смысла в продолжении полемики.

viprus — 07.08.2012 00:21:57

Приветствую всех. Принесли "больного" Со слов хозяйки поймала блокер. Не обычный с картинкой а досовский. На чёрном фоне красныим буквами Бла-бла-бла... и зелёным или жёлтым "введите код" Потом (!) по клаве ноута якобы прошёлся кот. Я получил его в состоянии
~ Не возможно открыть файл
<ROOT WINDOWS>\system32\hal.dll.
Захожу из под LiveСD диска С нет, один D. Единственная возможность - AntiSMS. Она тоже пасует - "не найден системный диск" Всякими Рековерами пробовал - не восстанавливает. На D лежит образ С (создавал сразу после установки системы и всей требухи), после восстанволения Акронисом диск С получается незагрузочным (не найден NTLDR) и действительно в корне восстановленного системного диска нет ни его ни ntdetect.com закидываешь их и опять
Не возможно открыть файл
<ROOT WINDOWS>\system32\hal.dll. Причём Акронисом системный диск разворачивается не в Основной Активный раздел (каким он создавался и соответственно бекапился), а почему-то "пристраивается" к Расширенному D Логическим томом, хотя в настройках восстановления Акрониса нужное указываю явно и недвусмысленно. При всё этом в конце диска лежат 2 скрытых раздела от производителя - Рекавери и Систем (для лечения-диагностики) - их трогать не хочется, ведь работал же и с ними. Вот мучаю - удаляю C и D, снова разворачиваю С из образа и попробую накатить винду обновлением.
Извиняюсь если совсем уж Офтоп, может кто скажет что дельное по ситуации? В смысле не попадались ещё блокеры удаляющие системный раздел (что то я в таланты котов не верю)

DJeir — 07.08.2012 03:00:39

viprus
Я бы удалил все скрытые разделы, создал основной активный С и на него образ.

Waterclo — 07.08.2012 03:13:56

DJeir
Не стоит торопися...

viprus
Слов много, а конкретной информации для размышления нет, см. здесь с начала. Акронисы последних версий создают активный раздел с загрузочным сектором для Кочерги.
Ух, прежде чем грешить на всякие лохеры, надо посмотреть на действия чьих-то кривых ручкек, читаем отсюда и ниже, о hal.dll здесь и 5. Вопрос и внимательно ниже.
Насчёт ради-кала.сру - http://radikal.ru/F/s019.radikal.ru/i621/1206/cc/24b0646ca519.png, прошу глянуть сюда на пункт 9.

DJeir — 07.08.2012 08:42:44

Waterclo
А чего тянуть-то, хуже уже не будет, я 100 раз так делал..:D

Waterclo — 07.08.2012 13:27:27

DJeir
Оно, конечно и так можно, но вдруг эти скрытые разделы с восстановлением ещё кому-то нужны. viprus ведь ничего не сказал, даже о том, какя система установлена.

DJeir — 07.08.2012 16:09:51

Waterclo
Это да. Я один раз на буке асусе скрытый раздел грохнул, который загрузкой  Express Gate рулит, а потом выяснилось, что хозяин им пользуется. Во попарился, пока восстановил..

viprus — 08.08.2012 09:07:22

Прошу прощения за торопливость и благодарю за ссылки. Про bootcfg не знал. Пытался fixboot и fixmbr - не помогло. Изначально бук был с Вислой, старенький. Но ставить на него Семёрку счёл неуместным (параметры слабоватые даже для х86), поэтому сначала поставил ХРюшу. Тут и случился "инцидент". Блокер видимо с MBR начудил, поэтому раздел и не разворачивался из образа. Служебные разделы никогда не удаляю просто делаю их скрытыми и неактивными. При необходимости активируешь и получаешь родную систему. Только 100-метровый сношу, если после Семёрки икспишку ставлю. Разделы создавал не Акронисом, обычно либо средствами винды (установщика), либо Paragon Partition Magic. Акронисом только бекапил готовый диск С из под LivecD, так же и восстановить пытался. В общем всё решилось удачно. Убрал C и D, развернул из образа раздел С, попытался снова обновить систему (через R во втором диалоговом окне) - опять hal. Чувствую надо проще - из Консоли восстановления прогнал ChekDisk - всё загрузилось. Создал новый D и вернул на него всю инфу. Только при загрузке на чёрном фоне пару строчек мелькали. Присмотрелся - ругается на отсутствие boot.ini, положил стандартный от своей системы и всё заработало как надо. Я почему сюда всё пишу. Жалко что не удалось блокер выкусить и выложить сюда, для пользы дела, так сказать. Я обычно их руками убираю, чтобы "форму не терять" и просто люблю понимать, что происходит (AntiSMS держу на крайний случай), вот он и представился а тут такая неудача. :good::drinks:
На счёт Ради-кала - у меня почему то в подписи тег [img] выключен - ничего сделать не могу, (в сообщениях включён) не вставлять же её каждый раз как картинку?

Doberman — 13.08.2012 11:21:27

Для тех у кого не грузятся сборки на на основе WinXP:
Маленькая Win7PE от Xemom1: (полностью русская).
1http://narod.ru/disk/59304191001.2790ea4c1fffb975846d8a7cafe24830/Win7Live(x86).iso.html
(единичку уберите перед: http)
Содержит:
оболочка стандартная (MsExplorer)
AntiSMS 2.5
UVS 3.75
AVZ
Antiwinlocker
TotalCMD
Новая установка: WindowsXP, Windows 7, Windows 8 (WinNTSetup2 - на русском)
Интегрирован "Winvblock" - ( возможность загрузки прямо из .iso)
Восстановление Windows 7

Загрузочный ".wim" ~ 85 Mb.
Простая возможность добавления необходимых программ (включая Acronis).

Core-2 — 13.08.2012 11:38:12

Doberman сообщает:

".wim" ~ 85 Mb.

~ 85 Mb  - это как понять ? boot.wim с WinPE3 , да ещё с оболочкой на основе родного Explorer столько весить не может.

Doberman — 13.08.2012 11:53:15

Core-2
Может! :drinks:

Более того есть (x64) от того же автора - c Explorer (размер wim ~ 120 Mb)

Core-2 — 13.08.2012 12:12:26

Doberman Смысл ли есть в версии PE3x64?  А про вес 85 и 120 не верю. Дайте ссылки в личку.На народ нет выхода уже больше года.

barsuk — 13.08.2012 12:22:09

Core-2
83,1mb
щас на виртуалке грузану его

rghost глючит

Core-2 — 13.08.2012 12:25:47

barsuk
Да мне не файл,а ссылки на источники или изготовителя.Почитать отзывы,возможности и другое.

Doberman — 13.08.2012 12:32:22

Core-2
Я мог бы дать ссылки. Но автор обитает на руборде. Если у Вас есть доступ, то пожалуйста:
http://forum.ru-board.com/topic.cgi?for … start=4840

barsuk — 13.08.2012 12:35:58

Doberman
четко!  смотрите на потребляемое ОЗУ   = 53% (512 всего)
грузил с флэшки на свой пк
http://imgs.su/tmp/2012-08-13/1344850489-573.jpg
19 секунд ВИМ загрузка + 59 = норм))):good:

Doberman — 13.08.2012 12:39:21

barsuk
Я  подтверждаю! Грузится быстро.

Core-2 — 13.08.2012 12:44:50

Doberman На руборде то-же самое. Народ яндекс и ни отзывов ,ни обсуждений. Ладно,как-нибудь найду и этот файл.Принцип понятен - подгрузка софта со стороны , но вот 85 Мб смущает. В 120 ещё верится с трудом.

barsuk — 13.08.2012 12:47:26

Core-2
на моем скрине видно 83мб (поправде 83,1)
насчет 64бита согласен - неактуально

Вы скажите куда залить я залью)) в личку киньте любой файлообменик
----------------
залил для Core-2 и может еще кого
http://dump.ru/file/5823285

Doberman — 13.08.2012 13:33:53

Core-2
Честно говоря, я сам не поверил, но факт.:unknown:

Core-2 — 14.08.2012 11:37:45

barsuk,Doberman . Отличный Live . Автор постарался на славу . Прекрасный носитель для  AntiSMS и не только.

Herz — 15.08.2012 09:29:56

Core-2 сообщает:

barsuk,Doberman . Отличный Live

Вот только детская болезнь - 8 с 10 HDD не видит.

Doberman — 15.08.2012 10:59:05

Herz
Возможно. Дело в том что там использованы стандартные драйвера "Mass Storage" для WinPE-3.0.
Но я думаю что нибудь придумают. Вот что пишут:

Набрёл у китайчегов ещё одну интересную вещичку для Grub4Dos. Как я понял, с помощью скрипта и chkpci можно подключать на раннем этапе загрузки нужный драйвер (там, где это делается вручную по F6) SATA/SCSI/RAID для чипсета. Насколько я разобрался, образы дискеток с драйверами находятся в корне носителя, папка SRS, скрипт с помощью chkpci определяет нужный драйвер и монтирует его образ как флопик (названия образов с дровами соответствуют VID контроллера), после чего производится загрузка самой ОС (а она уже автоматом подхватывает этот драйвер).

:good:

barsuk — 15.08.2012 11:27:52

Doberman
пока недоработано! он большинство дров вырезал, но cd-область на флэшки у меня не видит (у него видит) с которой гружу лайв. так что сыровато пока что

Kipovec — 18.08.2012 21:05:51

Принимайте, только что "снял" :oops: ну ручками :crazy: "привык" я к подобному, и опять же - для народа полезней :)
Вирустотал https://www.virustotal.com/file/69ecb4a … 345310349/
Тельце http://rghost.ru/39861282 111

Herz — 18.08.2012 23:58:35

Kipovec - ребут это так сложно ? он даже в автостарт не пишет себя :)

Kipovec — 19.08.2012 05:28:20

Herz
:cool: А он этим и не занимается, ;) это лишь тельце. То что, "размещает" его в профиле пользователя, прописывает его в автозапуск - самоудаляется (скорее всего). А вот что "крепило" его к "csrcc.exe" я так и не нашел (да и собственно не искал особо - лениво :drinks: было, "чистанул" систему по стандарту ("лишнее" файло на время заражение + чистка реестра).

-vitya- — 20.08.2012 22:07:14

Doberman сообщает:

Для тех у кого не грузятся сборки на на основе WinXP:
Маленькая Win7PE от Xemom1: (полностью русская).
1http://narod.ru/disk/59304191001.2790ea4c1fffb975846d8a7cafe24830/Win7Live(x86).iso.html

а можно ссылку для х64 версии?
с narod.ru качать могу.

A_B — 21.08.2012 07:25:15

g0dl1ke сообщает:

total commander можно добавить в antisms.iso?

Извиняюсь, что поздно заметил пост. Я пользуюсь 6-й версией (где правой мышкой еще можно было выделять любое кол-во файлов), когда он еще назывался WinCmd, но без установки а как самоиграйку. Т.е. с установленной программы копируется содержимое из програмной папки. Но дело в другом, в среде WinPE командер полноценно (с обзором и работой с системными файлами) работать не сможет из-за проблем с инищным файлом в этой среде - невозможно настроить дисплей на показ скрытых файлов.

weldance — 21.08.2012 16:30:49

A_B сообщает:

Я пользуюсь 6-й версией (где правой мышкой еще можно было выделять любое кол-во файлов)

это можно сделать в любой версии

g0dl1ke сообщает:

total commander можно добавить в antisms.iso?

A_B сообщает:

в среде WinPE командер полноценно (с обзором и работой с системными файлами) работать не сможет из-за проблем с инищным файлом в этой среде - невозможно настроить дисплей на показ скрытых файлов.

всё это можно сделать. если интересно как, пишите - отвечу
у меня в antisms.iso есть total и всё прекрасно работает

g0dl1ke — 21.08.2012 17:39:06

в принципе не обязательно иметь тотал внутри iso, ибо я стартую образ с флешки, а уже с последней запускаю весь необходимый софт

weldance — 21.08.2012 17:46:33

g0dl1ke
как вариант, но иногда проще самое необходимое "засунуть" в iso... ИМХО

Voha56 — 22.08.2012 09:15:05

Может кто может ссылку кинуть на Anti SMS первой версии. Очень нужно. Вин РЕ ну очень маленький. Удалил нечаянно. Буду благодарен.

art9 — 22.08.2012 12:32:26

Voha56 если удалить из образа базу чистых и архив системных файлов, то получите нужный размер. И это будет лучше , чем первая версия, т.к. автозапуск обрабатывается гораздо продвинутей.

maxval — 24.08.2012 18:34:12

Подскажите пжста номер паги в этом посте, где подробно  написано, как записать флешку AntiSMS с помощью AntiSMS USB Installer 2.1. Опыта в изготовлении загрузочных флешек нет:(  Включаю AntiSMS USB Installer 2.1, и сразу возникают вопросы: надо ли форматировать флеху, если тока что форматнул ее в FAT32; и какую радиокнопку из 2-х выбрать - Grub4Doc или SysLinux? а далее опять чтонить незнаемое попадется:unknown:

MBTY — 25.08.2012 01:17:03

maxval
Форматировать флешку НЕОБХОДИМО
Радиокнопку выбирай любой. У на одних компах стартует один, на других другой. Потому их два. Пока не попробуешь - не узнаешь

Gazeman — 26.08.2012 06:51:07

Waterclo
ну тут думаю талант нужен что бы грести заразу на комп и таких людей немало

simplix — 26.08.2012 23:48:00

Сделан тестовый загрузочный диск, изменений всего два - обновлена база хэшей (657794 хэшей в базе [15.08.2012]) и добавлен универсальный ATA-драйвер с тестовой поддержкой режима AHCI (возможно будет определяться больше контроллеров). Отдельный образ AntiSMS+.iso сделан как тестовый, так как потенциально может не загрузиться там, где будет работать обычный.

Voha56 — 27.08.2012 06:06:32

art9 сообщает:

Voha56 если удалить из образа базу чистых и архив системных файлов, то получите нужный размер. И это будет лучше , чем первая версия, т.к. автозапуск обрабатывается гораздо продвинутей.

Спасибо art9 за ответ. Сайт твой мне понравился, особенно статья про неактивную виндовс (очень актуально).

P.S. ВинPE получился 26 mb.

Teapot — 01.09.2012 06:04:29

Нда) удивительно толковая штучка. Даже на запросы чайников откликается без кипячения:rolleyes:

af_pro — 01.09.2012 23:58:18

На подопечной машинке , бодрым пользователям удалось изувечить систему до появления синих экранов при загрузке. Разбираться было некогда, но на  всякий случай запустил утилиту из под  РЕ. В результате работоспособность системы восстановилась. Вот такой побочный эффект.

Savage-i — 03.09.2012 06:57:21

Кто сможет подсказать. Хочется добавить в образ отдельно новые файлы от AntiWinLockerа. Каким чудом это впихнуть в образ, куда именно, и там создать ярлыки для запуска (Распаковать и запаковать ISO не проблема)

weldance — 03.09.2012 08:09:34

Savage-i
тебе сюда, а именно WinPE ModelRam (Настраивает систему WinPE в составе диска)

art9 — 03.09.2012 08:13:04

Savage-i
В образе AntiWinLockerа есть АнтиСМС.

Vitokhv — 03.09.2012 09:16:55

Как то так
Надеюсь видео стало более содержательным

Savage-i — 04.09.2012 07:39:51

weldance
А как бы попроще нет варианта?
art9
Не нравится мне образ AntiWinLockera, поэтому хотел в этот добавить...

Vitokhv — 04.09.2012 16:21:45

Будь образ в этом девайсе, фирма ZALMAN не знала бы куда девать % продаж :)
Жаль, что это только внешний бокс.. кстати на CD дисках образ сможет появиться в продаже?

weldance — 04.09.2012 18:03:07

Savage-i
проще я лично не знаю, но сам настроил winpe за минут 30

Rawtang — 05.09.2012 21:28:16

Уважаемый Simplix. Подскажите пожалуйста, а будет ли в дальнейшем поддержка AntiSMS. Выход новых версий, пополнение баз и т.д.
Очень частенько выручает в борьбе со зловредами.
Заранее спасибо.

simplix — 06.09.2012 00:12:43

Rawtang
А что у вас не работает? Базы программа не использует, поэтому и обновлять их не нужно. Новые версии будут тогда, когда текущая перестанет лечить компьютер от блокировщиков.

Rawtang — 06.09.2012 00:29:34

Я просто уточнял, не закинете Вы проект.

vladshishkin_Forever — 06.09.2012 20:50:51

Savage-i сообщает:

Кто сможет подсказать. Хочется добавить в образ отдельно новые файлы от AntiWinLockerа. Каким чудом это впихнуть в образ, куда именно, и там создать ярлыки для запуска (Распаковать и запаковать ISO не проблема)

Скачай лучше какую нибудь сборку. Не пашет Antiwinlocker 4.04 на образе simplix.
Проверено!!!

awl — 07.09.2012 14:28:55

Я изначально AntiWinLockerLiveCD 4.0.x писал по WinPE 3.0 да и по задумке AntiWinLockerLiveCD 4.0.x должна работать с флехи... можно даже в качестве образа использовать установочный диск с Win7 32 бита и запускать прогу с флешки. Да и цель поставлена у AntiWinLockerLiveCD 4.0.x скорее для исследования системы и возможности сохранения виря на флехе...

Gans1000 — 08.09.2012 13:40:53

Господа из Лондона, Кремля и Вашингтона!
Прошу прощения за тупизм.
Но я не совсем понял строку;
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.

Это значит что в БИОСе надо сменить приоритет на загрузку CD/DVD

Или как ?

barsuk — 08.09.2012 13:48:28

Gans1000, да
нужно сменить на то с чего грузитесь (например cd-привод) или выбрать через BootMenu

Gans1000 — 08.09.2012 14:01:50

Все!
Разобрался.
Просто утилита  2.4 не запускалась, нарезал на диск версию 2.5 и ВУАЛЯ!!!
Все пошло!

barsuk — 09.09.2012 16:40:00

смотрю популярность растёт ;) (непожалели размер и засунули вместе с базой файлов, и ориг. файлами)
http://i41.fastpic.ru/thumb/2012/0909/32/f984d2672f20f84f7d04a9e00c256b32.jpeg

nsf — 09.09.2012 20:13:22

Спасибо, просто отменная вещь. "Mini hp" без дисковода, затроянился смс вымогаловкой, а тут всё в одном флаконе, и образ, и прога для записи на флэшь, сказка.

tokkz — 14.09.2012 08:58:44

как выразить благодарность ?
куда денежку выслать ?

MBTY — 14.09.2012 09:19:25

tokkz
simplix раньше писал где-то на форуме свой bitcoin кошелек и описывал простой способ пересылания денежки туды, но потом стер этот пост (или я найти не могу)

art9 — 14.09.2012 09:40:08

Симпликсу следует указывать способы отблагодарить в самой программе. Лучше несколько вариантов , в том числе яндекс кошелёк.

Savage-i — 14.09.2012 10:33:01

tokkz, напиши в личку simplix и он ответит как и что...

steroidy — 14.09.2012 11:54:22

Спасибо за прогу сегодня очень помогла.!:good:

forrum — 15.09.2012 10:52:46

Спасибо!Убил 2часа на скан livcd drWeb и каспер но не помогло -ваша утилита 10 минут и готово!

k000 — 20.09.2012 15:35:07

прошу подсказать!
записал диск, запустился с него, запустил на раб столе AntiSMS, появ надпись "Делаю всё хорошо, подождите...", через пару минут появ надпись
"Теперь всё хорошо!", но после перезапуска ПК7 баннер появ снова. Почему не работает?

happywanderer — 20.09.2012 16:05:54

k000 что, даже сразу после перезагрузки в систему войти не можете?

weldance — 20.09.2012 16:07:05

k000
начнем с того - какая ОС у тя стоит? PC или бук? короче нужна подробная инфа

art9 — 20.09.2012 17:57:43

k000
Также сделайте снимок полного автозапуска с помощью программы universal virus sniffer до излечения компьютера. Это позволит разобраться в вашей ситуации и также получите скрипт лечения.

k000 — 21.09.2012 02:14:39

спасибо happywanderer, weldance, art9!
после чистки дрВебКуреитом, запуска программ AntiSMS, uVS 3.75 всё работает, кроме интернет - не удаётся обновить IP-адрес, ноэто уже,видимо,завтра,надо рыть настройки модема...Ура! Всё заработало!!! Ещё раз всем спасибо и создателям антибаннерных программ

s_host — 30.09.2012 15:25:07

Уважаемый simplix. Не возникало у Вас идеи сделать AntiSMS на подобие AntiWinLocker? Я имею ввиду не загрузочный диск, а прогу-инсталер. Простите, если такой вопрос уже задавали в теме.

weldance — 30.09.2012 15:51:34

s_host
а с какой целью?

s_host — 30.09.2012 16:25:10

weldance
С целью предотвращения заражения системы локером.

weldance — 30.09.2012 16:48:59

s_host
у меня была такая мысль, но её надо осуществлять на уровне контроля за реестром, т.к. все баннеры прописываются там. единственное что могу предложить и что реально работает - это прописывание antisms в доп загрузчик windows (я писал об этом ранее)

Sergikaz — 30.09.2012 19:20:30

s_host
weldance

"AntiSMS - программа для быстрого автоматического лечения блокировщиков и троянов". С задачей очистки системы справляется отлично. :good:
Программа, которую устанавливают в систему "С целью предотвращения заражения системы локером", называется антивирус. Для организации большей безопасности вашей системы советую почитать  тему на этом форуме Максимально эффективная защита от вирусов

weldance — 30.09.2012 20:40:41

Sergikaz
согласен, но не все антивирусы, почему-то, "видят" даже самые простые локеры. а по поводу настройки системы согласен на 100%

art9 — 01.10.2012 01:27:25

Для предотвращения заражения, кроме антивируса, есть ещё  разграничение прав.

CaveMan — 02.10.2012 21:57:46

Спасибо за программу. Выручала знакомых не раз. ))
art9, можно описание как разграничить права. Хотелось описание по-крестьянски (доходчиво))) Ну не спец я.
Спасибо.
P.S. Waterclo, art9 спасибо, буду читать, разбираться )

Waterclo — 02.10.2012 23:17:46

CaveMan
http://forum.simplix.ks.ua/viewtopic.php?pid=4551#p4551
Сначала надо задать пароль для учётной записи Администратора, а потом: :shock::crazy::lol:
Несколько пользователей на одном ПК, подробности.
Политики ограниченного использования программ.

art9 — 03.10.2012 00:29:03

CaveMan
Текста по этому вопросу в сети много. Если кратко, то в Панели управления юзайте Учетные записи. Должна быть учетная запись с правами админа - ее использовать только для решения глобальных проблем (настройка системы, установка программ и игр и т.п.). Ее нужно запаролить.
Далее создайте учетную запись с правами пользователя - под ней сидите в инете, работайте, играйте, смотрите фильмы. Если вдруг какая-то программа захотела прав админа - очень внимательно отнеситесь к этому, если вдруг это вирус и вы дадите ей такие права, то крах всему разграничению прав.
Если за компьютером работает несколько человек, то желательно каждому создать свою учетную запись с правами пользователя.
А пароль от админа никому не говорить.

halflife2 — 07.10.2012 10:34:05

Всем привет.
Simplix твоя программа не отработала на этом вирусе. Аккуратно выкладываю вирус http://narod.ru/disk/62120399001.a207a4 … o.rar.html
Прописывается сюда c:\Documents and Settings\USER\Local Settings\Application Data\Opera\Opera\temporary_downloads\xxx_video.exe
Лечил Dr.Web 7 Portable Scanner by HA3APET v1 в безопасном режиме через коммандную строку. В безопасном режиме также порно баннер выскакивал.
----------------------------------------------------

И еще вопрос. Не могли бы вы добавить в вашу программу очистку cache в IE, Opera, Mozilla, Google. У моих клиентов по-разному сидят вирусы, но основном там. 
И вопрос про webalta и apeha можно их тоже лечить ?
-----------------------------------------------------
Прога супер. Сам себя вылечил, вчера вирус поймал, сам выскочил. :drinks:

art9 — 07.10.2012 15:27:19

halflife2
Проверил на XP - баннер был успешно удален (отключен из автозапуска).

Вирус запускал из папки, которую AntiSMS не очищает автоматически,  так что зловред был именно отключен в реестре, а не удален файл.
Троян использует ключи:
HKEY_USERS\S-1-5-21-299502267-2111687655-1957994488-500\Software\Microsoft\Windows\CurrentVersion\Run\system
HKEY_USERS\S-1-5-21-299502267-2111687655-1957994488-500\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Их АнтиСМС обрабатывает.
Также запускал этот троян именно из папки, указанной вами - тоже был успешно удален.

Viksen — 07.10.2012 17:11:34

нестандартный MBR
http://rghost.ru/40794646

так AntiSMS восстановила MBR или же нет?

dka — 08.10.2012 16:52:55

нестандартный MBR
http://narod.ru/disk/62191918001.8b2768 … 1.bin.html

Vitokhv — 11.10.2012 06:24:57

Баннеры стали чаще использовать ветку реестра:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

В активной системе она выглядит так:
HKEY_USERS\S-1-5-21-117609710-484763869-842925246-1003\Software\Microsoft\Windows\CurrentVersion\Run   virus.exe
Где S-1-5-21 идентификатор безопасности группы администратора.

Может кто знает как уточнить путь к идентификатору админа?
HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Run\* - затрагивает лишние разделы..
HKEY_USERS\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Run\* - не работает..

weldance — 12.10.2012 14:39:11

Vitokhv
может только я не понял ваш вопрос, но попросил бы уточнений.
antisms видит и удаляет из автозагрузки "лишнее", прописанное в RUN'ах.

Vitokhv — 13.10.2012 02:46:06

Имею ввиду активную систему, и защиту через Hips еще до заражения Run

art9 — 14.10.2012 23:32:38

vladshishkin_Forever
Сейчас провел эксперимент на комп-ре с XP: автозапуск был отключен полностью. После обработки системы утилитой AntiSMS появился автозапуск только с CD-рома (по мнению программы AVZ, но автозапуск с CD по факту не работал).
Итого: критический автозапуск (флэшки, hdd) был полностью отключен. AVZ сообщила, что включен автозапуск с CD, но при щелчке по иконке в Моем компьютере автозапуск не происходил. Так что все нормально.
А то что работает автозапуск с CD при работе с LiveCD, то это никак не сказывается на работе установленной системы.

simplix — 15.10.2012 17:17:32

vladshishkin_Forever
Ваши сообщения убраны из-за неверной информации, которая может дезориентировать пользователей. На самом деле автозапуск отключается для всех устройств кроме CD-ROM, так как трояны не записываются в автозапуск дисков. В шапке темы дословно написано: "Автозапуск на всех устройствах кроме дисковода будет отключен". Некорректные сравнения тоже прошу оставить при себе, здесь культурное место.

simplix — 16.10.2012 21:20:38

Новая версия AntiSMS 2.6, изменения в шапке темы.

vladshishkin_Forever — 17.10.2012 08:05:13

Благодарю за новую версию
PS. Автозапуск с CD на LiveCD-выключите, пожалуйста
НУ не нужен он там!

Павел — 20.10.2012 12:51:00

Симпликс, переделайте вашу последнюю версию или с заменой файлового менеджера на БЕСплатную версию, или зарегьте Тотал Коммандер. Спасибо.

art9 — 20.10.2012 13:13:41

Павел
регить Тотал - это денег стоит. Лично мне не сложно нажать одну цифру из трех предложенных.

CaveMan — 20.10.2012 14:22:22

Вопрос возник. Сильно не пинайте )) если что-то не понял ))
Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.
НА этом моменте решил остановиться, до выяснения ))) Вопрос ))) кто виноват и что делать ))
P.S. art9, DJeir СПАСИБО!! Буду пробовать на выходные.

Павел — 20.10.2012 14:30:33

art9 сообщает:

Павел
регить Тотал - это денег стоит. Лично мне не сложно нажать одну цифру из трех предложенных.

НЕ хорошо тогда получается, так сказать недоделано. Можно вшить FREE COMMANDER или очень неплохой VIEWFD:good:

CaveMan — 20.10.2012 14:40:20

Павел А что мешает самому ключ для Тотала вшить?

art9 — 20.10.2012 14:41:54

CaveMan
1) 2.5 - это не новая версия, скачайте актуальную.
2) Может образ записался криво (переделать).
3) Может болванка плоха - попробуйте другую.
4) Используйте другой LiveCD Вот тут актуальная AntiSMS на сегодня со всеми файлами: http://rghost.ru/41046679 - разархивируйте его (архив) на флэшку. Загрузитесь с этого livecd, затем вставьте флэшку с AntiSMS  и запустите ее.

Павел — 20.10.2012 15:31:35

CaveMan сообщает:

Павел А что мешает самому ключ для Тотала вшить?

Не умею пользоваться WAIK как ни пытался ничего не выходит. Умею делать только сборки из готовых ISO через загрузчик GRUB4DOS. Ну и сшивать WIM-образы, но опять-же не через WAIK. Яб с удовольствием вшил.

DJeir — 20.10.2012 16:00:17

CaveMan
Проверь в биосе режим винта. Если стоит AHCI, переключи в IDE. После лечения перед загрузкой винды - обратно.

vladshishkin_Forever — 20.10.2012 17:29:21

CaveMan сообщает:

Вопрос возник. Сильно не пинайте )) если что-то не понял ))
Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.
НА этом моменте решил остановиться, до выяснения ))) Вопрос ))) кто виноват и что делать ))
P.S. art9, DJeir СПАСИБО!! Буду пробовать на выходные.

У меня была та же проблема на HP Pavilian DV7

Herz — 20.10.2012 19:13:56

vladshishkin_Forever сообщает:

CaveMan сообщает:

Ребенок у знакомого словил блокировщика (ноутбук HP Pavilion DV6, Win7 Home Premium x64),
скачал версию 2.5, закатал на CD, загрузился, BSOD ошибка 7E выскочила.

У меня была та же проблема на HP Pavilian DV7

Переключить опознание HDD в режим IDE - сборка не видит жесткого.

CaveMan — 20.10.2012 19:17:25

Переключить опознание HDD в режим IDE - сборка не видит жесткого.

Так понимаю, что бы сборка видела жесткий, нужны драйвера?

Sergikaz — 20.10.2012 21:13:09

К сожалению, уважаемый simplix не в силах запихнуть в WinPE драйвера всех SATA контроллеров. К тому же, новые версии этих контроллеров выпускаются постоянно. Поэтому, хороший вариант - это иметь при себе Live CD на основе Windows 7, но в некоторых случаях можно обойтись средствами самой системы Windows 7.  Расскажу личный случай. Получилось так, что LiveCD Win7 при себе не оказалось. Ноут лечить надо. WinPE от simplix не грузится. На ноуте установлена заблокированная Windows 7. Через F8 выхожу на "дополнительные варианты загрузки" выбираю самую верхнюю строку "устранение неполадок компьютера". Обращаю внимание, что это не "безопасный режим", будет загружаться своеобразная WinPE. Эта же оболочка загружается в самом начале при установки Windows 7, если грузиться с CD или с флешки. Короче, в этой оболочке я добрался до выбора какое средство восстановления запустить  и запустил "командную строку". Вылезло консольное окно, я набрал notepad нажал Enter. Запустился "блокнот". Далее в блокноте "файл-открыть", в разделе какие файлы открывать выбрал "все файлы" пошёл "искать" нужный файл по разделам, по папка. В моём случае, я перешёл на свою флешку,  в папку портабельного Total Commander и правым кликом по Totalcmd.exe выбрал "запуск от имени администратора". Запустился Total Commander, а там уже всё как обычно при лечении. Запустил утилиту AntiSMS. Не помню точно, что-то чего-то не хватало, окошко утилиты "делаю всё хорошо" так и не показалось, но по шуршанию винта было ясно, что чистка идёт. В итоге вылезло окошко утилиты "теперь всё хорошо". Утилита своё дело сделала, блокер был снят.
Я согласен, что это получился несколько "извращённый" способ лечения, но выбирать не из чего было, а делать что-то надо было.

DJeir — 21.10.2012 04:24:51

Хоть и редко, но попадаются буки, в которых совсем нет IDE-режима контролера винчестера (кстати, по-моему как раз некоторые HP). Тогда только WinPE на основе Win7 поможет. Но это очень редко.

Павел — 22.10.2012 17:27:59

Симпликс здравствуйте. Я понимаю что тут такое не обсуждается, но не подскажите как через Waik вшить файл с ключом для Тотал Коммандера (файл имеется от этой версии).

Sergikaz — 22.10.2012 17:45:31

На днях, когда я здесь описал как я запускал утилиту через оболочку восстановления Windows RE, мне пришла в голову мысля: а не вшить в эту оболочку утилиту AntiSMS? Вшить не на компьютер, а в инсталл-флешку Windows 7. После изучения данного вопроса и обработки файла-образа boot.wim на установочной флешке получил желаемый результат:
Скрытый текст (раскрыть): http://image.kz/img/cc/cc2839d7da3826608bf17b1aa1293254.jpg

Но скорее всего я запихаю туда Total Commander. Так проще будет обновлять AntiSMS.

vladshishkin_Forever — 22.10.2012 18:25:43

Павел сообщает:

Не подскажите как через Waik вшить файл с ключом для Тотал Коммандера (файл имеется от этой версии).

Нужна программа UltraISO + CAB Tools  и ковыряй себе образ на здоровье.
А еще Winconfig для дефрагментации образа.

Павел — 22.10.2012 19:00:06

Ultra ISO и CAB Tool тут не нужены. Тут нужен WAIК, но как на нём обрабатывать WIM хоть убей не допру.

weldance — 22.10.2012 19:17:10

Павел
дополнял antisms от Simplix через ultra iso. в исошнике есть файл WINPE.IS_ в нем WinPE.iso. вот его и "ковыряйте".
а WAIКом пользовался для создание win7pe, подробнее тут.

Павел — 22.10.2012 20:17:13

weldance сообщает:

Павел
дополнял antisms от Simplix через ultra iso. в исошнике есть файл WINPE.IS_ в нем WinPE.iso. вот его и "ковыряйте".
а WAIКом пользовался для создание win7pe, подробнее тут.

А вот это уже ближе. Просмотрем образы, только если возвращать упаковку - WINPE.IS_ - реально в каком формате он изначально? В смысле каким архиватором пакуется.

weldance — 22.10.2012 20:28:15

Павел
expand и Makecab стандартные команды Windows. Распаковывается так:


Код:

expand -r WINPE.IS_

запаковывается так:


Код:

Makecab WINPE.ISO

вот почитал и еще нашел такой вариант (как я понял его как раз Simplix и использует):


Код:

MakeCab /D Compress=On /D CompressionType=LZX WinPE.iso
Павел — 22.10.2012 21:00:27

weldance сообщает:

Павел
expand и Makecab стандартные команды Windows. Распаковывается так:


Код:

expand -r WINPE.IS_

запаковывается так:


Код:

Makecab WINPE.ISO

вот почитал и еще нашел такой вариант (как я понял его как раз Simplix и использует):


Код:

MakeCab /D Compress=On /D CompressionType=LZX WinPE.iso

Ничего не понял. Вот я переделал ISO образ зарегив Тотал, теперь на разделе C: ллежит WinPE.ISO, так как его упаковать в САВ, тоесть полная команда?

weldance — 22.10.2012 21:09:17

Павел


Код:

MakeCab /D Compress=On /D CompressionType=LZX c:/WinPE.iso

вместо c:/WinPE.iso указываешь путь к измененному iso'шнику
и уже готовый WinPE.is_ "засовываешь" в antisms.iso

Павел — 22.10.2012 21:16:17

weldance сообщает:

Павел


Код:

MakeCab /D Compress=On /D CompressionType=LZX c:/WinPE.iso

вместо c:/WinPE.iso указываешь путь к измененному iso'шнику
и уже готовый WinPE.is_ "засовываешь" в antisms.iso

Спасибо упаковка прошла, а вот куда делось не вижу.

weldance — 22.10.2012 21:19:32

Павел
должно лежать рядом с исходником (WinPE.iso). Я немного не так делаю - через cmd захожу в папку с файлом, например f:/winpe/antisms/WinPE.iso выполняю вышеописанные команды и WinPE.is_ появляется в этой же папке

Павел — 22.10.2012 21:59:01

weldance сообщает:

Павел
должно лежать рядом с исходником (WinPE.iso). Я немного не так делаю - через cmd захожу в папку с файлом, например f:/winpe/antisms/WinPE.iso выполняю вышеописанные команды и WinPE.is_ появляется в этой же папке

В SYSTEM32 попало. Всё сделал и всё получилось, только коммандер пришлось свой встроить. а то урезок хозяина не хотел региться.

CaveMan — 23.10.2012 12:27:07

Всем привет! Вернусь к своей "проблеме" по поводу лечения блокировщика ))))
Антисмс не отработал, выпадала ошибка 7Е. Способ описанный в посту Sergikaz (пост 789),
не прояснил ситуацию с запуском. Все сделал так как и советовали, но при выборе файла (.exe)
Total Commander и FAR не запустились, написав (дословно не запомнил, извините), но смысл был таков...нет повода для запуска таким способом....Помог Касперский LiveCD, после чего бук живет и здравствует. Перевод из AHCI режима в IDE не получился, в виду того что биос на этом буке (HP Pavilion DV6) имел убогий вид )))) так и не нашел что и как перевести ))). Единственный случай когда Антисмс не отработал. До этого 9 компов все очистились на ура )))) Тем не менее, Большое Спасибо simplix за удобный инструмент и всем тем кто помогал советами!!!! )))))

DJeir — 23.10.2012 14:45:39

Тогда WinPe на Win7. В этой теме была ссылка.

Павел — 23.10.2012 16:37:52

CaveMan сообщает:

Всем привет! Вернусь к своей "проблеме" по поводу лечения блокировщика ))))
Антисмс не отработал, выпадала ошибка 7Е. Способ описанный в посту Sergikaz (пост 789),
не прояснил ситуацию с запуском. Все сделал так как и советовали, но при выборе файла (.exe)
Total Commander и FAR не запустились, написав (дословно не запомнил, извините), но смысл был таков...нет повода для запуска таким способом....Помог Касперский LiveCD, после чего бук живет и здравствует. Перевод из AHCI режима в IDE не получился, в виду того что биос на этом буке (HP Pavilion DV6) имел убогий вид )))) так и не нашел что и как перевести ))). Единственный случай когда Антисмс не отработал. До этого 9 компов все очистились на ура )))) Тем не менее, Большое Спасибо simplix за удобный инструмент и всем тем кто помогал советами!!!! )))))

Ну всё на 100% не может работать. У меня тоже бывало что ни АнтиВинЛокер, ни эта прожка не брались за некоторые баннеры, но в основном это блокировщики через МБР с разрушением файловой системы разделов, для чего я собрал сборку из всех нужных для этого инструментов.

nplm777 — 23.10.2012 20:15:31

antiSMS 2,6 пишет: обнаружен нестандартный MBR, высылаю для диагностики Drive2.bin.
http://rghost.ru/41114463.

Аркалык — 25.10.2012 09:50:41

nplm777 Скачал архив - Разархивировал - Файл .bin переименовал на .exe - Запустил - Вышел пустая командная строка (закрылся) - Перезагрузил - Никакого эффекта (мертвый вирус) :unknown:

hal — 25.10.2012 10:25:18

Зачем образ MBR в exe переименовывать-то? :cool: :D
К тому же нестандартный MBR далеко не всегда значит вирусный.

Аркалык — 25.10.2012 10:36:37

Передайте мне тогда вирус MBR_Lock в архиве. Буду очень благодарен :)

glax24 — 26.10.2012 11:39:29

Аркалык сообщает:

MBR_Lock

Зачем он вам нужен?

Аркалык — 26.10.2012 13:42:54

glax24 Для изучения

Павел — 26.10.2012 17:41:47

Аркалык сообщает:

glax24 Для изучения

А здесь можно банеры выкладывать?
Если можно, то вышлю архив с 90 штуками разных баннеров, в том числе и которые разрушают файловую систему разделов и блокировкой МБР.

Sergikaz — 26.10.2012 18:12:41

Ой, чего это я давненько дядьку Waterclo на форуме не видел....
:(

Аркалык — 26.10.2012 18:13:02

Павел Мне передай вируса блокировщик MBR. Буду очень благодарен :)

Павел — 26.10.2012 18:24:48

Аркалык сообщает:

Павел Мне передай вируса блокировщик MBR. Буду очень благодарен :)

А как передать? Тоесть куда грузануть архив?

Аркалык — 26.10.2012 18:28:56

на файлообменник www.rghost.ru или www.zalil.ru ссылку передать мне :)

art9 — 26.10.2012 18:46:43

пожалуйста киньте мне в личку баннер, который портит таблицу разделов, можно и другие. спасибо.

Ок, вижу ссылку выше

Павел — 26.10.2012 21:29:30

art9 сообщает:

пожалуйста киньте мне в личку баннер, который портит таблицу разделов, можно и другие. спасибо.

Ок, вижу ссылку выше

ЕСЛИ С ПЕРВОЙ ССЫЛКИ НЕ СКАЧАЕТ,  ТО ПО НИЖНЕЙ КАЧАЙТЕ.

Rawtang — 26.10.2012 23:25:59

AntiSMS 2.6 нестандартный MBR http://rghost.ru/41178349

weldance — 27.10.2012 16:17:47

Павел
вот это АРХИВ!!! хоть на торрент трекер выкладывай :D

Павел — 27.10.2012 18:44:55

weldance сообщает:

Павел
вот это АРХИВ!!! хоть на торрент трекер выкладывай :D

Не вздумайте. Этож вирусы ))).:shock:

Vitokhv — 28.10.2012 07:28:33

Выкладывайте на virlab.info полезнее будет. Код разблокировки mrbelyash может найти.
В закрытой теме иногда выкладываем, которые удалось извлечь из зараженного ПК.

zevs1121 — 28.10.2012 16:47:16

AntiSMS 2.6 нестандартный MBR  http://rghost.ru/41212148

Jabbb — 29.10.2012 09:57:42

Аркалык сообщает:

nplm777 Скачал архив - Разархивировал - Файл .bin переименовал на .exe - Запустил - Вышел пустая командная строка (закрылся) - Перезагрузил - Никакого эффекта (мертвый вирус) :unknown:

Мммда, батенька... Для исследований, говорите? Образ MBR переимновываем в EXE и пытаемся запустить? Ну удачных вам исследований, уровень знания матчасти виден сразу

weldance — 29.10.2012 16:53:05

Jabbb
++5
Аркалык
вот вам для исследований BOOTICE

Aqel — 31.10.2012 12:00:56

У меня почемуто на одних компах (лечу знакомым ПК от баннеров) работает отлично, а на других пишет типа: не загружен/повреждён образ - перезагрузитесь.
:(

art9 — 31.10.2012 12:18:35

Aqel
с флэшки или диска?

weldance — 31.10.2012 13:16:04

Aqel
ежедневно лечу 3-5 ПК людей от этой гадости (банеров) - использую исключительно winpe от simplix (лечу "руками", редко antisms). загружаюсь в основном с флешки, но иногда, когда ПК не может грузиться с флешки загружаюсь с CD от simplix. проблем с загрузкой winpe не возникало. пару случаев описанных выше с ноутбуком HP (где ущербный биос) у меня были. так что, я думаю, проблема с Вашей стороны: если грузитесь с CD - запишите образ на самой низкой скорости, если с флешки - надо подумать (у меня возникали ошибки только связанные с grubом). в любом случае отпишитесь для дальнейшего опыта)))

subbotinyurga — 02.11.2012 03:45:44

Всем привет!

Тут все скидывают не стандартный мбр, вот  и я пополню карзиночку http://rghost.ru/41290774

Vitokhv — 02.11.2012 05:36:56

weldance
Может выложишь как-нибудь образец, глянем, может что-то новое в автозагрузке пишет.
А то все, что попадаются скучные.. одно и тоже.

weldance — 02.11.2012 08:10:20

Vitokhv
могу вас только расстроить - новых "блокеров" не наблюдал уже как пол года (меняются только картинки), а прописываются все в стандартных ключах реестра. Удивил меня Павел тут, выложив кучу блокировщиков.
единственно новое я описывал тут (связанно было с реестром 64-разрядных систем).

Алекс — 03.11.2012 13:17:17

Уважаемый Simplix, добрый день! :) давно тут не был.. дело в том,что ко мне на почту перестали сообщения приходить с форума. хотя,я подписан на эту тему. :unknown:
я уж думал проект заглох вообще... :( нету известий,не заходил сюда месяца 3 наверно.. а тут оказывается всё кипит и бурлит :good:
Разберитесь пожалуйста,почему рассылка не работает. :unknown:
--------------------------
Добавлено сегодня :
версия 2.6 - у всех долго грузится рабочий стол? или только у меня? :unknown:
проверял на 2-х болванках разных,везде одинаково..  CD хорошие,без царапин и грязи, привод тоже вроде функционирует как надо. Рабочий стол грузится по 3-4 минуты.. точнее -он загружается быстро,но ярлыки через 3-4 минуты появляются.
Хэш-суммы образа :
MD5: 66D1D2ABC19722762BA82E063293B60F
SHA-1: 3531F567CC1755E1672D618B26119FEC81F02BCB

weldance — 04.11.2012 19:38:32

Алекс
у меня такое возникает на некоторых ПК. я думаю смотреть надо в сторону железа (наверняка контроллеры).

Алекс — 05.11.2012 06:22:34

weldance
Спасибо за подсказку! :drinks: Да, дело действительно в контроллерах компа самого,а не в образе программы,и не в программе самой.
Дело в том,что у меня как раз вчера сдох флопи-диск,я его снял, а в биосе не отключил FDС-контроллер. Ну и решил новую версию антисмс попробовать..  очень долго грузится стала она.. специально замерял недавно по таймеру - 2 минуты 10 секунд проходит с момента появления раб.стола до появления ярлыков..  Потом версию 2.4 поставил- та же фигня.. :unknown: Думаю- уж не с компом ли проблемы? раньше всё нормально грузилось..
В общем,если какой-то контроллер включен,а оборудования нету на этот контроллер- то программа начинает думать- куда оно(оборудование) делось то,и долго загружается.. :D
Как-то так.
Потом зашёл в биос,отключил FDС-контроллер,ещё раз запустил версию 2.6 и всё моментально загрузилось сразу. :)

Simplix,может на этот момент внимание обратите и придумаете что-нидь? :drinks:
Ну если вот такие случаи с контроллерами случаются- что бы программка побыстрее чуток думала..  Не один я такой,вот у  weldance тоже случаи бывали.. спасибо ему за наводку ещё раз,а так бы я голову ломал ещё очень долго. :unknown:

weldance — 05.11.2012 08:12:20

Алекс
пжалуста, не зря же мы тут находимся:). а по-поводу флопи-диска тебе спасибо, даже не задумывался об этом. как только найду комп с медленной загрузкой рабочего стола antisms - попробую отключить флоппик.
был у меня другой случай - проблемы с самим hdd. тогда тоже долго загружался рабочий стол antisms. но после скандиска все идеально заработало.

Алекс — 05.11.2012 10:09:42

weldance сообщает:

был у меня другой случай - проблемы с самим hdd.

У меня такие случаи тоже были,но в других лив-сд(Алкид например).. когда загружал лив-сд и он очень долго тупил тоже.. оказывается проблемы с жестаком были- или RAW или ещё что-нидь,в общем лив-сд очень долго считывал инфу с повреждённых дисков.

Ребят,ещё вопрос насчёт флопика. Немного оф-топ,извиняюсь. Короче сходил в магаз,купил новый флопи,установил, лампочка почему-то постоянно горит на нём (так не должно быть) и дискеты не читает.. Такая же беда как и со старым флопи. Думал-может в шлейфе дело,заменил шлейф на флопи с другого компа,не помогло.
Может ли быть проблема в контроллере самом?:unknown: Если да- то его уже никак не починить?

vladshishkin_Forever — 05.11.2012 10:11:25

Долго загружается рабочий стол - попробуй загрузится с флешки...
Там загрузка происходит по другому - через FaraDisk (образ загружается целиком в ОЗУ-RAM диск) И рабочий стол появляется очень быстро. Проверено на множество компов.

Алекс — 05.11.2012 10:13:09

vladshishkin_Forever
Проблема уже решена,читайте мой пост 835.

happywanderer — 05.11.2012 11:14:47

Алекс шлейф попробуй перевернуть - похоже не той стороной воткнул.

Алекс — 05.11.2012 14:03:12

happywanderer
Спасибо,проблема решена! :drinks: действительно - шлейф не той стороной был.
а вообще,у флоппи- шлейфов одинаковые стороны,запутаться очень легко.

Следующее предложение к Simplix.. было бы не плохо чуток приукрасить рабочий стол программы. :)  ну вот к примеру,хотя бы логотип и номер версии на рабочем столе что бы были. Где-нидь в правом углу,как на картинке - Скрытый текст (раскрыть): http://s1.hostingkartinok.com/uploads/images/2012/11/f709614d811271639fa02980bf41be5c.jpeg
Ну и в тоже время,это не просто приукраска,а как бы проверка-ту ли версию используешь,которую хотел записать на диск.. Если не сложно,сделайте пожалуйста. :drinks:

happywanderer — 05.11.2012 15:44:16

Алекс сообщает:

Следующее предложение к Simplix.. было бы не плохо чуток приукрасить рабочий стол программы. :)

... и вернуть, так милую сердцу, старую обоину - тыц :good:, как знак качества.

Павел — 06.11.2012 21:10:42

Алекс сообщает:

happywanderer
Спасибо,проблема решена! :drinks: действительно - шлейф не той стороной был.
а вообще,у флоппи- шлейфов одинаковые стороны,запутаться очень легко.

Следующее предложение к Simplix.. было бы не плохо чуток приукрасить рабочий стол программы. :)  ну вот к примеру,хотя бы логотип и номер версии на рабочем столе что бы были. Где-нидь в правом углу,как на картинке - Скрытый текст (раскрыть): http://s1.hostingkartinok.com/uploads/i … 1be5c.jpeg
Ну и в тоже время,это не просто приукраска,а как бы проверка-ту ли версию используешь,которую хотел записать на диск.. Если не сложно,сделайте пожалуйста. :drinks:

Да нафиг эти украшалки. Лучше бесплатный файловый менеджер. Ну тот-же VIEW FD.

Алекс — 07.11.2012 04:42:38

Украшалки может и не нужны,но хотя бы ярлык с самой антисмс что бы имел номер версии.
а то там просто ярлык Antisms,а номер версии- не понятно какой.. :unknown:
Simplix,сделайте пожалуйста,если не трудно.
Файловый менеджер есть и так. чем он не устраивает,Павел ? Антисмс рассчитана в первую очередь на быстрое лечение от винлоков, тотал коммандер - это уже как дополнительная примочка.

Павел — 09.11.2012 19:27:33

Алекс сообщает:

Украшалки может и не нужны,но хотя бы ярлык с самой антисмс что бы имел номер версии.
а то там просто ярлык Antisms,а номер версии- не понятно какой.. :unknown:
Simplix,сделайте пожалуйста,если не трудно.
Файловый менеджер есть и так. чем он не устраивает,Павел ? Антисмс рассчитана в первую очередь на быстрое лечение от винлоков, тотал коммандер - это уже как дополнительная примочка.

Какой ещё нахрен ярлык с версией, если он будет виден только когда вы запуститесь с диска, ну или вы должны быть ясновидящим чтобы выбрать нужный диск. Для этого нужно или на самом диске, или на бумажке написать версию и вложить в коробочку (логично?), а вот бесплатный файловый менеджер которым можно вручную по желанию выводить (платный некорректен в бесплатной версии инструмента) нужно вместо незарегинного Тотала.

hal — 09.11.2012 20:07:26

Павел
Вы уверены, что WindowsPE сама по себе яляется лицензионно чистым продуктом?:oops:

MBTY — 09.11.2012 20:59:57

Павел сообщает:

Какой ещё нахрен ярлык с версией, если он будет виден только когда вы запуститесь с диска

Какой еще нахрен "запуститесь с диска", если версия прописана в свойствах файла? Вы понимаете ЧТО вы просите? Я вам перефразирую:
"Перерисовывайте каждый раз иконку программы, потому что я не хочу смотреть версию в свойствах файла"

Павел сообщает:

Да нафиг эти украшалки. Лучше бесплатный файловый менеджер. Ну тот-же VIEW FD

С чего вы взяли, что VIEW FD нравится большему числу людей, нежели Totalcmd? Откуда такая уверенность, что так будет ЛУЧШЕ? Мне окромя ТС ничего не нужно. Я ж не прошу Simplix совать ТС в дистрибутив XP или запихнуть мои любимые плагины в TC из WNPE. Нравится что-то другое - переделывайте под себя, а вот навязывать свои вкусы другим - нельзя. (Нужно бы такое либо в правилах прописать, либо в FAQ, чтобы сразу давать ссылку подобным советчикам)

Павел — 09.11.2012 23:10:26

Я не навязываю, а просто предлагаю сделать всё с иголочки. Собственно в этом инструменте файловый менеджер нужен не более чем проводник.

MBTY — 09.11.2012 23:15:56

Павел сообщает:

просто предлагаю сделать всё с иголочки

Зачем?

simplix — 09.11.2012 23:57:34

Павел
На диске применён разумный минимализм. У вас есть полное право сделать сборку по своему вкусу и выкладывать её где угодно.

art9 — 10.11.2012 10:58:54

предложение: при загрузке в рабочей среде сделать примерно такой фэйс:
http://s57.radikal.ru/i156/1211/99/01a5be4d6ad4.png

Алекс — 10.11.2012 11:06:34

art9
Отличное предложение,поддерживаю! :drinks:

Павел — 10.11.2012 13:58:41

simplix сообщает:

Павел
На диске применён разумный минимализм. У вас есть полное право сделать сборку по своему вкусу и выкладывать её где угодно.

Распишите инструкцию как это делается и может сделаю.

MBTY — 10.11.2012 15:08:28

Павел
Какую вам инструкцию? По редактированию ISO образа?! Ее тут постили-перепостили 100 раз, в FAQ есть, вообще это базовые знания для любого, кто хоть как-то  связан с IT сферой (и берется давать тут советы по опитимизации). Но ладно.
Правка иконки AntiSMS
1) Открываете ISO архив
2) Достаете оттуда AntiSMS.exe
3) Любым редактором ресурсов меняете иконку, сохраняете.
4) Запускаете
5) Видите сообщение об ошибке (повреждение целостности программы) :crazy:
6) Понимаете, что нечего чужие труды перерисовывать, типа УЛУЧШИЛ. :crazy:
Замена TC на VIEW FD
1) Открываете ISO архив.
2) Из папки ВООТ достаете файл WINPE.IS_ - это сжатый CAB ISO образ
3) Распаковыаете WINPE.IS_
4) Открываете распакованный WINPE.ISO
5) В папке этого ISO в папке Programs находите TotalCmd и удаляете
6) Суете туды свой VIEWFD и теперь всё это пакуете в обратном порядке.
7) Запускаете пересобраный AntiSMS.ISO и видете, что ярлыка на VIEWFD НЕТ! :crazy:
8) Начинаете штудировать форум в поисках ответа как тут правятся ярлыки, потому что это тоже обсуждалось не раз. :crazy:

P.S. Ваше "Распишите и МОЖЕТ сделаю" читается как одолжение вами нам. Повежливее бы.

Павел — 10.11.2012 17:02:40

Как это делать я знаю (здесь научили), только теперь нужно как удалить с рабочего стола пустой ярлык оставшийся от Тотала и  наоборот поместить от VIEV FD.

MBTY — 10.11.2012 17:53:42

Павел
Об этом тоже писали на форуме. Ищите :unknown:

SiberiaTwin — 10.11.2012 18:32:20

Здравствуйте, не так давно отец подхватил порно информер. Я через командные строки в безопасном режиме вроде подчистил и удалил сам файлик. Комп разблокировался. Но хотелось бы чтоб все наверняка нигде ничего не осталось. подойдет ли эта программа для данной процедуры. если не грузиться с загрузочной флеш.

art9 — 10.11.2012 19:02:25

SiberiaTwin
Прогнать компьютер этой утилитой будет полезно (работает только с livecd). Не факт, что все потенциальные трояны будут отключены, но часть из них точно.
Также я могу подключится к вашему компьютеру и посмотреть что да как. Или можете выложить логи AVZ и UVS. Но делайте это не в этой теме.

SiberiaTwin — 10.11.2012 19:19:05

Спасибо art9 сейчас удаленно на том компьютере запустил eset с обновлеными базами. посмотрю что осталось от вируса

Алекс — 11.11.2012 06:57:27

SiberiaTwin
Eset - выкиньте и забудьте о нём. Ничё хуже Нода и Аваста- ещё не придумали.. :crazy:
Если подозреваете,что вирус остался в системе,то прогоните весь комп через Dr.web cure it, может найдёт чего..
А для постоянной защиты- советую AVG free, бесплатный, но не хуже многих платных.

weldance — 11.11.2012 08:21:48

Алекс
насколько я понимаю тут не обсуждаются антивирусы. но раз на то пошло - говорить какой антивирус лучше тоже самое, что советовать послушать какую-либо группу (на вкус и цвет... как говорится). я лично пользуюсь нодом, на мой взгляд, это один из самых лучших антивирусов. но притензии есть ко всем антивирусам, в том числе и к др. вебу и к авг.

Павел — 11.11.2012 08:49:52

Пользуем несколько семей NOD32 с 2006 года (тогда ещё версия 2.7 была) и никогда проблем небыло ни у кого.
Я скажу проще - если из компа делать помойку, то никакой антивирус не спасёт, поставь хоть золотой.....
Полагаться на антивирус полностью нельзя ибо есть вирусы которые ничем не определяются.  Главный вирус - это прокладка между стулом и монитором ...

Алекс — 11.11.2012 10:36:27

weldance и Павел

Я часто был свидетелем,как Ваш любимый товарищ Нод гробит систему наглухо вообще..
таким образом,что она не загружается даже. Пропускал кучу вирусов,потом якобы пытался вылечить их и удалял при этом кучу важных файлов (иногда -системных файлов).
То же самое могу про Аваст сказать.  Если вам нравится такой подход- ради Бога,пользуйтесь! :) 
Только я на всех компах клиентов удаляю сразу ноды и авасты,если вижу их там, и ставлю АВГ. Жалоб после этого -практически нету,у многих ОС годами работает потом ещё.
Холивар заканчиваем,Господа. :drinks:

korsak — 11.11.2012 10:57:49

Результаты теста антивирусов на лечение активного заражения (октябрь 2012)

И хватит офтопа, действительно.

modular — 11.11.2012 12:32:01

Лечил сегодня ноут Samsung (извините его привезли мне только на полчаса , так что информации минимум) ему года 4 , модель не смотрел.
После лечения утилитой AntiSMS 2.6, при загрузке Win 7 32 bit, синий экран и перезагрузка. Делал восстановление загрузки, результат ноль, хотя она что-то сделала. Помог сброс БИОСа в дефолт, скриншота нет не успел сделать, но БИОС сам я посмотрел, он реально изменился, где прописаны диски с которых грузится они опустились вниз под черту, что написано было не помню, но комп стал нормально грузится.
Пользуюсь Вашей программкой практически с самого начала, проблем не было вообще (огромное Вам спасибо), но вот необычный случай и поэтому решил написать.
Насчет антивирусов, раз уж решил написать, Мозила последней версиии + адблок (у Мозилы он хорош) + майкрософт секьюрети + голова юзера = отличная защита домашнего ПК. И совершенно бесплатно.

simplix — 11.11.2012 14:01:01

modular
Использование утилиты теоретически не может привести к синему экрану, тем более что проблема решилась сбросом BIOS, что указывает на техническую неполадку. В любом случае проблему нужно исследовать - смотреть код ошибки, какой драйвер вызывает сбой и так далее, иначе точное решение не найти.

art9 — 11.11.2012 16:06:15

modular
Не  понятно, что вы лечили винлок или троян, который не блокировал компьютер?
Если это был винлок, то вы не могли знать, что было повреждено при заражении. Т.е. этот синий экран мог вылезти и без лечения утилитой (например, при лечении другим способом).

Но в вашем случае, как было сказано выше, виноваты были настройки Биоса, а не из-за софта.

modular — 13.11.2012 10:26:41

simplix
Еще проблема. При загрузке AntiSMS  с загрузочного диска ( также пробовал загрузку с других Win XP PE) , после того как спросит про загрузку драйверов F6 , начинается пунктирная линия и все зависает. Win 7 PE вообще сразу виснет ничего не показывает. Как можно решить данную проблему? Мать MSI, лет 5.

Алекс — 13.11.2012 10:47:10

modular
в биосе попробуйте режим AHCI на IDE поставить.

Еще вопрос к знатокам.. Сёдня лечил ноут с очередным винлоком.. :) Антисмс 2.6 всё сделала отлично,всё вылечилось. Посмотрел в логах,оказалось что это mbrlock троян был.  Так вот,вопрос- можно ли самостоятельно найти этого трояна? в автозагрузке глянул(до лечения)- не видно было ничё подозрительного.
Где и как таких троянов искать нужно,ребят? :drinks:

simplix — 13.11.2012 11:22:50

Новая версия 3.0:
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.

Алекс — 13.11.2012 11:43:10

simplix
Спасибо,заценю на досуге! :drinks:

Core-2 — 13.11.2012 13:34:06

simplix
СПАСИБО .Вы на высоте !
Я знаю только двух.Халекса и Вас. Спасибо.

Алекс — 13.11.2012 13:55:06

Core-2, ху из Халекс? :unknown:

modular — 13.11.2012 14:00:15

Алекс сообщает:

modular
в биосе попробуйте режим AHCI на IDE поставить.

Компьютеру 6 лет, какой AHCI, сброс БИОСа делал конечно.
Simplix, спасибо за новую версию.

g0dl1ke — 13.11.2012 14:13:44

Алекс
автор live cd/usb

Алекс — 13.11.2012 14:21:24

modular
у вас дело скорее всего в жестаке! никак уже не решить проблему.. меняйте жёсткий диск.
simplix
Только что я проверил новую версию 3.0. Что понравилось- ярлыки стали крупнее немного.. :good:
Что не понравилось:
1)Смена логотипа Антисмс. зачем нужно было его менять? :unknown:старый- более симпатичный.. имхо.
2)Нету ярлыка для тотал-коммандера на раб.столе.
3)Обои до сих пор с вин-хр,хотя уже вин-8 вышла и поддерживается версией этой..
Не мешало бы обновлять иногда обои ;)

Ну это просто личные замечания насчёт оформления,можно сделать покрасивше всё.. :)
Близко к сердцу не принимайте, это просто моё мнение а не критика.

g0dl1ke — 13.11.2012 14:37:31

1) логотип не имеет значения и не влияет на функциональность - считаю "претензию" предвзятой
2) ярлык есть, в панели задач
3) обои, как и логотип, не имеют значения и не влияют на функциональность - за свежими обоями велком на болженос

weldance — 13.11.2012 14:41:52

сам только что проверил версию 3.0. всё стабильно. определил и winXP, и win7, и win8. Нужно еще время для дальнейшего теста на разных ПК.
Алекс, новый логотип, лично мне, больше понравился. это дело автора (может - новая версия новый логотип?).
тотал-коммандер нужен не всем пользователям (думаю более продвинутым) - соответственно если вы продвинутый user - найдёте.
я б обои вообще убрал (как и делал в своих переделках winPE, менял на чисто чёрный цвет), но опять же это дело автора.
simplix хотелось бы уточнить про изменение, а именно

simplix сообщает:

Новая версия 3.0:
Значительно увеличена эффективность.

Алекс — 13.11.2012 14:46:18

g0dl1ke
Я не выражал никаких притензий! тем более- по функциональности.. :good:
Просто замечания насчёт оформления,не более! Можно было к выходу новой версии и обои покрасивше/поновеее сделать ,и логотип менять не нужно было.. Это просто моё мнение.  Тотал-коммандер есть через меню пуск,не спорю,я говорил о том- что ярлык с раб.стола пропал.

g0dl1ke — 13.11.2012 14:56:32

тс есть в пуске и панели задач - этого более чем достаточно, а что до обоев, они вообще не нужны
тем более мне интересно, как смена логотипа влияет на восприятие программы?

modular — 13.11.2012 15:00:53

g0dl1ke сообщает:

Алекс
автор live cd/usb
Simplix, Chip, Clear AS, Core-2

Павел — 13.11.2012 15:29:34

Алекс сообщает:

modular
в биосе попробуйте режим AHCI на IDE поставить.

Еще вопрос к знатокам.. Сёдня лечил ноут с очередным винлоком.. :) Антисмс 2.6 всё сделала отлично,всё вылечилось. Посмотрел в логах,оказалось что это mbrlock троян был.  Так вот,вопрос- можно ли самостоятельно найти этого трояна? в автозагрузке глянул(до лечения)- не видно было ничё подозрительного.
Где и как таких троянов искать нужно,ребят? :drinks:

Автозагрузка тут никаким боком. Как вы видите из названия, это простой блокировщик через MBR. Если троян кладёт тело вируса в систему, то поищите его или в папке TEMP, или в PROGRAM DATA, или пройдитесь сканером например DR WEB CUREIT и если есть тело, то он вам его отловит и покажет где он засел. Если так уж нужны баннеры для испытаний, то пройдитесь по комментариям выше, там я целый архив выкладывал из 90 штук баннеров.

weldance — 13.11.2012 16:11:07

Павел
а почему бы "вредитель" не мог засунуть файл, изменяющий mbr, в автозагрузку?

Алекс — 13.11.2012 16:12:11

Павел
Вот именно- мне интересно где рыть нужно,если это MBRlock? я нашёл его просто в папке "загрузки" на вин-7,уже позже, после этого вопроса. То бишь человек скачал какую-то хрень с инета,она загрузилась в эту папку и потом он запустил её. А куда потом прописывается она,если это MBRlock? прямиком в MBR получается? оттуда можно как-нидь в ручную вытащить его? вот в чём вопрос...  :unknown:

g0dl1ke
Может хватит уже придирок,а? Я просто выразился что мне чуток не нравится оформление и новый лого, и всего лишь!  как на восприятие это влияет?
Ну как бы - гораздо приятнее смотреть на раб.стол,который выглядит красиво :),а не просто чёрный экран(как предлагают некоторые).
На функциональность лив-сд это не влияет естественно,а вот просто эмоциональное восприятие немного другое,если красивые обои и ярлычки все на месте..  :drinks:

weldance — 13.11.2012 16:26:41

Алекс
да "прямиком в MBR"
файл "исполнитель" может быть скомпилирован как угодно...
спасибо за некоторых:)

Павел — 13.11.2012 16:42:06

weldance сообщает:

Павел
а почему бы "вредитель" не мог засунуть файл, изменяющий mbr, в автозагрузку?

Таких никогда не видел. А что ему делать в автозагрузке, этож не простой вид старых баннеров которые работали подменяя стандартный запуск. Да и слышал что после выведения MBR больше не заражается.

Алекс — 13.11.2012 16:48:24

weldance и Павел , так а вручную можно вытащить его из mbr? - я так и не понял? :(

weldance — 13.11.2012 17:07:06

Алекс
кого его?
исполняемый файл меняет mbr на тот который прописан, а вот исполняемый файл - смотря на чем скомпилирован.

Алекс — 13.11.2012 17:19:20

weldance
что такое mbr я знаю. :drinks:я просто не совсем понимаю как трояны типа mbrlock работают.. исполняемый файл просто меняет mbr и всё? при этом можно как-нидь самого этого трояна вручную из mbr вытащить?

Павел — 13.11.2012 17:34:03

Алекс сообщает:

weldance
что такое mbr я знаю. :drinks:я просто не совсем понимаю как трояны типа mbrlock работают.. исполняемый файл просто меняет mbr и всё? при этом можно как-нидь самого этого трояна вручную из mbr вытащить?

Из МБР ничего не вытащишь. Можно только сохранить копию МБР.

Алекс — 13.11.2012 17:37:39

Павел
Понятно,спасибо просветил. :drinks: Ладно,пойду спать. ещё раз спасибо Simplix*у за новую версию, при первой возможности проверю её в боевых условиях:good: ,пока только внешне проверил.

Павел — 13.11.2012 17:39:18

Симпликс здравствуйте. Я всё по поводу НЕзарегинного Тотал Коммандера. Придумал как его убрать для себя. Вообщем взял я образок Winpe.iso от версии 2.5, заменил там файлик Antisms от версии 3.0, упаковал опять как надо в файл Winpe.is_ и его поместил в образ 3.0 версии упаковав через Ultra Iso. Так вот вопрос вот в чём, остались ли новые изменения и функционал, только без Тотал Коммандера? Я так понимаю ничего не изменилось, только не стало Тотал Коммандера. Только не смейтесь.

Core-2 — 14.11.2012 10:12:09

Алекс сообщает:

Core-2, ху из Халекс? :unknown:

Это гений в программировании.Поверьте. xalex - поиск даст результат.

Алекс — 14.11.2012 10:35:48

Core-2
уже нашёл :) Халекс только лив-сд на WinPE-7 делает,насколько я понял?
Ну я как-то привык уже к Алкиду давно..  чем он лучше него? ;)

MBTY — 14.11.2012 11:18:13

Core-2
xaleks же

Лёшка_К — 14.11.2012 12:21:58

Добрый день!
Алекс,

...только лив-сд...

Здесь можно познакомится с частичкой Работ Xalex/а, это W7shear, W7Mount и пр. (поиск работает...), все отзывы о них в темах релизов на мноооооожестве сайтах, форумах, трекерах!
:)

happywanderer — 14.11.2012 20:02:54

А что за 25brehyn.exe в шапке - обычный CureIt или не совсем обычный?

Leon78 — 16.11.2012 07:02:56

подскажите как правильно добавить в menu.lst для загрузки antisms.iso из под GRUB'a

title AntiSMS v3.0
map (device)/Grub/antisms.iso (hd32) 
map --hook
chainloader (hd32)

Правильно ли это?

MBTY — 16.11.2012 07:25:32

Leon78
В шапке есть делалка загрузочной флешки для антисмс на базе груба же...
Скрытый текст (раскрыть):
title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)
файл Direct не выкладываю отдельно (он в делалке присутствует) потому как не положено, без спросу автора, его наработки по запчастям растаскивать

Leon78 — 16.11.2012 08:09:01

MBTY
я почему спрашиваю, потому что создал флешку с simplix, загрузчик GRUB и хотел добавить туда antisms.iso, но вот никак грузится не хотела antisms. Теперь попробую ваш метод загрузки надеюсь получится.

g0dl1ke — 16.11.2012 09:06:23

MBTY
firadisk уже не нужен, начиная c 2.4
Leon78
попробуй так


Код:

title SimplixAntiSMS
map /img/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

при условии, что на флешке есть каталог img, в котором лежит AntiSMS.iso и не забудь сделать дефрагментацию AntiSMS.iso, иначе есть шанс, что система не загрузится

Sana — 16.11.2012 09:20:23

Вот файл для анализа разработчикам https://www.dropbox.com/sh/fa7uly1y8dcix0v/HAzXuKrJFF

Expendable — 16.11.2012 11:05:43

Скачал AntiSMS 3.0, записывал и через AntiSMSusb на флешку, и через УльтраИсо сам образ тоже на флешку - и нифига не загружается, так-же забрасывал на флешку дополнительно файл SysFiles.bin - нифига! Доходит до того что пишет: "No systemdisk. Booting from harddisk. Start booting from USB device..." и все :(  OS Win7 Ultimate x64
В чем может быть проблема??
И еще вопрос есть ли мультизагрузочный образ ХР вместе с AntiSMS, т.е. что бы с биоса можно было бы выбрать и антисмс, и установку винды...
Помогите! пожалуйста!!!

MBTY — 16.11.2012 11:39:53

g0dl1ke
Про то шо начиная с 2.4 Антисмс фиру не требует я как-то пропустил. Это радость!

Leon78 Вот прям ништяк метод.
title AntiSMS
map /GRUB/AntiSMS.iso (0xff) || map --mem /GRUB/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Поясню за вторую строку. Разделитель || значит, что в случае неудачного (невозможности) выполнения действия ДО разделителя будет выполнено дойствие ПОСЛЕ. Тоесть если образ напрямую не замапится из-за фрагментированности образа, то груб молча его загонит в Ram. Только что проверил - работает.

Expendable сообщает:

...есть ли мультизагрузочный образ ХР вместе с AntiSMS, т.е. что бы с биоса можно было бы выбрать и антисмс, и установку винды...

Ну вы как скажете. Я думаю, что весь форум рад был бы, если бы такие диски существовали. Хошь Винду ставь, хочешь антисмс стартуй. Ну может в интернете где и есть, но 100% на этом форуме такого не существует.

hal — 16.11.2012 18:12:35

Expendable сообщает:

И еще вопрос есть ли мультизагрузочный образ ХР вместе с AntiSMS, т.е. что бы с биоса можно было бы выбрать и антисмс, и установку винды...
Помогите! пожалуйста!!!

А зачем? В WinPE, встроенном в сборку Simplix, уже есть AntiSMS :unknown:

Павел — 16.11.2012 18:32:29

hal
Вы не поняли. Он имеет ввиду МУЛЬТИЗАГРУЗОЧНЫЙ ДИСК и это совсем другое. Там много чего и среди этого ANTISMS

MBTY — 16.11.2012 18:35:22

hal
:D Expendable только сегодня зарегился и явно попал сюда, благодаря AntiSMS. Он еще не знает про сборку Simplix.

pdi77 — 16.11.2012 20:01:53

Нестандартный MBR
http://rghost.ru/41613516

s_host — 17.11.2012 21:24:02

До версии 3.0 всё было нормально, а с ней вот такая проблема

http://i48.fastpic.ru/thumb/2012/1117/92/9fc2c7d8457124efd08de7f69411ab92.jpeg

Образ уже несколько раз перекачивал, флешку перезаписывал.

Материнка GigaByte GA-Z77-D3H rev1.0 (RTL) LGA1155 <Z77>2xPCI-E+Dsub+DVI+HDMI+GbLAN SATA RAID ATX 4DDR-III
Флешка ADATA S107 / 8Gb USB 3.0

MBTY — 18.11.2012 21:26:01

s_host
А оперативки сколько в ПК? Насколько я понимаю, эти файлы HASHES.BIN SYSFILES.BIN временно распаковываются в temp диска B, который создается с размером пропорциональным количеству оперативы. Вдруг B маловат и эти файлы не могут полностью распаковаться (места на В мало) и потому выскакивает эта ошибка?

barsuk — 19.11.2012 07:21:18

MBTY
Скрытый текст (раскрыть): Сомневаюсь что он смог найти где-то 256МБ ДДР3 :D.

s_host
Скрытый текст (раскрыть): Откройте тотал, какие буквы видны в нём дисков? Расклад изменился по сравнению со старым Антисмс?
Флэшка одна и таже использовалась?
Пробовали эту сомнительную флэшку на другую поменять? (на юсб 2.0)

simplix — 19.11.2012 11:35:41

Если Fira по какой-то причине не срабатывает (хотя у меня такого никогда не было), можно скопировать файлы из корня диска в корень флешки и запускать AntiSMS прямо оттуда. Сделать это можно тем же Тоталом в WinPE, он открывает iso-файлы.

s_host — 19.11.2012 18:33:27

MBTY
Оперативы 8 гигов.

barsuk
Тоталом никогда не пользовался, так что насчет расклада не знаю. Флешка одна и та же.

PS: сейчас флешку вставил в порт USB 2.0, загрузился и программа отработала отлично. Странно, до сих пор всегда работал с ней через USB 3.0. Ни у кого нет мыслей по этому поводу ?

happywanderer — 19.11.2012 21:33:28

Тоже несколько раз было такое, c USB 2.0 грузился, оперативки, явно 512 было,.. не меньше. Версию не помню, но было летом. Значения не придал, т.к. свою функцию выполняла.

A_B — 23.11.2012 13:37:21

Была необходимость воспользоваться AntiSMS для устранения неприятного изображения на части экрана:( Ограничился 2-й версией, все ОК, Спасибо!
Однако в работе Инета появилась заковырочка при открывании странички с рисунком. Рисунок появляется на долю секунды, исчезает, остается контур изображения с красным крестиком слева вверху и остается совершенно пустая страница. Прошу подсказать, что и гле нужно поправить?:)

art9 — 23.11.2012 16:03:16

A_B
msconfig  потом делали, т.е. восстановили авто запуск обратно?

A_B — 23.11.2012 16:27:34

art9
Там примерно только 1/5 элементов/приложений без автозапуска и среди них нету графических приложений. А на что обратить внимание?
Попробовал кое-что еще убрать с автозапуска, результата не дало. Попробовал все вклюяить Винды вообще не запустились :(

happywanderer — 23.11.2012 19:10:33

A_B а в настройках браузера может стоит "не отображать рисунки или изображения". Или попробуй использовать последнюю версию AntiSMS. Вчера вылечил AntiSMS Кочергу у клиента, шаловливыми руками как-то снёс ассоциацию файлов, и при загрузке системы вылетали окна с ошибками от Adobe Readera, короче всё что пыталась сделать Винда она пыталась сделать это "руками" Reader - автозагрузка, Панель управления, свойства файлов, и т.д и т.п. Я поначалу охренел - такое увидел впервые, но прогон через AntiSMS - всё на своих местах, за 3 минуты, клиент даже денег не заплатил, типа ничего и не сделал.(Так что на будушее - не торопитесь "уходить", а то попадаются и такие "кренделя", от этих 200 рублей я конечно богаче не стану, но всё равно неприятно...)

P.S. A_B, а после антивирусом прогонял ?

happywanderer — 23.11.2012 21:07:26

A_B сообщает:

Заметил, что после использования последних версий Антисмс страдают Вмнды,

Вот с этого места можно по подробнее? Может чего не замечаю, но кому лечил - не жалуются...:unknown:

A_B сообщает:

Проблема когда на странице изображения большого объема. Если на странице картинки имеют "меньший вес", то все нормально.

А какой браузер себя так ведёт? Или все?(если конечно пробовал...) :(
И про последующюю проверку не ответил...

simplix — 23.11.2012 21:12:13

A_B
Не нужно безосновательно обвинять программу в том, чего она не делает. Изображения пропадают только у вас, у остальных такой проблемы нет - делайте выводы.

A_B — 23.11.2012 21:53:12

simplix
Уважаемый Мэтр!
Прошу меня извинить если мои рассуждения невольно задели ваше самолюбие^) Я с Вами полностью соглпсен что вина только в моем компе, перегруженном различными муз., видео и графическими программами, буду искать :)
С уважением,
A_B

simplix — 24.11.2012 00:01:08

A_B
При чём здесь самолюбие? Вы конкретно написали:

A_B сообщает:

Заметил, что после использования последних версий Антисмс страдают Вмнды

Этот вывод неправилен как минимум потому, что проблема наблюдается только у вас, на что я и указал. В программе нет деструктивных действий по отношению к системе, поэтому к указанной вами проблеме она привести никак не может. Последняя версия программы всегда лучше, старыми версиями я вообще не рекомендую пользоваться. Ваше утверждение о том, что последняя версия что-то портит в системе, взято с потолка и является ложным, это может дезориентировать пользователей.

olzaruta — 24.11.2012 20:48:59

Проверьте Вашей программой вот этот локер http://rghost.ru/41785149 ( 2012 )

Павел — 25.11.2012 01:38:15

olzaruta сообщает:

Проверьте Вашей программой вот этот локер http://rghost.ru/41785149 ( 2012 )

НЕ работает ваш баннер. На ХР сразу выдаёт ошибку, а на 7 появляется окошко блокировки с упоминанием об читерстве и потом окно с ошибкой NET Framework и так на обоих семёрках что поставлены:lol:

nail.shamkin — 25.11.2012 07:13:32

загрузочные FLASH изготавливать на интерфейсе USB 2.0
Если изготовить их на интерфейсе USB3.0, то проблемы с загрузкой и работой обеспечены. 
Данный аспект изучен практически, и с помощью великого google  теоретически.
это касается не только AntiSMS, кстати очень даже хорошей ;).
Но и остальных загрузочных типов.
Там для установки  ОСей. Реаниматоров и т.д.

olzaruta — 25.11.2012 13:58:34

Павел
- Во первых это не мой баннер!
- Во вторых он работает только на win7 ( xp нормальные пользователи уже не используют)
- В третьих в окошке ниже с сообщением NET Fr. об недопустимой операции надо было стрелочками на клаве выбрать "Quit" - "Выход" или " Сontinue" - "Продолжить", при нажатии "Продолжить" приложение проигнорирует ошибку и продолжит работу....в итоге попорчен реестр, файлы с расширением .exe не запускаются..и т.д и т.п.
- В четвертых этот вирус выложен тут для проверки AntiSMS , а не для того что бы поржать!
Баннер больше похож на пионерские вирусы-ВРЕДИТЕЛИ нежели на баннер, только имеет картинку вымогания. АНТИСМС не справился.

simplix — 25.11.2012 17:26:43

olzaruta
Этот троян портит одну из многих веток реестра, которая отвечает за запуск exe-файлов. В следующей версии AntiSMS будет добавлено решение и этой проблемы, спасибо за файлик.

Павел — 25.11.2012 20:23:37

simplix
А что за ветка можно узнать?

olzaruta — 26.11.2012 05:53:34

Павел
HKEY_CLASSES_ROOT\.EXE

weldance — 26.11.2012 12:19:19

как писал Алекс

...Рабочий стол грузится по 3-4 минуты.. точнее -он загружается быстро,но ярлыки через 3-4 минуты появляются...

заметил такую же проблему еще на нескольких ПК. И действительно если отключить в биосе Флоп - всё работает на ура (грузится за секунды).

p.s. Павел, olzaruta
еще и ветка HKEY_CLASSES_ROOT\exefile

Павел — 26.11.2012 17:09:24

Такой ветки нету, а вот просто .exe есть естественно.

0 0 — 26.11.2012 17:25:33

Павел
Скрытый текст (раскрыть): http://i47.fastpic.ru/big/2012/1126/ef/fd7aaad208c27746c67063ed6cdb2bef.png

всё есть ;)

Павел — 26.11.2012 17:31:09

Да есть. Только ниже не прокручивал, а искал рядом с .exe

olzaruta — 27.11.2012 12:24:48

Павел
- Вот reg файл для устранения проблемы запуcка файлов .exe http://rghost.ru/41840763 ( для Висты и 7 )
simplix
- MBRLock 17 http://rghost.ru/41840841 ( 2012) экзешник для корректировки  AntiSMS

Алекс — 28.11.2012 16:44:22

Simplix,добрый день! опять на почту перестали приходить оповещения о новых сообщениях.:unknown: проверьте пожалуйста в чём дело.
Weldance, проблема с флопиками осталась в версии 3.0 . сегодня специально проверял.. так что,эта проблема имеет место быть на всех компах, если включен FDС-контроллер, а самого флопи нету.. 
Надеюсь Simplix что-нидь придумает насчёт этого в новых релизах.. что бы Антисмс могла распознавать такие ситуации и загружалась быстрее в таких ситуациях. :)

SergeyZV — 01.12.2012 19:40:06

s_host сообщает:

До версии 3.0 всё было нормально, а с ней вот такая проблема

http://i48.fastpic.ru/thumb/2012/1117/92/9fc2c7d8457124efd08de7f69411ab92.jpeg

Образ уже несколько раз перекачивал, флешку перезаписывал.

Такая же ерунда! Решил эту проблему перепаковкой образа! HASHES.BIN и HASHES.BIN запаковал в WINPE.IS_ !
В общем если у вас нет разъемов USB 3.0, то у вас будет работать и оригинальный образ!
А если хотите что-бы работало и через USB 3.0, то перепаковывайте! (Есть правда ещё один способ - интеграция драйверов USB 3.0, что существенно увеличит размер образа)

weldance — 02.12.2012 10:55:58

SergeyZV, s_host
пользуюсь USB 2.0 - проблема сохраняется. но я её решил по другому - запускаю antisms.exe с флешки из отдельной папки с BINами.

pdi77 — 03.12.2012 11:49:55

Проблему с невозможностью найти файл sysfiles.bin решил принудительным прописыванием firadisk в menu.lst


Код:

title Anti SMS Tool LiveCD 3.0
map --mem (md)0x800+4 (99)
map --mem /FIRADISK.GZ (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/FIRADISK.GZ;\n\0
chainloader (0xff)
Павел — 04.12.2012 15:31:37

А можете скинуть файл Firadisk.gz? Не могу в инете найти.

vladshishkin_Forever — 04.12.2012 20:06:12

Создал обновлялку файлов AntiSMS.
Запускаем файл Update_AntiSMS.exe
После загрузки появится папка AntiSMS(рядом с файлом Update_AntiSMS.exe )
с файлами AntiSMS.exe;  SysFiles.bin;  Hashes.bin (последние версии)
http://zalivalka.ru/24958
http://file.karelia.ru/wv594k/

Для тех кто использует uVS в связке с AntiSMS
(скачивалка-обновлялка)
http://file.karelia.ru/k2rtq9/
http://zalivalka.ru/24955

:good:Будут предложения и идеи пишите, доработаю.:cool:

0 0 — 04.12.2012 20:54:17

Будут предложения и идеи пишите, доработаю.

1. Неплохо бы вкратце обосновывать смысл программы. Тащить файлы AntiSMS.exe;  SysFiles.bin;  Hashes.bin просто так не вижу смысла ибо пользуют сабж как правило из под WinPE ссылка на коий висит в шапке. Тянуть AntiSMS.exe есть смысл, ибо юзают его и в рабочей среде для восстановления сетевых настроек.
2. Было бы шикарно, если бы "обновлялка" смотрела не появился ли новый образ ( http://antisms.simplix.info/AntiSMS.iso ), если да - тянула бы его и в довесок (http://antisms.simplix.info/AntiSMS.exe), иначе говорила бы: "Сорри, мэн, но кина не будет. (с)".
Обосновываю пункт 2: образ с обновленным сабжем весит менее 50 мб. В наше время у подавляющего большинства скорость инета и тарифы позволяют тянуть такие объёмы за смешное время. Обновив образ - экономим время, которое могли б потратить на запихивание файлов AntiSMS.exe;  SysFiles.bin;  Hashes.bin обратно в образ.
з.ы. Опционально можно проверять обнову http://antisms.simplix.info/AntiSMSusb.exe

art9 — 04.12.2012 21:13:40

да, по описанию это получается скачал ка, а не обновлялка.
Вижу такой алгоритм: проверяет наличие трех файлов утилиты, если есть новые, то качает и создает новый исо. Базу  uvs с сайта uvs, а не от сюда.

Waterclo — 05.12.2012 01:03:10

Павел
http://reboot.pro/index.php?showtopic=8804

vladshishkin_Forever — 05.12.2012 11:51:37

Обновление образа AntiSMS на флешке.
Скачиваем Update.exe и помещаем его на флеш, рядом с образом AntiSMS.iso
Программа, при ее запуске, проверяет наличие новой версии и скачивает.
Заменяя старый образ на новый. :D
Можно использовать для загрузки AntiSMS.iso

0 0
Другая версия, скачивает в довесок и AntiSMS.exe
Update.exe

art9 — 05.12.2012 14:52:56

vladshishkin_Forever
вроде еще нужно делать дефрагментацию файла

0 0 — 05.12.2012 15:40:23

vladshishkin_Forever, вот это удобно! Спасибо!

art9, программа качает оригинальный образ, и если он по целевой ссылке изменился, то перекачивает его заново.
Чего тут дефрагментировать то, если всё уже сделал simplix

Павел — 05.12.2012 17:21:32

Waterclo сообщает:

Павел
http://reboot.pro/index.php?showtopic=8804

Скачал, но там только архивы, а я спрашивал про готовый FIRADISK.GZ
Или подскажите как из архива создать .GZ,тобишь во что его упаковать.

vladshishkin_Forever — 05.12.2012 17:31:06

FIRADISK.GZ - это и есть архив:shock:
Держи: http://rghost.ru/42028179

Павел — 05.12.2012 18:38:32

Теперь понял.
Просто у меня есть, только с расширением .ima, я думал это влияет на работу в загрузчике.

maks — 09.12.2012 19:42:01

Загрузочный диск не работает, если на ноутбуке 2 видеокарты (интегрированная и дискретная) = BSOD

av1981 — 14.12.2012 19:46:54

maks сообщает:

Загрузочный диск не работает, если на ноутбуке 2 видеокарты (интегрированная и дискретная) = BSOD

У меня работает (Samsung np300e5z-s03ru). Возможно дело не в видеокарте. Попробуй поставить в BIOS параметры AHCI mode = manual (disabled) и возможно отключить UEFI если есть там. Должно помочь.

Павел — 16.12.2012 16:08:44

Похоже просто картинка у баннера взята с БИОС, а так обманка.
Тоже хочу такой блокировщик :crazy:

art9 — 16.12.2012 17:47:41

0 0
дак нужно тело для проверки.
предполагаю, обычный загрузочный.

g0dl1ke — 16.12.2012 18:48:21

fake естественно, это бояну уже пара лет

MBTY — 17.12.2012 18:41:41

Скорее всего это пересобраный любой загрузчик со вшитой картинкой в него. и syslinux и bcdw и grub и burg и черт его знает что еще способны грузить картинки на экран. Так что либо это переделаный известный загрузчик (картинку можно в него и не вшивать, а тоже разместить на винте), либо это фэйк, который в мэинте за две минуты нарисовать можно.

Waterclo — 17.12.2012 20:14:16

Народ!
Здесь обсуждают AntiSMS, а не фейки. Все "гипотезы" в Болтовню!

Kemper — 29.12.2012 02:37:37

если не затруднит - ответьте на мой ответ )
http://www.stavpr.ru/2012/12/11/microso … /#more-982
с конкретно вот этим зверьком поможет справиться?
юзверь словил а мне под нг к нему ехать не с руки ну никак и бросить не могу
-----------------------------------------
спсб simplix - с наступающим !

simplix — 29.12.2012 03:08:07

Kemper
Поможет.

Алекс — 02.01.2013 06:00:15

Ребята,всех с Новым Годом! :drinks: Здоровья,удачи,любви в новом году! :good:
Core-2,жду Вас в личке, есть вопрос насчёт сборки. :D

simplix — 06.01.2013 16:03:38

Новая версия 3.1:
Обновлена база хэшей.
Исправлены найденные ошибки.
Усовершенствована проверка сертификатов.
Пополнена база известных загрузочных секторов.

Периодически начали попадаться трояны с самоподписанными сертификатами. Теперь AntiSMS будет считать такие файлы нелегальными. Также будут отключаться файлы с неправильной или повреждённой таблицей сертификатов. Функция экспериментальная, если вам попадётся легальный файл, который будет отключен, или нелегальный, который не будет отключен - пришлите его мне для анализа (я проанализировал около 10 тысяч файлов, но этого может оказаться недостаточно для статистики). Добавлено исправление нескольких новых ключей реестра, которые отвечают за запуск исполняемых файлов (раньше для некоторых видов троянов это могло не сработать). На диск добавлена Victoria и бесплатная версия Partition Assistant, обновлён DiskCryptor.

art9 — 06.01.2013 16:14:26

ЗдОрово!
simplix, вопрос насчет восстановление настроек сети, восстанавливается ли настройки dns?

s-ufo — 06.01.2013 16:21:40

AntiSMS не увидела винчестер в ноутбуке  HP Pavilion g series.
Загрузился через AntiWinLocker и уже оттуда запустил antisms.exe.

Троян как в посте №956

simplix — 06.01.2013 17:58:17

art9
Восстанавливаются.

s-ufo
Напишите точную модель ноутбука, чтобы можно было найти драйвера к его контроллеру на сайте производителя. Не всегда XP может опознать современные контроллеры, здесь у Win7 больше шансов. Возможно в будущем сделаю конструктор для создания сборки AntiSMS на базе Win8, но весить он будет немерено, и о запуске на старых компьютерах можно забыть.

Алекс — 06.01.2013 19:00:00

s-ufo
HP -это геморройные ноуты , знаю по собственному опыту.. :crazy:
у них всё не как у людей,как говорится.. :D
simplix
Спасибо за новую версию! :good: можно поподробнее чуток,насчёт сертификатов и легальных/нелегальных файлов.  не совсем понял о чём речь, и как это на простых пользователях скажется? :oops:

fadetoback — 06.01.2013 19:02:00

simplix
Так у меня последняя версия тоже на ноутбуке не запустилась, вылетела в синий экран из-за achi режима. http://www.dell.com/support/drivers/ua/ … 7r-se-7720
Насчёт сборки на базе Win 8 поддерживаю, наверное есть смысл делать 2 сборки под Windows XP и Win 8.

Алекс — 06.01.2013 19:07:23

fadetoback
на ahci -режиме она и не запуститься, насколько я знаю.. нужно в ide-режим в биосе переводить.
Поддерживаю насчёт разных сборок- на основе ХР и ВИН-7. :drinks:
Было бы не плохо в будущем реализовать это. :)

simplix — 06.01.2013 21:35:54

Алекс
Программа будет лучше определять и лечить трояны.

fadetoback
По вашей ссылке лежит драйвер Intel 11.5.0.1207, уже доступна более новая версия 11.7.0.1013, но для WinPE на базе WinXP они не подходят (не смотря на то, что WinXP упоминается в inf-файлах). Для работы нового драйвера требуется Port-драйвер StorPort, который отсутствует в WinXP.

happywanderer — 06.01.2013 21:57:48

или использовать более новые версии WinPE.

если кто нашёл именно "работающую" на ноутах НР, не сочтите за труд - кинте ссылку. :oops:

g0dl1ke — 06.01.2013 23:42:02

конструктор для создания сборки AntiSMS на базе Win8 - отличная мысль
а для старых пк пользователям вполне хватит текущей версии antisms, что на базе xp

Лёшка_К — 06.01.2013 23:46:46

g0dl1ke сообщает:

конструктор для создания сборки AntiSMS на базе Win8 - отличная мысль

:good:

s-ufo — 07.01.2013 07:04:18

Привет всем.
А теперь по порядку.
Загрузился через древний AntiWinLocker и уже оттуда запустил antisms.exe последний.
Ругнулся, что нет какого-то дат-файла но отремонтировал Win7 домашнюю.
Ноутбук  HP Pavilion g7
А вообще программу AntiSMS я рекомендую чаще чем AntiWinLocker, но это мои предпочтения.

Sergikaz — 07.01.2013 07:11:14

Возможно, это не моё дело, но никак не пойму такое "воодушевление" пользователей по поводу обещания simplix сделать конструктор для создания сборки AntiSMS на базе Win8. :unknown: Ведь радуются не простые пользователи, которые только что столкнулись с проблемой блокирующего банера и попавшие сюда для экстренной помощи (им не до радости). Радуются пользователи, которые уже не раз использовали AntiSMS, а теперь у них появится в будущем возможность использовать сборки AntiSMS на базе Win8. Друзья, если вы не попадаете под категорию пользователей ""помогите срочно! у меня выскочил банер и что теперь делать?"", то вы просто обязаны иметь при себе LiveCD, сделанные на базе разных Win. Зачем ждать, пока simplix сделает конструктор? У меня давно уже на флешке с разделом CD-Rom, в сидюке Windows simplix, а на простом разделе флешки LiveCD на базе Win7. На других флешках есть другие LiveCD. К тому же, на установочных флешках Windows 7 я вшил в оболочку восстановления WinRE простой Total Commander. Использовать отдельную папку на флешке с утилитой AntiSMS + нужные файлы намного удобней. Ведь её запросто обновлять и можно подключать в различных ситуациях к различным LiveCD. :good:

s-ufo — 07.01.2013 07:16:10

И в догонку.
Скачал сегодня последнюю сборку AntiWinLocker 407 (livecd407.iso)
она, мне так кажется, на Win8 и в ней встроен AntiSMS.

Спасибо за то, что не конкурируете , а работаете во благо людей.:drinks:

weldance — 07.01.2013 09:17:35

s-ufo
AntiWinLocker 407 собрана на базе win7....
добавлено: начал сомневаться - в одних источниках указан win7 в других win8:unknown:
happywanderer, Sergikaz
имею на флешке 2 winpe - от simplix (antisms) и свою на базе вин7 (с оболочкой тотал вместо стандартного explorer, так весит меньше). плюс, на всякие пожарные, livecd. флешка выручает на 99,99%.
hp лечил через свой винпе на базе вин7.

Core-2 — 07.01.2013 09:23:58

weldance AntiWinLocker 407 собран на базе win8 и win7.

Doberman — 07.01.2013 12:14:43

AntiSms8 - от Xemom1  -  135mb
Оболочка стандартная (Explorer)
AntiSMS 3.1
Есть возможность пользоваться внешними портабельными программами.:crazy:

http://narod.ru/disk/65202031001.df383e … 8.iso.html

Алекс — 07.01.2013 13:11:14

Doberman
Попробовал ваш образ только что..
Грузится канешно раза в 3 медленнее,чем оригинальный Антисмс,да и объём великоват,по сравнению с оригиналом..
но хоть в живую поглядел впервые на урезанную версию вин-8.. и то не плохо :crazy: До этого вин-8 только на видео видел.

Doberman — 07.01.2013 13:36:36

Алекс
На современных (особенно USB3.0) очень быстро.
Я думаю тем у кого современные компьютеры, обьём особо не важен. Главное чтоб загружалась.
Для мультизагрузки флеш:

title AntiSMS8.iso
map /AntiSMS8.iso (0xff) 
map --hook   
chainloader (0xff)

Можно уложится и в 100mb, но как мне ответил автор, оставил необходимые библиотеки для работы с портабельным софтом, включая  акронисы ATIH 13, ADD11.:unknown:

fadetoback — 07.01.2013 14:57:53

О, какой ажиотаж. :)
Программу по ссылке Dobermam скачал. Всё увидела.
Предполагаю, автору закрепить шапку не только на 1-й странице, а на всех. Версию на базе Win8, обозвать AntiSms_win8_1.0, чтобы было видно где какая. ;)
P.S. Всех с праздником Рождество Христово.

Алекс — 07.01.2013 15:12:56

Doberman сообщает:

Алекс
На современных (особенно USB3.0) очень быстро.

я имел ввиду-долго грузится если через сд/двд дисковод.. 
Оригинальная версия грузится в 3 раза быстрее.

0 0 — 07.01.2013 16:13:39

Что даст использование win8pe?
Честно говоря, как мне кажется, разумнее делать упор на то, чтобы флешка грузилась 100% на любом железе. Ибо, даже в наш век высоких технологий, инноваций и модернизации  (а также борьбы с коррупцией - пчёлы против мёда:)), встречаются клиенты с ООООочень старым железом... Также никто не отменял извраты оборудования HP и иже с ним.

fadetoback, вас также с праздниками!
з.ы. Если существует возможность, то шапку (первый пост) было бы лучше закрепить, дабы отображалась на всех страницах.

з.з.ы. Скажите честно, стоит ли использовать сабж на Windows 8. Не покалечит ли он чего. На XP то его точили долго, с семёркой вроде бы всё тоже норм...
И последнее, было бы супер если бы проект AntiDust ожил и развился бы и в версию для Winpe, дабы можно было бы включить его в образ antisms и заодно с работой Antisms давить адвару бы из под winpe! >:)

barsuk — 07.01.2013 16:25:43

0 0, Алекс
У меня теже ощущения что и у Sergikaz.
Зачем simplix`y изобретать велосипед (livecd...), если лучше пустить это время на улучшение AntiDust и AntiSMS?
А насчет загружаемости - используйте разные носители и напихайте различных LiveCD в мультизагрузку, чем больше тем больше вероятности что загрузится.

Чем вариант от Doberman плох? Можно от того же автора и PE на базе семерки и всё в шапку записать!

Алекс — 07.01.2013 16:38:57

barsuk
я не говорил,что вариант от Doberman плох.  Просто заметил что дольше грузится,и размер образа более велик. 
Думаю,что официальная Антисмс на базе вин-7 от simplix всё же нужна..
Не будем торопить маэстро,дамы и господа! Если посчитает нужным и время будет свободное, возможно и появится такая версия в ближайшем будущем. :)

Doberman — 07.01.2013 16:42:38

Алекс
Мне кажется достаточно на базе XP, и на базе Win8. Восьмерка перекрывает все драйвера от 7.

Алекс — 07.01.2013 16:54:17

Doberman
согласен,можно и на базе вин-8. так как вин-8,это по сути идейной продолжение вин-7.. :drinks:

g0dl1ke — 07.01.2013 23:38:06

затестил лайв на базе 8, пока полет нормальный
не знаю как у всех, но у меня почему то при запуске лайва на базе хр - отказывается работать autоruns для оффлайн анализа, сразу выбивая bsod

Albert — 08.01.2013 19:29:29

SergeyZV сообщает:

s_host сообщает:

До версии 3.0 всё было нормально, а с ней вот такая проблема

http://i48.fastpic.ru/thumb/2012/1117/9 … 1ab92.jpeg

Образ уже несколько раз перекачивал, флешку перезаписывал.

Такая же ерунда! Решил эту проблему перепаковкой образа! HASHES.BIN и HASHES.BIN запаковал в WINPE.IS_ !
В общем если у вас нет разъемов USB 3.0, то у вас будет работать и оригинальный образ!
А если хотите что-бы работало и через USB 3.0, то перепаковывайте! (Есть правда ещё один способ - интеграция драйверов USB 3.0, что существенно увеличит размер образа)

Здравствуйте, я перепаковал образ, как посоветовали, и у меня вышло сообщение:

INF file txtsetup.sif is corrupt or missing, status 2.
Setup cannot continue. Press any key to exit.

Что посоветуете? У версии 2.5 не было проблемы.

s-ufo — 09.01.2013 18:29:15

Прошу прощения за вопрос который поднял такую бурю откликов.
Сегодня проверил AntiSMS 3.1 от Doberman из поста #975 и честно скажу спасибо.
Да сборочка великовата, но ведь функции свои решает!!!
А это какраз и требуется.
Хотя вопрос был решен мною ранее но всетаки решил поприсутствовать на данном форуме в качестве стороннего но интересующегося юзера.

SergeyZV — 09.01.2013 19:37:08

Albert сообщает:

Здравствуйте, я перепаковал образ, как посоветовали, и у меня вышло сообщение:

INF file txtsetup.sif is corrupt or missing, status 2.
Setup cannot continue. Press any key to exit.

Что посоветуете? У версии 2.5 не было проблемы.

Перепаковывал версию 3.0 и 3.1! Ни каких проблем!!! Что-то делаете не так!

К стати похоже с версии 3.1 AntiSMS.exe simplix в WinPE.is_ уже забросил остается добавить HASHES.BIN и
SYSFILES.BIN.

Albert — 09.01.2013 20:37:08

Спасибо, SergeyZV! Все получилось, у меня были добавлены файлы, не в ту папку.  Еще один вопрос, а для CD такой вариант тоже пройдет? или это только для флешки.

SergeyZV — 09.01.2013 20:49:35

Albert сообщает:

Еще один вопрос, а для CD такой вариант тоже пройдет? или это только для флешки.

Для CD в этом нет необходимости:unknown:

Если только у вас не внешний CD и подключен к USB 3.0!

weldance — 10.01.2013 13:53:28

simplix
сегодня лечил antisms еще один ПК. Заметил следующее: antisms сработал на отлично кроме того, что в реестре по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "UIHost" со значением "C:\documents and settings\ Администратор\ 19230718.exe". А так же в HKEY_LOCAL_MACHINE\ software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "usrint" со значением " C:\WINDOWS\ system32\ jipxyd.exe"
p.s. может эта инфа поможет, а так antisms всё удалил и почистил.

Алекс — 10.01.2013 14:44:08

weldance
Уточните- какой версией Антисмс пользовались?
Вы после чистки ещё проверяете реестр вручную что ли? :) или это инфа из логов?

weldance — 10.01.2013 14:59:08

Алекс
версия последняя - 3.1
конечно проверял вручную реестр. специально для нахождения "недостатков" (для общей пользы).

Алекс — 10.01.2013 15:05:30

weldance
ясно. да,действительно- странные записи появились в реестре. :shock:
Simplix , обратите внимание, пожалуйста.

weldance, Вы прям зоркий глаз!!! :D малейшие нюансы замечаете.. :good:
я б и не стал никогда в ручную искать там в реестре что-то )) лечение прошло да и ладно.

Core-2 — 10.01.2013 15:32:27

AntiSMS 3.1 убрал из автозапуска Punto Switcher , а RocketDock оставил. В ранних версиях было наоборот. :)

Алекс — 10.01.2013 15:35:28

Core-2
нафиг этот Punto Switcher нужен? :crazy: думаю,правильно что AntiSMS 3.1 его убирает.. :D
разве польза есть от этой проги хоть какая то?  раскладку можно и в ручную иногда менять, раньше так и делали все,и нормально без неё обходились :drinks:

Core-2 — 10.01.2013 16:13:29

Алекс
Я работаю постоянно с англо-русскими текстами, мне удобно , убирать он её не имел права,это ж не шпион и не вирус  . Репак от elchupacabra с отрезанными вредными модулями и рекламой яндекс.

Алекс — 10.01.2013 16:19:44

Core-2
может поэтому и удалил он Punto Switcher, потому что репак-версия? :unknown:
как правило- в репаках нету цифровой подписи..  или она есть,но добавляются ещё подозрительные файлы в репак,на которые Антисмс могла среагировать.

Core-2 — 10.01.2013 16:37:45

Алекс Придётся подписывать. Позвоню Балмеру , пусь заедет на досуге,чирканёт на всех кряках и репаках. Да не велика беда конечно , сказано просто к сведению.Галочку не трудно воткнуть на место в конфигурации автозагрузки. :)

more — 10.01.2013 17:53:30

Алекс
Раскладка и так меняется вручную, но с Punto Switcher - это происходит по клавише PauseBreake.
В особо тяжелых случаях - Shift Home + Shift PauseBreake

xcv150 — 10.01.2013 19:27:38

Приветствую! Что за пункт "Для WinXP x86, Vista x86-x64 и Win7-8 x86-x64 восстанавливаются основные системные файлы, если они не подписаны"? Какие системные файлы восстановить можно? Системные файлы должны быть же все подписаны?

Waterclo — 10.01.2013 20:55:19

Ох, народ!
Уж развели вы вокруг AntiSMS и разнообразных РЕ такую дикую возню в "ширинке у великана", что я диву даюсь! Может для обсуждения всяческих РЕ создать отдельную тему?
Я вот до сих пор не могу оценить действие AntiSMS, а экспериментировать с SMS лохерами мне лень - ибо никто из тех, кому устанавливал систему, до сих пор не ловил никакой заразы. Работаю в строгом соответствии с вот этими рекомендациями. Возни много, но себя оправдывает.

xcv150
Самые основные - это файлы ядра:
ntoskrnl.exe - исполнительная система и ядро
hal.dll - уровень абстрагирования от оборудования
win32k.sys - драйвер подсистемы win32, работающей в режиме ядра
kernel32.dll и advapi32.dll -  API (application programming interfaces)
user32.dll и gdi32.dll - базовые модули графического интерфейса пользователя
Дальше идут службы, драйвера и т.п. и т.д. Основные системные файлы Windows защищены от перезаписи. Восстановление системных файлов Windows происходит встроенной утилитой sfc.exe.

Наиболее часто встречающиеся причины сбоев в работе ОС сообщает:

• Повреждение, удаление, замена на несовместимые версии важных системных файлов, в т.ч. и кустов реестра. Большая часть таких файлов находится в папке %SystemRoot%\system32, реестр в %SystemRoot%\system32\config.
• Установка несовместимых служб и драйверов. Это один из бичей всех NT-систем. Для уменьшения этой проблемы ввели цифровую подпись драйверов, подтверждающую, что они прошли тестирование в WHQL (Windows Hardware Quality Lab) на корректность работы и совместимость с ОС. Диспетчер проверки драйверов (verifier.exe) позволяет тестировать драйверы на типичные ошибки.
• Изменение критических для работоспособности системы параметров реестра на недопустимые значения. Основная часть таких данных хранится в ветви HKLM\SYSTEM\CurrentControlSet. Для повышения отказоустойчивости они дублируются - ключи HKLM\SYSTEM\ControlSetnnn, где nnn - номер. CurrentControlSet является лишь ссылкой на один из этих ключей.
• Повреждения файловой системы: разрушение структуры каталогов, главной загрузочной записи (MBR), загрузочного сектора (Boot Sector) и т.д. NTFS очень чувствительна к подобным сбоям: если есть неисправимая ошибка, ОС просто не загрузится и покажет "синий экран смерти". Не глядя на то, что NTFS - самовосстанавливающаяся, журналируемая ФС.
• Неверно установленные права на системные папки: %SystemRoot%, %UserProfile%, %ProgramFiles%. В случае неправильно заданных прав на каталог %SystemRoot% система вообще может не загрузиться.

simplix — 11.01.2013 01:23:53

Сразу всем - огромное вам спасибо за помощь и тестирование! Вы очень помогаете программке в развитии! :drinks:

weldance сообщает:

в реестре по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "UIHost" со значением "C:\documents and settings\ Администратор\ 19230718.exe".

Он там ничего не делает, UIHost обрабатывается системой только в ветке HKLM по аналогичному пути.

weldance сообщает:

А так же в HKEY_LOCAL_MACHINE\ software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "usrint" со значением " C:\WINDOWS\ system32\ jipxyd.exe"

Ключ usrint тоже не обрабатывается системой, имеет значение только Userinit.

Core-2
Установил последние версии с официальных сайтов, ни одна из этих программ не была убрана из автозагрузки. С RocketDock всё понятно сразу - его хэш был найден в Hashes.bin, а вот Punto всегда подписан, поэтому отключаться не должен даже в более старой версии. То есть на файл нужно посмотреть, выложи пожалуйста свой punto.exe отдельно.

xcv150
Оно само всё делает, чтобы всё было хорошо, ничего вручную восстанавливать не нужно ;)

Waterclo — 11.01.2013 05:55:31

simplix
Punto Switcher стал Spyware. Её собственник с версии 3.0 - Яндекс.
:cool: ЯНДЕКС шпионит за вашим компьютером через Punto Switcher.

Core-2 сообщает:

Репак от elchupacabra с отрезанными вредными модулями и рекламой яндекс.

Алекс сообщает:

может поэтому и удалил он Punto Switcher, потому что репак-версия?

Похоже Алекс совершенно прав. В любом случае этому Punto надо рвать жало.

g0dl1ke — 11.01.2013 06:00:31

имет ли смысл включать в образ одну маленькую, но крайне полезную программу со скромным названием "test disk"?
О полезности которой думаю не нужно никому тут пояснять

Core-2 — 11.01.2013 06:42:02

simplix punto.exe .

xcv150 — 11.01.2013 09:51:03

simplix Да, это замечательно, что все так восстанавливается! Интересно, а файл winload.exe в 7-ке восстановит???
Waterclo Благодарю за ответ!
PS Я пользуюсь кеу switcher 2.1! Попробовал как-то Punto Switcher - совсем не так работает!

art9 — 11.01.2013 10:20:57

xcv150
рядом с антисмс.ехе лежит архив с файлами- все что там найдёте - восстанавливает анти смс.

Waterclo — 11.01.2013 11:29:11

Алекс и Все остальные!
Здесь обсуждаем AntiSMS, а кто чем пользуется и всё остальное - в Болтовню или в Личку!
:cool: Я всё сказал! Флуд и отмазки завязали. Не люблю когда не понимают с полоборота.

simplix — 11.01.2013 11:39:48

g0dl1ke
Сейчас AntiSMS лечит все виды загрузочных блокировщиков, включая те, которые портят таблицу разделов, так что добавлять программы для восстановления нет смысла.

Core-2
Твой файлик не подписан, вот и причина отключения. Его можно добавить в свою базу хэшей с помощью uVS (тут пункт 2), будет создан файл SHA1, который нужно положить рядом с AntiSMS.exe.

xcv150
Восстанавливаются не все файлы, а только те, которые участвуют в автозапуске и могут быть заменены троянами. Например winload.exe - системный файл, его замена на троян сделает систему нерабочей, конечно блокировщикам нет никакого смысла делать такое, ведь тогда пациент не увидит текст, куда отправлять смс.

g0dl1ke — 11.01.2013 12:46:27

simplix
не далее, как вчера не вылечил, предложил прислать файлик тебе лично, на анализ
все починил при помощи partitionwizard live

Core-2 — 11.01.2013 12:49:00

simplix сообщает:

Его можно добавить в свою базу хэшей с помощью uVS (тут пункт 2), будет создан файл SHA1, который нужно положить рядом с AntiSMS.exe.

Спасибо за информацию. В моих Live  AntiSMS лежит в папке с uVS и использует базу из рядом лежащей SHA\MAIN . Это не ошибочное решение ,если отсутствует родной HASHES.BIN ?

weldance — 11.01.2013 13:13:38

simplix
еще заметил antisms в реестре по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "Userinit" со значением "c:\users\ temp\ 5634983.exe".
p.s. вообще стоит ли писать подобные замечания? ну не люблю я "лишние" записульки в реестре.

xcv150 — 11.01.2013 13:43:55

simplix Спасибо! В принципе все понятно! А расширить базу системных файлов для восстановления самостоятельно как-то можно???

art9 — 11.01.2013 13:57:21

если действительно Userinit, то вроде как такое должно чистить. т.к. является автозапуском.
Хотя, если в HKCU то такой автозапуск не активируется?

weldance — 11.01.2013 17:56:29

Столкнулся с таким залоченым буком HP Envy 4-1152er. CD-ROMа нет (ультра бук:cool:). AntiSMS не загрузился. winpe на базе 7 и 8 загрузились, но hdd не увидели. биос урезан на "нет" (тут писали где-то об этом). гуглю по этому вопросу, но пока тщетно.
блокировщик был в загрузочной области. решил проблему немного по-другому (через grub, кому интересно - напишу).
внимание вопрос: можно ли в antisms интегрировать драйвера для всех (ну или хотя бы для большинства) контроллеров hdd?

Алекс — 11.01.2013 18:10:56

weldance сообщает:

внимание вопрос:

Почти как в что,где,когда? :crazy: Там ведущий также объявляет всегда. :D
Ох уж эти HP.. извиняюсь за оф-топ.
А по теме- simplix по-возможности и так старается все дрова новых контроллеров добавлять.. За всеми не уследишь просто сразу,новинки то регулярно выходят.

weldance — 11.01.2013 18:22:48

Алекс
:)разрежаю обстановку. а как тогда проще самому интегрировать эти дрова именно в antisms и где искать этот "мегапак" дров?:unknown:
уточню: в день я лечу (точнее antisms в моих руках) 5-8 ПК. и хотелось бы иметь стандартный antisms и со всеми дровами на hdd. как не справиться оригинал - запускать со всеми дровами. путь он весить хоть 500~700 Мб. закон подлости ещё никто не отменял.

Core-2 — 11.01.2013 18:45:33

weldance Добавте в AntiSMS портативный установщик драйверов и подгружайте нужные. Пакеты можно вытянуть из Driver Pack Solution например или с офсайта.

Лично отказалась интегрировать их до кучи в РЕ7 . Были конфликты у пользователей . Редкие очень . Но всё ж . Зато с НР проблем ни у кого не было.Точно.

Sergikaz — 11.01.2013 18:55:56

weldance
А установшик windows 7 (8) видит на этом ноубуке винт? В теории должен видеть, а ведь первая стадия установки Семёрки этот тот же WinPE. ;)

weldance — 11.01.2013 19:13:26

Sergikaz
установщик тоже не видет хард. в этом-то и проблема... просит дровишки подкинуть:)
Core-2
может я чего-то не понял, но как я буду подгружать драйвера через установщик драйверов если antisms не грузится?

Core-2 — 11.01.2013 19:49:22

weldance Не грузится только на свежих железках видимо. Так что мешает использовать для этого 7 или 8 РЕ ? Только не говорите ,что по причине длительной загрузки. Лично я так и поступаю.
В слабых машинках - STEA или AntiSMS . В реальных - свои изделия.

weldance — 11.01.2013 20:26:31

Core-2:), а я и не говорил про длительность (хотя мои win7 и 8 грузятся всего на секунд 30-50 дольше). главное результат. в Вашем случае надо знать контроллер, а для выяснения этого нужно время, вот я и задался вопросом интегрирования всех дров.
ладно, на днях "расковыряю" antisms или свой winpe, как-нить попробую воткнуть максимум дровишек... а там посмотрим результат.

Core-2 — 11.01.2013 20:57:13

weldance
В моём случае есть вариант свой на базе 7 с интегрированным пакетом из DPS. Ни с одним ноутом не было проблем.

simplix — 12.01.2013 11:39:49

g0dl1ke сообщает:

не далее, как вчера не вылечил, предложил прислать файлик тебе лично, на анализ

И где он?

Core-2 сообщает:

В моих Live  AntiSMS лежит в папке с uVS и использует базу из рядом лежащей SHA\MAIN . Это не ошибочное решение ,если отсутствует родной HASHES.BIN ?

Оба способа работают одинаково, кому как удобнее.

weldance сообщает:

еще заметил antisms в реестре по пути HKEY_CURRENT_USER\ Software\ Microsoft\ Windows NT\ CurrentVersion\ Winlogon оставил параметр "Userinit" со значением "c:\users\ temp\ 5634983.exe".
p.s. вообще стоит ли писать подобные замечания? ну не люблю я "лишние" записульки в реестре.

Стоит, я или объясню, почему запись не обрабатывается программой, или внесу в неё дополнения. Сейчас запись не вредна, потому что находится в HKCU, а там она вообще не работает. Но удалять просто мусорные записи невозможно, так как нельзя автоматически отличить мусорные от нужных.

xcv150 сообщает:

А расширить базу системных файлов для восстановления самостоятельно как-то можно???

Самостоятельно нельзя, но если вы встретите блокировщик, который заменит неучтённые системные файлы, тогда будет рассматриваться вопрос об их добавлении.

weldance сообщает:

можно ли в antisms интегрировать драйвера для всех (ну или хотя бы для большинства) контроллеров hdd?

При желании - можно, но я не рискую так делать, ведь из-за сбоя в одном драйвере система не запустится, а если этих драйверов сотня, то и вероятность получения проблем повышается. По крайней мере такая картина наблюдалась раньше, поэтому я решил использовать драйвера только самых распространённых контроллеров. Идеальным вариантом решения проблемы было бы создание абсолютно универсального драйвера, который бы работал со всеми контроллерами, пусть даже ценой низкой скорости, но я о таком не знаю. Эксперименты с UniATA успехом не увенчались, часть оборудования он не видел, нередко были проблемы.

Core-2 сообщает:

Ни с одним ноутом не было проблем.

Потому что выборка слишком маленькая. К примеру, у меня ни разу не было случая, чтобы диск с AntiSMS не увидел винчестер, но что такое несколько тысяч компьютеров в сравнении с их общим количеством. Тем не менее у других людей, как можно заметить по сообщениям в этой теме, винчестера иногда не видно, а большинство и вовсе никогда не отписываются о проблемах и просто ищут другие решения. Ещё меньше людей согласны потратить много времени, чтобы помочь решить эту проблему, да и не всегда это возможно сделать дистанционно.

g0dl1ke — 12.01.2013 13:40:33

проведу повторное заражение и пришлю drive1.bin

Core-2 — 12.01.2013 14:25:50

simplix Хорошая выборка,не тысячами конечно,даже не сотнями. Все старички без проблем грузятся с оригинального диска AntiSMS. Да и свежие тож в основном. В исключениях замечены лишь ноуты HP и Samsung с биосом Phoneix последних версий. Загрузчики USB с  AntiSMS на базе 7 прекрасно справляются , если в их основе не grub4dos , а родной BOOTMGR. Это что касается самой загрузки. А так был лишь единственный случай по отзывам пользователей,когда образ PE7x32 не увидел сторонний контроллер SATA/PCI. Прислушавшись к просьбе , интегрирован пакет MassStorage. У человека стали видны и сторонние контроллеры . Но возникли не частые проблемы с самой загрузкой у других пользователей  с такого типа ошибками :
STOP: 0x00000050 (0x8C5D9F03, 0x00000000, 0x8A57AECC, 0x00000000)
ahcix86.sys - Addres 8A57AECC base at 8A578000, DateStamp 4c9b2222


Пришлось отказаться вообще от интеграции. Нарекания прекратились , за исключением того единственного стороннего контроллера. Решено в пользу большинства.

Алекс — 12.01.2013 15:14:21

Core-2
Можно поподробнее насчёт ноутов Самсунга?
я щас как раз настраиваю новый ноут Самсунг NP300E5X, модель не такая уж и старая-середины прошлого года. 
Я там долго понять не мог- почему у меня биос не видит загрузочные флэшки в упор вообще? и почему в boot menu (кнопка F10) их нету.. ? :unknown:
Оказалось всё очень просто..  в разделе Advanced нужно выключить функцию Fast bios Mode . Когда она включена,то биос вообще в упор не видит загрузочные устройства,кроме как жестака и сд-рома.

Может это как-раз Ваш случай тоже?

simplix — 12.01.2013 15:42:28

g0dl1ke сообщает:

проведу повторное заражение и пришлю drive1.bin

Если есть ещё и чем заражать - вообще замечательно, это мне в первую очередь нужно.

Core-2 сообщает:

В исключениях замечены лишь ноуты HP и Samsung с биосом Phoneix последних версий.

Если у тебя будет время и желание помочь с тестированием, то возможно мы добавим поддержку и этих ноутбуков в WinPE на XP. Всё что для этого нужно - это модель ноутбука, чтобы драйвера контроллера можно было найти на сайте производителя, и HWID этого контроллера. И потом протестировать результат с тестового диска. Буду очень благодарен!

Core-2 — 12.01.2013 15:50:47

simplix Ок ! Только я этим не работаю , просто хобби, интересно очень побеждать железный разум. Помогаю друзьям,подругам,соседям,родне и хорошим людям избежать обдираловки в сервисах и у частников. Время и желание есть . Сделаю флешку  и диск AntiSMS специально для тестирования. Грех не поучавствовать. :good:

g0dl1ke — 12.01.2013 20:29:45

simplix
есть, ссылки кидать в личку на ргхост с паролем?

simplix — 12.01.2013 20:38:19

Core-2
:drinks:

g0dl1ke
Любой способ подойдёт.

g0dl1ke — 12.01.2013 21:03:11

*ушел сканировать свою скромную коллекцию* :rolleyes:

xcv150 — 12.01.2013 21:16:09

simplix Хорошо! Все что будет - опишу! (но лучше бы не было:shock:)

simplix — 12.01.2013 23:04:18

g0dl1ke
Зачем коллекция? Мы говорим об одном конкретном случае:

g0dl1ke сообщает:

не далее, как вчера не вылечил, предложил прислать файлик тебе лично, на анализ

Для создания вакцины нужен как минимум этот файлик, а чтобы лучше протестировать лечение - ещё и сам блокировщик.

g0dl1ke — 12.01.2013 23:57:02

все бы хорошо, но из под vb не так просто вытащить в реал - когда стартуешь из под лайв (ga не работают, соответственно обмен гость>хост не возможен) разве что монтировать еще один vhd и заливать туда
вообщем как сделаю - пришлю и сэмпл и кусок винта

Sergikaz — 13.01.2013 05:11:41

из под vb не так просто вытащить в реал - когда стартуешь из под лайв

А я всё на подключаемую флешку скидываю. WinPE от simplix прекрасно их подхватывает, даже в виртуалке. ;)

g0dl1ke — 13.01.2013 08:35:39

тоже вариант, в свое время через ретрансляцию usb шил iphone под macos на vb :)

s_host — 13.01.2013 10:06:07

simplix
Сборка 3.1 отработала отлично через интерфейс USB 3.0, в отличие от сборки 3.0. Спасибо за исправления.

simplix — 14.01.2013 03:00:24

Новая версия 3.2:
Добавлена обработка элементов Active Setup. Некоторые вредоносные программы могут использовать Active Setup для скрытой автозагрузки, теперь этот раздел обрабатывается наравне с автозапуском.

s_host
Насколько я помню в этом плане ничего не менялось.

pdi77 — 14.01.2013 14:28:00

simplix
Приветствую. Есть ноут Lenovo g570 в котором 2 видеокарты - встроенная Intel и Ati HD 6370M. При запуске antisms вываливается с ошибкой 0x4000008a ругаясь на VIDEOPRT.SYS. Менял настройки в биосе оставляя только интеловскую, не помогает. Пробовал запуститься с другого livecd (alkid) - он грузится нормально. Пока ноут у меня на руках могу заняться выяснением причин, если вы найдете на это время.

simplix — 14.01.2013 21:11:44

pdi77
Спасибо за желание помочь, но боюсь в этом случае мы ничего не сделаем - для тестов мне нужен этот ноутбук на несколько дней, чтобы наверняка выяснить причину такого поведения WinPE. Дистанционно это будет не меньше недели с моим графиком, к сожалению у меня нет столько времени. В вашем случае целесообразнее использовать другой WinPE, тем более что AntiSMS везде будет работать одинаково. Если мне попадётся такой ноутбук - обязательно проверю.

Jabbb — 15.01.2013 07:49:06

simplix
Просьба: нельзя ли получить ссылку на конструктор, которым вы делаете свой загрузочный ISO?

Viktor_Kisel — 15.01.2013 18:41:58

simplix
По ссылке Скачать: AntiSMS 3.2 качается версия 3.1

Kipovec — 15.01.2013 20:01:04

Viktor_Kisel
только что скачал, версия 3.2.0.0 может у вас "провайдер кривой" (инет через кеш прова) и поэтому качается старая версия, на всякий http://rghost.ru/43060717 да простит меня simplix  :)  :good:  :drinks:

Viktor_Kisel — 15.01.2013 20:30:33

Kipovec
Спасибо скачал по Вашей ссылке. Провайдер стандартный, издержки нашей сети. Видимо виноват таки кеш. Стоит Mikrotik Router OS и включен кеш в нашей WiFi сети. Видимо в этом вся проблема. А я уже и не знал на что грешить, несколько раз перекачал, а версия 3.1 хоть тресни.

af_pro — 16.01.2013 22:45:52

15 января на Philka.ru  выложили AntiSMS 3.2 для широкого скачивания.

Core-2 — 16.01.2013 23:37:25

af_pro При перходе по Вашей ссылке - 17.01.2013 7:33:51    Фильтр HTTP архив    хттp://1001kvadrat.ru/2/s3.js JS/Kryptik.ADZ троянская программа    соединение прервано -изолирован.Обнаружена угроза при попытке доступа в Интернет следующим приложением: С:\Program Files (x86)\Opera\opera.exe.

Kipovec — 17.01.2013 06:40:34

Core-2
к филу (я "давно" с ним "распрощался") на сайт можно "не ходить", там "мимопроходящей", "кривогашеной" рекламы дохрена и потому такие "косяки", как у вас выходят. А в итоге перепост, после "гуляниям" по ссылам, на.... ргхост, где лежат в архиве эти файлы "Готовый загрузочный диск с программой и Утилита для записи загрузочного диска на флешку!!! Вот "прямая" ссыла (чтоб :D фила "не кормить") http://rghost.ru/43042289

af_pro — 17.01.2013 12:26:12

Core-2
Как то неудобно получилось, хотя у меня FF + AdBlock + NoScript, всю эту фигню режет без проблем. Впрочем, общий смысл в том, что Фил выложил эту утилиту без упоминания источника.

Core-2 — 17.01.2013 12:44:56

af_pro Да у меня тоже режет . Не о себе пекусть . Не большая беда с филом. Обошлось без плагиата ведь. Есть товарищи матёрей . И я б не удивилась увидев в сети AntiSMS by StaforceTEAM.
Сама качаю с ссылок автора ,проблем никогда не было.

Nxit — 19.01.2013 21:14:09

Добрый вечер! На заражённом компьютере запустил AntiSMS 3.2, в конце программа написала, что обнаружен не стандартный MBR выкладываю его сюда http://rghost.ru/43161400 Кстати блокировщика на компе не было...

olzaruta — 21.01.2013 22:39:31

Trojan.Winlock + Trojan.Encoder ( Блокировщик и Шифровщик) в одном флаконе http://rghost.ru/43217810 ( AntiSMS )
- Сначала запускается Винлокер..блокирует систему...затем Энкодер, шифрует файлы. Справится ли с ним AntiSMS ???? ( Запускаете на свой страх и риск, я предупредил!)

g0dl1ke — 21.01.2013 23:21:50

*ушел проверять*

simplix — 22.01.2013 01:02:03

olzaruta
AntiSMS справляется с тем, что можно автоматизировать. К примеру исправляет автозагрузку и повреждения системы, которые делает этот троян. Но функцию расшифровки файлов вообще невозможно автоматизировать, искусственный интеллект ещё не придуман. Кстати тот недоразвитый школьник, который сделал эту поделку, просто собрал в одну кучу блокировщик одного автора и шифровальщик другого, на своё, видимо, ума не хватило.

weldance — 22.01.2013 13:18:33

сегодня второй раз столкнулся с блокировщиком, но не системы, а браузеров. Ситуация стандартная - заходишь на сайт через 10-40 сек появляется окно о том, что сайт заблокирован, отправьте смс и т.д. и т.п. Так что если не в тему: перенесите мой пост в болтовню.
короче, запустил антисмс, он нашел всякую "неподписанную фигню". ситуация не изменилась. после запустил avz он нашел в "C:\windows\" подозрительный файл "gigalan.sys". но самое интересное, что ни windows, ни total commander, ни far в упор не "видели" этот файл. попробовал через cmd удалить этот файл - и о чудо, файл удалён.
теперь про реестр. нашел строковый параметр "ImagePath" в HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ newdriver со значением \??\C:\windows\gigalan.sys
ниже экспорт самого куста:
Скрытый текст (раскрыть):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,77,00,69,00,6e,00,\
  64,00,6f,00,77,00,73,00,5c,00,67,00,69,00,67,00,61,00,6c,00,61,00,6e,00,2e,\
  00,73,00,79,00,73,00,00,00
"DisplayName"="newdriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver\Enum]
"0"="Root\\LEGACY_NEWDRIVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

simplix, возможно ли справляться с такого рода вирусами используя антисмс?

hal — 22.01.2013 13:38:04

Сегодня удалял такую заразу с помощью uVS - интернет работает, но в браузере открывалось второе окно с предложением отправить SMS. Сама зараза была в какой-то dll библиотеке в windows/system32, название файла не вспомню, да это и не важно.

weldance — 22.01.2013 13:54:52

hal
эта зараза попадалась мне не раз и антисмс справлялась с этим.
а прописывается она в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs

g0dl1ke — 22.01.2013 14:16:47

gigalan.sys удаляется через тот же avz в два клика
вирусу примерно около двух месяцев, судя по жалобам клиентов
вирус включает в себя функционал руткита: скрывает себя, блокирует установку большинства антивирусов и тд


Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\gigalan.sys','');
DeleteFile('%WinDir%\gigalan.sys');
DeleteService('newdriver');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
weldance — 22.01.2013 14:59:42

g0dl1ke
вопрос не в том как эта гадость удаляется, а можно ли реализовать удаление подобной заразы в антисмс...

art9 — 22.01.2013 15:13:22

Например, добавить в антисмс отключение не подписанных драйверов.... Но, понятное дело это делать нельзя.

Можно пофантазировать: antisms создает список драйверов (при работе с лай ва). И  прописывает в автозапуск небольшой одноразовый модуль, который сравнивает активные драйвера со списком, который был получен из неактивной среды - если какие-то элементы пропали, значит это возможные руткиты.

g0dl1ke — 22.01.2013 16:56:07

драйвер sрtd, от того же dt будет всегда иметь random имя при загрузке, а под live не отображается вовсе.
Это так, примеру ради

art9 — 22.01.2013 17:23:54

Ну да не все так просто, но решения найти можно.
Помоему данный модуль мог бы очень помочь. Например найти подмену загрузочного сектора или сокрытие программных файлов в определенных папках.  Ну и еще чтото можно придумать :)

simplix — 22.01.2013 23:55:04

Драйвера сейчас никак не обрабатываются, так как классическим блокировщикам нет смысла лезть в ядро системы для блокировки компьютера. Отключать все неподписанные драйвера тоже нельзя - многие устройства могут перестать работать. Но для того, чтобы начать работу в этой области, мне нужен сам блокировщик, который использует драйвер - у кого есть возможность, поделитесь.

weldance — 23.01.2013 11:45:06

simplix
пжалуста http://rghost.ru/43247994
как он появляется в системе не могу сказать, вроде через sun java (вычитал в просторах интырнета).
это сам файл gigalan.sys. как он прописывается в реестре писал выше.
пароль - 12345

NOVAK — 25.01.2013 13:18:23

Всем привет, воспользовался Antisms и по завершении работы программа выдала, что всё хорошо, но из-за корявого MBR желат-но выложить сюда файлы вида DriveX.bin, которых оказалось в кол-ве 1шт. ))) - вот собссно выкладываю его вместе с логом: http://rghost.ru/43297712

olzaruta — 25.01.2013 22:23:05

Вот Вам на испытание

http://i53.fastpic.ru/thumb/2013/0125/f3/1ed43a7e3063556a6dfda205a10220f3.jpeg

http://rghost.ru/43312157 ( 2013 )

0 0 — 25.01.2013 23:52:30

На виртуалке антисмс текущей версии справился с заразой.

hal — 26.01.2013 13:57:11

olzaruta
Свежак :D
Вчера на вирустотал определялся 7-ю антивирусами, сегодня - 13 из 43.
Причем касперский и нортон пока молчат :cool:

Алекс — 26.01.2013 15:35:00

NOVAK
Вам спасибо за помощь! ;) помогаете в развитии программы.

Volodakos — 26.01.2013 19:30:42

Доброго времени суток. Очень помогла ваша программа, и вот решил её добавить в список мультизагрузочного CD на основе Bootable CD Wizard, и сделать сборку windows, так сказать на всякий случай. Значит скопировал образ iso в папку BCDW, в файле BCDW.ini прописал путь к данному образу. Создал образ уже с виндой. Загружаюсь в мультизагрузку, выбираю АнтиСМС и далее программа не грузится. Подскажите , пожалуйста, как сделать так, чтобы образ antisms.iso загрузился?

viprus — 26.01.2013 21:57:15

Вы решили "решил её добавить в список мультизагрузочного CD" или Сделать LiveCD на основе AntiSMS.iso ? :unknown:
Всё гораздо проще. Есть у вас ваш LiveCD, положите туда отдельно AntiSMS.exe и пользуйтесь на здоровье.

Volodakos — 27.01.2013 08:51:14

Всё получилось. Спасибо. Видимо вчера день был тяжёлый ))))

Sergikaz — 01.02.2013 16:11:56

Здесь я уже как-то писал, что добавил AntiSMS в среду восстановления Windows RE которая имеется на каждом нормальном дистрибутиве (установочном DVD) Windows 7. Загрузившись с установочного DVD Windows 7 и щёлкнув по ссылке "Восстановление системы"
Скрытый текст (раскрыть): http://forum.tortila.net/uploads/images/winre03.png
вы попадаете в оболочку WinRE и пройдя определённые этапы, вы выйдите на окошко "выбора средства восстановления".
Скрытый текст (раскрыть)http://forum.tortila.net/uploads/images/winreas.jpg
Как видно на скрине, там уже вшита AntiSMS. По щелчку по ссылке запускается утилита со всеми дополнительными файлами и прекрасно делает своё дело. Теперь всем, кто желает добавить в свой дистрибутив Windows 7 x86 (!!!) эту возможность, надо скачать архив с файлом boot.wim Клик для скачки  и закинуть файл boot.wim в папку sources вашего дистрибутива. Там уже имеется файл с таким названием. Советую его переименовать, пусть останется на всякий случай. ;)
Так же я сделал ещё один файл boot.wim с вшитым в него Total Commander. Этот вариант мне даже больше нравится. С Total Commander можно так же запустить AntiSMS с флешки, что-то сохранить перед установкой и т.д. Файл boot.wim с вшитым в него Total Commander лежит уже в ЭТОМ архиве. С ним сделать так же, как я писал выше.

happywanderer — 01.02.2013 16:21:38

Sergikaz
Можно AntiSMS "вживить" в Коммандер, добавить кнопку в Панель инструментов, и запускать оттуда. И дополнительно флешка не нужна. :oops:
P.S. Но всё равно СПАСИБО! :drinks:

Sergikaz — 01.02.2013 16:41:57

happywanderer
Версия с Total Commander сделана больше для себя :D. К тому же, у WinRE ограниченный "раздел оперативки". Поумолчанию, там всего 32 Мбайта и AntiSMS не мог распаковать дополнительные файлы. Пришлось немного расширить. :) Если запускать и Total Commander, и AntiSMS, то съест много "оперативки". К тому же  WinRE - это очень и очень ограниченная среда. На неё нельзя рассчитывать как на полноценный LiveCD.

Algol — 02.02.2013 16:44:37

Проблема с загрузкой Windows 8 из-за блокера
http://rghost.ru/43493989 (pass - 123)

weldance — 05.02.2013 15:57:21

simplix
на очередном "больном" ПК антисмс блокировщик удалил, плюс закомментировал записи в файле hosts. НО - антисмс оставил следующие строковые параметры в HKEY_LOCAL_MACHINE\ _C_comp_software\ Microsoft\ Windows\ CurrentVersion\ Run
Скрытый текст (раскрыть):
"484515" со значением
"cmd.exe /c copy C:\DOCUME~1\43D6~1\LOCALS~1\Temp\484296FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f"
и параметр "60092171" со значением
"cmd.exe /c copy C:\DOCUME~1\43D6~1\LOCALS~1\Temp\60092093FdOh C:\WINDOWS\system32\drivers\etc\hosts /Y && attrib +H C:\WINDOWS\system32\drivers\etc\hosts /f"

несмотря на это антисмс удаляет временные папки и данная подмена файла hosts не сработала.
а если эти файлы (484296FdOh и 60092093FdOh) будут лежать не во временных папках?

art9 — 05.02.2013 16:06:47

По идее, AntiSMS отключает записи на cmd.exe в автозагрузке. Может simplix что-то прояснит. Тоже интересно.

weldance — 05.02.2013 16:15:16

art9
отключение в автозагрузке и есть удаление параметра в ветке run.

art9 — 05.02.2013 17:13:13

weldance
Я как бы это и имел в виду.
Просто у cmd.exe есть цифровая подпись Microsoft - некоторые антивирусные утилиты могут посчитать такой автозапуск легальным. Но я точно знаю, что AntiSMS такое дело контролирует и отключает все левые команды запущенные через cmd автозапуском.
Поэтому я и обратил внимание на это.

glax24 — 05.02.2013 20:25:57

weldance сообщает:

HKEY_LOCAL_MACHINE\ _C_comp_software\ Microsoft\ Windows\ CurrentVersion\ Run

Вы эту ветку из LiveCD смотрели?

weldance — 06.02.2013 03:36:10

glax24
да. из regeditpe.
потом из самой системы в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run

olzaruta — 06.02.2013 13:24:34

Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS ( проверено на ВМ XP SP3)

http://rghost.ru/43592237 ( 2013 )

pdi77 — 06.02.2013 14:48:17

olzaruta сообщает:

Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS ( проверено на ВМ XP SP3)

http://rghost.ru/43592237 ( 2013 )

Вот хитрец куда забрался


Код:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSConfig\startupreg\win32.exe]
"command"="C:\\Windows\\win32.exe"
"hkey"="HKCU"
"inimapping"="0"
"item"="win32"
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
g0dl1ke — 06.02.2013 14:59:04

система удаления поражает :D


Код:

@echo off
Start Skype.exe >nul
del Skypee.exe >nul
del %0
olzaruta — 06.02.2013 15:14:45

Вот хитрец куда забрался

- Совершенно верно! И не только сюда...

http://i51.fastpic.ru/thumb/2013/0206/08/a90402799d3a15f78c2bf29af40d5608.jpeg

...и сюда

http://i54.fastpic.ru/thumb/2013/0206/77/5956925acf024bc00010097e2ffabf77.jpeg

...и сюда

http://i54.fastpic.ru/thumb/2013/0206/40/fe924bf7501ace7a9f1c8e9564708040.jpeg

....нужно в срочном порядке обновлять AntiSMS   :shock:

g0dl1ke — 06.02.2013 15:26:31

http://img692.imageshack.us/img692/5608/20130206170532enruukwin.png

http://img585.imageshack.us/img585/6645/20130206170513enruukwin.png

glax24 — 06.02.2013 20:31:27

olzaruta сообщает:

Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS

В автозагразке остается только подписаный файл Skype.exe, поэтому антисмс его и не трогает.

art9 — 06.02.2013 20:43:33

Как зловред стартует через скайп?

glax24 — 06.02.2013 20:50:37

Так это и не скайп только подписан, можно по размеру определить и запускается из той папки откуда запустили Skypee.exe

av1981 — 06.02.2013 21:00:08

glax24 сообщает:

В автозагразке остается только подписаный файл Skype.exe, поэтому антисмс его и не трогает.

При проверке цифровых подписей sigverif говорит, что файлы не подписаны. Кстати, запускал скачанный локер с флэшки, так в автозагрузку вешается ярлык на нее, т.е. вынял флэшку, прогнал антисмс-ом, перезагрузился - и все ок.
Размеры Skype.exe - 495 609 байт, Skypee.exe - 523 399 байт, %WINDIR%\win32.exe - 457 728 байт. Повторную запись ярлыка в автозагрузку вызывает только Skypee.

Вывод: Локер примитивный, для лечения надо удалить эти 3 файла, убрать ключик реестра с win32.exe и ярлык Skype.lnk из папки автозагрузки в локальном профиле пользователя.

Вопрос: Почему AntiSMS пропустила неподписанный файл в папке автозагрузки?

glax24 — 06.02.2013 21:12:36

Действительно Verified:       Unsigned
Первый файл локер,второй оригинальный скайпа.
http://i51.fastpic.ru/big/2013/0206/d2/58a76a1a00faf454f6dd36baaeb2e0d2.jpg

g0dl1ke — 06.02.2013 22:05:08

antisms не реагирует из за заполненного поля "publisher"

simplix — 07.02.2013 02:58:46

weldance сообщает:

simplix
пжалуста http://rghost.ru/43247994
как он появляется в системе не могу сказать, вроде через sun java (вычитал в просторах интырнета).
это сам файл gigalan.sys. как он прописывается в реестре писал выше.

Спасибо. Вот только не хочет он сам по себе работать, т. е. прописываю всё правильно, а драйвер при запуске системы не стартует. Видимо так автором задумано, чтобы он не работал отдельно от тела. Было бы хорошо найти сам троян, который устанавливает в систему gigalan.sys и полноценно проверить его. В любом случае работа с драйверами требует отдельного подхода, а в данный момент советую просто следовать инструкции - так как драйвер не блокирует систему, то проверка компьютера CureIt'ом удалит файл драйвера.

Algol сообщает:

Проблема с загрузкой Windows 8 из-за блокера
http://rghost.ru/43493989 (pass - 123)

Напишите пожалуйста подробнее, у вас был MBR-блокировщик или AntiSMS просто попросил прислать на анализ неизвестный MBR?

weldance сообщает:

антисмс оставил следующие строковые параметры в HKEY_LOCAL_MACHINE\ _C_comp_software\ Microsoft\ Windows\ CurrentVersion\ Run

AntiSMS не удаляет записи, если они указывают на отсутствующие файлы, кроме того анализируются параметры запуска скриптов.

olzaruta сообщает:

Винлокер с которым НЕ СПРАВИЛАСЬ AntiSMS ( проверено на ВМ XP SP3)

Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.

av1981 сообщает:

При проверке цифровых подписей sigverif говорит, что файлы не подписаны.

У AntiSMS собственные алгоритмы проверок и sigverif может показывать другие результаты.

g0dl1ke сообщает:

antisms не реагирует из за заполненного поля "publisher"

Это не так, причину проблемы указал выше и алгоритм уже доработал. Проверять поля бесполезно, у троянов они очень часто заполнены.

av1981 — 07.02.2013 08:21:54

simplix сообщает:

У AntiSMS собственные алгоритмы проверок и sigverif может показывать другие результаты.

Файл может быть либо подписан, либо не подписан. Третьего не дано. Если на одних и тех же файлах две программы показывают разные результаты, то как минимум в одной из них (иногда бывает что и в обоих) содержится ошибка.
Но, как я понял, файл был пропущен не из-за неверной проверки подписи, а из-за того, что в ярлыке на него нестандартная ссылка, и AntiSMS его просто не увидел?

zaka4kin — 07.02.2013 18:59:48

Здравствуйте.

45 страниц читать не реально, поэтому простите за вопрос.


имеется:

- ноут Samsung NP300E5Z-A01RU
- флешка Transcend 8GB c grub4dos и Вашим образом диска AntiSMS


проблема:

начинается загрузка. потом BSOD, в котором описана ошибка инициализации видео-драйвера (0x000000B4: VIDEO_DRIVER_INIT_FAILURE). пробовал разные версии с 3.2 по 2.4 (по убыванию).
похожая проблема с инициализацией (скорее всего) видео прослеживается c Partition Wizard 7.7 Home Edition

Ноут Samsung NP300E5Z-A01RU Использую флешку с последним grub4dos грузится, но после меню выбора режима видео дальше чёрного экрана не идёт. версия 7.5 грузится и работает. в чём дело не могу понять! дрова на видео?

g0dl1ke — 07.02.2013 19:20:31

бывает такое, для таких целей пора бы иметь не один образ live cd/usb

zaka4kin — 07.02.2013 19:25:28

g0dl1ke сообщает:

бывает такое, для таких целей пора бы иметь не один образ live cd/usb

у меня их куча :) но хочу разобраться

g0dl1ke — 07.02.2013 19:42:33

проблемы запуска драйвера видео, скорее всего виноват контроллер intel hd и его работа под winxp

glax24 — 07.02.2013 19:43:26

simplix сообщает:

Спасибо, с причиной разобрался - нестандартные способы указания путей внутри ярлыка, это будет учтено в следующей версии AntiSMS.

simplix а что не стандартно то? Или из за того что отсутствуют кавычки?
Скрытый текст (раскрыть): http://i53.fastpic.ru/big/2013/0207/c7/1f17c0133fddb6ac520a5195eb21bbc7.jpg

MBTY — 07.02.2013 20:04:07

glax24
Создайте ручками ярлык на одноименный файл, а потом сравните с этим ярлыком на бинармном уровне. (Hex редактором, например)

omooon — 07.02.2013 20:32:44

всем доброго времени суток.  не разу не пользовался данным софтом, но возьму на вооружение и постараюсь применить при первой возможности.

но ближе к теме. выкладываю архив, http://rghost.ru/43626540 - для анализа, в своё время собранных баннеров.
надеюсь что от них будет польза.

и вообще, если это актуально. могу ещё пособирать?!

olzaruta — 07.02.2013 22:56:36

и вообще, если это актуально. могу ещё пособирать?!

...конечно актуально! Давайте все какие есть! Протестим, особенно mbrlock свежие интересуют!

simplix — 08.02.2013 13:27:52

Новая версия 3.3:
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.

Некоторые трояны изменяют DNS-сервера для перенаправления пользователей на свои сайты, теперь AntiSMS исправляет их автоматически, если сетевой интерфейс получает адрес по DHCP. Также улучшена обработка сетевых параметров из рабочей системы, в некоторых случаях троян мог помешать полному сбросу настроек, сейчас это исправлено. Лучше обрабатываются ярлыки нестандартных конфигураций, спасибо olzaruta за образец нового трояна.

av1981 сообщает:

Файл может быть либо подписан, либо не подписан.

Файл может быть по-разному подписан, в том числе и самоподписан, и в нашем случае главное не просто определить факт подписи, а отличить вредоносный файл от легального.

omooon
Спасибо, выкладывайте - здесь их протестируют. Также прошу всех по возможности тестировать опубликованные здесь трояны и сообщать, с лечением каких возникли проблемы.

zaka4kin — 10.02.2013 04:24:16

zaka4kin сообщает:

Здравствуйте.

45 страниц читать не реально, поэтому простите за вопрос.


имеется:

- ноут Samsung NP300E5Z-A01RU
- флешка Transcend 8GB c grub4dos и Вашим образом диска AntiSMS


проблема:

начинается загрузка. потом BSOD, в котором описана ошибка инициализации видео-драйвера (0x000000B4: VIDEO_DRIVER_INIT_FAILURE). пробовал разные версии с 3.2 по 2.4 (по убыванию).
похожая проблема с инициализацией (скорее всего) видео прослеживается c Partition Wizard 7.7 Home Edition

Ноут Samsung NP300E5Z-A01RU Использую флешку с последним grub4dos грузится, но после меню выбора режима видео дальше чёрного экрана не идёт. версия 7.5 грузится и работает. в чём дело не могу понять! дрова на видео?

дело было не в бабине :D


идём сюда и качаем grub4dos 0.4.4
и будет Вам счастье. Удачи!

s_host — 10.02.2013 04:44:48

Вчера лечил ноут DNS (модель не запомнил) мультизагрузочной флешкой. Образ AntiSMS не загрузился (BSOD), образ AntiWinLockerLiveCD 4.0.7 (на базе 8PE) загрузился на отлично. С чем это связано ? Я так понимаю с какими-то драйверами ?

maks — 10.02.2013 13:35:44

s_host, попробуй использовать grub4dos 0.4.4, как советует zaka4kin.
У меня тоже был BSOD. Теперь работает:


Код:

title AntiSMS
find --set-root /AntiSMS.iso
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
savedefault --wait=2

Плюс AntiSMS в том, что весит гораздо меньше + есть все необходимое.

simplix — 10.02.2013 17:17:01

zaka4kin, s_host, maks
Попробуйте тестовую версию AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01. Если и с ним будут проблемы, сделаю тестовую версию с grub4dos-0.4.4.

g0dl1ke — 10.02.2013 19:20:31

всегда запускал


Код:

map /img/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

проблем нет

сейчас накачу руками 4.5с, после отпишу

Apres — 11.02.2013 06:53:51

Столкнулся с такой же проблемой. У меня AntiSMS стоИт на мультизагрузочной флэхе с grub4dos. Заливал его туда не спец утилитой, а просто скопировал в папку и сослался на iso-шник в файле menu.
На компе норм всё было, а вчера dns-овский ноут принесли, и тоже 0x000000B4. Записал на чистую флешку спец.утилитой отсюда, никакого результата, вылет с той же ошибкой. Зашёл сюда вот, почитал, записал AntiSMS на флэху при помощи нового AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01 и та же история к моему удивлению.

Хотел заменить на grub4dos 0.4.4, но не совсем сообразил, как. Просто заменить имеющиеся на флехе файлы на аналогичные из другого граба?

s_host — 11.02.2013 08:32:53

Apres
Я думаю тут скорее всего дело в драйвере к контроллеру, а не в грубе.

Apres — 11.02.2013 08:57:26

s_host
т.е. бесполезно в таких случаях мудохаться? проще с диска грузиться?

Тогда такой вопрос, утилитка Отдельная программа для использования в своём WinPE абсолютно аналогична по действию самой AntiSMS? Такая разница в весе только за счет отсутствия интерфейса? Загружаться с AntiSMS и загружаться с Alkid например, а потом запустить маленькую эту утилитку - эффект и принцип работы один и тот же получится?
З.Ы.: с ноутом то терпимо, если очень надо, записал на диск, да полечи. А вот в случае нетбука будет сложнее, если столкнуться с такой ситуацией. Внешний привод ради этого покупать как-то смешно.

0 0 — 11.02.2013 09:04:05

Apres, в своём WinPE обычно используется 3 файла:

ANTISMS.EXE
HASHES.BIN
SYSFILES.BIN

И эффект будет тем же, что и работа с образа от simplix'a

Apres — 11.02.2013 09:36:16

0 0
Спасибо большое. Значит в случае чего, будем выходить из ситуации именно так (:

Alvaro — 11.02.2013 14:19:58

Приветствую! Прошу совета. Ко мне присосался этот банер поганый! ( сист. Wind7) Вообще недает ниче сделать почти, даже мышь ограниченна узким полем в окне банера, только с командной строки грузит нормально.

На этой же машине есть боле мене рабочий старенький ХР .

Так вот, можно ли както проще разобратся с этим делом без монтирования образов и лайвСД? Както с помощю второй стстемы? Может както сразу ехе какой есть или чтото такое?

Или лучше делать всеодно все по инструкции?

g0dl1ke — 11.02.2013 14:25:55

если есть вторая активная ось - любой баннер лечица секунд за 7, ну максимум за 20

Alvaro — 11.02.2013 14:36:10

g0dl1ke сообщает:

если есть вторая активная ось - любой баннер лечица секунд за 7, ну максимум за 20

Буду очень благодарен за подсказку как это сделать :) Я нешибко разбираюсь в этом деле. Если это имеет значение Банер требует не смс, а денги на кошелек и угрожает СБУ. Но как я понимаю это вроде не важно  :) На доктор вебе по номеру кошелька, кода разблокировки небыло.

0 0 — 11.02.2013 15:12:57

Alvaro
Качаем  Загрузочный диск 3.3 (50 МБ) и в ту же папку AntiSMS USB Installer 2.1 (350 КБ)
Вставляем флешку (без важных документов, ибо в процессе она будет ОТФОРМАТИРОВАНА и ВСЕ ДАННЫЕ БУДУТ УДАЛЕНЫ)
Запускаем AntiSMSusb.exe и жмём "Старт"
Загружаемся с полученной флешки и запускаем а Рабочем столе WinPE AntiSMS.
Перезагружаемся.

pdi77 — 11.02.2013 17:08:58

simplix сообщает:

zaka4kin, s_host, maks
Попробуйте тестовую версию AntiSMS USB Installer 3.0 на основе grub4dos-0.4.5c и syslinux-5.01. Если и с ним будут проблемы, сделаю тестовую версию с grub4dos-0.4.4.

Опять появился ноут где проявляется проблема с bsod. После проб и ошибок имеем вот что:
1. версия 0.4.5c не грузится вообще, даже без фирадиска
2. версия 0.4.4 грузится если убрать фирадиск и если antisms.iso в корне флешки.
Если образ находится не в корне флешки то антисмс ругается на отсутсвие файлов HASHES.BIN и SYSFILES.BIN
Остается только придумать как совместить версию 0.4.4 и фирадиск, или переложить файлы HASHES.BIN и SYSFILES.BIN в другое место рядом с antisms.exe

Alvaro — 11.02.2013 18:07:32

FAQ, ПРАВИЛА и РАБОТА С ФОРУМОМ, Рекомендации 6 сообщает:

:shock: Не нужно цитировать предыдущее сообщение, его и так видно! :shock:

Alvaro
Ок, попробую. Спасибо. Отпишусь потом че вышло.
___________________________________________________

Порядок!!!! Все прошло как по маслу! Благодарю от всей души!!! С меня пиво при встрече)) :drinks:
А еще чтото нужно делать дополнительно для профилактики?
И мож подскажите еще какую защиту лучше поставить, если не сложно и не сильно оффтопно.

А еще когда была эта зараза, шаманил и смог создать гостя через безопасный с командной и потом таки без проблем зашел в качестве гостя... O_о Т.е я так понял это только к одному профилю было привязанно. Только вот не знал как еще одного нового админа создать чтобы доступ ко всему был.

g0dl1ke — 12.02.2013 09:15:09

pdi77
зачем тебе драйвер фирадиск, если он уже давно входит в состав antisms.iso?

pdi77 — 12.02.2013 10:00:08

FAQ: ПРАВИЛА (Запрещается 11) и РАБОТА С ФОРУМОМ (Рекомендации 6) сообщает:

:shock: Не нужно цитировать предыдущее сообщение, его и так видно! :shock:

g0dl1ke
если образ лежит не в корне влешки, то в системе не появляется cdrom с файлами
ANTISMS.EXE
HASHES.BIN
SYSFILES.BIN
и программа antisms ругается на их отсутствие

g0dl1ke — 12.02.2013 15:27:17

у меня образ лежит не в корне флешки, а вместе с другими образами - в отдельном каталоге
проблем с запуском нет, cdrom появляется

trew911 — 12.02.2013 17:31:52

как загрузить директ груб на мультизагрузочной флешке груб4дос

вернее что дописать в меню.лст

Apres — 12.02.2013 18:53:43

trew911
У меня так:


Код:

title AntiSMS
find --set-root /images/AntiSMS.iso
map --mem /images/AntiSMS.iso (hd32)
map --hook
chainloader (hd32)

З.Ы.: образ AntiSMS лежит в папке images, которая располагается в корне флэхи. Всё пашет.

trew911 — 12.02.2013 19:50:05

да блин это я знаю как вызвать внутри образа фирадиск?

типа
map --hook
root (hd0,0)
chainloader /firadisk.gz

maks — 13.02.2013 08:55:32

pdi77

Тоже заметил, если образ лежит не в корне флешки, то виртуальный cdrom "AntiSNS" не появляется.

g0dl1ke — 13.02.2013 10:05:03

trew911


Код:

map /img/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
olzaruta — 14.02.2013 17:00:54

- Вот попался еще один экземпляр skype, как говорится те же яйца ...только сбоку, но вредит покруче чем предыдущий, которого я выкладывап...
- ANTISMS с ним справилась, но оставила косяки.....но все по порядку...
- Запускаем Setap.exe.....ничего особо не происходит..блокировщика нет.....вот сам файл http://rghost.ru/43793914 ( 2013 )
- ...но....В папке Program files....создалась папочка Skype...в которой и сидит одноименный Skype.exe.....вот он  http://rghost.ru/43793935 (2013)
- ...причем эту папочку удалить..нельзя никак....

http://i52.fastpic.ru/thumb/2013/0214/aa/dfac792f2bc40bbafb69482e06e581aa.jpeg

http://i51.fastpic.ru/thumb/2013/0214/b1/9cb931dd42be47c253a1642e7421d3b1.jpeg

- В реестре прописочка тут...

http://i51.fastpic.ru/thumb/2013/0214/ca/5cc3b3b4cb5d68c409b3b0e17ed2a3ca.jpeg

- Самое интересное начинается после перезагрузки.......мы лицезреем баннерок

http://i52.fastpic.ru/thumb/2013/0214/00/a7a9d1e4269b2289c3bc344798459500.jpeg

- А вот и виновник ...win32.exe...прописался в автозагрузке..и в добавок еще подменил explorer

http://i53.fastpic.ru/thumb/2013/0214/23/2c13af7f3f83bcb70648650c09e7fa23.jpeg

- Если мы запустим Skype.exe....будет вообще интересно!
- Но самое интересное, что в автозагрузке появляются файлы ntuser.dat....ntuser.dat.log....ntuser.ini....ntuser.pol

http://i51.fastpic.ru/thumb/2013/0214/59/01137f416d96565d61711ca9ea724359.jpeg

-...этого ну никак не должно быть в автозагрузке и после работы ANTISMS они все равно остаются.....
-....ну попробуем их удалить...ради интереса......хрен там..что и следовало ожидать!

http://i52.fastpic.ru/thumb/2013/0214/d2/5294ccb5371d067615ad0cddcf2a4bd2.jpeg

-...поэтому приходится попотеть, что бы восстановить все как было до запуска вредоноса

http://i54.fastpic.ru/thumb/2013/0214/fa/67fe6d4880418c93bc0e3af0e82116fa.jpeg

- В связи с этим ВОПРОС...почему ANTISMS допустила такое??????????

ps. Прошу поэкспериментировать если есть желание, не знаю как на win7 , но на ХР все вышло как описано выше....

g0dl1ke — 15.02.2013 10:36:21

сейчас глянем зверька
через тс папка skype удаляется без проблем, через проводник действительно не дает
ковыряю дальше

MBTY — 15.02.2013 12:12:19

olzaruta
На каком порносайте вы такую дичь то нашли?

В связи с этим ВОПРОС...почему ANTISMS допустила такое??????????

Вы правда думаете, что будет ответ автора типа:
"AntiSMS ДОПУСТИЛА такое, потому что ........................................... . Простите нас пожалуйста" ?
Перефразируйте свой приказ отчитаться в вопрос.

olzaruta — 15.02.2013 13:00:21

Уважаемый MBTY а что мне "перефразировать?" я и не жду ответа в том виде который вы написали!
....фраза "почему ANTISMS допустила такое" была скорее с чувством юмора а не "приказ" как вы пишите, и этот файл и описание я выложил
для разработчика ANTISMS  для последующей модификации программы..если автор сочтет это важным и необходимым....файл был найден не на порносайтах, а на вполне приличном новостном ресурсе......

g0dl1ke — 16.02.2013 12:06:47

хороший ресурс видимо

trew911 — 17.02.2013 23:00:48

сегодня мучал комп у знакомых ,7-32х  где то был редерикт  на прокси ,ничего не помогало ни антисмс, ни avz-uvs антивинлокеры, WinsockRepair,HiJackThis

хост был в порядке .

а помогло как ни странно проход Windows Repair (All in One)

Алекс — 18.02.2013 07:31:52

trew911
Спасибо! попробуем на досуге Windows Repair (All in One). :drinks:
может пригодится тоже когда-нидь.

g0dl1ke — 18.02.2013 09:21:30

по "скипе"
http://i52.fastpic.ru/big/2013/0218/dd/096ba81f486655aad7ef9ea65a979cdd.png
http://i52.fastpic.ru/big/2013/0218/e2/32f323302bf419b72fde8432b5c41fe2.png
http://i52.fastpic.ru/big/2013/0218/ae/375674fa59c8659589633f63da4724ae.png

simplix — 18.02.2013 11:29:08

olzaruta сообщает:

Но самое интересное, что в автозагрузке появляются файлы ntuser.dat....ntuser.dat.log....ntuser.ini....ntuser.pol

У меня не появляются, видимо ошибка авторов.

olzaruta сообщает:

ну попробуем их удалить...ради интереса......хрен там..что и следовало ожидать!

Это файлы реестра пользователя, конечно их нельзя удалить.

olzaruta сообщает:

причем эту папочку удалить..нельзя никак

Блокировщик меняет в реестре путь к папке автозагрузки на указанную, естественно система не разрешает её удалить. Но после перезаписи этого параметра нельзя узнать, какая папка была до этого, а она зависит от локализации системы и настроек пользователя. Поэтому в данном случае после лечения блокировщика правильно будет восстановить реестр из резервной копии или воспользоваться восстановлением системы.

trew911 сообщает:

сегодня мучал комп у знакомых ,7-32х  где то был редерикт  на прокси ,ничего не помогало ни антисмс, ни avz-uvs антивинлокеры, WinsockRepair,HiJackThis

Для анализа проблемы нужно как минимум скопировать реестр с проблемной машины, иначе кроме как посочувствовать ничего сделать нельзя.

maks — 18.02.2013 18:34:40

trew911, в таком случае нужно очищать таблицу маршрутизации "route -f"

art9 — 18.02.2013 19:11:38

maks
а антисмс это не делает из активной среды?

trew911 — 19.02.2013 13:42:08

route -f  не причём!  я же говорю сервис или драйвер сидел зловред!

и я всегда в таких случаях проверяю роуте принт

g0dl1ke — 19.02.2013 13:58:03

так роуте -ф как раз убирает всю статику, что часто прописывает вирусня

trew911 — 20.02.2013 09:19:06

я кому написал,,  не надо умничить! и считать себя умней других ,у меня опыта хватает!

я же говорю сервис или драйвер сидел зловред!

sunny_goddess — 21.02.2013 10:42:32

Помогите пожалуйста, не знаю в чем моя криворукость.
На работе комп коллеги поймал эту гадость  блокиратор.
Я флешку отформатировала, туда запиcала образ через installer.
на компе через bios сделала first boot - removable device.
Но при перезагрузке он не видит флешку.
ЧТо делать ума не приложу(

viprus — 21.02.2013 11:13:06

Возможно у вас в списке removable device отсутствует USB Drive или он не напервом месте, или мать вообще не поддерживает загрузку с USB устройств (хотя на современных матерях такое редкость) Возможно вам будет проще скачать и записать на CD-R болванку любой LiveCD - это гораздо проще чем возиться с загрузочными флешками, загрузиться с него а AntiSMS просто скопировав на флешку подсунуть. USB устройства всегда видны из под LiveCD - читайте шапку.
Или кстати просто записать просто AntiSMS.iso - это же готовый LiveCD.

GreyW — 22.02.2013 08:32:44

simplix
Огромная благодарность за Ваш труд.
Подскажите пожалуйста адрес RSS-потока о выходе новых версий AntiSMS.
Спасибо.

P.S. Как обстоят дела с логами того, что делает AntiSMS?

Алекс — 22.02.2013 08:51:40

GreyW
RSS-потока вроде тут нету,насколько я знаю..
Вы можете просто подписаться на тему по е-майл. Внизу страницы есть кнопка "подписаться на тему".:drinks:

GreyW — 22.02.2013 09:08:03

Алекс
Спасибо, попробую. :drinks:
Да, тут потока точно нет. Я надеялся, что есть другое место с потоком, где можно узнать а выходе новых версий.

Алекс — 22.02.2013 09:15:49

GreyW
честно говоря,я ни разу не пользовался RSS.. :crazy: мне кажется это не удобным.
Всегда подписываюсь на интересующие темы по е-майл.. Mozilla Thunderbird почту каждые 3 минуты проверяет у меня,и если я за компом и в инете в это время-то о свежих сообщениях сразу узнаю. Удобно.
Информацию о новых версиях,сам Simplix тут периодически выкладывает (в этой теме). Так что,вполне хватает подписки на тему.

weldance — 22.02.2013 10:03:42

GreyW сообщает:

P.S. Как обстоят дела с логами того, что делает AntiSMS?

логи хранятся в папке temp. если грузитесь с LiveCD от simplix, то она находится в B:/temp/antisms.
если грузитесь с другого LiveCD, то в другом месте (по-умолчанию c:/windows/temp/antisms)

в шапке simplix сообщает:

• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.

g0dl1ke — 22.02.2013 10:03:51

тему http://forum.simplix.ks.ua/viewtopic.php?id=399 - в закладки
периодически жмякать на закладку
????
PROFIT

Lhonemzathrum — 22.02.2013 10:12:24

Всем привет! Работал с AntiSMS через загрузочную флешку сделанную в MultiBoot USB, где iso образ клал в папку boot и прописывал в menu.lst title AntiSMS
find --set-root --ignore-floppies --ignore-cd /boot/AntiSMS.iso
map --heads=0 --sectors-per-track=0 /boot/AntiSMS.iso (hd32)
map --hook
chainloader (hd32)

С новой версией программы AntiSMS ошибка "sysfiles.bin не найден, поврежден..." Подскажите, что делать для корректной работы программы!

weldance — 22.02.2013 10:36:46

Lhonemzathrum
я делаю проще - в папке antisms лежит antisms.iso, antisms.exe, sysfiles.bin и hashes.bin. гружусь с antisms.iso и запускаю antisms.exe из папки antisms.

Lhonemzathrum — 22.02.2013 11:00:04

weldance
большое спасибо, все работает!

g0dl1ke — 22.02.2013 12:35:57

Lhonemzathrum


Код:

title SimplixAntiSMS
map /img/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
Lhonemzathrum — 22.02.2013 12:48:12

g0dl1ke
делал так, создавал в корне флешки папку img, кидал туда образ и этот код прописывал, при клике на значке проги ругается на sysfiles.bin.

Albert — 22.02.2013 20:06:36

Здравствуйте.  Здесь часто поднимается вопрос об внедрении образа AntiSMS.exe в загрузочную флешку. По этому поводу по существу высказался SergeyZV. Большое ему спасибо. Обратите внимание на стр. 40 (#998) и стр. 41 (#1000). Нужно переписать файлы sysfiles.bin и hashes.bin в BOOT/WINPE.IS_ - (это CAB архив)/WinPE.iso/WNPE/System32.  Файл antisms.exe там уже есть. Я создаю из WinPE.iso cab архив с помощью программы zg603std (делаю сжатие). Затем переименовываю архив в WINPE.IS_.
menu.lst
title Загрузка AntiSMS - для лечения заблокированных SMS-троянами компьютеров
find --set-root /Boot/AntiSMS.iso
map /Boot/AntiSMS.iso (0xff) || map --mem /Boot/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
В папке Boot у меня находятся образы программ. Этот подход работает, и может быть стоит автору выкладывать данный вариант программы для работы с загрузочной флешкой.

Lhonemzathrum — 22.02.2013 23:29:04

Albert
метод реально работает, правда я делал то же самое с помощью Total Commander + UltraISO, правда маппит в память дольше чем хотелось бы, хотя это в MultiBoot USB, а при добавлении модифицированного образа в сборку 2k10 все работает молниеносно.

BEVV — 26.02.2013 07:12:24

Интересно можно сделать загрузку Антисмс раз в день.. Grub4dos наверное может... Типа загрузка по условию раз в день, раз в неделю может.
Т.е. он загрузился сделал делишки создал файл метку - все ОК, перезагрузка, и по этой метке уже загрузчик грузит основную ОС, а при выходе из ОС она трет эту метку, хотя можно просто смотреть на время создания файла.

Я клоню к тому что было бы удобно на предприятиях положим - подхватили трояна нажали перезагрузку, Антисмс сделал дела, загрузилась основная ОС.

Waterclo — 26.02.2013 07:25:00

BEVV
Если на предприятии подхватывают заразу, то Админа надо увольнять. AntiSMS - всего лишь костыль для неграмотных. Сделать-то много можно, но основная защита осуществляется иначе, хотя бы так.

Павел — 26.02.2013 15:42:59

А можно сделать спецверсию где убрать совершенно все сторонние программы и оставить лишь сам Antisms.

Albert — 26.02.2013 19:03:55

BEVV
Для друзей, которые живут далеко, при наличии у них операционных систем  Windows 7/Vista.
Если вам надо добавить в загрузчик Win7 образ  AntiSMS, то могу посоветовать утилиту EasyBCD 2.0.2. Через эту утилиту очень легко организовать разнообразную мультизагрузку в Семёрке. Есть в ней возможность сделать загрузку и с ISO-образа. Я кинул образ AntiSMS в корень диска С:, указал на него утилите и спокойно загрузился с этого образа, выбрав его при старте. Далее это действие можно проводить самостоятельно при потребности.

BEVV — 27.02.2013 06:24:32

Спасибо Albert !
Пришла тут в голову идея сделать аппаратно раз в день с утра жмакать в этом бот меню кнопку вниз и Enter ) Типа эмуль клавы усб с часами или меткой в флеше эмуля, можно добавить до кучи усб хаб к нему, флеху с АнтиСМС и вот готов практически коммерческий продукт.

dimon — 27.02.2013 15:52:13

на ноуте asus x53s, при загрузке mini win pe выдает синий экран
"...
video driver failed to initialize
...
STOP: 0x00000084 ..."
а можно эту прогу запустить загрузившись из safe mode или с live cd?
спасибо.

weldance — 27.02.2013 17:04:11

dimon
почитайте форум, для начала тут и тут

Натальяяя — 27.02.2013 21:25:38

Здравсвуйте!
С 23 числа пытаюсь избавить компьютер от баннера: сначала пыталась средствами КасперскийЛаб (kav_rescue_10), безрезультатно
Там же, через личку, мне дали ссылку на ваш сайт, попробовала AntiSMS  - опять не помогло, подскажите, может я чего не так поняла, и неправильно сделала

1) Скачала образ загрузочного диска и запишите его на диск с помощью UltraISO
2) Загрузилась с этого диска и запустите значок AntiSMS на рабочем столе
3) Перезагрузилась в систему компьютера и... БАННЕР НА СВОЕМ РОДНЕНЬКОМ МЕСТЕ

повторила операцию еще раз, на всякий случай скопировала результаты проверки с В на С.
попыталась сменить пользователя - беда в том что пользователь только один, но если бы был другой, наверняка бы запустился без баннера, потому что во время этой попытки смены пользователя курсор можно было двигать по всему экрану

Подскажите что можно еще сделать, только если можно, доступным языком (для чайничков)

av1981 — 27.02.2013 22:01:05

Натальяяя сообщает:

Подскажите что можно еще сделать, только если можно, доступным языком (для чайничков)

Можете еще обратиться на http://virusinfo.info, если там не были. А протоколы проверок и карантин наверное можно сюда продублировать (с разрешения администрации естественно), чтобы местные спецы тоже посмотрели на хитрый баннер, ну и автор внес бы поправки в следующую версию АнтиСМС.

g0dl1ke — 27.02.2013 22:28:21

фото баннера можете сюда залить?

hal — 27.02.2013 22:49:29

Натальяяя
Раз уж у Вас есть возможность загрузить WinPE (симпликсовский вариант), то хорошо бы еще попробовать uVs: http://dsrt.dyndns.org/files/uvs_v377.zip
Там же в архиве есть инструкция. Запускать с флэшки или жесткого диска, поскольку утилита при запуске переписывает себя. Если сами не поймете, что там удалить из списка подозрительных файлов - хотя бы скриншот сюда выложите, подскажем :cool:
Кстати, uVS можно запустить не только из под WinPE, но и под самой Windows. В безопасном режиме с поддержкой строки блокиратор тоже есть?

simplix — 27.02.2013 22:58:09

Lhonemzathrum сообщает:

делал так, создавал в корне флешки папку img, кидал туда образ

Нужно держать образ в корне, иначе FiraDisk не найдёт его при загрузке.


Код:

map /AntiSMS.iso (0xff)

На данный момент работает так, или когда все файлы находятся в одной папке. Но в следующей версии сделаю по-другому - все необходимые файлы будут в корне флешки, тогда FiraDisk вообще не будет нужен и все подобные проблемы отпадут.

Павел сообщает:

А можно сделать спецверсию где убрать совершенно все сторонние программы и оставить лишь сам Antisms.

Да, так будет сделано, когда будет готов новый WinPE 4.0, возможно тогда будет два образа - один очень маленький на основе WinXP и другой, побольше, для современных компьютеров, где ОЗУ стоит больше 512 МБ.

dimon сообщает:

на ноуте asus x53s, при загрузке mini win pe выдает синий экран

Такой вот недостаток маленького WinPE. Используйте любую другую сборку WinPE на основе Win7 - она больше по размеру, но загрузится на новых компьютерах. Мой WinPE более новой версии будет позже, но сроков назвать не могу.

Натальяяя сообщает:

попробовала AntiSMS  - опять не помогло, подскажите, может я чего не так поняла, и неправильно сделала

Напишите подробнее, какие сообщения выдавала AntiSMS. Также будут полезными логи из папки B:\Temp\AntiSMS. Но если вам встретился новый вирус, который обходит программу, то крайне важно прислать его на анализ. Если же совсем не можете его найти, скопируйте на флешку папки:


Код:

Если у вас Windows 7:
C:\Users
C:\Windows

Если у вас Windows XP:
C:\Documents and Settings
C:\Windows

Заархивируйте их и загрузите на любой удобный сайт, а ссылку пришлите сюда.

Павел сообщает:

Я вчера тоже поймал такой. Ни АнтиСМС, ни АнтиВинЛокер не взялись.

Те же самые рекомендации, что и для Натальи. Чтобы добавить определение нового вируса нужно для начала его исследовать, только после этого все похожие вирусы будут лечиться.

dimon — 27.02.2013 23:27:07

weldance сообщает:

dimon
почитайте форум, для начала тут и тут

скорее всего я чего-то недопонимаю.
короче загружаюсь с другого mini win pe  с плашки с установочной виндой, далее открываю флешку, на ней только antisms.iso и еще 2 файла DIRECT и SMART.
если же распаковываю antisms.iso и все файлы копирую в корень и оттуда запускаю antisms.exe, пишет,что не находит системной папки

Павел — 03.03.2013 01:09:46

Маленький Win Pe синий экран выдаёт на Виндовс 8, а на 7 и Висте вроде ни разу небыло.

artegron — 05.03.2013 15:55:32

мой файл Drive0.bin
http://www.mediafire.com/download.php?nlz58xbcq78q3ne

9591 — 05.03.2013 19:32:27

Спасибо AntiSMS  сегодня здорово помогло.
На ноуте  у товарища были неприятности, (требовало 220 грн, служба СБУ)  уже нет.:good:

viprus — 05.03.2013 22:15:21

Павел
Простите, если Windows - PE (по сути LiveCD), то при чём здесь родная система? Она может быть какой-угодно... Ось-то грузится с DVD(CD)-R(RW), а не родная...
Если синий экран - железо не в порядке или драйвера в РЕ отсутствуют.

BEVV — 06.03.2013 07:12:03

Добавьте +1 опцию - очищать в ярлыках запуска броузеров сторнние ссылки. Ибо Antisms не делает этого.

happywanderer — 06.03.2013 08:32:02

BEVV
C Webalta это не прокатит, сначало удалить эту "гадость" нужно...

Rheed — 06.03.2013 17:11:12

Всем привет.
Посоветуйте куда копать.
Итак, что имеем: система Win7 x86, в ней созданы две учетки: администратор с хорошим паролем и обычный пользователь без пароля. При старте системы настроен автоматический вход в пользовательскую учетку. Я наивно думал, что такая конфигурация дает гарантию не поймать винлок. Я ошибался :) Вчера мать таки умудрилась, как обычно работая под своей записью, словить блокер. Что еще можно (нужно?) сделать, чтобы это точно не повторилось?

art9 — 06.03.2013 17:33:52

Rheed
под ограниченной учетной записью тоже есть автозапуски. Другое дело, что такой автозапуск не заразит другие учетки и не может повредить системе в целом.
Конечно, если файловая система fat32, то это не поможет.

Rheed — 06.03.2013 17:41:53

art9
Файловая система ntfs. Автозапуск - имеется в виду с физического устройства? Говорит вообще ничего не делала, просто через оперу сайты смотрела.

art9 — 06.03.2013 18:26:16

Rheed
Например, папка C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
Или ветки реестра
HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
Но эти вопросы не для данной темы, т.к. тут обсуждается сама утилита.

Rheed — 07.03.2013 09:07:23

art9
Я понял. Автору утилиты, кстати, тоже спасибо, помогла в одно движение.

sceatch — 17.03.2013 20:34:24

Появилась идея - что если запретить прямо в самом реестре (т.е. ПКМ на ветке реестра, например winlgon, -> разрешения -> запретить) критических записей реестра, как shell, userinit и т.д. Будет такое нормально работать и имеет ли смысл? Можно же все это автоматизировать

art9 — 18.03.2013 13:42:07

sceatch, лучше запретить учетку админа.

mribo — 22.03.2013 09:30:37

Доброго системного.
Пользуюсь загрузочной флешкой (GRUB). Из сборок XP предпочитаю simplix - присутствует на флешке. Также пользуюсь simplix winPE. Не обновлял версию долго. Решил пора. Возникли вопросы. Зачем было выносить AntiSMS из образа winpe.is_ в папку support. Теперь использование отдельно winPE simplix стало неудобным. Можно актуальный исходник ModelRam заполучить?

Спасибо.

happywanderer — 22.03.2013 21:19:33

Не стандартный MBR

weldance — 23.03.2013 16:12:19

Simplix
Antisms, к сожалению, не отработал куст Wow6432Node :(.
Был зловред, который в опере и хроме при открытии сайтов вымогал деньги (посредством смс). експлорер работал нормально.
так вот: был найден oasqryf.dll тут HKEY_LOCAL_MACHINE\ SOFTWARE\ Wow6432Node\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs с параметром C:\PROGRA~3\Mozilla\oasqryf.dll.

g0dl1ke — 23.03.2013 22:58:39

сегодня лечил, скорее всего что то типа: https://www.virustotal.com/ru/file/d8c0 … 364072279/
и выглядело наверно так:


Код:

O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\Mozilla\%random_name%.dll

собственно создается задачка в планировщике, короч смотрите сами:
http://camas.comodo.com/cgi-bin/submit? … ccfd0a3d2a

art9 — 25.03.2013 08:08:59

Предлагаю добавить обработку автозапуска, который срабатывает при запуске cmd
Вот пример из bat вируса:

reg add "HKCU\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f
reg add "HKCM\SOFTWARE\Microsoft\Command Processor" /v AutoRun /t REG_SZ /d "c:\vir.bat" /f

AVZ отключает данный автозапуск при исправлении ошибок системы.

simplix — 25.03.2013 11:56:19

mribo
Чтобы при обновлении AntiSMS не нужно было перепаковывать весь образ с WinPE. Просто возьмите ModelRam из предыдущей версии, там других изменений нет.

weldance, g0dl1ke
Этот куст тоже обрабатывается, почему не сработало - буду разбираться. Возможно проблема в коротком пути, AntiSMS не удаляет запись, если не может найти файл.

art9
Это тоже исправляется.

g0dl1ke — 25.03.2013 13:10:32

1. возможно не отрабатывается очередная ветка автозапуска
2. возможно не отрабатываются ntfs потоки
http://img854.imageshack.us/img854/7701/thumb6sp.jpg  http://img715.imageshack.us/img715/5843/thumb7ut.jpg  http://img831.imageshack.us/img831/6249/thumb8zt.jpg  http://img341.imageshack.us/img341/3065/thumb9x.jpg  http://img59.imageshack.us/img59/8144/thumb10ib.jpg

пример автозапуска:


Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22F1AA6D-0E08-89A8-E744-9B03F4C36B9E}]
"StubPath"="C:\\WINDOWS\\system32:update.exe"
simplix — 26.03.2013 13:07:40

weldance
Никакой ошибки при определении oasqryf.dll не обнаружил. Дело в том, что при проверке AppInit_DLLs вначале проверяется состояние параметра LoadAppInit_DLLs в той же ветке, и если оно не равно 1 или параметр не существует - проверка вообще не выполняется, т. к. только при значении LoadAppInit_DLLs=1 система загружает библиотеки из AppInit_DLLs. Возможно это ваш случай. Попробуйте повторить свой сценарий на тестовой машине, учитывая эту информацию - хочется докопаться до истины, почему AntiSMS не удалил эту запись конкретно у вас.

g0dl1ke
Про очередную ветку не понял, обрабатываются все ветки автозапуска. NTFS-потоки действительно не обрабатываются, добавлю эту возможность в следующую версию.

weldance — 26.03.2013 16:02:35

simplix
да, как-то странно. т.к. первым делом запустил антисмс, ситуация с блокировщиком в браузерах сохранилась. после "руками" удалил C:\PROGRA~3\Mozilla\oasqryf.dll из AppInit_DLLs в Wow6432Node. не удаляя сам файл oasqryf.dll, перезагрузил пк и все заработало. после был удален сам файл.
к сожалению, того "больного" нет. но если что-то подобное встречу - протестирую антисмс и  сообщу о результатах.

simplix — 26.03.2013 16:22:53

weldance
Так вы можете вручную создать папку с файлом и запись в реестре, а затем запустить AntiSMS. В AppInit_DLLs можно записывать только сокращённый путь, в вашем примере он был такой: "C:\PROGRA~3\Mozilla\oasqryf.dll". Это значит, что на диске C было три папки, которые можно сократить:


Код:

ProgramData
Program Files
Program Files (x86)

Следовательно "PROGRA~3" = "Program Files (x86)". На Win7 x86 троян записался бы в "PROGRA~2", а на WinXP в "PROGRA~1" по аналогии.

g0dl1ke — 26.03.2013 20:52:39

если нужно, могу предоставить образец, о котором молвит weldance

simplix — 26.03.2013 21:30:56

g0dl1ke
Он выкладывал свой образец, его я и проверял.

weldance — 27.03.2013 17:16:16

simplix сообщает:

...AntiSMS не удаляет запись, если не может найти файл.

simplix, а возможно сделать в следующей версии так, чтобы при отсутствии файла, антисмс удалял лишние записи? Я уже как-то писал, что не люблю лишних записей в автозагрузке :)

g0dl1ke — 27.03.2013 18:55:56

autoruns на что?

weldance — 27.03.2013 19:14:04

g0dl1ke
зачем? если это все можно реализовать в антисмс.

simplix — 27.03.2013 20:26:36

weldance
Уточняю, несуществующие файлы убираются только в AppInit_DLLs - этот параметр по умолчанию пустой, так что даже если случится что-то совсем непредвиденное, то ничего плохого с системой не произойдёт. Другое дело записи автозагрузки и служб - если опять же случится какой-то непредвиденный случай и путь к файлу будет определён неправильно, тогда отключатся все несуществующие (по мнению программы) записи. Этого я допустить не могу, поэтому программа выполняет только те действия, в которых уверена на 100%.

trew911 — 27.03.2013 20:28:53

вирус ,в учётку пароль свой прописывает , и невозможно зайти без РЕ

g0dl1ke — 27.03.2013 20:47:22

antisms сделан на базе pe

simplix — 27.03.2013 23:25:56

Новая версия 3.4:
Обновлена база хэшей.
Добавлено определение NTFS-потоков.
Обновлена утилита для записи на флешку.
Улучшена обработка назначенных заданий.
Пополнена база известных загрузочных секторов.

Утилита для записи AntiSMS на флешку содержит загрузчики grub4dos-0.4.6a и syslinux-5.01. Также отпала необходимость в FiraDisk, теперь файлы распаковываются сразу на флешку. В назначенных заданиях улучшено определение параметров запуска против некоторых видов троянов.

jimq — 28.03.2013 00:19:52

спасибо большое!

SergeyZV — 28.03.2013 07:59:00

Увы с Usb 3.0 стало ещё хуже. Приходится перепаковывать. Вопрос автору - как создать ярлык в образе?
simplix
Почему вы не хотите ANTISMS.EXE HASHES.BIN SYSFILES.BIN закинуть в WINPE.IS_? Образ станет безпроблемным. Будет заускаться с любой папки и с любой флешки и места будет меньше занимать.

weldance — 28.03.2013 12:23:59

SergeyZV
я сегодня на 3.0 4 пк вылечил:)

simplix — 28.03.2013 12:57:04

SergeyZV
Опишите свою проблему подробнее. Что именно не работает на USB 3.0 и на каком этапе перестаёт работать? И в чём проблема пользоваться USB 2.0, который есть на каждом компьютере?

SergeyZV — 28.03.2013 15:16:33

simplix сообщает:

SergeyZV
Опишите свою проблему подробнее

Копирую antisms.iso в "любую папку"
В меню Grub прописываю:
title AntiSMS 3.4
map --read-only /любая папка/AntiSMS.iso (0xff) || map --mem /любая папка/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Гружусь с USB 3.0 и с USB 2.0 ложу образ в корень флешки - итог на рабочем столе antisms.txt в
котором сообщается об отсутствии файлов antisms.exe ...

Если перепаковать образ работает на ура из любого места и любого USB!

Единственный рабочий способ с помощью AntiSMSusb.exe или тоже самое вручную, но это ограничивает
местом расположения файлов и потерей дополнительных 20 Mb на флешке

Rawtang — 28.03.2013 18:20:17

Копирую antisms.iso на флешку в папку grub
В menu прописываю:

title Setup Setup AntiSMS 3.4
map /grub/antisms.iso (255)
map --hook
root (255)
chainloader

или

title Setup Setup AntiSMS 3.4
map /grub/antisms.iso (0xff)
map --hook
chainloader (0xff)

При загрузке пишет

map /grub/antisms.iso (255)
Error 60: File for drive emulation must be in one contiguous disk area
Press any key continue ...
***************************************************************
На версии antisms 3.3 - всё делал также и всё загружалось как часы.
Что делать, куда копать ???

weldance — 28.03.2013 18:52:56

Rawtang
Попытка замапить фрагментированный файл приведёт к результату -  Error 60: File for drive emulation must be in one contiguous disk area , при таком сообщении нужно делать маппинг в память или дефрагментировать образ и пробовать снова. оригинал
нужны подробности - пишите.

Rawtang — 28.03.2013 19:03:10

weldance сообщает:

Rawtang
Попытка замапить фрагментированный файл приведёт к результату -  Error 60: File for drive emulation must be in one contiguous disk area , при таком сообщении нужно делать маппинг в память или дефрагментировать образ и пробовать снова. оригинал
нужны подробности - пишите.

Я дефрагмертировал образ с помощью WContig. Но ничего не происходит. Подскажите чем можно дефрагментировать чтобы грузится напрямую с iso. Как это было с прошлой версией.

weldance — 28.03.2013 20:03:54

Rawtang
Error 60 связан именно с фрагментацией  файлов. по крайней мере у меня все случаи были связаны с этим. попробуйте отформатировать флеш и записать всё заново. сам в исключительных случаях пользуюсь WinContig.
simplix, SergeyZV
заметил, ситуация таже "на рабочем столе antisms.txt". копирую антисмс с бинами в корень и всё ок.
просто я ярлыком на рабочем столе никогда не пользовался и запускал exe (с бинами) из отдельной папки.

SergeyZV — 28.03.2013 20:52:24

simplix, SergeyZV
заметил, ситуация таже "на рабочем столе antisms.txt". копирую антисмс с бинами в корень и всё ок

Про что я и писал. А если просто перепаковать образ, то будет работать без каких либо проблем.
И если копировать антисмс с бинами в корень и грузиться с USB 3.0 OKя не будет, тк в данном случае флешка
не видится и соответственно файлы в корне её!

simplix — 28.03.2013 23:39:25

SergeyZV
Раньше не делал так, чтобы съэкономить оперативную память на старых компьютерах, но согласен - преимуществ этого способа больше, особенно когда речь идёт о перемещениях образа в свои папки. Вот (ссылка удалена) версия с упаковкой всех файлов во внутренний образ.

0 0 — 28.03.2013 23:46:17

simplix, то есть этот вариант (с запихиванием всех файлов во внутренний образ) не будет основной?
И это одиночный (уникальный) вариант только для 3.4, для 3.5 версии уже придётся самим... ? :(

Rawtang — 28.03.2013 23:57:54

Спасибо огромное simplix этот образ запустился как часы.

simplix — 29.03.2013 00:15:19

0 0
Посмотрим, если всех будет устраивать - могу и этот сделать основным, начиная со следующей версии.

Incognito — 29.03.2013 09:47:44

Новый локер находиться
%temp%\*.exe
\\REGISTRY\\USER\\S-1-5-18\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
\\REGISTRY\\USER\\.DEFAULT\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
загружается во время входа User'а в систему ;)

g0dl1ke — 29.03.2013 22:47:08

на старых пк так же без проблем грузица будет?
а так же многие наверняка попросят интегрировать дрова на sata контроллеры

byroot — 30.03.2013 05:19:09

Incognito сообщает:

Новый локер находиться
%temp%\*.exe
\\REGISTRY\\USER\\S-1-5-18\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
\\REGISTRY\\USER\\.DEFAULT\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
загружается во время входа User'а в систему ;)

Папка %temp% итак чистится из под WinPE!!!

s_host — 30.03.2013 10:40:37

SergeyZV
У меня оба образа нормально грузятся через USB 3.0

Lhonemzathrum — 30.03.2013 11:58:15

У меня на 3.0 стандартный (не перепакованный) образ не пошел на 3 машинах - вместо экзешника текстовый файл с описанием ошибки (не найдены файлы программы), пришлось брать второй. Со вторым проблем нет. Кстати, почему версия 3.4 не убирает такой локер http://rghost.ru/36406368? (пас 111) - ссылка взята с данной темы, пост #6. Файлик локера в автозапуске после автоматической обработки так и остался. Autoruns конечно есть, но все же...

0 0 — 30.03.2013 13:00:27

Lhonemzathrum, не вводите людей в заблуждение.
Версия 3.4 отлично справляется с этим локером.
(проверено на виртуалке: xp sp 3, win 7 sp 1, win 8)

SergeyZV — 30.03.2013 15:07:36

s_host сообщает:

SergeyZV
У меня оба образа нормально грузятся через USB 3.0

На оригинальном не работает прямой маппинг, а на перепакованном работает!

Lhonemzathrum — 30.03.2013 17:39:57

0 0
http://www.youtube.com/watch?v=866JBsV2 … e=youtu.be уж извините за качество видео, но снимал ради информативности а не ради красоты. Версия 3.4 не убрала локер на рабочей а не виртуальной машине, обвинять в введении в заблуждение меня это как то странно. Особо подчеркиваю что экзешник остался в автозагрузке http://i48.fastpic.ru/thumb/2013/0330/b9/a09c5c94ee71cc8366fecf68345523b9.jpeg

0 0 — 30.03.2013 17:50:41

Lhonemzathrum, куда больше было бы толку от ЛОГов.

логи работы программы сохраняются в папке %Temp%\AntiSMS.

з.ы. логи брать есессно из WinPE

Lhonemzathrum — 30.03.2013 18:35:57

0 0
Журнал работы AntiSMS 3.4, время - 20:26:56 30.03.2013

Найдена операционная система в папке H:\Windows
Операционная система опознана как Windows 8
Проверены и восстановлены важные ключи системного реестра
Файл C:\ProgramData\VKSaver\VKSaver.exe не подписан и его автозагрузка отключена, создана резервная копия
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя Алексей
Очищена временная папка пользователя Алексей
Очищена системная временная папка

Найдена операционная система в папке I:\Windows
Операционная система опознана как Windows 7


на этом лог заканчивается, и таких машин уже несколько

Albert — 30.03.2013 19:37:26

Здравствуйте. При проверке с флешки  программой AntiSMS 3.4 (записана утилитой AntiSMSusb) компьютера с Win XP у меня вышло сообщение: AVIRA
Реестр заблокирован
Дата/Время: 30.03.2013, 20:41:30 Тип: Реестр заблокирован
Для вашей безопасности была заблокирована подозрительная попытка доступа к реестру.
Выполните полное сканирование системы!
Более подробную информацию можно получить в разделе справки.
Настройки
Справка
I Проверить 1 Г Позже |
Далее, при проверке системы с WIN7 и 8 на разных разделах, при загрузке компьютера выходит:
Scanning and repairing drive(E: ):xx%. И так на всех дисках. Этот случай наблюдался на флешках Transcend на 2 Гб и 32 Гб (USB 3.0). На флешке в 4 Гб (той же фирмы) после проверки, компьютер нормально загрузился.
До этой версии 3.4 таких моментов не было. В журнале работы программы отличий не заметил.

0 0 — 30.03.2013 20:21:42

Lhonemzathrum, версией 3.4 уже пролечено 6 системников (включая  древних) и 3 ноута. Везде всё норм. правда на всех машинах была установлена 1 ос.
В случае на видео - их 2 как я понимаю. Посмотрим что скажет simplix.

simplix — 31.03.2013 02:15:11

Incognito
Видимо этот блокировщик у вас остался где-то ещё, так как он не может запуститься при входе в систему, если прописан только в Explorer Bars. Вы не указали, лечит его AntiSMS или нет, и если нет - пришлите этот блокировщик для анализа.

Lhonemzathrum
Большое спасибо вам за отчёт! Сразу вопрос по видео - там видно, что загрузка идёт с устройства SCSI-0, так что для начала нужно посмотреть, видно ли в WinPE раздел с той системой, которую не удаётся вылечить. Если через "Мой компьютер" видно папку с системой - уже хорошо, если не видно - значит и AntiSMS не увидит этот винчестер. Дальше, лог обрывается на ровном месте, значит в программе происходит критическая ошибка и она просто закрывается, не закончив работу по лечению. Буду очень благодарен, если вы сможете запустить несколько тестов на проблемном компьютере, подробности напишу вам в ПМ.

Albert
Что именно было под буквой E:? От работы программы проверка дисков никак не зависит, а если проверялась флешка, то возможная причина - небезопасное извлечение, вот система её и проверяет. По антивирусу пока не понятно, специально проверил - ничего подобного Avira не выдаёт при проверке AntiSMS.

Albert — 31.03.2013 07:26:09

Simplix
C:, D:, E: - это разделы диска. Флешка после проверки из разъема не вынималась. Она не тестировалась, при загрузке системы. На C: находится Win 8, на D: Win 7. Может это зависит от флешки? На Трансценде с 4ГБ все было нормально. Параметры моих флешек.


Код:

Volume: G:
Controller: Innostor IS902 E A1
Possible Memory Chip(s): Not available
VID: 8564
PID: 1000
Manufacturer: JetFlash
Product: Mass Storage Device
Query Vendor ID: JetFlash
Query Product ID: Transcend 32GB  
Query Product Revision: 1.00
Physical Disk Capacity: 31611420672 Bytes
Windows Disk Capacity:  31595937792 Bytes
USB Version: 3.00 in 2.00 port
Max. Power: 20 mA
ContMeas ID: 0A69-06
Microsoft Windows XP SP3

Volume: H:
Controller: Alcor AU6983/AU6986
Possible Memory Chip(s): 
  Samsung K9GAG08B0M
  Samsung K9GAG08U0M
Memory Type: MLC
Flash ID: ECD514B6 74EC
Flash CE: 1
Flash Channels: Single
Chip F/W: 2107
Group: 85
VID: 058F
PID: 6387
Manufacturer: JetFlash
Product: Mass Storage Device
Query Vendor ID: JetFlash
Query Product ID: Transcend 2GB   
Query Product Revision: 8.07
Physical Disk Capacity: 2019557376 Bytes
Windows Disk Capacity:  2010963968 Bytes
USB Version: 2.00
Max. Power: 100 mA
ContMeas ID: 0A69-08
Microsoft Windows XP SP3

К сожалению флешка на 4 ГБ не моя и я смогу поглядеть на нее только завтра.

barsuk — 31.03.2013 07:51:49

Albert, нахрен вообще 3.0 флешку использовать то под загрузку?
PS: Вы используете старую версию программы.

Albert — 31.03.2013 09:11:19

barsuk
Одна из флешек USB 2.0 на 2ГБ. Да и дело наверное не во флешках.

simplix — 31.03.2013 16:46:19

Новая версия 3.5:
Исправлено несколько критических ошибок.

Albert
Вероятно AntiSMS и проверка ваших дисков никак не связаны. Попробуйте загрузиться с диска и перезагрузиться в систему, не запуская AntiSMS, или загрузитесь с другого WinPE и посмотрите, что будет.

babayka — 31.03.2013 17:53:37

При использовании загрузочного диска, заметил что удаляются вирусы из оперативной памяти. :good:

0 0 — 31.03.2013 18:54:58

• Все нестандартные записи в файле hosts будут закомментированы.

Раскройте, пожалуйста, термин.
Стандартные записи - записи вида 127.0.0.1 dns-name
Так?

g0dl1ke — 31.03.2013 18:57:52

нестандартные - отличные от


Код:

    127.0.0.1       localhost
    ::1             localhost
art9 — 31.03.2013 19:00:35

Вроде как, любые 127.0.0.1 не убираются. Это для того чтобы не слетали всякие левые активации.

0 0 — 31.03.2013 19:05:49

g0dl1ke, до сего дня я так и думал что AntiSMS так и считает, но только что столкнулся с тем что сабж не комментировал

127.0.0.1 rad.msn.com
127.0.0.1 zbshareware.com
127.0.0.1 www.zbshareware.com
127.0.0.1 zbshareware.net
127.0.0.1 www.zbshareware.net

Хотя в этих строках нет ничего криминального (первая режет рекламу в Skype, последующие - не дают обновляться USB Disk Security), даже не знаю к добру ли это.

art9, так оно и есть. :)

simplix — 31.03.2013 19:52:31

Кстати, ::1 сейчас тоже комментируются, в следующей версии исправлю. Ещё нужно дожить до того времени, как трояны будут делать записи в формате IPv6, но пусть будет.

Тестовая версия диска с массой всевозможных драйверов для контроллеров, основан на базе драйвер-пака с DriverOff.net. Должен видеть все на свете винчестеры, конечно если взлетит (с).

g0dl1ke — 01.04.2013 07:55:20

иногда проскакивает вместо antisms.exe

Не удалось найти флешку или диск с AntiSMS.
Если вы переименовывали или перемещали файлы
из корня диска или флешки - найдите их
и запустите файл AntiSMS.exe вручную.

а тестовую затестим, пасиба

simplix — 01.04.2013 09:56:46

g0dl1ke
Эта запись была только на версии 3.4, в новой 3.5 всё загружается в память.

Incognito — 01.04.2013 12:08:00

Пожалуйста, дайте ссылки на сайты где можно поймать локера, для себя нужна. СПС:)

Albert — 01.04.2013 12:13:02

simplix
Здравствуйте.  Проблемы мои решились следующим образом. В компьютере с Win 8 (не мой) на моих глазах прошло долгое восстановление системы и, флешка с Anti SMS заработала как положено. В компьютере с Win XP в настройках антивируса Авира убрал галочку: Общее-безопасность-Защитить от манипуляций файлы и введенную информацию о регистрации. Никаких заявлений типа: : Реестр заблокирован. Для вашей безопасности была заблокирована подозрительная попытка доступа к реестру.
Выполните полное сканирование системы! не стало.

Алекс — 01.04.2013 13:13:47

Incognito
далеко ходить не нужно.. :crazy: здесь кучу локеров выкладывали сами пользователи для тестов.. смотрите предыдущие сообщения.

g0dl1ke — 01.04.2013 14:57:01

simplix
действительно, проблемы больше нет

biffick — 03.04.2013 08:43:33

Доброе утро всем:drinks:

Скажите, а есть ли эта утилита для обычных Windows осей,а не только для PE?

happywanderer — 03.04.2013 08:47:40

biffick
А Вы назначение утилиты читали? из под Винды можно только настройки сети воосстановить...:cool:

biffick — 03.04.2013 10:20:37

happywanderer
блин. Это не есть хорошо... а почему нету под обычную ОСь?

art9 — 03.04.2013 10:28:43

biffick
Все хорошо.

happywanderer — 03.04.2013 11:54:55

biffick
Изложите свою концепцию, как это должно выглядить из под оси? :unknown:

Lhonemzathrum — 03.04.2013 11:57:27

biffick сообщает:

блин. Это не есть хорошо... а почему нету под обычную ОСь?

да вы сказочник! сами поняли о чем спросили?

biffick — 03.04.2013 12:11:18

Излагаю... закрепляешь на панели задач, далее Win+1\2\3... вуаля.

happywanderer — 03.04.2013 12:14:35

biffick
А кто сказал, что локер вообще даст Вам загрузится до Win+1\2\3. ?

biffick — 03.04.2013 12:16:36

happywanderer
я про простые...не МБР-ные.

Lhonemzathrum — 03.04.2013 12:50:58

biffick сообщает:

Излагаю... закрепляешь на панели задач, далее Win+1\2\3... вуаля.

вы говорите об установке анлокера в работающую ос, это можно назвать и предварительной профилактикой. Следовать безопасным принципам и локера вы не увидите. А здесь тема именно про лечение, а еще наличие мбр лока не говорит о его сложности или простоте.

weldance — 03.04.2013 13:34:46

biffick сообщает:

Скажите, а есть ли эта утилита для обычных Windows осей,а не только для PE?

а зачем? локер всё равно блокирует доступ к программам на пк. если вам нужно вылечит пк без вашего участия, необходимо заранее в загрузчик windows вставить загрузчик grub с антисмсом (об этом где-то тут я писал).
был у меня такой случай: (раскрыть): знакомому вылечи пк от локера, после вставил в загрузчик win антисмс. через пару месяцев абонент позвонил с очередным локером. я ему сказал выбрать загрузку антисмс и запустить ярлык антисмс на раб столе. и усё.
p.s. данный способ не лечит локер-загрузчика (mbr).

Lhonemzathrum — 03.04.2013 14:27:55

weldance
я встраивал с помощью EasyBCD

weldance — 03.04.2013 14:30:54

Lhonemzathrum
в 7 и 8 встраивал тож через EasyBCD, в xp через grub

biffick — 04.04.2013 13:14:26

Спасибо хоть за Pe версию) Очень помогает порой.

swf57. — 04.04.2013 15:39:05

simplix  По ссылке, скачал AntiSMSusd 3.5., AntiSMS.iso 3.5 и AntiSMS USB Installer 3.5 . При создании СД - болванки, утановил флажок проверки диска. После записи сообщение - Диск записан с оибкой код 0х80004005. При создании зогрузочной флешки: открываю флешку - там " записать образ диска. При запуске AntiSMSusd.exe, пробегают строки, потом нажмите любую кнопку для продолжения - нажимаю и всё, больше ни чего не происходит? Все три загрузки Сканирую NOD32 Secueity 4.2 . AntiSMS USB Installer = чисто; AntiSMS.iso = НОД выдаёт,- ....=ISO=ANTISMS.EXE=NSIS=IesDir - Архив повреждён - файл не может быть извлечён; ....=ISO=WINPE.IS=CAB=WinPE.iso=ISO=ANTISMS.EXE=NSIS=IesDir - Архив поврежён..;  AntiSMSusd = NOD выдаёт,- C:\Users\1\Downloads\AntiSMS.exe=NSIS=IesDir - Файл повреждён.... Подскажите, что делать?  :(

0 0 — 04.04.2013 15:56:52

swf57., проверь контрольные суммы образа.
Скрытый текст (раскрыть):
Контрольные суммы правильного образа следующие:
Файл: AntiSMS.iso
MD5: ceed4d78a3f55a00a20757762bf4c487
SHA-1: 364f42cec18ad8881c377769064874d33fbaaba4
Проверить контрольные суммы можно, например, этим HashCheck
Попробуй воспользоваться этим для скачивания образа.

з.ы. Про ошибку:

80004005 - стандартный Access Denied - доступ запрещен.

Возможно NOD блокирует доступ к файлу. Так что на момент записи следует его отключить.
Кстати говоря, раз такая ошибка вылазит ПРИ ПРОВЕРКЕ записи диска, то ещё не факт что диск записан неправильно.

Lhonemzathrum — 05.04.2013 18:43:42

привет всем, проверьте, как отрабатывается данный винлок http://rghost.ru/45066049 (В частности на восьмере)
пароль 123

0 0 — 05.04.2013 18:48:10

Lhonemzathrum

403

the action is not allowed, because the file is marked as private and the key you provided is not correct

поправь ссылку

Lhonemzathrum — 05.04.2013 18:51:21

http://rghost.ru/45066049 сорри доступ забыл открыть
Если не трудно, проверить бы еще после лечения доступ к системному разделу

0 0 — 05.04.2013 19:38:32

После отработки AntiSMS и запуска Win 8 x32 идёт проверка системного диска. Затем восстановление, диагностика и устранение проблем.
В логах работы ничего интересного.
Скрытый текст (раскрыть):
Журнал работы AntiSMS 3.5, время - 20:31:54 05.04.2013

Найдена операционная система в папке D:\Windows
Операционная система опознана как Windows 8
Проверены и восстановлены важные ключи системного реестра
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя user
Очищена временная папка пользователя user
Очищена системная временная папка

Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке B:\Temp\AntiSMS\05.04.2013-1\Backup

Работа AntiSMS завершена, время - 20:32:11 05.04.2013


Интересные последствия. Что скажет simplix ?

MBTY — 05.04.2013 20:29:55

Вирус, который каким-то макаром правил хост так, что вход на одноклассники был невозможен. Было перенаправление на
http://www.odnoklassniki.ru/check_security.php после того как вбиваешь свой логин и пароль. На странице пишется, что от юзера было много спама и нужно разблокировать учетку, указав свой номер.
Файл системный, относится к какой-то службе. CureIT и MSE эту гадость еще не знают.
Зараженый host выложить не могу, потому, как его kaspersky rescue cd "исправил", хотя я до этого на hosts из под wnpe глядел акельпадом - обычный хост.
AntiSMS 3.5 из под живой системы не спас, ровно как и AntiSMS.ISO не нашел вообще следа негодника.
Пароль на архив 1
Находилась гадость в c:\windows\system32 После чистки этого файла каспером система загружалась ну ооочень долго. Помогло восстановление реестра через ERDNT. Вся гадость была захвачена под ХР друга, который живет далеко, а потому больше информации предоставить не могу. (Железо и где поймал)
http://rghost.ru/45069674
P.S. Отправьте его кто-нибудь в лабораторию мелкомягких. Я не умею
(Свежак же https://www.virustotal.com/ru/file/9ad8 … 365183110/)

g0dl1ke — 06.04.2013 04:03:02

скорее всего это новый вирус, что заменяет rpcss

MBTY — 06.04.2013 10:55:17

g0dl1ke
так то оно так, да только деньги вымогает, потому как при указании номера в одноклассниках приходит на телефон инструкция, что мы должны отправить смс на короткий номер, чтобы разблокироваться. Вобщем не вирус больше, а ломалка настроек интернета, которые AntiSMS из под живой системы не вылечил. Сам понимаю, что это больше зловред вирусный, но счел нужным и сюда разместить

Core-2 — 06.04.2013 11:00:36

MBTY Удалила эту гадость у соседки простым сканированием ESS4. Сынок её играл онлайн и выключил антивирь. После сканирования и очистки всё пришло в норму.

g0dl1ke — 06.04.2013 15:27:25

есет умеет "лечить" зараженный файл
в случае использования других (ибо другие продукты лечить пока НЕ научились) необходимо из под live заменить зараженный файл
фактически это очередной баннер, но с более хитрой системой интегрции, ибо простым сбросом  носков (winsock), сбросом арп и днс, чисткой хостс - данная угроза не лечится

MBTY — 06.04.2013 17:57:46

g0dl1ke
Вспоминаю 2009 год, когда мне самый свежий на то время Eset стер все ехе молча, которые были заражены каким то типичным трояном. Да так, что даж Win запуститься не смогла.. Ох я тогда намучался. Касперский умеет лечить из под Rescue Disk и из под живой ОСи, да и Dr.Web и CureIt.
P.S. Сегодня сам хапнул винлокер с сайта http://rustorka.com, хотя был и Adbloсл включен и прочие предосторожности приняты. AntiSMS справился.  Стало мне везти на "новинки". Его тоже на virustotal нкто кроме каспера еще не знал

happywanderer — 06.04.2013 18:10:51

MBTY
а как на русторке умудрился? частенько туда захаживаю, но у меня "корова" с "адблоком" в паре трудятся...

g0dl1ke — 06.04.2013 20:46:05

MBTY
в данном случае тока есет и лечит
а так да, бэкапы рулят

MBTY — 06.04.2013 22:29:21

happywanderer
http://rustorka.com/forum/viewtopic.php?t=71076
Нажал на Age of empires 2 HD. Вылезла страница на заднем плане. (Pounder или clickunder, хрен ее знает), потом пуск пропал, свернул оперу, а под оперой уже блокиратор красуется с рассказами о том, что я глядел гей порно. Диспетчер задач заглох, всё заглохло. Ну я сам оперу альт+табом вызвал, закрыл. Ребутнулся в AntiSMS, вылечился. На рабочем столе нашелся какой-то циферный ехе (2134234.exe). Скачал я потом Age of Empires 2 HD. А её и правда п%:расы делали. Флуд (раскрыть): Старую добрую игруху запороть умудрились. Растянули стартовое меню, что оно как замыленное выглядит. Текстуры холмов и оврагов в игре тоже заменили на хрен знает, что (вся игра с рождения в 256 цветов, а тут яма чи холм так нарисована в TrueColor, что не поймешь - возвышенность это или яма.
Вот как рельеф реализован в новой HD версии http://savepic.org/3183172m.png, а вот что было в оригинале http://savepic.org/3179076m.png
Ну в общем выходные не удались.

simplix — 06.04.2013 22:47:44

0 0 сообщает:

После отработки AntiSMS и запуска Win 8 x32 идёт проверка системного диска. Затем восстановление, диагностика и устранение проблем.

Не получается повторить проблему, система загружается без ошибок. Проведите несколько экспериментов, например появится ли ошибка, если загрузиться в WinPE, но не запускать AntiSMS, или что будет, если запускать другие WinPE на основе WinXP и Win7-8.

MBTY
К сожалению после подмены библиотеки троян никак себя не проявляет, на одноклассниках никаких аномалий не видно. Может быть он дополнительно модифицировал реестр (его можно посмотреть, ERDNT сохраняет резервные копии текущих кустов перед восстановлением резервной копии).

0 0 — 06.04.2013 23:00:10

simplix, заражаю локером ось, гружусь в WinPE AntiSMS не запускаю, перезапускаю - проблема повторяется.
Если повторить тоже самое НЕ запуская локера, то опять имеем ту же проблему.
Отсюда вывод: ни локер, ни AntiSMS тут не причём. Проблема в тестовом стенде. (Возможно из-за перезагрузки ОС наживую.)

simplix — 06.04.2013 23:17:29

0 0
Подождите, так вы перезагружаете систему ресетом? Тогда это не возможная, а точная причина проблемы.

0 0 — 06.04.2013 23:52:24

simplix, как иначе перезагружать систему заражённую локером?

MBTY — 07.04.2013 00:55:49

simplix
Хост тоже был заражен (я писал выше), но я его выловить не успел, а вот реестр с радостью бы дал весь "слепок", да только когда попаду к другу за ПК - будет поздно уже. :(

simplix — 07.04.2013 01:21:13

0 0
Можно нажать на кнопку питания, тогда система корректно выключится. А в Win7 и выше Ctrl+Alt+Del всегда покажут экран, где можно перезагрузиться.

MBTY
Так или иначе, если всё делать по инструкции, в которой написано проверить компьютер антивирусом, проблема будет решена.

happywanderer — 07.04.2013 12:12:55

0 0 сообщает:

simplix, как иначе перезагружать систему заражённую локером?

В былые времена, когда локер блокировал раб.стол использовал в ХР последовательность манипуляций: Ctrl+Esc -> вверх -> вверх -> вверх -> набрать winword + Enter -> напечатать любой символ -> нажать кнопку выключения компутера (не резет), машина начинает сворачивать окна, остаётся только Ворд с вопросом "Сохранять?" "Не сохранять?", отменяем "Завершение работы", ну а дальше, у кого как голова думает...

olzaruta — 07.04.2013 15:22:05

MBTY  http://rustorka.com/forum/viewtopic.php?t=71076

- Не знаю где вы там винлокер нашли? :unknown: Я все "перещелкал" .....чисто!
- Вот свежий блокер http://rghost.ru/45114157  пароль virus ...AntiSMS на нем не тестировал.

0 0 — 07.04.2013 15:39:22

olzaruta, AntiSMS справляется на ура. (уже и на Autoit пишут локеры))))
Русторка также не дала локера как не мучал :(
з.ы. По поводу перезагрузки: всё из-за того что нет "почтения" к тестовому стенду.
Был бы не тестовый стенд, а собственный комп, то, возможно, и "бережней" бы передёргивал, а не по ресету.
В любом случае, спасибо что ответили на риторический вопрос)

weldance — 07.04.2013 20:48:19

simplix
это ваша тема http://forum.drp.su/showthread.php?t=4140 ???
Скрытый текст (раскрыть): http://s45.radikal.ru/i108/1304/2a/5ab559d453f7.png
если "да", то почему "собственный LiveCD"?

Lhonemzathrum — 07.04.2013 20:51:15

olzaruta
в этом блокере свежая только картинка, тестил на живой системе, кроме автозагрузки никуда не влез, да и из под винды можно грохнуть если постараться.

g0dl1ke — 08.04.2013 08:38:03

MBTY
заразил свою хр, ковыряю :good:

кстати, сейчас ситуация намного лучше: https://www.virustotal.com/ru/file/9ad8 … 365404271/

20 / 46

авира умеет и могет лечить данный вирус  - удаляя rpcss нафиг
http://img803.imageshack.us/img803/7770/thumbevd.jpg  http://img202.imageshack.us/img202/6344/thumb2fcb.jpg  http://img5.imageshack.us/img5/8180/thumb3wa.jpg

warikkk — 10.04.2013 11:47:13

simplix,MBTY Могу ли я при помощи  AntiSMS USB Installer 3.5 записать мой собственный LiveCD на флешку? Я так понимаю ему главное указать путь к iso файлу а будет ли там сборка СМС или другая - не имеет значения?

andre — 10.04.2013 12:42:29

warikkk путь к iso файлу ANTISMS.iso Другой образ записать не получится да и не к чему - программ для записи образов много

g0dl1ke — 10.04.2013 14:16:51

warikkk
http://forum.simplix.ks.ua/viewtopic.php?id=128

andryz80 — 11.04.2013 13:02:06

simplix по моему в ХР еще можно нажать Ctrl+Alt+Del а потом еще раз Ctrl+Alt+Del и комп должен перезагрузится. но воможно ошибаюсь так как сейчас под рукой ХР нет, что бы проверить.

happywanderer — 11.04.2013 15:38:48

andryz80
И что.....?

g0dl1ke — 11.04.2013 20:52:43

это так баннеры убирают?

MBTY
http://www.comss.info/page.php?al=TrojanZ

0 0 — 11.04.2013 21:54:06

g0dl1ke

Сообщение : Ошибка (#950)
Возникла ошибка, возможно, неверный адрес?

http://www.comss.info/page.php?al=TrojanZekos
Правильная ссылка такая ?

http://i46.fastpic.ru/big/2013/0412/e3/4430a98eb96230dde508d3d8e18f06e3.png

g0dl1ke — 12.04.2013 09:46:59

0 0
может сюда пойдем?
http://forum.simplix.ks.ua/viewtopic.php?pid=15560

swf57. — 12.04.2013 11:46:07

0 0  Здравствуйте. Попробовал загрузить образ диска с отключонным НОДом: после сканирования = результат тот-же, архив повреждён! Контрольные суммы МД5, совпадают. Скачал CDBurnerXP 4.5.1.3886.exe, попробовал создать ИСО, включил режим проверки записи диска, в режиме проверки, прогрмма зависла. Пришлось комп. выключать кнопкой. Воспользовавшись ссылкой Update[iso].exe на компе запустился плеер Медиа центр и создать образ у меня не получилось. При повторной попытке открыть Update[iso].exe, всплывает окно с предупреждением об ограничении использования программы,обращайтесь к Администратору.  :(

0 0 — 12.04.2013 14:30:33

swf57., раз контрольные суммы верные - то скачен правильно.
С записанного образа пробовали грузится?
Чем не устраивает загрузочная флешка?

1. Скачиваете http://antisms.com/AntiSMSusb.exe
2. Скачиваете http://antisms.com/AntiSMS.iso
; Оба файла должны лежать в одной папке.
3. Вставляете флешку.
; Внимание! Все данные на флешке будут уничтожены, так что если они важны - делайте копии.
4. Запускаете AntiSMSusb и нажимаете Старт
5. Дожидаетесь сообщения "Теперь всё готово!"
; Теперь можете загружаться с флешки.

warikkk — 12.04.2013 15:13:01

g0dl1ke Спасибо!

olzaruta — 12.04.2013 16:30:57

Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385  Пароль: infected

jimq — 12.04.2013 18:26:27

привет всем. вот, уже второй раз, наткнулся на новенький троянчег. в первый раз, когда подцепил, пришлось винду новую поставить, не мог разобраться. смотрел файл hosts, а он чистый. сейчас виросописатели поступают умнее. просто блокировать уже смысла нет. троян сидит в памяти и не даёт входить на популярные соц сети, такие как вконтакте, маил, фэйсбук. пишет, что якобы с вашего аккаунта замечен спам, потом просит ввести номер телефона, на который приходит код активации. код разумеется не с официальных сайтов соц сетей, а с короткого номера, предположительно после того как активируешь, несколько сотен рэ улетит в карман нехорошим людям.
Выявил его я только AntiWinLockerCD Pro(спасибо Брызгалову Сергею). Его активность: после запуска трояна, он создаёт 2 файла и прописывается в автозагрузку и добавляется в планировщик по пути C:\Documents and Settings\All Users\Application Data\Mozilla (у меня Windows XP)
забрать и попробовать на виртуалке можно отсюда: http://rghost.ru/45236801

0 0 — 12.04.2013 18:44:06

olzaruta сообщает:

Trojan.Hosts паролит существующую учетку http://rghost.ru/45159385  Пароль: infected


Код:

@shift
@echo off
net user %username% "00001"
RUNDLL32.exe USER32.dll,LockWorkStation

Ай какой страшный))) И сие обёрнуто этим - Quick Batch File Compiler

swf57. — 12.04.2013 18:53:47

0 0 Да, не однократно пробовал загрузится, итог: Loading Mini Windows PE. Windows could not start due to an error while booting from a RAMDISK. Windows failed to open the RAMDICK image. File\BOOT\WINPE.IS_could not be Loaded. The error code is 7. Setup cannot continue.  Press any key to exit. Я понял так,- что получил отказ на старт, система отказала продолжить запуск, из-за установки ключа на выход. Что за ключ? Вкладка на форуме, по флешке, не раскрывается? :(

0 0 — 12.04.2013 19:10:27

swf57., "вкладка" не открывается - потому что запрещён JavaScript в браузере. Убрал спойлер.
Касаемо "The error code is 7.": возможно что-то с оперативкой (неисправна или мало её), ну или в биосе настройки не те.
Отпишитесь о конфигурации компьютера. Сколько оперативной памяти, какая Windows ?

swf57. — 12.04.2013 19:29:01

0 0  Сейчас вкладка раскрылась; скачал оба файла, создал новую папку, скопировал оба файла в папку, сосдал образ на флешку. Сканирую флешку НОДом ,- 2 файла - Архив повреждён, файлы не могут быть извлечены? Сейчас попробую загрузится с флешки снова?  ОС - Windows 7 Макс. ; Tип - x86-based PC ; BIOS 14.04.2010 ; RAM - доступно физич. 799Мб, виртуаль. 1.97Гб, подкачки 1.91Гб.

0 0 — 12.04.2013 20:24:38

swf57. сообщает:

Сканирую флешку НОДом

Зачем? Вам чтоб ехало или лампочки мигали?
С флешки грузится?

swf57. — 13.04.2013 00:12:31

0 0 С флешки загрузился. Появился рабочий стол. Запустил АНТИСМС, теперь буду разбиратся,что к чему. Вобщем, вопрос решон, загрузочная флешка создана. СПАСИБО!!!

vladshishkin_Forever — 15.04.2013 08:41:34

Вот, что то типо вируса AntiWinLocker не справляется.
http://rghost.ru/45300476

g0dl1ke — 15.04.2013 09:23:56

:lol:


Код:

@shift
@echo off
cd %ProgramFiles%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
cd %ProgramFiles(x86)%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
cd %ProgramW6432%\AntiWinLocker
ren ServiceAntiWinLocker.exe ServiceAntiWinLocker1.exe
net stop AntiWinLocker
net stop AntiWinLocker
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticecaption" /t REG_SZ /d "Внимание!"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f /v "legalnoticetext" /t REG_SZ /d "Компьютер заблокирован !!!  В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeCaption" /t REG_SZ /d "Внимание!"
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /f /v "LegalNoticeText" /t REG_SZ /d "Компьютер заблокирован !!!  В связи с несанкционированным доступом к ресурсам содержащим элементы порнографии и пидофилии. Для разблокировка компьютера отправте SMS на номер 5565 с текстом Unlock . В ответ на SMS, придет сообщение с паролем для разблокировки компьютера!"
net user %username% "Julia_HuliYa"
net user Администратор "Julia_HuliYa"
RUNDLL32.exe USER32.dll,LockWorkStation

краткое описание:
1. запускаем полученный где та файл
2. винда блокируется и требует ввода пароля (который естественно мы не знаем)
3. при перезагрузке выводится страшное сообщение о том, что комп блокирован и бла бла бла

хронологию можно посмотреть тут:
Скрытый текст (раскрыть): http://img163.imageshack.us/img163/8456/thumbyhq.jpg  http://img593.imageshack.us/img593/8968/thumb2bp.jpg  http://img543.imageshack.us/img543/8726/thumb3gfd.jpg  http://img441.imageshack.us/img441/5323/thumb4w.jpg

http://img255.imageshack.us/img255/2824/thumb5ok.jpg  http://img259.imageshack.us/img259/9035/thumb6mj.jpg  http://img14.imageshack.us/img14/2569/thumb7s.jpg  http://img829.imageshack.us/img829/6835/thumb8gp.jpg

olzaruta — 15.04.2013 17:29:25

g0dl1ke

- Точно такой же вирус я выкладывал ..чуть ранее http://forum.simplix.ks.ua/viewtopic.ph … 619#p15619
@shift
@echo off
net user %username% "00001"
RUNDLL32.exe USER32.dll,LockWorkStation

Пароль на вход 00001

- Здесь в принципе то же самое..правда добавилось сообщение об отправке смс
- Пароль на вход Julia_HuliYa  ,но есть одна особенность, здесь нужно вводить пароль с
  учетом переключения на заглавные буквы и обязательно пробел с подчеркиванием.
- Вирус подвергнет в шок простого пользователя, и думаю смс будет отправлена :lol:
- Жаль.... AntiSMS не справилась с  таким видом вымогательства!

ps Метод избавления от этого очень прост:
- вводим запрашиваемый пароль,
- входим в систему
- затем в учетной записи делаем изменения: или меняем пароль или вообще его не ставим
:shock:

art9 — 15.04.2013 18:49:26

Кстати, хоть и примитив, но введет в замешательство полуопытного пользователя, который уже успешно удалял винлоки через командную строку Безопасного режима или с помощью AntiSMS.

Как вариант: добавить возможность сбрасывать пароли на учетные записи Windows.

А если пофантазировать: новый подобный винлок будет при установке пароля на учетки также шифровать файлы с помощью стандартного средства Windows (cipher). Тогда примитив станет довольно опасным шифровальщиком при установке сложного пароля.

И еще, мало какая проактивка антивируса среагирует на действия этого трояна.
А сигнатурное детектирование? Ведь, чтобы создать новое непалещееся тело достаточно bat файл разбавить пустыми переменными, вроде %dsfhjfshjshfsk%

Данный bat файл DrWeb определил как "Trojan.Winlock.8310", я всего лишь вторую строку разбавил одной пустой переменной:


Код:

@ec%fdgdhgds%ho off

И этот антивирус уже не определил зловреда. Т.е. такие винлоки можно создавать с новой неопределяемой сигнатурой сотнями штук в секунду.

swf57. — 17.04.2013 15:37:33

0 0  Здравствуйте. Это снова я. Интересная вещь получилась с AntiSMS.iso. После создания загрузочной флешки, я три раза запускался с флешки, всё было ОК. Через день, запускаюсь,- идёт загрузка, затем внизу экрана штрих код и комп. запускается в обычном режиме. После не однократных попыток, решил создать СД диск \который раньше создавался с ошибкой\ из папки загружаю диск, создаётся без ошибки !! Загружаюсь с диска: загрузка, штрих код, ВИНДОС, загрузка, штрх код,ВИНДОС........... Отключаю СД. Загружаюсь с флешки: Вспыхивает на мгновение КРАСНИЙ экран,\ Только и успел увидеть, Режм БИОС \ комп. выключился. Запускаю комп. в Обычном режиме, всё ОК. Загружаюсь СД диска, то-же самое, что было описано выше. С флешки, сначала загрузка затем Обычный режим. Запускаю Антивирусы: DrWeb.cureit.exe: Advanced System Care Uitimate: AVZ4 = вирусов нет. Сегодня попробовал загрузится с флешки и диска,- с обеих загружается, всё ОК. Вот поэтому и решил сообщить на форум. Что это могло быть?

Павел — 22.04.2013 17:05:17

Симпликс здравствуйте. А намечается сделать АнтиСМС на Win Pe 4?

weldance — 22.04.2013 18:10:50

Павел
берешь любой win pe и запускаешь заранее скопированный antisms.exe (рядом ложишь файлы Hashes.bin и SysFiles.bin)

viprus — 23.04.2013 01:12:55

Приветствую Автора и всех знающих людей. Видимо не по теме пост, прошу прощения заранее, но возможно кто-то сможет помочь. Итак.
Всплывающее окно в браузерах
Возникла задачка, сам никак не осилю. У знакомого вот уже пару недель в браузерах по левому краю вертикально появляется полоска с рекламой сомнительного содержания, шириной сантиметров 5. Полоска ничего не блокирует и легко закрывается щелчком по крестику и слову "Закрыть". Снова появляется только при обновлении страницы или на новых вкладках. К какому-либо сайту не привязана, появляется после загрузки страницы и паузы в минуту-другую. В разных браузерах. Сделал полную проверку антивирусом со свежими базами (DrWeb v8), прогнал Malwarebytes, руками проверил ветки автозагрузки в реестре (какие знаю). Почистил руками все временные папки, кэши браузеров, обновил браузеры до актуального состояния, установил Ad Block Plus (последнее привело к тому, что окно теперь появляется в свёрнутом состоянии - конечно уже не так раздражает, но... хочется радикально решить проблему), прогнал avz с актуальными базами, вот его отчёт: http://rlu.ru/qUs
Впервые встал в тупик, не знаю куда копать. Я сначала думал, что это только в Опере. Был случай, когда в её папку
закидывались файлы настроек от старых версий (opera6) и ни какая переустановка браузера не помогала, но тут зараза и в IE и в Мозилле появляется.
По отчёту могу сказать, что у меня сначала вызвал подозрение hfs.exe в автозагрузке, но это оказалась какая-то их нужная программа, стоит у них "официально" в Программ файлс уже пару лет, не прячется, и ни чему никогда не мешала, deskpan.dll - файл сборки винды, стоит везде где она установлена, rpshell.dll - кусок Реал Плеера (стоял в расширениях и дополнениях к браузерам), обновил его вместе с остальными, не похоже на него, sptd - это "знакомец" - драйвер виртуального привода от Даймонд Тулс, тоже думаю не при делах. Хост сразу посмотрел ничего не нашёл, на всякий случай почистил, не помогло. На файлы от NV (видеодрайвер) тоже грешить трудно, вроде частенько присутствуют.
Случай не для АнтиСМС, конечно, хочу попробовать антируткит прогнать (http://rlu.ru/qVv) жаль только что клиент живёт далеко, теперь к нему попаду только через недельку. Буду бороться дальше, если какие-то мысли будут, то здорово.
ЗЫ А вот на днях у другого приятеля абсолютно такой же случай: http://rlu.ru/rbz
В архиве снова отчёт avz и скрин заразы в IE. И опять ничего найти не могу... :unknown:

art9 — 23.04.2013 06:42:06

viprus
это xp sp2? Если так, то нужно установить sp3.

затем:
" Рекламные посторонние баннеры в браузерах - для решения этой проблемы выполните следущие действия:
1) деинсталлируете программы, которые содержат слово "webalta";
2) проверьте компьютер бесплатным антивирусным сканером, затем запустите утилиту AntiDust, потом проверьте компьютер с помощью AdwCleaner (by Xplode);
3) почистите кэш и куки в браузерах, кэш DNS, например, с помощью программы ccleaner;
4) проверьте настройки роутера на наличие чужих DNS;
5) с помошью программы Hijackthis проверьте наличие чужих DNS (секция О17), если найдете в данной секции чужие DNS, то пофиксите их ("Fix checked").

Как определить чужой DNS или нет: проверьте его IP на сайте 2ip.ru - если окажется, что он другой страны, то скорее всего, что он зловредный.

Если после очистки DNS пропадет доступ в интернет, то следует открыть свойства сетевого адаптера и прописать туда DNS выданный провайдером или Google DNS 8.8.8.8 в крайнем случае."

simplix — 23.04.2013 10:03:44

viprus сообщает:

Случай не для АнтиСМС, конечно

Из всего этого не понятно, запускали вы AntiSMS или нет. У меня встречался такой баннер и программа его лечила.

viprus — 23.04.2013 11:12:30

art9
Ось, конечно, SP3, с webalta разбираться умею, это не она,
- антивирусом сканировал, Ccleaner-ом систему смотрел, лечил (я его использую обычно только как диагноста, всё что он нашёл под чистую править ему не даю, чищу только то, что точно знаю - инородное), утилиты AntiDust, и AdwCleaner (by Xplode) поищу, хотя мне кажется они не сильно отличаются по уровню диагностики от avz и Ccleaner-а
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.
- вот с Hijackthis пока работать не умею, буду благодарен за мануал.

"Если после очистки DNS пропадет доступ в интернет" 0_о! Это как? мне настроить их чтобы инет пропал? Я их всегда именно для интернета и настраивал...

simplix
Именно не запускал. Считал, что это всё-таки для случаев недоступных для обычных методов, тут же всё на виду и реестр и содержимое диска. С глубоким уважением отношусь к вашей утилите и всегда советую её на всех форумах, особенно для "чайников" знаю что она самая лучшая (эффективная и корректная). Сам же держу её "на чёрный день", когда не смогу добраться до реестра или содержимого системного раздела, а пока всегда тренирую руки, хочу понимать что и где происходит. За последние 3-4 года неподдающихся случаев не было, всё выковыривал. Похоже вы правы и "чёрный день" настал. Жаль только (если АнтиСМС справится) что не смогу узнать что и где было

art9 — 23.04.2013 11:25:53

viprus
А по логу стоит sp2.

viprus — 23.04.2013 12:04:55

По первому или по второму логу? Не может быть. И там и там сборка X-Wind, правда в первом случае довольно старая редакция, где-то 3.5 (актуальная 4.0u2), но SP по-любому должен быть 3-ий. Единственное не помню какой IE стоит, не часто его обновляю. А в результате заражения возможно некорректное отображение номера сервиспака? Как только доберусь до больного выясню, отпишусь.

g0dl1ke — 23.04.2013 12:22:54

может просто запустить antisms.exe?

art9 — 23.04.2013 12:36:34

g0dl1ke
точно. всё-таки топик посвящён этой программе.

glax24 — 23.04.2013 21:58:27

viprus
Проверьте лучше систему TDSSKiller

viprus — 24.04.2013 00:05:12

Спасибо, попробую всё и отпишусь :)

stecenko.al — 24.04.2013 15:46:55

viprus сообщает:

art9
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.

Я встречал два случая с левыми DNS в настройках роутера. Причем во втором случае зараза донимала только один комп из двух, т.к. на втором компе настройки были вколочены вручную, а не получены от DHCP и в качестве DNS был указан не роутер, а DNS провайдера.
И статья с техникой автовзлома роутеров была в свое время на хабре.

byroot — 25.04.2013 08:24:08

stecenko.al сообщает:

viprus сообщает:

art9
- вы серьёзно считаете, что зловред может прописать чужие DNS в настройках роутера? Но тогда эта ...рень была бы и на остальных компах сети, а там её нет.

Я встречал два случая с левыми DNS в настройках роутера. Причем во втором случае зараза донимала только один комп из двух, т.к. на втором компе настройки были вколочены вручную, а не получены от DHCP и в качестве DNS был указан не роутер, а DNS провайдера.
И статья с техникой автовзлома роутеров была в свое время на хабре.

Сам уже сталкивался с подобным на модеме вебстрима и роутере от дом.ру. Во втором случае не понял как войти в настройки и просто скинул их на заводские, и все заработало ОК! Кстати, заметил ещё (может чисто случайность) что короткий адрес одноклассников ok.ru при этом не открывается вообще, украинская версия тоже...

stecenko.al — 25.04.2013 08:59:37

byroot сообщает:

Во втором случае не понял как войти в настройки и просто скинул их на заводские, и все заработало

Не забываем менять пароль на устройство с заводского на другой, только запрета на доступ к настройкам из инета недостаточно!

byroot — 25.04.2013 10:33:56

stecenko.al сообщает:

Не забываем менять пароль на устройство с заводского на другой, только запрета на доступ к настройкам из инета недостаточно!

Я просто не нашел на модемах дом.ру как попасть в админку, как сменить пароль, единственное что он может менять в настройках это ключ доступа к сети wifi и ещё мелоч какую-то...

viprus — 26.04.2013 01:45:47

Итак первая половина отчёта.
Начал я с AntyDust, он тихий и ничем заметным себя не проявил, затем попробовал AdwCleaner (by Xplode), этот нашёл много интересного и почистил (в основном тулбар от babylon и его хвосты, ещё кое-что) но тоже мимо, после этого я решил прогнать AntiSMS. Естественно из-под LiveCD с набором системных файлов рядом, перезагружаюсь - всё по-прежнему на месте. Тогда я возвращаю всю автозагрузку (msconfig - далее по тексту) и пробую вот это: http://goo.gl/0tSAJ (порекомендовали в сообе на Мейле), уже по названию (DelLeftBan.exe - панель тоже слева) почувствовал - то что нужно, открылось окно с примером именно моего случая, текстом написали, что найдены подозрительные элементы, разрешил пролечить - принудительная перезагрузка, слёт настроек "Подключения по локальной сети" и соответственно интернета. Захожу туда, IP, шлюз и маска подсети пустые, а в DNS прописаны незнакомые параметры. Обнуляю, перевожу всё на автоопределение и всё, пропала зараза. Мучал комп и так и эдак, вроде прошло. Если что мне сообщат. Не знаю что именно утиль сделала, она какая-то узконаправленная, против одного вида заразы похоже, но неплохо бы её вариант действий присовокупить к AntiSMS или AntiDust. Осталась ещё одна машина с такой же бедой, если что-то из неё полезное для диагностики нужно вытянуть до лечения, напишите я перешлю. Жаль руки не дошли до HijackThis и АнтиРутКита, может они тоже бы её ковырнули.

art9 — 26.04.2013 07:44:29

а антисмс пробовали запустить из активной среды? при таком запуске он восстанавливает настройки сети.

simplix — 26.04.2013 09:59:19

viprus
Да, вторую машину можно использовать для определения проблемы и лечения в будущем. Для этого мне нужна сама система со всеми настройками. Скопировать её можно несколькими способами: 1) Просто скопировать все системные папки (Windows, Program Files, Users или Documents and Settings). Я перенесу их на виртуальную машину и выясню корни баннера, но тут могут быть нюансы - если задействованы права доступа на файловой системе, это может повлиять на лечение (на виртуальной машине сработает, а на реальной нет). 2) Лучший вариант - использовать VMware-converter для конвертирования реальной машины в виртуальную. Можно указать только диск C:, предварительно переместив с него самые тяжёлые файлы для экономии места. И как разновидность этого варианта, можно просто сделать снимок диска C: любой программой для бекапа (Acronis, Ghost и т. д.), лишь бы структура папок и все свойства файловой системы были сохранены.
Полученный снимок передайте любым способом (торрент, мега), для меня объём значения не имеет, можно с паролем и в ПМ.

viprus — 26.04.2013 12:23:56

simplix сообщает:

viprus
можно просто сделать снимок диска C: любой программой для бекапа (Acronis, Ghost и т. д.)

ОК, сделаю. :drinks:
art9
ЗЫ. АнтиСМС конечно запускал из под LiveCD, как положено.

Павел — 26.04.2013 15:52:26

Я задал вопрос СИМПЛИКСУ , а не кому нибудь другому. Если нету ответа, то пусть и не будет.

Core-2 — 26.04.2013 15:55:38

Павел
Для персональных вопросов и существует ЛС. А это форум , т.е. всеобщее обсуждение. Где каждый делится опытом ,ищет ответы,помогает и просит о помощи.

weldance — 26.04.2013 18:00:26

Павел
я так понимаю вы обратились в мой адрес, т.к. на ваш вопрос ответил только я :). Прошу заметить, что подобными высказываниями вы уже были банены. С такими темпами... туда вам и дорога:drinks:

0 0 — 26.04.2013 22:33:06

Порадовал автор uVS решивший уйти в коммерцию.
С понедельника обновы его программы платные. :drinks:
Стоимость одного обновления 0.0005BTC. :good:

upd2: вроде бы база хешей по прежнему будет халявной?

art9 — 27.04.2013 23:38:56

0 0
свежая  база доступна для скачки.

jimq — 30.04.2013 03:33:56

если кому интересно, свежий локер. уже требуют 3000 руб!
http://rghost.ru/45652567

svoit — 30.04.2013 14:50:12

уже требуют 3000 руб!

видимо у них дела плохо идут, мало кто на их удочку попадается, вот и приходиться повышать цены
И все во многом благодарая Symplix

s_host — 30.04.2013 22:25:07

jimq
какой пароль ?

0 0 — 30.04.2013 22:43:39

s_host,

video_xxx pass 111.rar

как мы видим из названия..... пароль: 111
svoit, через i
вот так Simplix

Алекс — 06.05.2013 09:34:45

simplix
Добрый день! :drinks: недавно (3 дня назад) лечил от вирусов древний комп с XP. там куча вирусов и червь Win32.HLLM.Utenti был, он же Win32.Rays, Silly.E вроде бы,если не ошибаюсь http://daxa.com.ua/vir/num29/ .
Сначала попробовал Антисмс 3.3, она вроде начала работу,но потом внезапно появилось сообщение подобного рода : "Моё шестое чувство подсказывает,что вы пытаетесь взломать программу.. Ай-яй-яй,не хорошо! Свяжитесь с автором.." :unknown:

Почему Антисмс так отреагировала на вирусы - не пойму..  В общем,автозапуск червя она вроде как отключила,но сам червь то остался. И через некоторое время опять стал показывать себя во всей красе - постоянно автоматически вылазил какой-то подозрительный сайт через IE, а когда я находил в автозагрузке этого червя и пытался зайти в папку с его расположением,то винда просто сама выключалась... :crazy:

Короче,решил я попробовать AVZ, она много чего нашла и удалила, и сообщила,что закрыт доступ к редактированию реестра и ещё какие-то важные службы отключены.. Судя по всему - это из за вирусов было.
Потом запустил Windows Repair (All In One),она вроде как всё в порядок привела.
Винда спасена. :drinks:

Ну и собственно вопрос: что нужно сделать в следующий раз,если вдруг опять вот такое сообщение появится - "Моё шестое чувство подсказывает,что вы пытаетесь взломать программу.. Ай-яй-яй,не хорошо! Свяжитесь с автором.."   ?
Комп надо было сделать быстро,и не было времени в логах копаться и собирать инфу...

happywanderer — 06.05.2013 10:02:48

Алекс
В следующий раз надо "копаться" в логах и отправлять автору!!!

И ещё, AntiSMS не панацея на лечение, в шапке программы написанно, что после разблокировки и перезагрузке проверить антивирусом...

simplix — 06.05.2013 10:11:34

Алекс сообщает:

Сначала попробовал Антисмс 3.3

В этом и проблема, всегда нужно использовать последнюю версию программы.

Алекс — 06.05.2013 10:22:34

happywanderer
Дык,я это прекрасно понимаю-что не панацея! :drinks: Антисмс в основном предназначена для лечения от локеров.. Просто решил попробовать,что из этого получится.. И удивило что вот такое окно вылезло,про шестое чувство :crazy:
simplix
Я бы с радостью попробовал последнюю версию,но проблема в том,что в этой ветке форума мне часто оповещения не приходят на е-майл..  :unknown:Я б этом уже раз 5 упоминал.
У меня была самая актуальная версия - 3.3, о том что вышла 3.5 я вообще не знал до сегодняшнего дня.

Поправка. Только что проверил. Версия Антисмс у меня была именно 3.5 !
Я ошибочно про 3.3 написал.
http://s5.hostingkartinok.com/uploads/thumbs/2013/05/4d1e0bd71a2ed6e72fbfba1f064e62ca.png

simplix — 06.05.2013 13:40:03

Алекс
Значит в логе должна быть написана причина сбоя.

Алекс — 06.05.2013 13:53:01

simplix
Я лог быстренько прочитал,но ничего подозрительного не нашёл.. :unknown: там вроде упоминалось об отключении 2-3 элементов из автозагрузки и ещё кое-что по мелочи..
Повторюсь - комп надо было быстро сделать,времени особо не было. Если в следующий раз повторится подобное,то логи гляну повнимательнее,и дам знать если что! :drinks:

И ещё вопрос есть. Я заметил,что Антисмс отключает автозагрузку некоторых безобидных программ,видимо из за отсутствия цифровых подписей в них.. :( Например Vista drive icon 1.4 (безобидная малюсенькая программа для ХР,делает значки жёстких дисков как у Висты ) и USB Safely Remove 4.2.1087 RePack .
Можно ли эти программы добавить в список исключения в след.версиях Антисмс? :rolleyes:

weldance — 06.05.2013 14:05:42

Алекс
simplix как-то писал, что для проверки цифровых подписей используются базы Universal Virus Sniffer. так, что сомнительно добавление вышеописанных программ.
это как-то так можно сделать самому.
+ вот это

Алекс — 06.05.2013 14:25:15

weldance
Зачем мне это делать самому,то бишь-только для себя получается, если я хочу этого для общего блага? Программы Vista drive icon и USB Safely Remove - абсолютно безобидные,и добавить их в общий список исключения - вероятно не составит труда для simplix.
Тем более-на моей памяти был случай,когда Core2 просила добавить в исключение Punto Switcher без цифровой подписи.. Его вроде добавил simplix в исключение.

weldance — 06.05.2013 14:30:24

Алекс
Вы прекрасно должны понимать, что у каждого пользователя есть такие же программы для "общего блага". и сейчас все начнут предлагать свои программы. и к чему это приведет?

art9 — 06.05.2013 14:47:58

В инструкции же русским языком написано: проверить антивирусным сканером; запустить msconfig и вернуть нужные элементы обратно.

Алекс — 06.05.2013 14:51:56

weldance
А к чему это должно привести? :unknown: Не понимаю о чём вы..
Я впервые за год (или более года даже уже) прошу добавить в исключение 2 безобидных программы,на которые часто обращаю внимание что Антисмс их отключает..В чём проблема - не пойму? Я ж не прошу все известные программы без цифровых подписей - добавить в исключение! :crazy: Пусть simplix скажет, почему Вы weldance
за него отвечаете и отговариваете меня от этого - не пойму. Как будто я прошу 2 злобных трояна добавить в исключение!!! :crazy:

Вот собственно и сами программы - http://rghost.ru/45802755  и http://rghost.ru/45802839

art9 ,я не пойму - вы меня за идиота держите что ли? :crazy:
Я по вашему не умею пользоваться программой и не знаю про msconfig? Зачем отговаривать и про инструкцию мне что-то говорить.. ?!? Я это и так знаю прекрасно. Сотни компов уже починил и вылечил от вирусни,некоторые и при помощи Антисмс.
Речь о том,что бы добавить в исключение пару безобидных программ для общего блага.
Никому это не повредит,и не надо будет лишний раз в MSCONFIG ковыряться,что бы вернуть их на место.

happywanderer — 06.05.2013 15:27:08

Алекс, за идиота тебя никто не держит, просто плохо понимаем, что ты хочешь выразить, логика твоя не понятна - видя непревычное сообщение не скопировать лог :unknown:, а потом просить в этом разобраться? Это минутное дело и даже после перезагрузки пригодится - лишний раз посмотреть что включать надо, а что нет... Ну а насчёт твоих "полезностей", кто сказал что на машине ДядиВани они не заражены? до эры AntiSMS попадались два "чуда", один под Радеоновские дрова был заточен, другой под менеджер печати Epson-а, антивирусы не видели их, только методом тыка и вычислил...

Алекс — 06.05.2013 15:42:30

happywanderer
Эти 2 программы я выложил на ргхост из своего компа. там всё чисто и никогда вирусов не было. :drinks: Если есть подозрения - то скачай и проверь тем же Др.веб cure it, к примеру..
Чем не понятна логика - понять не могу.. )) я ж ясно выразился  - нету цифровых подписей,и Антисмс их отключает. Но сами программы абсолютно безобидны и вреда никакого не несут. То есть в идеале-отключать Антисмс их не должен. :)  Для примера даже привёл случай,когда Core2 просила добавить в исключение её пунтосвитчер-репак тоже без цифровой подписи.
Если Уважаемый Simplix добавит в исключение в общую базу,то буду очень благодарен. :drinks:
Я эти 2 программы всегда ставлю на компы клиентов и друзей,и когда потом приходится их от локеров лечить (редко,но метко),то вот и обращаю внимание на это.

0 0 — 06.05.2013 16:44:50

Алекс, а выйдет новая версия тех программ - тоже в исключения? А почему только эти? Есть куча всякого полезного говна без подписей - ай-да всё в исключения!? )))

art9 — 06.05.2013 17:14:03

Полагаю Simplix-у делать нечего, как начать пополнять базу чистых для тех, кто не может понять, что нужно следовать инструкции к программе.

Алекс — 06.05.2013 17:34:44

0 0
когда новая выйдет-там видно будет..  Vista drive icon уже очень давно не обновлялась,да и полагаю что обновляться не будет уже. версия 1.4 - последняя на данный момент,так как делалась она для ХР,и развивать Vista drive icon дальше не нужно,работает хорошо и дело своё делает.
Почему только эти? ну просто я замечаю часто именно эти,про них и написал..  Насчёт остального го..на (как Вы выражаетесь) - не могу судить ничё. Да и не вижу что-то,что бы кто-то ещё просил добавить в исключения другие программы.
art9
Я полагаю Вам пофлудить негде больше? и уму разуму меня поучить собрались?
Я всего лишь спросил/предложил Simplix*у, хватит уже за него отвечать и наполнять тему флудом... Если он решит добавить пару программ в исключение,то хуже от этого никому не станет. Если нет,так нет.

xcv150 — 09.05.2013 22:40:12

Я считаю, что даже эти безобидные проги могут подвергнуться заражению и вносить их в список не нужно....А пунтосвичер и так в своей работе столько глюков дает, что сойдет за вирус...Лучше пользоваться кейсвичер...

viprus — 09.05.2013 23:52:41

simplix
Прошу прощения за задержку. Наконец добрался до второй машины. Проверил баннер слева на месте, на IE целиком, на Опере и Мазиле узенькой полоской "под АдБлок+". Но прежде чем создавать образ проверил настройки DNS: в протоколе TCPIP в свойствах Подключения по локальной сети. Оказалось, что стоит Получать IP автоматически (как и должно, комп получает инет по проводу от роутера), а вот Предпочитаемый DNS прописан прямо: 37.157.255.228, альтернативный пустой. Сбросил здесь всё на автомат. Переподключил Подключения по локальной сети и больше банер вызвать не смог. Причём он и раньше появлялся не сразу. Выйдешь на сайт, перейдёшь пару раз по ссылкам или обновишь страницу и он появлялся. А теперь вроде всё, пропал. Поэтому образ пока делать не стал и DelLeftBan.exe не запускал. Понаблюдаем. Уехал. Дома я подумал, что просто в своё время после лечения осталась настройка, я её сбросил - всё исправилось, но сейчас погуглил этот айпишник, думаю, что всё ещё может вернуться: я не проверил состояние после перезагрузки. Если зараза ещё там может восстановиться. Будут новости обязательно напишу и "доиграем" до результата. :drinks:

art9 — 10.05.2013 10:35:40

Если antisms запустить из активной среды, то будут восстановлены настройки сети, DelLeftBan не нужен.

Алекс — 10.05.2013 16:13:35

xcv150
Не понимаю - причём тут заражение,если речь идёт об отключении авто-запуска безобидных программ? :crazy: Если уж так рассуждать,то любая программа (любой .EXE) может заразиться вирусом.. Тогда давайте вообще все ехе-шники в ОС отключать из автозапуска! Ведь они "могут подвергнуться заражению.." 
Только,тогда винда вообще работать не будет,в таком случае.

Sergikaz — 10.05.2013 18:21:19

Всё никак не успокоится Алекс, молодец. :good:
Как только simplix добавит нужные ему (Алексу) программки в исключения, тогда я следующий. Я уже давно столкнулся с тем, что очень нужную мне программку AntiSMS выкидывает из автозагрузки. Я ещё год назад здесь об этом писал "10.06.2012 18:58:23". Так что, все желающие добавлять очень нужные для них программки в исключения - все выстраиваются уже за мной. Будем по очереди, со списочком программ кому какие очень нужны. Главное что бы только simplix согласился, а за программками дело не заржавеет. ;)

viprus — 10.05.2013 18:34:43

Sergikaz
:good::lol:
art9
Согласен. Не подумал о таком, обычно я её не юзаю, ручками всё больше, хотя знаю, что лучше antisms ничего нет. Осталось выяснить это "хвост" был или зараза ещё активна.

Алекс — 10.05.2013 18:39:52

Ну вот,хоть кто-то поддержал меня! :D значит моя мысль не настолько уж и бредовая... :crazy: Sergikaz спасибо за внимание! :drinks:
Но в любом случае - последнее слово за Уважаемым Simplix. :rolleyes: Ему решать что делать или не делать. Если бы Vista drive icon 1.4 добавили в исключение - и на этом спасибо. :)

happywanderer — 10.05.2013 20:20:09

Vista drive icon, а на кой она?

Алекс — 10.05.2013 20:31:37

happywanderer ,я вроде объяснял что за прога это. да и гугль ещё никто не отменил пока.. ;) Прога только для старушки ХР, делает значки жёстких дисков как на Висте/7.
Вместо безликих иконок жёстких дисков появляются симпатичные иконки со степенью заполнения диска.

0 0 — 10.05.2013 21:37:20

Коль пошла такая пьянка...
Simplix, сделайте так, пожалуйста, чтобы во время выполнения она показывала фильмец, ну или, хотя бы, открывала пиво, а то эти 3-5 секунд - ну вообще нечем заняться...

viprus — 10.05.2013 22:50:53

Ага, фильмец это клёво, только чур в FullHD, я экранки не смотрю http://pc-forums.ru/images/smilies/mosking.gif

FagotAdmin — 11.05.2013 00:32:05

Новый троян винлокер не определяется никем http://rghost.ru/45907845 пароль на архив 123

jimq — 11.05.2013 03:36:23

FagotAdmin сообщает:

Новый троян винлокер не определяется никем http://rghost.ru/45907845 пароль на архив 123

все винлокеры касперский определяет по поведению, даже если сигнатуры ещё нет в базах, и ещё у него есть контроль программ, который защищает реестр от новых подозрительных записей, как антивинлокер брызгалова. А дрвеб с нодом определяют только по сигнатурам, реестр вообще не защищают, сколько раз свежие локеры им подсовывал, только через сутки вносят в базы.

s_host — 11.05.2013 08:32:31

jimq
Может быть не стоит в этой теме хвалить каспера и опускать другие АВ ? Для этого у ЛК есть фан-клуб.

art9 — 11.05.2013 12:42:30

Напомните, пожалуйста, если на ПК установлены две OC (на C: Win7, на D: WinXP), то AntiSMS будет лечить обе ОС?

mvk2000 — 11.05.2013 12:44:39

art9

• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.

D1abl093 — 11.05.2013 15:02:28

Sergikaz, Алекс, как то так :lol:
Скрытый текст (раскрыть): http://cs521515.vk.me/u28569952/doc/e773d6b67c4c/tachka-na-prokachku-pesochnitsa-udalyonnoe-644535.jpg
Алекс,
А вообще, вам же уже писали, что можете сами базу пополнить. То что нужно вам, не значит, что нужно всем. Я вот предпочитаю оригинал. А моды всякие к чёрту. Г-сборки на то и г-сборки, что б там было всякого г*

jimq — 11.05.2013 16:10:57

s_host сообщает:

jimq
Может быть не стоит в этой теме хвалить каспера и опускать другие АВ ? Для этого у ЛК есть фан-клуб.

я не являюсь фанатом ЛК, я просто тестирую антивири на качество защиты системы. и здесь поделился результатом своих тестов.

s_host — 11.05.2013 18:28:14

jimq
Я хотел сказать, что хватит флудить. Для тестов АВ есть другие форумы.

Алекс — 11.05.2013 18:37:06

D1abl093
Совсем ку-ку штоле? :unknown: о каких модах и г..но-сборках идёт речь?
По вашему,если я использую Vista Drive Icon, то сборка винды превращается в го.но-сборку? Или,если добавить Vista Drive Icon (или любую другую,малёхонькую безобидную программу) в список исключения Антисмс,то Антисмс станет го..но-сборкой?

xcv150 — 11.05.2013 18:54:35

Алекс Да, заражению могут подвергнуться все exe-файлы...Столкнулся с таким недавно - заразил и повредил все exe-файлы...В первую очередь им были заражены файлы "красивостей" системы, затем explorer.exe и т.д. Каспер был безсилен, фактически...АнтиСМС помог отключить многое из хвостов вируса. Окончательно система была вылечена после восстановления через консоль восстановления с диска...Вирус из рода Pioneer...

Алекс — 11.05.2013 19:08:06

xcv150
да причём тут заражение вирусами/червями? :unknown: Антисмс не лечит от вирусов/червей,она просто отключает подозрительные элементы и блокировщиков.
Я сам недавно описал случай с заражением червем... Если даже многие .ехе заражены,в том числе и "красивости",то Антисмс всё равно не вылечит систему полностью.
Добавляй или не добавляй в список исключения пару таких красивостей, а на общей работе Антисмс это всё равно никак не скажется. Работать хуже программа от этого не будет.

D1abl093 — 11.05.2013 19:10:55

Алекс,
просто никого не видел, кто ручками ставит Vista Drive Icon и им подобный (HDD Life вроде только как исключение будет). Либо зверь какой-нибудь, либо с каким-нибудь кривым набором "красявостей" наставят.
Тут сразу отваливается смысл проверки подписей, т.к. куча файлов "запортачена".

Скажу лишь, Вам нужно, Вы и добавляйте. Других приписывать не надо!
К примеру, мой предшественник наставил зверья, теперь всё это дело начинает затупливать (то есть мне эти ваши красявости не нужны!). Вот и вырубаю всё ненужное к чёрту, а повозможности вообще сношу систему. Так же из-за кривых настроек всего этого барахла, баннеры бывает тоже ловят. И тут сразу убиваю двух зайцев (даже если времени на снос нету): вырубается "мусор" и баннер.

simplix — 11.05.2013 20:46:28

Алекс
Этот вопрос уже поднимался раньше, мой ответ такой же - у самой AntiSMS нет базы хэшей, но вы можете самостоятельно добавлять их для своих нужд с помощью uVS, если так трудно поставить пару галочек в msconfig. Делается это очень просто - в uVS нажмите правой клавишей по файлу и "Добавить хэш файла в базу проверенных", появится файл SHA1, который нужно скопировать в каталог AntiSMS.

Алекс — 12.05.2013 10:05:26

simplix
Яснома,спасибо за ответ! :) а может тогда обратиться к авторам UVS,что бы они добавляли в исключение некоторые программы,которые незаслуженно отключаются?

jar win7 — 12.05.2013 11:25:37

Не плохо было бы сделать поддержку ReactOS.

Lhonemzathrum — 12.05.2013 15:57:01

FagotAdmin сообщает:

Новый троян винлокер не определяется никем http://rghost.ru/45907845 пароль на архив 123

странно, но мой gdata со старыми базами видит его как Trojan.GenericKDV.985454

0 0 — 12.05.2013 17:01:36

Lhonemzathrum, у вас неправильный антивирус. Пользуйте НОД - его тут любят.
Ребят, может действительно хва про антивирусы? Давайте отдельную тему замутим и там будем разводить срач, плз.

byroot — 12.05.2013 20:10:37

Lhonemzathrum сообщает:

FagotAdmin сообщает:

Новый троян винлокер не определяется никем http://rghost.ru/45907845 пароль на архив 123

странно, но мой gdata со старыми базами видит его как Trojan.GenericKDV.985454

Скачал, даже запустить не удалось его сразу http://savepic.net/3610472.htm Все нормально определяется... Нод рулит :) Пользуйтесь нормальными антивирусниками, а не всякими авастами и прочим подобным хламом...

s_host — 12.05.2013 20:19:31

byroot
Да сколько же можно войну антивирусов вести !!! Мне вот нод совсем не нравится и для меня он не рулит. Поймите - сколько людей, столько и мнений.

byroot — 12.05.2013 20:32:46

s_host, я не спорю, но все приходит с опытом... Из-за аваста например у меня были проблемы и йотой, и с икспи, и с семеркой... и везде был киновник этот аваст, кто не попадал под такие проблемы - хорошо, вам повезло, но на меня клиенты часто наезжали что как бы я им специально делал так(( а потом говорили сами что аваст им что то говорил и они соглашались. а тут или переустановка винды или в редких случаях помогало обновление, что по времени намного дольше...

PS но эта ветка не про антивири, а винлоки, давайте если есть желание создавайте тепу про антивири и там уже конкретно про все поговорим кто чему больше отдает предпочения!!!

weldance — 15.05.2013 11:46:05

simplix
сегодня набрёл на вот этот локер (пароль 12345). прописался он стандартно в WINLOGONe и RUNе. сам лежал в папке юзера. но антисмс почему-то не справился с ним.
лог антисмс (раскрыть):
Журнал работы AntiSMS 3.5, время - 12:27:31 15.05.2013

Найдена операционная система в папке I:\Windows
Операционная система опознана как Windows 7


удалил "ручками".

ПК уже нет рядом, но скопировал файлы реестра. если необходимо - выложу.
p.s. кстати, virustotal тоже как-то странно отреагировал:unknown:

g0dl1ke — 15.05.2013 19:41:42

странность то в чем?

weldance — 15.05.2013 19:51:32

g0dl1ke
в том, что из 46 антивиров только 14 нашла в файле "гадость"

Kipovec — 15.05.2013 21:23:28

Ну да, странно конечно, "даже" :shock: Мелкософт в "курсах", а Вебина - :crazy: в "заднице" (правда вместе со "всюдубукасзаводапихаемым" макакафеем).

simplix — 16.05.2013 00:33:23

jar win7 сообщает:

Не плохо было бы сделать поддержку ReactOS.

Хорошая шутка. Осталось подождать, пока в сервисный центр принесут хоть один компьютер с этой системой.

weldance сообщает:

сегодня набрёл на вот этот локер

Локер самый обычный и легко лечится, а вот судя по обрыву лога программа вообще не сработала (вы могли это заметить по тому, что она работала всего пару секунд). Лог никогда не должен так обрываться, так что если у вас есть доступ к тому компьютеру и лог при каждом запуске AntiSMS получается такой же - напишите мне в ПМ, проведём расследование. Один реестр здесь мало чем может помочь, но и его на всякий случай пришлите (в ПМ), вдруг пригодится.

art9 — 16.05.2013 08:11:20

simplix
а у утилиты есть обратная связь по действиям? Т.е. после исправления ветки реестра осуществляется ли контроль, что ветка действительно исправлена?

proffkom — 16.05.2013 11:35:03

Привет ребята , такой BootLocker попадался ?(конечно  старенький уже) http://rghost.ru/46033019 (пароль- infected)
Скрытый текст (раскрыть): Не совсем вымогатель , так как денег не просит :)
http://s2.hostingkartinok.com/uploads/thumbs/2013/05/34cb117e40dff20f13b17bf0f89f5e80.png
https://www.virustotal.com/ru/file/6bf2 … 368692884/

olzaruta — 16.05.2013 19:37:49

http://rghost.ru/46033019     AntiSMS  не справилась!:shock:

0 0 — 16.05.2013 19:44:05

пароль для архива setup.rar - infected

Павел — 17.05.2013 16:28:09

Не справился. Отправлял его Сергею Брызгалову, автору АнтиВинЛокер, говорит что удалось вывести с помощью прог TestDisk и Awlcd. У меня получилось восстановить только MBR, а установщик системы пишет что не найдено раздела с системой чтобы восстановить, хотя в Акронисе показывает что с разделами порядок. Вот такое вот у меня получилось.

0 0 — 17.05.2013 17:06:35

TestDisk прекрасно справляется с этой проблемой. Ждём новую версию AntiSMS от уважаемого simplix, которая будет уметь "лечить" этот образец.

LEXXRUS — 18.05.2013 16:05:17

Попался мне ноутбук MODEL CODE: NP300V5A-s07RU  и AntiSMS уходит в синий экран STOP: 0X000000B4

INFO http://rghost.ru/46087909

g0dl1ke — 19.05.2013 07:50:31

test disk должен присутствовать на носителе любого, уважающего себя "программиста"

Gosha79 — 22.05.2013 14:59:03

Если не секрет, дайте ссылочку на TestDisk

0 0 — 22.05.2013 15:11:02

Gosha79, http://www.cgsecurity.org/wiki/TestDisk_RU
В гугле забанили?
upd: или вот вариант из AntiWinlockerCD
TESTDISK .ONLY_RUS.zip (3.0 MB)
https://mega.co.nz/#!3AkEjZZR!M32-TCuoZ … YRI23O8bII
http://rghost.ru/46212406
http://anonymousdelivers.us/49351
https://anonfiles.com/file/f801561f19e5 … 24fce11d4e

Gosha79 — 22.05.2013 15:18:49

0 0 сообщает:

В гугле забанили?

:lol:
Спасибо!!

glax24 — 23.05.2013 22:30:55

0 0 сообщает:

TESTDISK .ONLY_RUS.zip (3.0 MB)
https://mega.co.nz/#!3AkEjZZR!M32-TCuoZ … YRI23O8bII

залил бы на нормальный файлобменик.

Павел — 24.05.2013 16:10:23

Симплих здравствуйте. А будет новая версия в ближайшее время, или нет?

line1 — 30.05.2013 17:37:49

Эту тушку AntiSms не отработала.
пароль - infected

Sergikaz — 30.05.2013 19:42:12

line1
Разбирайтесь у себя, почему не работает. У меня даже AntiSms версия 3.3 запросто сработала.
Журнал работы AntiSMS 3.3 (раскрыть): Журнал работы AntiSMS 3.3, время - 22:26:10 30.05.2013

Найдена операционная система в папке D:\Windows
Операционная система опознана как Windows 7
Проверены и восстановлены важные ключи системного реестра
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя Сергей
Файл D:\WINDОWS\ехрlоrеr.exe не подписан и его автозагрузка отключена, создана резервная копия
Очищена временная папка пользователя Сергей
Очищена системная временная папка

Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\30.05.2013-1\Backup

Работа AntiSMS завершена, время - 22:26:24 30.05.2013

Да и блокировщик какой-то "детский", такое чувство, что-то где в сети уже есть "конструктор для сборки блокировщика". Вот детки и балуются.:crazy:

g0dl1ke — 30.05.2013 21:07:52

сейчас конструкторов овер 9000

line1 — 30.05.2013 22:47:35

Запустил у себя. Действительно отработала как надо. Остается только гадать в чем была проблема, т.к. тот комп уже не доступен. Может в модели ноута (Aser Aspire  5110 серии), может XP - сборка. Блокировщик действительно "детский", интересен путь куда он ставится (в "паралельную" папку WINDOWS).

art9 — 31.05.2013 07:39:03

line1программа сообщила, что все хорошо, а на самом деле не отработала?
Значит, антисмс-у не хватает проверки своих действий (обратной связи).

line1 — 31.05.2013 09:03:05

art9
Сообщила, что все хорошо (лог в архиве с того запуска).

g0dl1ke — 31.05.2013 11:03:36

есть баннеры, что создают, скажем на диске "С" - папку windоws
как так, скажите вы?
все просто, буква "о" - русская, как в случае с hоsts

Павел — 01.06.2013 19:23:08

Баннер не совсем детский. То что программа отработала и создала нормальный лог, ничего не значит. Тоже лог нормальный, а с доступом к разделу прога пасанула.

0 0 — 01.06.2013 19:45:35

art9 сообщает:

Значит, антисмс-у не хватает проверки своих действий (обратной связи).

Ну это давно известно.

Версия 3.5 от 31.03.2013 ???
Автор отказался от поддержки или с ним что-то стряслось? (нигде нет инфы)

Павел — 02.06.2013 08:10:29

Сейчас лето, может уехал отдыхать куда:drinks:

art9 — 02.06.2013 18:32:09

Предложение по функциям:
Совсем недавно была эпидемия вируса, который заражает c:\windows\system32\rpcss.dll. Понятное дело, что антисмс в этом случае не поможет. Моя идея касается только создания логов. Антисмс проверяет все dll и sys файлы на отсутствие цифровой подписи, затем создаёт в корне диска С txt лог, в который пишет имена таких файлов и их md5.
Если пользователю антисмс не помогла, то просим прислать txt файл из корня с логом. Благодаря наличию контрольной суммы заливаем их на вирустотал.  И узнаем, в каком системном файле сидит вирус.

yuriy — 04.06.2013 10:14:22

Здравствуйте всем.Никто не сталкивался с трояном под названием "Photo" ?  Опишу проблему.На работе стоит система без антивирусника,подключения к интернету нет.Подключил флешку,автозапуск выключен.Открываю ее и вижу новую папку  "Photo" в ней пусковой файл,перед эти дома открывал ее не было.Мне надо была пустая,форматирую. При извлечении флешки несмог нормально отключить,показывало что ее еще использует что-то.Ждать небыло времени,вытащил.Через некоторое время снова подключаю и снова вижу папку  "Photo",после форматирования никуда не подключал.Снова с трудом извлек,дома подключаю к компьютеру,автозапуск выключен,сразу же появляется сообщение от антивируса NOD об обнаружении троянской программы на "C"- изолирована,удалена. Открываю флешку и снова на ней вижу папку  "Photo".Проверяю нодом этот файл,показывает что нормально,запускаю его ,сразу же предупреждение нода что и до этого.С флешки удалил папку,извлек с компа,отключение прошло нормально,вставляю флешку- больше этой папки нет.Значит троян сидит на работе.Принес на работу NOD,установил,базы последние.Сканирую систему ,норма.Вставляю флешку чистую,NOD сообщает о трояне на "C",изолирован,удален и сразу же появляется папка  "Photo" на флешке.Нашел этот "Photo" на компе а его копии целую кучу на "C"-Windows -темп.Все удалить вручную не могу. Удалит его утилита AntiSMS или нет? Всем кто читает- заранее спасибо.   С уважением.

viprus — 04.06.2013 12:57:57

Рабочий комп пролечить "параллельным" антивирусом, CureIt! например, из безопасного режима, ещё лучше DrWeb LiveCd, после лечения установить USB Disk Security.
http://rlu.ru/tN4
Случай не совсем для АнтиСМС, но она тоже может помочь.

art9 — 04.06.2013 13:46:57

yuriy
Проверьте и узнаете.
Можете мне скинуть в личку логи avz, hj. uvs. Может найду зверя.

yuriy — 04.06.2013 16:53:16

Спасибо откликнувшимся.Сейчас скачиваю  CureIt, DrWeb LiveCd,AntiSMS,USB Disk Security.CureIt я понял запускается на рабочей системе, а DrWeb Live Cd и AntiSMS с загрузочных дисков.Побегу искать болванки.Завтра заступаю дежурить будет чем заняться.Послезавтра отпишусь.Полное название этой заразы возьму в свойствах файла,а даные как трояна скопирую с карантина в NOD, а где взять логи avz, hj. uvs ? USB Disk Security -это для защиты USB портов?С уважением.

art9 — 04.06.2013 17:24:55

yuriy
В этой теме обсуждают антисмс, поэтому ссылку как делать логи - отправлю в кличку.

yuriy — 04.06.2013 20:01:04

art9
Спасибо.Докачиваю что прописал по логам.Думаю разберусь. Открываю скачанный образ антисмс.Вся информация там датирована 2008 годом.Так и должно быть?С уважением.

TehRazor — 05.06.2013 23:23:30

В последней версии в UVS появилась база системных файлов, я так понял, альтернатива sysfiles.bin. Что думаете?

viprus — 05.06.2013 23:45:01

yuriy сообщает:

Открываю скачанный образ...

А зачем? Так использовать не получается?
TehRazor
UVS поменяйте местами телегу и коня... в смысле, что как раз под UVS и затачивалось всё.

siva — 06.06.2013 10:17:24

sysfiles.bin в AntiSMS уже давно. Не знал, что simplix "как раз под UVS и затачивал всё";)

g0dl1ke — 06.06.2013 10:17:43

TehRazor сообщает:

В последней версии в UVS появилась база системных файлов, я так понял, альтернатива sysfiles.bin. Что думаете?

папка STORE появилась в UVS намного раньше

TehRazor — 07.06.2013 16:06:51

viprus, g0dl1ke
Да, я знаю, что simplix затачивает программу под UVS, но у UVS не было до последнего апдейта базы чистых системных файлов, в отличии от AntiSMS, и автор использовал свою. Я не с самого начала слежу за развитием этой программы, но понял вот так. Наверное теперь simplix сделает использование обоих баз или только родной UVS, чтобы можно было использовать AntiSMS и как отдельную программу, и как дополнение к UVS. А вообще, зря я поднял тему, дождемся высказывания автора.

g0dl1ke — 08.06.2013 08:50:08

TehRazor
Расскажите это автору UVS - база чистых файлов, для каждой версии windows, в программе еще с прошлого года и никак не с последнего update

0 0 — 08.06.2013 09:49:07

g0dl1ke. возможно он говорит про это:
Скрытый текст (раскрыть): В список автообновления добавлен каталог STORE с копиями чистых системных
файлов, если вам необходим системный файл не представленный в STORE,
то пришлите мне на email путь до файла в системе и его имя.       
Отдельно обновленный STORE можно скачать здесь:
http://depositfiles.com/folders/A5PK4YRKA

Апдейтер обновился до вресии 1.09 рекомендуется его скачать до обновления
STORE. Апдейтер теперь показывает количество новых хэшей в базе MAIN до
обновления.
Русская версия: http://dsrt.dyndns.org/files/uvs_update.zip
English version: http://dsrt.dyndns.org/files/uvs_update_enu.zip

g0dl1ke — 08.06.2013 17:41:32

0 0
Скрытый текст (раскрыть): все может быть, но база чистых файлов появилась точно не с *.81 релиза

opp — 09.06.2013 10:21:25

Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8

byroot — 09.06.2013 13:12:19

opp сообщает:

Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8

Если раздел отформатирован то какую интересно систему антисмс должна найти?:shock:

g0dl1ke — 09.06.2013 21:43:30

Gpt?

Павел — 11.06.2013 17:49:47

Ребят, а вы заметили что Simplix пропал.

0 0 — 11.06.2013 19:04:38

Павел, заметили.

0 0 сообщает:

Версия 3.5 от 31.03.2013 ???
Автор отказался от поддержки или с ним что-то стряслось? (нигде нет инфы)

opp — 12.06.2013 08:17:12

byroot сообщает:

opp сообщает:

Ноут Samsung с Windows 8. Грузится с CD но не выполняется AntiSMS - не видит раздела, отформатированного Win 8

Если раздел отформатирован то какую интересно систему антисмс должна найти?:shock:

Не надо ёрничать, помолчи, если нечего сказать. Уточняю, AntiSMS в моем случае не видит раздел GPT и, соответственно, не может провести лечение. Хотелось бы это поправить в новой версии. Подозреваю, что в данном случае для AntiSMS необходим LiveCD на базе Win 8.

Павел — 12.06.2013 10:55:26

Вот почему у автора ANTIWINLOCKERа вариант ЛИВСД с Win PE для 7 и для 8 отдельно в двух вариантах.

MBTY — 13.06.2013 01:01:32

Павел
Спросите же у автора ANTIWINLOCKERа

Doberman — 13.06.2013 10:05:04

opp
Для новых компьютеров есть сборки от Xemom1 c Antisms::unknown:

http://yadi.sk/d/NHyssPKi5N-_u

Рекомендую обратить внимание на "native" сборку с загрузочным ядром всего - "17" mb
Это особенно подходит для компьютеров с медленными USB и с памятью 256mb!:drinks:

simplix — 14.06.2013 11:03:29

art9 сообщает:

а у утилиты есть обратная связь по действиям? Т.е. после исправления ветки реестра осуществляется ли контроль, что ветка действительно исправлена?

В некоторых случаях контроль есть, в некоторых нет, так как могут удаляться такие ветки, которые не обязаны существовать. Лучше действовать в рамках инцидентов и по факту вносить исправления.

0 0 сообщает:

TestDisk прекрасно справляется с этой проблемой. Ждём новую версию AntiSMS от уважаемого simplix, которая будет уметь "лечить" этот образец.

AntiSMS не будет исправлять такие случаи, так как эта вредоносная программа не имеет отношения к блокировке компьютера. Она просто удаляет таблицу разделов и восстановить её невозможно, нет резервной копии (даже зашифрованной). TestDisk восстанавливает таблицу разделов согласно расположения данных на винчестере, грубо говоря угадывает начало и конец разделов, а затем воссоздаёт таблицу разделов. Но нет никакой гарантии, что таблица разделов будет восстановлена правильно, есть только высокая вероятность этого, если структура разделов относительно простая. Другими словами вы просите научить AntiSMS восстанавливать безвозвратно удалённую информацию, а это невозможно.

LEXXRUS сообщает:

Попался мне ноутбук MODEL CODE: NP300V5A-s07RU  и AntiSMS уходит в синий экран STOP: 0X000000B4

Спасибо, это издержки WinXP, надеюсь со временем будет отдельный диск на базе более новой системы и эти редкие ошибки исчезнут.

Павел сообщает:

А будет новая версия в ближайшее время, или нет?

А зачем вам новая версия? У меня и эта отлично работает. Более правильно будет писать пожелания или сообщения об ошибках, чем ждать новую версию ради новой циферки.

line1 сообщает:

Запустил у себя. Действительно отработала как надо. Остается только гадать в чем была проблема, т.к. тот комп уже не доступен.

Действительно странно... Такое впечатление, что SysFiles.bin отсутствовал или не был распакован. Постараюсь в следующей версии реализовать сохранение отладочной информации, чтобы нестыковки были видны сразу. Кроме того системные файлы войдут в состав главного файла AntiSMS.exe и вероятность ошибок будет снижена.

0 0 сообщает:

Автор отказался от поддержки или с ним что-то стряслось? (нигде нет инфы)

Много работы и мало времени. AntiSMS развивается, но для новой версии должно быть достаточно много изменений, не выпускать же их по мелочам.

art9 сообщает:

Антисмс проверяет все dll и sys файлы на отсутствие цифровой подписи

Эта программа называется sigverif и встроена в систему. Журнал тоже создаёт.

yuriy сообщает:

Никто не сталкивался с трояном под названием "Photo"?

Сталкивался, инструкция из шапки вам поможет (сначала AntiSMS, затем CureIt).

viprus сообщает:

в смысле, что как раз под UVS и затачивалось всё.

Под uVS ничего не затачивалось, AntiSMS абсолютно независимая программа. Сделана только поддержка базы хэшей если AntiSMS лежит в каталоге uVS, чтобы не дублировать файлы, но эта база определяет только пропуск отключения некоторых неподписанных файлов автозагрузки, которые легко включаются в msconfig. И то, базу можно использовать исключительно при полном доверии автору uVS, так как я сам не знаю, хэши каких файлов находятся в его базе. AntiSMS же может работать полностью независимо и в качестве базы хэшей будет использована системная информация, а единственный внешний файл SysFiles.bin с чистыми системными файлами в следующей версии будет интегрирован в программу и больше не понадобится.

opp сообщает:

Уточняю, AntiSMS в моем случае не видит раздел GPT и, соответственно, не может провести лечение. Хотелось бы это поправить в новой версии. Подозреваю, что в данном случае для AntiSMS необходим LiveCD на базе Win 8.

Абсолютно правильно и работы в этом направлении ведутся. Пока что можете использовать для запуска AntiSMS любую WinPE на основе Win7-8.

opp — 14.06.2013 13:06:53

Simplix
Doberman
Большое спасибо за наводку и толковые ответы!

Павел — 14.06.2013 17:05:10

Просто частенько на вин 7 и 8 этаверсия Win Pe вылетает в БСОД при загрузке. Вы хотели пожелание, ну тогда сделайте ещё версию на Win Pe 3 (для 7) и на Win Pe 4 (под 8).

0 0 — 16.06.2013 07:44:13

simplix сообщает:

AntiSMS развивается, но для новой версии должно быть достаточно много изменений, не выпускать же их по мелочам.

Почти за 3 месяца ничего не появилось нового для внедрения/исправления?:(
В порядке просьбы: отличная идея использовать BitTorrent Sync для обнов, надеюсь, найдёт применение и для AntiSMS.

weldance — 19.06.2013 14:19:11

Всем доброго времени суток!
Ситуация в следующем: мой напарник столкнулся вчера с вирусом о подмене сайтов соц сетей, майл.ру и т.п. антисмс с этой гадостью не справилась. я по удаленке тоже ничего не смог сделать (из-за нехватки времени). так и расстались с тем абонентом.
Сегодня другой абонент с той же историей. антисмс ничего конкретного не нашла. я по удаленке "руками" ничего тож не нашел. avz молчит. и тут я нагуглил гадость о подмене файла rpcss.dll. Скачал др веб курейт и просканил только этот файл (C:\Windows\system32\rpcss.dll) - нашелся зловред, но др веб не смог его вылечить. заменил этот файл файлом из дистрибутива ОС от симпликс. И всё заработало.
В инетах данный вирус начал фигурировать в мае-апреле. значит что-то новое.
Simplix, возможно ли добавить проверку этого файла в антисмс?

ОС: windows xp sp3 (в обоих случаях)
инфицированный файл прилагаю (пароль на архив 12345)

art9 — 19.06.2013 14:45:21

weldance
Я предлагал, чтобы антисмс создавал html отчёт, в котором будет отражена информация по не подписанным dll и sys: имя файла, md5, ссылка на вирустотал. Этот отчёт помог бы быстро находить заразу, которая сидит в файлах, которые не обрабатываются антисмс.

g0dl1ke — 19.06.2013 14:45:58

у юзеров проблема с rpcss.dll уже месяца три
решается только заменой из под live cd
причем не забываем, что у каждого дистрибутива windows (а так же редакции x86/x64) свой rpcss.dll

weldance — 19.06.2013 15:10:18

g0dl1ke
у последнего человека стояла хп от зверя, а я подменял файл из симпликовской сборки.
на форумах выкладывают файл rpcss.dll и он вроде всем подходит. надо разобраться с подменами этого файла.

g0dl1ke — 19.06.2013 15:14:15

там билды в 99% совпадают, так что замена пройдет без эксцессов
не все rpcss.dll одинаково полезны
себе то я сделал копии rpcss.dll от всех версии windows, начиная с xp

glax24 — 19.06.2013 20:16:10

g0dl1ke сообщает:

себе то я сделал копии rpcss.dll от всех версии windows, начиная с xp

если есть для Vista x64 поделись.
Скрытый текст (раскрыть): моя прога по восстановлению файлов

simplix — 20.06.2013 00:57:51

0 0 сообщает:

Почти за 3 месяца ничего не появилось нового для внедрения/исправления?:(
В порядке просьбы: отличная идея использовать BitTorrent Sync для обнов, надеюсь, найдёт применение и для AntiSMS.

Появилось, но я не могу выпустить новую версию по желанию, сначала она тестируется и исправляется, добавляются новые функции и опять тестируется. Всему своё время. BTSync тоже будет использоваться, более удобный инструмент трудно придумать.

weldance сообщает:

Simplix, возможно ли добавить проверку этого файла в антисмс?

Да, конечно, спасибо за подробный отчёт, в следующей версии будет добавлено лечение этого файла, а также предупреждение в подобных случаях. Пока что есть два дополнительных вопроса по этой теме: 1) Есть ли у кого-нибудь дроппер (файл с интернета, который патчит rpcss.dll)? 2) Какие системы заражаются - только WinXP, или все WinXP-Win8? Сами заражённые файлы других систем тоже пригодятся, возможно на их основе получится сделать универсальное лекарство.

art9 сообщает:

Я предлагал, чтобы антисмс создавал html отчёт, в котором будет отражена информация по не подписанным dll и sys: имя файла, md5, ссылка на вирустотал. Этот отчёт помог бы быстро находить заразу, которая сидит в файлах, которые не обрабатываются антисмс.

Я ведь отвечал, что утилита sigverif для этой задачи уже встроена в каждую систему. А в следующей версии AntiSMS появится проверка и логирование библиотек служб, что позволит наглядно увидеть случаи вроде rpcss.dll.

art9 — 20.06.2013 06:12:36

sigverif мне понятно. Но инфа полученная с лайва внушает больше доверия.

SergeyZV — 20.06.2013 08:20:39

simplix
sigverif файл rpcss.dll не проваряет:(
Провел эксперимент rpcss.dll в отчете отсутствует:unknown:

simplix — 20.06.2013 09:19:46

art9
Моё мнение - нужно расширять функциональность исходя из фактических случаев. То есть попался случай, где была пропатчена сервисная библиотека - с этого момента проверяем все библиотеки служб, т. е. только то, что может быть заражено, а не все файлы подряд неизвестно зачем.

SergeyZV
Sigverif прекрасно проверяет rpcss.dll, вы что-то не так сделали.

mvk2000 — 20.06.2013 09:21:26

SergeyZV
http://4put.ru/pictures/small/648/1990748.jpg

art9 — 20.06.2013 14:39:35

simplix
Например, в системе сидит руткит в C:\WINDOWS\system32\drivers\hjhfc.sys , но он может сидеть и в другом месте. А если антисмс в логе даст его sha1, то могу попросить пользователя прислать лог и проверить на вт.
Т.е. это не какая-то новая фича в лечении антисмс, а только лог. Пользователю это не принесёт никаких изменений в юзании утилиты, но если антисмс не поможет, то можно изучить лог и проверить подозрительные файлы.
Ведь в шапке написано, что в планах расширенный лог.

simplix — 20.06.2013 16:41:01

art9
Пожалуйста, дайте конкретный рабочий пример такого руткита. Если уж и работать в эту сторону, то нужно продумывать и лечение, а не только логирование.

art9 — 20.06.2013 17:17:33

simplix
В данном примере был Eltima Powered Keylogger.
http://virusinfo.info/virusdetector/rep … 4D4041E728

Пример обнаружения руткитов: антисмс создаёт лог запуска драйверов, а при запуске в активной среде сверяет его. По примеру функции uvs.

0 0 — 20.06.2013 18:40:27

art9 сообщает:

Пример обнаружения руткитов: антисмс создаёт лог запуска драйверов, а при запуске в активной среде сверяет его. По примеру функции uvs.

Ууууу... Ребята, AntiSMS тем и был крут, что его могла запустить блондинка и её "мозг" бы не взорвался, так как было всё автоматизированно.
Вы начинаете усложнять и изобретать велосипед.

art9 — 20.06.2013 18:48:29

0 0
Почему был? Тут только рассуждения о том, как с помощью антисмс реализовать более мощную помощь этой блондинке без усложнения пользования.

simplix — 21.06.2013 10:35:39

art9
Вот это хороший пример, удалив подпись с драйвера кейлоггера мы имеем полноценный руткит. В общем нет особых проблем с тем, чтобы заносить в лог расположение неподписанных драйверов, хотя с драйверами есть нюансы и проверять их сложнее, чем обычные приложения. А вот отключать драйвера опасно тем, что некоторые устройства могут перестать работать. По поводу обнаружения руткитов подумаю, как этим не нагрузить пользователя.

simplix — 24.06.2013 11:23:27

Кто из проверенных пользователей хочет провести тестирование новой версии - пишите мне ПМ. Изменений достаточно много и дополнительная проверка не помешает.

happywanderer — 29.06.2013 16:03:17

Павел Версия доводится до ума, люди уже потестили и выявили недочёты в новой версии, автор исправляет и оптимизирует. А на счёт "Здрасте" в личку - мы не в детском саду чтобы обижатся. Так что "культура-мультура" такая. ;)

Павел — 29.06.2013 16:41:21

happywanderer сообщает:

Павел Версия доводится до ума, люди уже потестили и выявили недочёты в новой версии, автор исправляет и оптимизирует. А на счёт "Здрасте" в личку - мы не в детском саду чтобы обижатся. Так что "культура-мультура" такая. ;)

В ПМ загляните

simplix — 11.07.2013 01:32:33

Новая версия AntiSMS 4.0

Изменений достаточно много, все они указаны в шапке темы.

Благодарю тестеров, которые много помогали в проверке бета-версий: 0 0, art9, glax24, Core-2, MBTY, Sergikaz, g0dl1ke.
Отдельное спасибо Xemom1 за создание загрузочного диска WinPE на основе Win8.

Parabol — 11.07.2013 03:01:51

:cool: Уже опробовал новую версию. Переместила и отключила KMS, может добавить в исключения?
Ну не критично, можно и включать каждый раз.

SergeyZV — 11.07.2013 06:52:09

Я так понимаю SysFiles.bin помещён в AntiSMS.exe?
Да точно - сам посмотрел.

viprus — 11.07.2013 09:01:43

USB Guard в своей работе может "иммунизировать" флешки и харды (создаётся папка autorun.info), новая версия это всё порушит?

0 0 — 11.07.2013 09:09:45

viprus, нет, не порушит. Она вообще мирная. Она не устраивает протестных акций, не свергает правительств и, даже, не ущемляет садомитов и педофилов. Она ОЧЕНЬ политкорректная! :crazy::lol:

viprus — 11.07.2013 09:21:34

:D да я в политкорректности никогда не сомневался (я давно "в этом лагере") :drinks: в описании изменений указано, что удаляет все файлы autorun в корне всех дисков. Вот и задумался.

0 0 — 11.07.2013 09:24:34

viprus, ну сами же сказали что там папка создаётся.
Я пробывал на виртуалке "вакцинировать компьютер" и пройтись AntiSMS. В результате тишина.
Попробуйте на реальной ОС если есть возможность и напишите.

adima — 11.07.2013 15:54:07

Подскажите, что означает ANTISMS v4 или v3.5 сообщение "Не найдена системная папка". LOG файлы при этом сообщении не создаются. Использую в WINPE 3.0

0 0 — 11.07.2013 16:02:50

adima, скорей всего это означает то, что и написано, то есть АНтиСМС не находит ни на одном диске папку Windows.
А вот почему это происходит - вопрос уже другой.
В "Мой КОмпьютер" из под загруженного образа виден ваш жёский диск?
Операционная система установлена?
Пробывали образ Win 8 ?

adima — 11.07.2013 16:08:28

0 0 сообщает:

adima, скорей всего это означает то, что и написано, то есть АНтиСМС не находит ни на одном диске папку Windows.
А вот почему это происходит - вопрос уже другой.
В "Мой КОмпьютер" из под загруженного образа виден ваш жёский диск?
Операционная система установлена?
Пробывали образ Win 8 ?

Все видно и папки все есть Windows и USER и ...
Windows 7 PRO.

Хотелось бы более конкретно типа не найдена System32 или Windows или ...

simplix — 11.07.2013 16:41:01

adima
Попробуйте запустить Regedit PE с рабочего стола и сделайте скриншот, может это прояснит ситуацию. Если у вас какой-то свой WinPE - дайте на него ссылку, тогда я смогу проверить и сказать причину.

art9 — 11.07.2013 18:44:09

del

0 0 — 11.07.2013 18:45:29

art9, его драйвер подписан? Выложи этот .sys?

art9 — 11.07.2013 18:54:23

0 0
тут: http://rghost.ru/47355911
пароль 123

g0dl1ke — 11.07.2013 18:56:51

с тем же успехом можно писать, что антисмс не определит другие официальные системные продукты, которые используют не только для вреда, а например для контроля локальной сети и ее пользователей, ведь данный кл не есть вирус или вредносное по в том понимании, против которого и создан антисмс.
Например антивирус ругается на keygen или trainer, которые не являются вирусами, но могут внедрятся в процессы или нанести вред потенциальному правообладателю, но повторю - вирусами не является (чаще всего)

art9 — 11.07.2013 18:59:34

Я не смотрел его на цифровую подпись. Если дело в этом, то понятное дело, что antisms не должен на него обращать внимания. Если это из-за подписи, то все нормально.

adima — 11.07.2013 19:00:39

simplix сообщает:

adima
Попробуйте запустить Regedit PE с рабочего стола и сделайте скриншот, может это прояснит ситуацию. Если у вас какой-то свой WinPE - дайте на него ссылку, тогда я смогу проверить и сказать причину.

1)Notebook был пролечен вручную и отдан хозяину так что пока со скриншотом заминка.
2)Почему-то v4 стала требовать на диске x:>100Mb - для чего такие объемы?

0 0 — 11.07.2013 19:09:27

Сертификат то вроде бы истёкший... (раскрыть): http://i46.fastpic.ru/big/2013/0711/1a/bfbffe2b975184ae1ff094a5fe28811a.png

art9 — 11.07.2013 19:16:04

главное, что подпись есть и она не левая, так что AntiSMS все правильно сделал.
Снимаю свой вопрос.

Павел — 11.07.2013 19:55:53

Виндовс 8.1 > Win Pe 8 > Системная папка не найдена.

Виндовс 8.1 > Win PE (простой) > Система восстановлена.

Как это понять? ))))

simplix — 11.07.2013 20:08:28

Windows 8.1 не поддерживается как минимум потому, что она ещё не вышла.

Павел — 11.07.2013 20:12:34

Давно вышла, только пререлиз, но более ничего меняться не будет, так что считай это уже почти финалка. Финалка выйдет в августе (как обещают). Но дело в том, что почему простой Win Pe восстанавливает.

simplix — 11.07.2013 20:46:47

Павел сообщает:

только пререлиз

Вот и ответ.

Павел сообщает:

Но дело в том, что почему простой Win Pe восстанавливает.

Чтобы ответить на этот вопрос сначала нужно увидеть логи - архивы из папки %WinDir%\AntiSMS.

alex.walkman — 11.07.2013 20:59:40

simplix сообщает:

Windows 8.1 не поддерживается как минимум потому, что она ещё не вышла.

http://emtrek.org/images/smiles/em-0150.gif

Павел сообщает:

Но дело в том, что почему простой Win Pe восстанавливает.

Амиго Павел, как говорится - "ничего личного", но (как для мну, не особо одаренного http://mp3.uzhgorod.name/engine/data/emoticons/russian_.gif) что более важно - разблокировать систему одним из указанных в шапке способов, либо ПРИНЦИПИАЛЬНО из-под неё самой, официально еще не вышедшей ? http://mp3.uzhgorod.name/engine/data/emoticons/cool.gif

Shadow_Man — 11.07.2013 23:24:44

simplix, вы бы сделали историю версий по принципу "новое сверху", а то листать долго :)

Parabol — 12.07.2013 03:44:54

В AntiSMS есть функция сброса настроек сети, если запустить утилиту в активной системе. Какие команды при этом применяются? Раньше я всегда в случае отсутствия интернета запускал AVZ и отмечал галочками восстановление:
- Сброс настроек SPI/LSP и TCP/IP (XP+)
- Удалить статические маршруты
- Заменить DNS всех соединений на Google Public DNS
Хотелось бы узнать более подробно об этом, заменит ли AntiSMS восстановление настроек сети от AVZ. Явно, что телодвижений намного меньше при запуске AntiSMS.
Применяются ли такие команды как:
ipconfig /flushdns
netsh winsock reset

simplix — 12.07.2013 10:45:04

Parabol


Код:

netsh int ip reset
netsh winsock reset
netsh firewall reset
route -f
+ очистка DNS
g0dl1ke — 12.07.2013 13:04:23

часто юзаю подобный скрипт


Код:

route -f
netsh int ip reset c:\resetip.txt
netsh winsock reset
netsh firewall reset
ipconfig /flushdns
ipconfig /release
ipconfig /renew
art9 — 12.07.2013 13:16:07

А если на роутере прописан зловредный днс, можно ли прикрутить какое-то отображение ip dns?

simplix — 12.07.2013 13:32:28

g0dl1ke
У меня после этого идёт перезагрузка, поэтому команды ipconfig не нужны. Кстати в семёрке netsh int ip reset не сбрасывает DNS, так что одних этих команд недостаточно.

art9
Нельзя, только заходить на роутер и смотреть. Увидеть можно только DNS роутера или явно прописанный в системе.

g0dl1ke — 12.07.2013 15:22:24

как вирус пропишет днс в роутере?

0 0 — 12.07.2013 15:35:09

g0dl1ke сообщает:

как вирус пропишет днс в роутере?

Стандартный пароль на роутере, уязвимости, отключённый фаервол на роутере, ...

Павел — 12.07.2013 19:22:05

Виндовс 7 > Win Pe (простой) > системная папка не найдена. Виртуальная машина Virtual Box.

adima — 13.07.2013 11:53:33

Павел сообщает:

Виндовс 7 > Win Pe (простой) > системная папка не найдена. Виртуальная машина Virtual Box.

Сделайте как в сообщении №1483

Павел — 13.07.2013 13:19:40

И где найти такое сообщение? Научите.

adima — 13.07.2013 13:24:05

на странице 60 восьмое сообщение сверху

> 11.07.2013 15:41:01                                                                                                                          #1483
>
> simplix
>  Administrator
>  Зарегистрирован: 28.07.2008
>  Сообщений: 875
> Профиль  E-mail  PM
>
>Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)
>
>Попробуйте запустить Regedit PE с рабочего стола и сделайте скриншот, может это прояснит ситуацию. Если у вас >какой-то свой WinPE - дайте на него ссылку, тогда я смогу проверить и сказать причину.
>

Номер вашего последнего #1507 а этого моего #1508 - справа вверху

А здесь собственно Regedit PE  http://forum.simplix.ks.ua/viewtopic.php?id=18

Павел — 13.07.2013 16:20:47

Теперь понял.

adima — 14.07.2013 16:00:16

simplix сообщает:

adima
Попробуйте запустить Regedit PE с рабочего стола и сделайте скриншот, может это прояснит ситуацию. Если у вас какой-то свой WinPE - дайте на него ссылку, тогда я смогу проверить и сказать причину.

WinPE 3.0 - обычный, может быть причина в букве диска E

Computer
HKEY_CLASSES_ROOT
HKEY_CURRENT_USER
HKEY_LOCAL_MACHINE
_E_comp_default
_E_comp_sam
_E_comp_security
_E_comp_software
_E_comp_system
_E_user_13062013
_E_user_MSSQLSADK
HARDWARE
SAM
SECURITY
SOFTWARE
SYSTEM
HKEY_USERS
HKEY_CURRENT_CONFIG

PS плохо что на форуме нельзя размещать картинки, а не ссылки

simplix — 14.07.2013 21:04:27

adima
Причина не в букве. Проверьте, если программа работает с дисками из шапки, значит дело в вашем WinPE. Если пришлёте на него ссылку и результат у меня повторится - скажу причину.

adima — 14.07.2013 21:53:07

Просто проверяю свой WinPE на десктопе = OK, а вот на notebook = FAIL .
Образ брал отсюда http://www.microsoft.com/en-us/download … px?id=5753  +  обновление до версии sp1 здесь http://www.microsoft.com/en-us/download … px?id=5188

Павел — 15.07.2013 17:07:31

Симпликс здравствуйте. Вообщем такое дело. Запустил я загрузочный диск НЕ на заблокированной системе (Винд 7), так антисмс написал что системная папка не найдена. Выхожу, заражаю голубым баннером, который изменяет системные файлы, перегружаюсь чтоб убедиться что баннер сработал - АГА ЕСТЬ КОНТАКТ... Загружаюсь опять с диска и антисмс прекрасно вывел баннер. Так почему всё-же пишет что системная папка не найдена? Просто интересно. Может всё-же ошибочка в программе? ЛОГ предоставить не могу, так как антисмс вшит в свою сборку.
Делал НЕ на виртуалке, а на нормальной ОС.

0 0 — 15.07.2013 17:13:04

Павел, на той системе где запускали (в вашем случае на реальной) зайдите в папку Windows, там найдите папку AntiSMS и в ней будут архивы - их и отошлите симпликсу.

пикча (раскрыть):
http://i47.fastpic.ru/big/2013/0715/30/390305958594b490dc505ef372580b30.png

simplix — 15.07.2013 17:35:11

adima сообщает:

Просто проверяю свой WinPE на десктопе = OK, а вот на notebook = FAIL

Такой ситуации, когда через "Мой компьютер" видно диски и папку с системой, а AntiSMS говорит, что системная папка не найдена, теоретически вообще быть не может. Перепроверьте всё ещё раз.

Павел сообщает:

Запустил я загрузочный диск НЕ на заблокированной системе (Винд 7), так антисмс написал что системная папка не найдена. Выхожу, заражаю голубым баннером, который изменяет системные файлы, перегружаюсь чтоб убедиться что баннер сработал - АГА ЕСТЬ КОНТАКТ...

И такого тоже теоретически быть не может. Когда программа пишет, что системная папка не найдена, вы можете найти эту папку из WinPE вручную?

adima, Павел
Попробуйте сделать всё то же самое с официальными дисками из шапки. Если с ними проблем не будет, используйте их.

Павел — 15.07.2013 20:43:44

Я попробую, но сборка сделана как нужно и пользовался ею очень долго. Менял только версии вашей проги, а тут такое. Да, конечно я попробую вашwin Pe, только попозже.

MBTY — 18.07.2013 22:58:48

Хочу кинуть AntiSMS 4.0 (На Win8PE) себе на флешку. Флешка на Грубе. Не хочу плодить папку W8PE, а хочу всё ее содержимое (как и файл bootmgr) запихнуть в уже существующую папку Boot. Что править и где? Сделать нужно срочно, а потому не могу себе позволить роскошь - искать всю ночь

0 0 — 18.07.2013 23:10:51

MBTY, вариант с загрузкой самого ОБРАЗА я так понимаю не катит?
а ля


Код:

title AntiSMS [WinPE8]
map /AntiSMS8.iso (0xff)
map --hook
chainloader (0xff)

И никаких правок и распаковок. Всё в нетронутом виде....

На основной рабочей флешке всё работает отлично.

MBTY — 18.07.2013 23:13:11

0 0
Рассматривал его, но не хочу. Придется, если еще за час не решу

Xemom1 — 20.07.2013 13:47:54

MBTY
Посмотрите в предыдущей "tango8PE.iso", как сделано там. (Используйте тот "bootmgr" - там вхождения на папку "Boot")
http://yadi.sk/d/NHyssPKi5N-_u

"Bootmgr" - можно спокойно переместить в папку "Boot" - только в grub указать:
title AntiSMS8PE
find --set-root /Boot/bootmgr
chainloader /Boot/bootmgr
boot

MBTY — 20.07.2013 14:32:32

Xemom1
Спасибо.

warikkk — 23.07.2013 12:29:02

simplix

На новых ноутбуках,сборка РЕ- антиСМС с ХР не видит мышь,плюс некорректное выключение и перезагрузка(происходит просто зависание)
Возможно ли доработать или модернизировать образ?

п.с. На сборке с win8 все работает гладко,но загрузка дольше!

chip — 24.07.2013 08:36:27

программа попросила отправить для диагностики:
http://rghost.ru/47628502

simplix — 24.07.2013 09:46:37

warikkk
Для новых компьютеров используйте Win8.

chip
Если не затруднит, пришлите пожалуйста папку C:\Windows\System32\Tasks в архиве с того компьютера.

warikkk — 24.07.2013 11:08:21

simplix
Я Вас понял,тогда почему бы не сделать один объединенный образ диска с 2 операционками в составе чтоб можно было вначале выбирать какую систему использовать или ХР или 8 ?

Core-2 — 24.07.2013 11:21:51

warikkk сообщает:

,тогда почему бы не сделать один объединенный образ диска с 2 операционками в составе чтоб можно было вначале выбирать какую систему использовать или ХР или 8 ?

Почему бы самому не сделать для себя такое,раз есть потребность ? Простая флешка или диск с меню на grub или bcdw. :D

chip — 24.07.2013 12:16:39

simplix сообщает:

chip
Если не затруднит, пришлите пожалуйста папку C:\Windows\System32\Tasks в архиве с того компьютера.

Уже не смогу, система была с ошибками, не устанавливались программы, многие функции не работали, и пришлось удалить.
В следующий раз постараюсь подержать подольше.

korsak — 24.07.2013 18:14:02

Core-2 сообщает:

warikkk сообщает:

,тогда почему бы не сделать один объединенный образ диска с 2 операционками в составе чтоб можно было вначале выбирать какую систему использовать или ХР или 8 ?

Почему бы самому не сделать для себя такое,раз есть потребность ? Простая флешка или диск с меню на grub или bcdw. :D

тем более что такой велосипед давно изобретен и не один раз :)

simplix — 24.07.2013 20:09:54

chip
И за то спасибо - причину я понял, исправление будет в следующей версии.

Genrync — 25.07.2013 13:32:38

simplix
подскажите пожалуйста, как пользоваться прогой autoruns(из PE режима), которую Вы включили в диск с WinPE 8 , потому как на каждый файл пишет: "not found".

З.Ы. если кому нужно могу скинуть обьединенную ISO-шку обоих дисков (WinPE XP + WinPE 8).

warikkk — 25.07.2013 14:08:46

Genrync сообщает:

simplix
подскажите пожалуйста, как пользоваться прогой autoruns(из PE режима), которую Вы включили в диск с WinPE 8 , потому как на каждый файл пишет: "not found".

З.Ы. если кому нужно могу скинуть обьединенную ISO-шку обоих дисков (WinPE XP + WinPE 8).

Мне нужно.если возможно то выложите или ссылку здесь или в PM

g0dl1ke — 25.07.2013 16:38:53

а чем не нравится запуск образов через груб?

0 0 — 25.07.2013 16:53:17

g0dl1ke, тем, что через груб они корректно работают.
А им хочется секаса.

Xemom1 — 25.07.2013 18:42:14

Genrync
В том виде запуска она бесполезна, так как показывает текущую Windows.
Откройте проводник, правой кнопкой мыши на autoruns.exe, в контекстном меню появится пункт: Запуск с RunScaner (запуск с Удаленным реестром), выбираете свою Windows и работаете.
Вы можете запускать не только autoruns.exe но и другие программы с удаленным реестром. Многие портабельные программы будут нормально работать, например из сборок Conty9. (UVS, AVZ, Paragon и т.д.).

Genrync — 25.07.2013 19:08:57

Xemom1 сообщает:

В том виде запуска она бесполезна, так как показывает текущую Windows.
Откройте проводник, правой кнопкой мыши на autoruns.exe, в контекстном меню появится пункт: Запуск с RunScaner (запуск с Удаленным реестром), выбираете свою Windows и работаете.
Вы можете запускать не только autoruns.exe но и другие программы с удаленным реестром. Многие портабельные программы будут нормально работать, например из сборок Conty9. (UVS, AVZ, Paragon и т.д.).

Вот как раз этой информации мне  и не хватало.:good:

warikkk сообщает:

Мне нужно.если возможно то выложите или ссылку здесь или в PM

здесь

g0dl1ke сообщает:

а чем не нравится запуск образов через груб?

0 0 сообщает:

А им хочется секаса.

Ну почему же, груб используется только с распакованными исошками, проще поменять(добавить).
Есть папка , кинул в неё новую версию  AntiSMS ,запустил батничек 10 сек и готова исошка, не хочешь на CD, копирую содержимое на пустую флешку (с загрузчиком груба) и всё.
Хотя всё это ИМХО.

0 0 — 25.07.2013 19:57:12

Genrync сообщает:

Ну почему же, груб используется только с распакованными исошками, проще поменять(добавить).
Есть папка , кинул в неё новую версию  AntiSMS ,запустил батничек 10 сек и готова исошка, не хочешь на CD, копирую содержимое на пустую флешку (с загрузчиком груба) и всё.
Хотя всё это ИМХО.

И опять секас. Оба образа с xp и win 8 обновляются с выходом новой версии AntiSMS.
Долго тянуть? Ну я конечно не в курсе какой у вас интеренет, но в среднестатистическом селе Уево-Кукуево в бывшем СССР вполне хватит даже флешки-модема, чтобы иметь постоянно актуальный AntiSMS. (Да-да, наши партнёры из Империи Добра позаботились чтобы все от мала до велика деградировали с помощью ТВ и интернета, изучали историю строго по секретным документам а ля игры "company of heroes 2" и фильмам а ля "утомлённые солнцем" и т.д., ну и конечно же изъявляли гражданскую активность - выходили на марш миллиардов разрушать страну...).
Опять же, BitTorrent Sync никто не отменял. Актуальная версия всегда будет получена без вашего участия.
А флешка с грубом позволит в считанные секунды сменить образы на актуальные без шума и пыли, причём образы будут нетронуты вами и в случае косяка будет найти причину легче.

BanHammer — 26.07.2013 03:09:33

А базу можно по прежнему обновлять?

simplix сообщает:

2) Добавлена поддержка базы проверенных файлов программы Universal Virus Sniffer, за что её автору огромное спасибо. Обновления базы можно скачивать непосредственно на этой страничке или здесь (724993 хэшей в базе [14.03.2013]). Для использования в программе файл MAIN нужно переименовать в Hashes.bin и поместить в каталог с AntiSMS или в корень диска. Добавить файл в образ диска можно с помощью UltraISO. Сама программа uVS не требуется для AntiSMS, но вы можете дополнять базу проверенных файлов с помощью uVS, а потом подключать эту базу к AntiSMS.

g0dl1ke — 26.07.2013 07:04:20

Xemom1
по autoruns (раскрыть): autoruns в принципе не нуждается в regscaner'e - в нем есть функция анализа оффлайн системы, например при запуске из под лайв или при желании проверить подключеный слейвом второй винт (файл - анализ оффлайн системы)

simplix — 26.07.2013 09:13:29

BanHammer
Базу можно обновлять, но для работы AntiSMS она не обязательна. Просто с базой может быть отключено чуть меньше элементов автозагрузки, которые всё равно включаются в msconfig одной кнопкой.

Xemom1 — 26.07.2013 10:05:54

g0dl1ke
Это относится к новым версиям autoruns.exe. Там при запуске по умолчанию показываются все установленные системы Windows.
В сборках используется старая версия. Поэтому приходится выбирать.

art9 — 26.07.2013 10:45:21

simplix
По базе uvs. Например, если в заданиях windows прописана нужная известная программа, то благодаря базе есть вероятность, что она не будет отключена. Ведь задания не включаются через msconfig. Это как-бы плюс.

g0dl1ke — 26.07.2013 10:59:53

обновился Hashes.bin?

simplix — 26.07.2013 11:09:47

Xemom1
Новые версии AutoRuns на WinXP делали синьку, да и старая версия хорошо работала. А на Win8 обновлю.

art9
Поэтому база я включена в состав дисков.

g0dl1ke
Всё обновилось на BTSync. Официально будет чуть позже.

simplix — 26.07.2013 12:07:51

Новая версия AntiSMS 4.1
Всех с днём сисадмина!

g0dl1ke — 26.07.2013 13:34:19

:drinks:
обновился антисмс только на базе 8 и отдельный файлом, лайв на хр без изменений? или у меня битторент глючит :unknown:

simplix — 26.07.2013 14:17:03

g0dl1ke
На WinXP тоже обновился. BTSync показывает, что все синхронизировались нормально, проверяйте Checksum.md5 в папке.

adima — 26.07.2013 14:41:55

g0dl1ke сообщает:

Xemom1
по autoruns (раскрыть): autoruns в принципе не нуждается в regscaner'e - в нем есть функция анализа оффлайн системы, например при запуске из под лайв или при желании проверить подключеный слейвом второй винт (файл - анализ оффлайн системы)

Если не сложно тогда попробуйте изменить любое значение удаленного реестра!

g0dl1ke — 26.07.2013 15:17:02

simplix
скачал по прямой ссылке AntiSMS.iso, заменил и теперь crs совпадает

fadetoback — 26.07.2013 20:11:55

Можно продублировать последние версии на Яндекс диск? С основных адресов невозможно скачать.

0 0 — 26.07.2013 20:32:07

fadetoback, скачай через BitTorrent Sync


Код:

Secret: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ
simplix — 26.07.2013 20:55:55

fadetoback
Проблему с сайтом увидел, скоро будет решена.

fadetoback — 27.07.2013 09:59:42

simplix
Только что перекачал на нормальной скорости. :)

BecTepH — 27.07.2013 10:29:44

Подскажите пожалуйста как и где можно проверить скачанный образ на предмет совпадения контрольных сумм, что то их не нашел. Качал вчера и сегодня и контр.суммы разные. Спасибо.

0 0 — 27.07.2013 10:42:46

BecTepH, качайте через BitTorrent Sync там есть файл Checksum.md5

e914b90cb97ee0748da2a0e480d17319 *AntiSMS.exe
74c492e1a3fc7e123a8c64ab48063223 *AntiSMS.iso
16e9737726eeb7d272a5f965174c0b66 *AntiSMS8.iso
2db1fa14577789c64d04a0417c549d7a *AntiSMSusb.exe
396c4ce42210f9a7fe3c7a655ec11a31 *Hashes.bin
22a43f118443d93124ccb5ebc56c782b *Readme.txt

Георгий — 30.07.2013 15:58:45

Работаю настройщиком ПО абонентов крупного провайдера нашего города. За последнюю неделю было 3 случая, описанных на форуме: http://www.cyberforum.ru/viruses/thread608089.html
Является ли реальностью добавить в AntiSMS модуль, который сможет поднять службы, или сделать отдельную утилиту для этих целей?

simplix — 31.07.2013 00:38:54

Георгий
Если вы сможете прислать рабочий вредоносный файл или завиртуализированную повреждённую систему - посмотрю, что можно сделать. А то по ссылке идёт комплексное гадание, и что именно помогло человеку, а что лишнее и как это проверить, выяснить трудно.

Георгий — 31.07.2013 01:37:47

Каким образом можно завиртуализировать систему? Следующий попадётся - сделаю.

simplix — 31.07.2013 05:47:30

Георгий
http://www.vmware.com/products/converter

shonenpl — 01.08.2013 09:23:23

Георгий
Может пригодится:
http://biblprog.org.ua/ru/windows_defender/
http://9b.asoiu.com/?p=2748
Я использовал Shadow Defender для "заморозки" диска С:, а данные сохранялись на D: (папка "Мои документы" и прочее нужное.

MBTY — 05.08.2013 18:54:44

Ребяты, подсоветуйте как Victoria запустить в AntiSMS 4.1 (8PE) - ошибку пишет.
simplix
Ждать добавление Victoria? Очень выручает

viprus — 05.08.2013 19:05:12

Э-э... как бы не по теме прога, нет?

Parabol — 05.08.2013 19:26:39

MBTY
Запускайте DOS версию.

MBTY — 05.08.2013 20:55:34

viprus
Как и 7z и ТС и Unlocker и Partition Assistant и Imagine
Parabol
Знаю. С AHCI не работает

Oleg.Alkom — 06.08.2013 08:48:39

Помогите пожалуйста!!! :oops:
Хочу прикрутить образ AntiSMS.iso к своему меню груба4, кучу времени потратил уже, а ничего не вышло...
Файловая система NTFS, гружу так:

title AntiSMS Best \n
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

MBTY — 06.08.2013 08:51:44

Oleg.Alkom
А груб чего пишет?

Oleg.Alkom — 06.08.2013 09:03:42

Что-то вроде этого:

Windows could not start due to an error while booting from RAMDISK.
Windows failed to open the RAMDISK image.

File \BOOT\WINPE.IS_ could not be loaded.
The error code is 7.

Setup cannot continue. Press any key to exit.

0 0 — 06.08.2013 09:39:12

title AntiSMS Best \n
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Oleg.Alkom. зачем 2 раза мапите?

Достаточно так:


Код:

title AntiSMS [Win XP]
map /IMAGE/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Ps и в память тоже лучше не мапить - может встретиться с малым количеством озу железка.

AntiSMS.iso оригинальный из раздачи?

Oleg.Alkom — 06.08.2013 10:03:27

0 0 сообщает:

title AntiSMS Best \n
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map /grub4dos/iso/AntiSMS.iso (0xff) || map --mem /grub4dos/iso/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Oleg.Alkom. зачем 2 раза мапите?

Достаточно так:


Код:

title AntiSMS [Win XP]
map /IMAGE/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Ps и в память тоже лучше не мапить - может встретиться с малым количеством озу железка.

AntiSMS.iso оригинальный из раздачи?

Да, оригинальный. С этим кодом тоже не работает (((

g0dl1ke — 06.08.2013 13:21:55

что пишет?
дефрагментацию образа делали?

Oleg.Alkom — 06.08.2013 13:51:21

Утилита WinConting пишет, что образ не фрагментирован... (((((

Core-2 — 06.08.2013 14:07:27

Oleg.Alkom А остальное грузится ? И на чём грузите (марка компа)? Если Samsung или HP , то забудьте о идее запуска.

Oleg.Alkom — 06.08.2013 14:32:03

Core-2 сообщает:

Oleg.Alkom А остальное грузится ? И на чём грузите (марка компа)? Если Samsung или HP , то забудьте о идее запуска.

Благо всё остальное грузится, куча разных PE, семёрка, тестеры различные, AntiSMS8, а вот именно под XP не хочет (((

Core-2 — 06.08.2013 14:37:12

Oleg.AlkomПробуйте перекачать образ.Мож неудачно скачался.У меня грузится,только что проверила по такому методу:
title AntiSMS [Win XP]
map /IMAGE/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Oleg.Alkom — 06.08.2013 15:16:22

Core-2 сообщает:

Oleg.AlkomПробуйте перекачать образ.Мож неудачно скачался.У меня грузится,только что проверила по такому методу:
title AntiSMS [Win XP]
map /IMAGE/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

Проблема решена, спасибо большое!!!
Удивительно! Скачал образ заново, поставил - всё работает. В образах ни на байт отличия нет.

0 0 — 06.08.2013 17:46:45

Oleg.Alkom сообщает:

В образах ни на байт отличия нет.

Oleg.Alkom, сравнивайте всегда по контрольным суммам!

MBTY — 06.08.2013 18:38:19

Antisms 7pe. Хотел посканировать какую-то полуурезанную, покоцанную ХР. Написали мне (Antisms), что системная папка не найдена. Делаю образ диска С, чтобы дома потом разобраться вместе почему AntiSMS не видит папку Windows

simplix — 06.08.2013 21:41:45

MBTY
И мне в ПМ пожалуйста.

MBTY — 06.08.2013 22:32:00

simplix
отправил два ЛС с темой "Образ" и "образ"

aset — 09.08.2013 19:43:57

simplix
Подтверждаю, новая версия начиная с 4 пишет не найдена системная папка, я даже сам antisms.exe на диск С скопировал, пишет тож самое

simplix — 10.08.2013 01:15:35

aset
Можно подробнее? С какого WinPE вы запускали программу? Видно ли диски с системными файлами через "Мой компьютер"? Запускали Autoruns или Regedit перед запуском AntiSMS?

aset — 11.08.2013 19:41:35

все банально, захожу обычно с Ruslive от Nikzzzz
ничего не запускал, просто жму antisms с флешки он запускается и через секунд 15 говорит не найдена сис папка
думаю фигня, опять запускаю antisms также, иду в мой комп там смотрю диск С стоит папка windows стоит
думаю ну ладно, копирую antisms 4.1 в корень С и облом сис папка не найдена
пришлось запустить 3,5 и не мучаться

simplix — 11.08.2013 20:16:14

Вообще-то AntiSMS должен работать на любом WinPE, а ограничения по размеру памяти убраны в версии 4.1.

aset
Сейчас попробую скачать последнюю сборку Ruslive от Nikzzzz с руборда, но всё-таки для порядка нужно чтобы вы выложили именно ту сборку, которой пользуетесь сами. Дополнительно напишите, какие разделы видно из WinPE, какая версия Windows там находится, чтобы я попробовал воспроизвести эту ошибку у себя.

simplix — 11.08.2013 20:54:15

Скачал RusLiveFull_CD_2013_08_10.iso и загрузился с настройками по умолчанию, при загрузке ничего не выбирал. Целевая система - WinXP, программа отработала без всяких проблем.

aset — 11.08.2013 21:16:27

эмм, тогда прошу прощения :oops: в моем случае была Windows 7
хотя 3,5 видела Windows 7

Core-2 — 11.08.2013 21:19:36

aset сообщает:

была Windows 7

4.1 без проблем видит Windows 7. LiveCD на основе всё той же 7. На основе ХР может и не увидеть , как и не увидеть сам HDD. Но это редко,только на некоторых ноутах с Phoenix bios.

aset — 11.08.2013 21:22:27

ладно, я сам виноват
распишу подробно! LiveCD на основе XP а виндоус на компе windows 7 и не видит
хотя для эксперимента, щас попробую на другом компе

simplix — 11.08.2013 21:59:24

aset
Всё равно работает такая схема. Нужен именно тот образ, где у вас возникает ошибка, и точную версию системы, включая разрядность. Если я не смогу воспроизвести ошибку у себя, то не смогу и исправить.

Core-2
Он писал, что папку Windows видно через "Мой компьютер".

aset — 11.08.2013 22:10:29

Windows 7 x64
я сам понял уже почему, я вспомнил что MBR поврежден был

simplix — 11.08.2013 23:05:05

Повреждённый MBR никак не мешает программе проверять системную папку, когда она доступна. Другое дело если бы была повреждена таблица разделов - тогда системная папка не могла бы быть найдена вообще, так как разделов в "Моём компьютере" тоже не было бы видно.

D1abl093 — 12.08.2013 07:52:14

Баннер не удалился. В архиве лог и экземпляр баннера.
Папка "WINDOWS" лежала рядом с настоящей папкой "Windows", а в ней "explorer.exe" :D
http://rghost.ru/48060777

simplix — 12.08.2013 09:45:27

D1abl093
Файл трояна не запускается, напишите пожалуйста ответы на несколько вопросов:
1) До запуска AntiSMS баннер появлялся при загрузке системы и после запуска AntiSMS баннер снова появлялся при загрузке системы?
2) Что именно вы сделали для удаления баннера вручную?
3) Есть ли у вас возможность заархивировать и прислать в ПМ всю системную папку C:\Windows?

D1abl093 — 12.08.2013 10:37:39

1. До и после запуска AntiSMS баннер появлялся
2. Запускал RegeditPE с вашего образа AntiSMS. Прошёлся по основным веткам реестра, заметил странную неточность в "Shell" (точнее сейчас не скажу HKLM или HKCU). Весь текст был заглавными буквами (переписал заново).
Зашёл на диск C: и увидел две папки Windows (WINDOWS и Windows). В одной только explorer.exe, в другой - всё как обычно.
3. Заархивировать возможности нет - вернул клиенту.

UAC у клиента был выключен

simplix — 12.08.2013 11:00:47

D1abl093
Спасибо. К сожалению без системной папки причину определить трудно, возможно троян патчил системные файлы для своего запуска, попробую позже запустить его на реальной машине. Будем разбираться.

D1abl093 — 12.08.2013 15:04:34

Запустил под виртуалкой (оригинал Windows XP SP3), прописав в "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" "C:\имя_папки_скопировал\имя_файла_тоже_скопировал"

После Выход->Входа в систему было долгое примение параметров пользователя. А далее красовался баннер :)
Похоже, он сам себя не прописывает, а что-то другое его туда прописало.
http://i33.fastpic.ru/thumb/2013/0812/e4/fe447883fed65be4496147c6102f92e4.jpeg

simplix — 12.08.2013 17:54:27

D1abl093
Удалось запустить блокировщик под VirtualBox и гостевой системой WinXP. Под VMware он не запускался, видимо там есть проверка на некоторые виртуальные машины. В обоих случаях, что в WinXP, что в Win7, AntiSMS справилась и написала об этом в логе, и блокировщик пропал. Почему у вас не сработало - остаётся только гадать.

D1abl093 — 13.08.2013 05:26:04

simplix сообщает:

D1abl093
... остаётся только гадать.

Наверное, просто нужно было второй раз запустить. Но решил пойти сложным путём :)
Ну и да, тоже запускал с гостевым драйвером

g0dl1ke — 13.08.2013 12:27:26

наверняка опять фокус с русскими буквами папки windows

0 0 — 13.08.2013 12:33:07

Да, там русская буква О (0xCE) вместо латинской O (0x4F)

jimq — 14.08.2013 05:40:52

http://rghost.ru/48103053
Новейший локер, теперь не работает под виртуалкой, тестить только на хостовой системе, кому не жалко)

0 0 — 14.08.2013 09:52:37

jimq, не драматизируйте. Нормально запускается на VBox, правда без установленных "Дополнений гостевой ОС". ;)
Действительно свежий локер.)
MD5: 15f4ad8c8ff59e41a878994a0ceaaba3
SHA-1: c8945230de653588973dbe6560e83d0f766a2f4e

Опять тот же фокус из поста выше с русской О в слове Windows.
AntiSMS справилась!
Скрытый текст (раскрыть):
Журнал работы AntiSMS 4.1, время - 10:56:51 14.08.2013

Найдена операционная система в папке C:\WINDOWS
Операционная система опознана как Windows XP SP3 x86
Для проверки файлов используется внешняя база хэшей
Восстановлены параметры загрузки системы в безопасном режиме
Проверены и восстановлены важные ключи системного реестра
Проверены папки и ключи реестра пользователя Default System
Проверены папки и ключи реестра пользователя Default User
Проверены папки и ключи реестра пользователя LocalService
Проверены папки и ключи реестра пользователя NetworkService
Проверены папки и ключи реестра пользователя Admin
Файл C:\WINDОWS\ехрlоrеr.exe не подписан и его автозагрузка отключена, создана резервная копия

Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\Temp\AntiSMS\14.08.2013-1\Backup

Работа AntiSMS завершена, время - 10:56:55 14.08.2013 (4 сек)

jimq — 15.08.2013 00:45:20

0 0 сообщает:

jimq, не драматизируйте. Нормально запускается на VBox, правда без установленных "Дополнений гостевой ОС". ;)

спасибо, не знал, что не нужно устанавливать дополнения

Parabol — 17.08.2013 16:12:10

Подскажите, заменил сегодня клиенту жесткий диск на ноутбуке, установил 7х64, драйвера с оф.сайта, все вроде бы нормально, но решил попробовать запустить обновление windows, а она говорит что не может запустить, т.к. служба возможно отключена. Зашел в службы, проверил, служба включена, пробовал перезапускать, перезагружать комп, все безуспешно.
Запустил AntiSMS с WinPE.
Вот лог:


Код:

Журнал работы AntiSMS 4.1, время - 14:44:37 17.08.2013

Найдена операционная система в папке C:\Windows
Каталог безопасности этой системы повреждён, лечение не гарантируется!
Операционная система опознана как Windows 7 Ultimate SP1 x64
Для проверки файлов используется внешняя база хэшей
Проверены и восстановлены важные ключи системного реестра
Файл system32\DRIVERS\enecir.sys не подписан (производитель: ENE TECHNOLOGY INC.), но служба enecir является драйвером и не будет отключена, создана резервная копия
Файл \SystemRoot\System32\Drivers\EtronHub3.sys не подписан (производитель: Etron Technology Inc), но служба EtronHub3 является драйвером и не будет отключена, создана резервная копия
Файл \SystemRoot\System32\Drivers\EtronXHCI.sys не подписан (производитель: Etron Technology Inc), но служба EtronXHCI является драйвером и не будет отключена, создана резервная копия
Файл C:\ProgramData\KMSAuto\data.dll -Port 1688 -Pwin 55041-00168-313-181710-03-1049-6002.0000-2642009 -PO14 55041-00096-199-128989-03-1033-7601.0000-3502012 -PO15 55041-00172-037-340769-03-1049-7601.0000-3532012 -AI 43200 -RI 43200 не подписан и его служба KMSEmulator отключена, создана резервная копия
Файл system32\DRIVERS\Rt64win7.sys не подписан (производитель: Realtek                                            ), но служба RTL8167 является драйвером и не будет отключена, создана резервная копия
Файл C:\Windows\System32\DriverStore\FileRepository\stwrt64.inf_amd64_neutral_d15ed671de43d681\STacSV64.exe не подписан и его служба STacSV отключена, создана резервная копия
Файл system32\DRIVERS\stwrt64.sys не подписан (производитель: IDT, Inc.), но служба STHDA является драйвером и не будет отключена, создана резервная копия
Файл \SystemRoot\system32\drivers\ViaHub3.sys не подписан (производитель: VIA Technologies, Inc.), но служба VUSB3HUB является драйвером и не будет отключена, создана резервная копия
Файл %SystemRoot%\system32\wecsvc.dll не подписан и его служба Wecsvc отключена, создана резервная копия
Файл \SystemRoot\system32\drivers\xhcdrv.sys не подписан (производитель: VIA Technologies, Inc.), но служба xhcdrv является драйвером и не будет отключена, создана резервная копия
Проверены папки и ключи реестра пользователя Default System
Проверены папки и ключи реестра пользователя Default
Проверены папки и ключи реестра пользователя LocalService
Проверены папки и ключи реестра пользователя NetworkService
Проверены папки и ключи реестра пользователя 1

Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке B:\Temp\AntiSMS\17.08.2013-1\Backup

Работа AntiSMS завершена, время - 14:45:15 17.08.2013 (38 сек)

Меня смутила запись: Каталог безопасности этой системы повреждён, лечение не гарантируется!
Что это означает и как это можно исправить и как такое может быть на абсолютно чистой системе? Я уже на драйвера грешу....

Core-2 — 17.08.2013 16:26:59

Parabol Установите нормальную ,чистую 764 , а не сборку.

Parabol — 17.08.2013 16:50:59

Core-2
Дело в том, что я никогда не ставлю сборки.
Это копия оригинально дистрибутива.
Интегрированы только драйверы USB 3.0 и обновления + IE.
Более ни чего. Ни каких твиков, патчей, урезаний, добавлений и т.д.

simplix — 17.08.2013 19:25:44

Parabol
Тем не менее, если каталог безопасности системы повреждён, то её необходимо переустановить. И если это оригинальный дистрибутив, то возможно проблема с железом, нужно как минимум проверить оперативную память. Чтобы посмотреть, какие файлы в системе не подписаны, запустите встроенную программу sigverif - если файлов будет много, значит каталог безопасности действительно повреждён и работать в такой системе нельзя, проблемы будут вылазить постоянно.

s_host — 18.08.2013 14:12:45

Parabol сообщает:

Core-2
Дело в том, что я никогда не ставлю сборки.
Это копия оригинально дистрибутива.
Интегрированы только драйверы USB 3.0 и обновления + IE.

Это уже сборка.

aset — 22.08.2013 16:50:53

это снова я, вообщем ситуация повторилась опять пишет системная папка не найдена 4,1, но в этот раз я запустил 3,5. 3,5 справилась, но пишет неизвестный mbr, а неизвестный mbr это extreme loader для активации windows 7
я это выяснил удалив лоадер, соответственно активация исчезла, но 4,1 сработала
вообщем пока что, 3,5 стабильный вариант для меня

simplix — 22.08.2013 22:22:27

aset
К сожалению вы снова не написали никаких подробностей для того, чтобы увидеть ошибку. Проверил на Win7 SP1 x86 + LoaderXE 3.503 + RusLiveFull_CD_2013_08_10.iso, никаких проблем. Неизвестный MBR вы тоже не прислали.

aset — 23.08.2013 20:35:54

мистика, хоть скриншоты присылай
ладно пришлю несколько mbr

вопрос в другом, почему 3,5 видит что не видит 4,1
мож механизм хуже 4,1

jimq — 26.08.2013 00:18:18

http://rghost.ru/48371737
Обзор современных локеров и малвари (вырезка из журнала Хакер за август 2013)

olzaruta — 27.08.2013 19:15:01

http://rghost.ru/48387059 ( пароль на скачку 2013, на архив virus )
а как на счет этого экземпляра? запускать только в виртуальной среде!

0 0 — 27.08.2013 19:40:07

olzaruta, справляется вроде бы)
порадовало это
http://rghost.ru/48410397/image.png
"странное название" для обнов для Windows Media Player

а это будет если не лечить
http://rghost.ru/48410627/thumb.png

пробелы в фарш-коде)) http://pastebin.com/embed_js.php?i=yDK0x85K

g0dl1ke — 27.08.2013 22:39:32

Очередная школота

crouni — 30.08.2013 16:13:40

Еще раз спасибо за ваши PE сборки. :good:
Хотелось бы чтобы в сборке на базе Win8 (antisms.com/AntiSMS8.iso) была Victoria for Windows (например v.4.46). В сборке на базе WinXP (antisms.com/AntiSMS.iso)  такая программа есть, я нахожу её весьма полезной.:oops:

P.S.
складывается ощущение, что этот форум необитаем :unknown:

Dr. MefistO — 16.09.2013 14:18:43

http://rghost.ru/48780166 - Drive1.bin, по просьбе программы)

И предложение: добавьте uVS в AntiSMS ISO. Очень часто пригождается.

g0dl1ke — 16.09.2013 23:30:37

uvs прекрасно запускается с флешки

Dr. MefistO — 17.09.2013 15:35:43

g0dl1ke
я знаю. Но его приходится отдельно на эту флешку докидывать к uVS. А так - был бы почти полный боекомплект.

g0dl1ke — 17.09.2013 19:20:27

на флешке уважающего себя специалиста находится не только антисмс и увс

Алекс — 20.09.2013 17:25:41

Всем привет! :) есть небольшая проблемка. Сегодня лечил другу ноут с вин-7х64 через Антисмс 3.5, лечение от блокировщика прошло нормально, но почему-то перестал автоматически включаться Wi-Fi модуль.. :unknown: Приходится запускать средство диагностики, он проводит диагностику проблемы и включает вай-фай.

Отсюда вопрос - могла ли Антисмс что-то важное отключить? какие-либо службы, которые отвечают именно за вай-фай? :unknown:
И какие именно службы должны быть включены обычно для нормальной работы вай-фай модуля? Раньше с подобными проблемами не сталкивался.

Sergikaz — 20.09.2013 17:29:47

Уважаемый Алекс
Почти на все эти вопросы можно узнать, если посмотреть log-файл работы утилиты. Для себя я уже давно выработал "рефлекс": после работы утилиты сразу из-под WinPE смотреть log-файл. Иногда очень полезно бывает. ;)

Алекс — 20.09.2013 17:42:04

Sergikaz
Я смотрел мельком, но ничё особенного не приметил.. :unknown:
Может кто-то ответит именно по службам? какие отвечают именно за вай-фай на вин-7 ?

Не заходил очень давно уже сюда, а тут оказывается версия 4.1 уже вышла давно! :good:
У меня почему-то уведомления на почту о новых сообщениях в теме иногда просто не приходят, хотя я подписан не тему.. Приходится отписываться и потом снова подписываться, что бы уведомления заработали опять.

weldance — 20.09.2013 19:33:25

Алекс
именно за вифи отвечает служба "Служба автонастройки WLAN", но если её отключить, то диагностика об этом и скажет, а именно "служба беспроводной связи windows не запущена на этом компьютере - исправлено".
если диагностика пишет, что отключен wi-fi (и включает его) то в первую очередь обратите внимание на "Центр мобильности".

p.s. установите bittorrent sync и будут вам автообновления.

Алекс — 20.09.2013 20:28:15

weldance
"Центр мобильности" - это что? служба тоже? и причём тут bittorrent sync - не совсем понял.. :crazy:
Кстати, надо будет обновится на Антисмс 4.1 и закинуть Симпликсу денежку на яндекс. :drinks:
Я видел, что запустилась наконец-то поддержка автора в виде сбора средств, думаю что это правильное решение, я уже очень давно предлагал это.
На днях свой яндекс-кошелёк пополню и закину деньжат :drinks:

happywanderer — 20.09.2013 20:42:07

bittorrent sync - всегда будет актуальная версия по мере выхода, и это относится не только к AntiSMS, а и к другим продуктам автора. ;)

weldance — 20.09.2013 20:50:34

Алекс
пока почитайте тут. будут вопросы пишите, можно в ЛС.

p.s.

simplix сообщает:

BitTorrent Sync: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ
Используя BTSync вы будете получать новые версии автоматически

Алекс — 21.09.2013 15:39:53

Прогнал ещё раз антисмс на том же ноуте и проблема с вай-фай решилась.
Он то и раньше работал, но почему то список сетей не показывал, но щас всё ок стало. :drinks:

crouni — 24.09.2013 17:41:38

crouni сообщает:

Еще раз спасибо за ваши PE сборки. :good:
Хотелось бы чтобы в сборке на базе Win8 (antisms.com/AntiSMS8.iso) была Victoria for Windows (например v.4.46). В сборке на базе WinXP (antisms.com/AntiSMS.iso)  такая программа есть, я нахожу её весьма полезной.:oops:

P.S.
складывается ощущение, что этот форум необитаем :unknown:

Надеюсь мою просьбу рассмотрят. Хотелось бы чтобы еще и сеть работала, если не WiFi - то хотя бы UTP и браузер типа мурзилки, правда тогда получится полноценный лайв-си-ди, я на против такого развития проекта.

Алекс — 24.09.2013 18:06:34

crouni
Форум вполне обитаем, просто админы тут редко отвечают на вопросы.
они ведь не могут постоянно сидеть на форумах...
Насчёт вай-фай, браузеров и т.д. в сборках Антисмс - я думаю что не очень то и нужно оно там. Антисмс нужен именно для лечения от локеров, поэтому - в сборке Антисмс нету ничего лишнего, и образы весят очень мало (что очень хорошо для тех, у кого инет-трафик на счету) .
Можно ведь использовать отдельно программу Антисмс в своей любой лив-сд сборке.

Core-2 — 24.09.2013 18:18:08

crouni В нете полно сборок по этому поводу .
Алекс Моё мнение схоже. AntiSMS - дожен быть как АКМ ,прост и надёжен , и не только он.
А "комбайны" пусть в колхозе пашут ! :D

Алекс — 24.09.2013 18:29:35

Core-2
Согласен! :drinks: прост, быстр и надёжен :good: вставил диск с образом Антисмс, быстро загрузился он, быстро вылечил и дело в шляпе! :drinks:
Ну а потом уже - если нужно, то вставил отдельно свой любой Лив-сд образ, по шаманил и по химичил над компом как душе угодно ))

D1abl093 — 24.09.2013 21:10:42

simplix сообщает:

1) Файл SysFiles.exe переименован в SysFiles.bin...

2) Добавлена поддержка базы проверенных файлов программы...
это сообщение.

Сейчас это актуально?

0 0 — 24.09.2013 21:15:28

D1abl093

simplix сообщает:

Версия 4.0 от 10.07.2013
Системные файлы включены в состав программы, теперь SysFiles.bin не нужен и не используется (Hashes.bin как и раньше не обязателен).

D1abl093 — 24.09.2013 21:17:54

0 0
Как раз в историю заглянул. Извиняюсь :oops:

art9 — 27.09.2013 13:00:26

simplix, есть ли в планах функционал, который позволит просто установить образ антисмс в меню вариантов загрузки windows?

max21 — 27.09.2013 16:12:19

добрый день!
может кто подскажет..
как загрузочный диск, который на основе windows 8,
с программой AntiSMS прикрутить к загрузочной флешке с загрузчиком Grub4dos.
спасибо!

Core-2 — 27.09.2013 16:35:37

max21
Точно так же ка и на основе win 7.

max21 — 27.09.2013 16:49:43

Core-2 сообщает:

max21
Точно так же ка и на основе win 7.

а где об этом почитать можно?

weldance — 27.09.2013 17:09:58

max21
тут почитай

у меня так: (раскрыть):
title AntiSMS win_8
find --set-root /Antisms/AntiSMS8.iso
map /Antisms/AntiSMS8.iso (hd32)
map --hook
chainloader (hd32)
boot

Doberman — 01.10.2013 13:46:19

Вопрос такой.
Почему после своей работы AntiSMS копирует себя в Host систему? (По пути C:\Windows\AntiSMS). :shock:
Или так задумано? (Нигде в описании не нашел?).:unknown:

0 0 — 01.10.2013 14:08:43

Doberman сообщает:

Почему после своей работы AntiSMS копирует себя в Host систему? (По пути C:\Windows\AntiSMS). :shock:

ААААА! ПОСОНЫ! ЭТА ВИРУС! ОН КАПИРУЕЦА В ВИНДОС!

Да, так и задумано. По всей видимости это сделано для того, чтобы можно сбросить в хостовой ос настройки интернет.
В описании тоже не увидел по сам AntiSMS.exe

Возможности программы:

• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.

Doberman — 01.10.2013 14:15:33

0 0
Понятно. Я думал только отчет, а оказывается и сама программа AntiSMS!

Dimson81 — 08.10.2013 23:12:41

art9 сообщает:

есть ли в планах функционал, который позволит просто установить образ антисмс в меню вариантов загрузки windows?

Можете сами легко это сделать.
Отвечал в другой теме, но тут аналогично, фотки с другой темы, там всё понятно:

Скачиваем и устанавливаем EasyBCD. Копируем AntiSMS.iso в корень диска "С". Открываем EasyBCD и выбираем пункт "Добавить запись", вкладу "ISO". Вписываем в поле Имя "AntiSMS", Путь "C:\AntiSMS.iso", Режим по желанию - я выбрал оперативную память и нажимаем добавить.
картинка (раскрыть): http://s44.radikal.ru/i103/1301/70/03b940105ed9.png
Далее переходим в пункт "Редактировать меню загрузки" и нажимаем кнопку "Сохранить"
картинка (раскрыть): http://s019.radikal.ru/i612/1301/04/6796e24c62f2.png
После проделанного при загрузке системы будем видеть вот такое окно:
картинка (раскрыть): http://s020.radikal.ru/i707/1301/26/1f033ab6c5b1.jpg
Саму программу теперь можно удалить.

0 0 — 09.10.2013 00:57:50

установить образ антисмс в меню вариантов загрузки windows

Скажите, как это спасёт от MBR-локера?
Имхо, как ленивый вариант от винлокеров - да, но не больше.
Как вариант: можно держать флешку/болванку в usb/cd-rom - спасёт и от MBR-локера.

art9 — 09.10.2013 06:13:11

Dimson81
мне это не нужно, но другим юзерам бы советовал установить, если это было бы просто.

0 0
Вероятность подхватить файловый зловред  больше. Сейчас больше блокировка соц сетей распространена. АС не плохо решает эту проблему.
На safezone.cc придумывают подобную утилиту, хотя в АС уже это все есть, только она привязана с livecd.

serg — 09.10.2013 11:07:32

хочется просто поблагодарить автора программки, --вот уже сколько времени пользуюсь ей в составе какого-то Live CD, и что удивительно, -НИ РАЗУ не было проблем с лечением какого-нибудь вируса, --хотя попадались самые разные) -в том числе самые новые, появившиеся после выхода сборки.

0 0 — 09.10.2013 11:47:10

serg, нижний правый угол.
http://i.imgur.com/1uXuyCS.png

line1 — 09.10.2013 22:26:03

> EasyBCD
А для XP есть похожая программа?

0 0 — 09.10.2013 22:29:34

line1, EasyBCD поддерживает...

line1 — 09.10.2013 23:34:36

0 0
Это хорошо, только не на каждой машине .NET стоит. Может, еще что есть?

0 0 — 10.10.2013 01:39:38

ЗАПУСКАТЬ ТОЛЬКО НА ВИРТУАЛКАХ.
http://rghost.ru/49281277 пароль 2013 от дохтура
С восстановлением MBR AntiSMS не справляется.
Что и не мудрено :)

simplix — 10.10.2013 14:05:15

art9 сообщает:

simplix, есть ли в планах функционал, который позволит просто установить образ антисмс в меню вариантов загрузки windows?

Есть, но также есть проблема времени и отсутствие финансирования, поэтому конкретные сроки сказать не могу. Но со временем всё будет, интеграция в меню загрузки сильно ускорит лечение компьютеров. Кроме того я хочу расширить функционал программы так, чтобы она могла эффективно лечить компьютер даже из рабочей системы.

0 0 сообщает:

С восстановлением MBR AntiSMS не справляется.

Потому что это не MBR-блокировщик, там нет резервной копии (даже зашифрованной) и восстанавливать нечего. Здесь удаляется таблица разделов и нужно только искать начало и конец этих разделов для восстановления.

olzaruta — 10.10.2013 14:46:44

для теста ещё парочка зверьков того же плана:
http://rghost.ru/49287992 и http://rghost.ru/49288132 ( скачка - 2013, архив - virus)

art9 — 11.10.2013 06:42:07

Dimson81
EasyBCD не может добавить пункт в меню windows, которое вызывается клавишей F8?

Алекс — 12.10.2013 08:45:57

simplix
Подскажите пожалуйста что означает вот это в версии 4.0 :
Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы. ? :unknown:
Это как то связано с маршрутами роутера или что? не собьются ли настройки роутера после использования Антисмс 4.0?
Почему спрашиваю - потому что у меня как раз роутер, и для нашей локальной сети нужно прописывать кучу маршрутов в настройке роутера, что бы был полноценный доступ ко всем ресурсам сети.

qwas — 13.10.2013 00:59:29

Алекс сообщает:

...Это как то связано с маршрутами роутера или что? не собьются ли настройки роутера...

1. Никак не связано.
2. Не собьются, ибо таблицу маршрутизации роутера использует только OS самого роутера.

p.s
Исключение составляют ADSL-модемы, настроенные "мостом"(bridge), где соединение инициируется на абонентском компьютере. Но тогда и статические маршруты вбиваются не в модеме а в Windows.

Алекс — 13.10.2013 08:50:08

qwas
Тогда о каких маршрутах речь идёт вообще в описании версии 4.0? :unknown:

Кстати, вчера денежку на яндекс отправил Симпликсу :drinks: с номера....9949 :)

Кто ещё не поддержал проект,милости просим скинуть кто сколько может :drinks:

qwas — 13.10.2013 18:38:41

Алекс сообщает:

Тогда о каких маршрутах речь идёт вообще

Как ни странно, речь идет статических маршрутах Windows, о чем и написано черным по белому.:)
"Вбейте" в поисковик Google фразу "статические маршруты windows"и вам откроется их назначение.

olzaruta — 18.10.2013 16:58:57

http://rghost.ru/49515107  для теста MBRLock пароль на архив virus
что то никто и не тестирует вирус..наверное действительно форум..мертв:unknown:

Johnny — 19.10.2013 20:32:30

olzaruta
На виртуалке AntiSMS нашла нестандартную mbr.

s_host — 20.10.2013 14:32:21

jimq
Пароль то какой ?

olzaruta — 20.10.2013 14:33:37

jimq сообщает:

вот свежий локер, зацените
http://rghost.ru/49584962

Ну раз некому протестить...выкладываю полный отчет...
- этот винлокер полная хрень..AntiSMS справилась на УРА! Да и без неё локер снимается легко..
http://i59.fastpic.ru/thumb/2013/1020/0b/325fe120fc4ebce9c95330d70dd4ab0b.jpeg
- в реестре
http://i58.fastpic.ru/thumb/2013/1020/98/0ee1ca7e1cdd196499784fc113d1e998.jpeg

На сегодняшний день появились локеры сложнее...кодов разблокировки не имеют и при перезагрузке меняют MBR
к сожалению AntiSMS не справляется...а надо бы!
http://i57.fastpic.ru/thumb/2013/1020/d8/e885978c02ef01727aee8faf31f163d8.jpeg
- после перезагрузки или нажатия на кнопочку удалить систему..
http://i58.fastpic.ru/thumb/2013/1020/91/475b0ef180a4c4e14cccc75c553fbf91.jpeg

- вот эти блокировщики http://rghost.ru/49515107 и http://rghost.ru/49599221 ( пароль virus)

MBTY — 20.10.2013 18:46:02

ReSc521 :crazy:

simplix — 20.10.2013 20:32:40

olzaruta сообщает:

к сожалению AntiSMS не справляется...а надо бы!

Много раз уже говорил, программа не может восстановить MBR в том случае, когда он физически удалён. Если так не понятно, представьте что человека взяли в заложники и требуют выкуп, в таком случае AntiSMS выступает в роли спецназа, который быстро освобождает заложника. Но если его кокнули, некого спасать, нечего восстанавливать. Можно только попытаться угадать расположение разделов утилитами вроде TestDisk, но ничто не мешает школьнику затереть MFT или весь раздел, тогда точно ничего не поможет.

Gosha79 — 07.11.2013 11:54:31

Друзья нужна помощь, на ноуте установлен win7 hp 32, есть загрузочная флешка, скачал образ (не для 8) прописал в меню его так Скрытый текст (раскрыть)
title Загрузка Mini Windows PE Simplix
map (hd1) (hd0)
map --mem /rama.gz (fd0)
map --mem /WinPE.iso (hd32)
map --hook
chainloader (hd32)

после загрузки в WinPE и последующей загрузке win7, ноут не загружается, пишет Не удалось запустить Windows. Вставьте диск и бла бла бла... ошибка 0х000000е
Порыл по нету про восстановление с помощью bootsect, но ничего не получается, либо не правильно читал либо руки, помогите плиз восстановить систему, cd нету нужно с флешки...,  :drinks:

qwas — 08.11.2013 23:55:19

Gosha79 сообщает:

нужна помощь

1. Делаем загрузочную флешку на базе ANTISMS4.0 (WIN8)
2. Качаем BOOTICE.exe у автора здесь, извлекаем из архива и забрасываем в корень этойже флешки. Туда же ложим  "батник" (123.bat) примерно такого содержания:


Код:

bootice.exe /DEVICE='C:' /mbr /install /type=nt60 /quiet
bootice.exe /DEVICE='C:' /pbr /install /type=bootmgr /quiet
pause

где С: - буква раздела, на котором нужно восстановить загрузку (обязательно проверить букву)
3. Грузимся с флехи и запускаем батник, затем убеждаемся в наличии файла bootmgr  в корне загрузочного раздела HDD.
4. Вытаскиваем ВСЕ флешки, USB хабы из PC и перезагружаемcя в безопасный режим (по F8).
5. Если не помогает, то либо пишем на флешку более серьезный ремонтный LIVECD и пытаемся понять что к чему, либо тащим PC к знакомому "доктору" на диагностику.

SergeyZV — 09.11.2013 16:22:59

qwas
Если у винта нет mbr и pbr, то соответственно у диска нет буквы. И батник использовать нельзя, только ручками.

qwas — 09.11.2013 17:52:50

SergeyZV
Если у винта нет MBR, то значит нет и таблицы разделов. В этом случае при отсутствии соответствующего опыта и знаний "ручками" можно упороть все окончательно...
В таком случае, как я и говорил - лучше отдать "доктору". ;)

Gosha79 — 11.11.2013 08:24:43

делаю не батником, а в самом BOOTICE.exe выбрал диск, применил mbr, pbr, вроде везде пишет succesful, но файл bootmgr в корне не появляется :unknown: что может препятствовать? на диске два раздела, один Зарезервировано системой, второй рабочий, pbr на первый ставится?

Sergikaz — 11.11.2013 09:16:07

Gosha79
Раз вы видите разделы, mbr на месте. Теперь сделайте раздел "Зарезервировано системой" активным и пропишите на него pbr для bootmgr. Этот файл (bootmgr) должен быть на активном разделе. Если у вас на разделе "Зарезервировано системой" ничего нет, то вам поможет дистрибутив Windows 7. Загружаетесь с него и вместо установки системы выбираете восстановление.

Gosha79 — 11.11.2013 09:34:34

для этого раздела не активна функция Active Partition...  Самое интересное, почему слетает загрузчик win7 после того как winxp_pe загрузишь... :unknown:

Sergikaz — 11.11.2013 13:01:43

А может этот раздел уже активный?
Как у меня на винте (раскрыть): http://fotohost.kz/images/2013/11/11/08YyI.jpg
Так же не может быть "активным" логические разделы.
Не плохо бы посмотреть на ваш скрин.
Что вы делали загрузившись в WinPE?

Gosha79 — 11.11.2013 13:25:53

Извиняюсь, проглядел, он действительно уже активный, загружаюсь в РЕ и сразу перезагружаюсь, все, загрусчик слетел и так бывает на некоторых компьютерах с win7 после того как РЕ загружу...

Sergikaz — 11.11.2013 13:59:20

Если он уже активный и этому разделу прописан pbr для загрузчика bootmgr, то с этого раздела должна стартовать начальная загрузка системы. Если, конечно, на этом разделе присутствуют загрузочные файлы. В том числе bootmgr.
Проще всего восстановить загрузку с дистрибутива Windows 7. Почему такое происходит при загрузке с WinPe, это надо смотреть сам WinPe и как он загружается. Я ещё ни раз с таким не сталкивался.

0 0 — 11.11.2013 22:34:25

Gosha79 сообщает:

title Загрузка Mini Windows PE Simplix
map (hd1) (hd0)
map --mem /rama.gz (fd0)
map --mem /WinPE.iso (hd32)
map --hook
chainloader (hd32)

Уберите эту ересь!!!  :D
Мапьте так:


Код:

title AntiSMS for older mashines
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
Gosha79 — 12.11.2013 07:43:32

0 0
Можно узнать в чем разница?
Прописал так, загрузил РЕ, перезагрузил бут слетел... :unknown:

Core-2 — 12.11.2013 07:52:15

Gosha79
Зачем столько телодвижений ? Для мощных систем , а тем более ноутбуков фирм Samsung и HP используйте соответсвующий LiveCD на основе 7,8,8.1,9 и будет Вам счастье.
Ну не любит современное железо ХР - шку. Факт . И этот факт со временем всё чаще , и даже не на вышеперечисленных ноутах , особенно с bios phoenix .  ;)

Gosha79 — 12.11.2013 08:28:22

да не особо замарачиваюсь, интересно выяснить решение...

Doberman — 20.11.2013 16:34:46

Gosha79
Такого не должно быть ни при каких условиях!:shock:
Второй WinPE от 8ки, не создает таких проблем?

Lightning666 — 08.12.2013 11:11:07

Gosha79 сообщает:

Мапьте так:


Код:

title AntiSMS for older mashines
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

у меня никак вообще не работает выкидывает в начало груба который снова загружает дефолтный меню lst, хотя запускаю antiSMS с другого lst с утилитами

ЗЫ другие образы грузятся нормально, груб 0.4.6 а

g0dl1ke — 09.12.2013 09:32:02

дефрагментируй образ антисмс


Код:

title SimplixAntiSMS
map /img/AntiSMS.iso (0xff)
map --hook
chainloader (0xff)
mitmash — 14.12.2013 15:34:08

max21 сообщает:

добрый день!
может кто подскажет..
как загрузочный диск, который на основе windows 8,
с программой AntiSMS прикрутить к загрузочной флешке с загрузчиком Grub4dos.
спасибо!

Могу предложить никогда не подводивший меня вариант загрузки
ISO файла с флэшки с Grub4DOS ( строка из файла menu.lst):

title SimplixWinPE + AntiSMS-4.1
find --set-root /img/SimplixAntiSMS-4.1.iso
map /IMG/SimplixAntiSMS-4.1.iso (0xff) || map --mem /IMG/SimplixAntiSMS-4.1.iso (0xff)
map --hook
chainloader (0xff)

siBEERian — 24.12.2013 12:06:37

принесли ноут на ремонт с баннером, видимо в MBR сидит :(

http://www.picshare.ru/uploads/131224/L0P9Iq003G_thumb.jpg

сохранил лог и сам файл "Drive0.bin"
http://rghost.ru/51173658 пароль на архив


Код:

antisms
olzaruta — 24.12.2013 20:49:25

siBEERian   в Temp сидит файлик x2z8.exe  залей на обменник это и есть вирус...протестим

g0dl1ke — 24.12.2013 22:20:48

беляша начитался?

имя скорее всего рандомно

siBEERian — 25.12.2013 05:35:38

olzaruta сообщает:

siBEERian   в Temp сидит файлик x2z8.exe  залей на обменник это и есть вирус...протестим

систему уже переустановили :(

olzaruta — 25.12.2013 18:07:16

g0dl1ke сообщает:

беляша начитался?

имя скорее всего рандомно

А Вас так тревожит, что я читал? Может беляша....может.....и еще что......какая разница?
Такой mbrlock мне еще не попадался...скорее всего он схож с mbrlock6, но
явно что модернизирован недавно....это видно по картинке...поэтому и просил дроппер для теста ;)

ps У меня в коллекции 980 мб такого материала, аж с 2010 года!
И с чего Вы взяли, что имя рандомно? Может кто не знает, рандомно - значит "случайно" Обычно такие вирусы плодятся при помощи разработанного билдера, и имя копии создаваемого вируса обычно НЕ МЕНЯЕТСЯ...

g0dl1ke — 25.12.2013 20:37:32

здесь не оценят бездумный копипаст
а имя локера, чаще всего именно рандомно, даже если это плод конструктора
если конечно его автор не школьник, который не может придумать нечто бОльшее, чем ххх_video.avi.ехе

olzaruta — 26.12.2013 18:41:39

....нет слов...да и не нужно..пусть каждый останется при своем мнении...но по поводу "копипаст" ...переборщили :)

FeRRuM — 27.12.2013 09:27:08

olzaruta
Я тоже вчера столкнулся с аналогичным баннером... После/вовремя подмены MBR удаляются все разделы с харда.

решение пока такое: через Part.Wizard (он это быстрее всех делает) восстанавливаем разделы. Ну а затем через ERD поднимаем MBR. На все уходит порядка 10 минут максимум

crouni — 30.12.2013 14:40:33

Всем привет, с наступающим. :drinks:
Сегодня пришлось бороться с локером, к сожалению ничего кроме визуального оформления (сине-белое, гей-порно и тому подобная чушь...), диспетчер задач и др. клавиатурные сочетания блокирует, 1 раз позволяет нажать ctrl-alt-del (хотя это бесполезно, даже перезагрузку не дает системе выполнить) и всё. Не запускается (локер не запускается, система запускается) в безопасном режиме с поддержкой ком. строки.
Закинул в корень С: сканирующие утилиты каспера и др.веба (свежие) - всё прекрасно запускается, НО... Каспер - обнаружил только уязвимости :shock:, ДрВеб - неск. адвар прог. и всё :unknown:. Разумеется, проверка включала в себя все разделы жесткого диска. Удалить локер удалось ТОЛЬКО анти-СМС 4.1(свежий) - удалил локер нараз:crazy:. Жаль, что не написал: что за файл, где лежал, какой вирус... :rolleyes:

P.S.
Машина свежая, Запустился только анти-СМС_8, поэтому БОЛЬШАЯ просьба, включить в дисирибутив 8PE программу диагностики состояния HDD "Виктория", у ноута еще и с диском не порядок был. В анти-СМС_XP - виктория есть. Полезность этой программы трудно переоценить. (по моему скромному мнению) :oops:

weldance — 30.12.2013 14:53:39

crouni сообщает:

Жаль, что не написал: что за файл, где лежал, какой вирус...

А лог от AntiSMS, что написал? Там все отключенные (удаленные) файлы (службы) прописываются.

P.S. Всех с наступающим.

crouni — 30.12.2013 15:06:40

weldance сообщает:

crouni сообщает:

Жаль, что не написал: что за файл, где лежал, какой вирус...

А лог от AntiSMS, что написал? Там все отключенные (удаленные) файлы (службы) прописываются.

P.S. Всех с наступающим.

Уже, конечно, поздно смотреть лог, но где он лежал бы? (Если не трудно)

happywanderer — 30.12.2013 15:28:07

crouni

• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.

art9 — 30.12.2013 17:48:23

crouni
Надеюсь, из постов выше вы поняли, что логи на самом деле сохранились на подопытном компьютере. Они находятся в папке windows\antisms. Выложите запароленный архив из этой папки.

crouni — 31.12.2013 12:28:05

art9 сообщает:

crouni
Надеюсь, из постов выше вы поняли, что логи на самом деле сохранились на подопытном компьютере. Они находятся в папке windows\antisms. Выложите запароленный архив из этой папки.

К сожалению, не могу этого сделать, сроки поджимали - после восстановления загрузки ОС ноутбук пришлось отдать по просьбе владельца :unknown:. Ноутбук уже давно празднует новый год :drinks: вместе с хозяевами... Скорее всего уже вчера на его экран вернулась "Маша и медведь" :rolleyes: - самый эффективный детский седатив-транквилизатор-наркотик разработанный российскими мультипликаторами. :crazy:

Core-2 — 03.01.2014 13:30:41

simplix К Вам вопрос . В версии 4.1  ($[38]) содержатся файлы для всех систем , кроме 8.1 . Может добавите ? :) С Новым Годом !!! Ждём 4.2 . :good:

g0dl1ke — 04.01.2014 19:57:32

так же могу опубликовать список файлов (да и сами файлы), которых нет внутри антисмс, но которые часто требуется восстановить/заменить

Varela9 — 06.01.2014 13:38:52

куда выложить .bin файл для диагностики

art9 — 06.01.2014 14:04:22

Varela9
Залейте файл на http://rghost.ru/
а ссылку сюда.

weldance — 07.01.2014 09:25:45

нестандартный MBR
AntiSMS не справился

goin — 08.01.2014 11:36:28

Утилитой "AntiSMS USB Installer 3.5" сделал загрузочную флешку на базе Syslinux. Закинул туда-же AntiSMS8.iso. При замене AntiSMS.iso на AntiSMS8.iso в файле syslinux.cfg - второй прекрасно грузится, а прописать в syslinux.cfg мультизагрузку у меня не получается (перепробовал много вариантов из примеров). Подскажите содержание syslinux.cfg чтобы можно было выбирать какой ISO загружать.

P. S. Спасибо, AntiSMS часто помогает!

art9 — 08.01.2014 12:22:50

goin

Запись диска Win8 на флешку
Отформатируйте флешку в ОС Windows 7 или выше. Распакуйте образ AntiSMS8.iso любым архиватором и скопируйте папку W8PE на флешку. Затем переместите файл bootmgr из папки W8PE в корень флешки.

Загрузочная флешка готова!

goin — 08.01.2014 12:52:41

art9 сообщает:

goin

Запись диска Win8 на флешку
Отформатируйте флешку в ОС Windows 7 или выше. Распакуйте образ AntiSMS8.iso любым архиватором и скопируйте папку W8PE на флешку. Затем переместите файл bootmgr из папки W8PE в корень флешки.

Загрузочная флешка готова!

я что, не на русском написал? нужно мультибут на Syslinux, о остальном даже и спорить не буду

simplix — 09.01.2014 20:59:28

Впервые за долгое время появилась новая модификация MBRlock.17, сейчас работаю над её лечением по присланным дампам.

Core-2
На совместимость с Win8.1 нужно тестирование, кроме добавления системных файлов, это есть в планах.

goin
Поищите в интернете мою сборку WinXP, там в папке BOOT\isolinux есть конфигурация и необходимые файлы для графического меню. Вам лучше на практике увидеть, как это работает.

0 0
Конечно есть смысл, только эта база общедоступна на руборде, поэтому и так обновляется на дисках с новыми версиями AntiSMS.

0 0 — 09.01.2014 22:50:57

simplix, на офсайте общедоступна более новая (от [08.01.2014]), но почему-то более худая (795516 хэшей в базе), против 818160 с руборда.

simplix — 10.01.2014 17:56:31

g0dl1ke сообщает:

так же могу опубликовать список файлов (да и сами файлы), которых нет внутри антисмс, но которые часто требуется восстановить/заменить

Список не помешает, но будут ли добавлены с него файлы, зависит от того, участвуют ли они в автозагрузке системы (основное требование), так как главное правило после запуска AntiSMS - проверка системы антивирусом (+sfc), ведь заражено/повреждено может быть сколько угодно системных файлов, а все их поместить в дистрибутив нет возможности. А основные системные файлы уже добавлены.

0 0
На официальном сайте более полная, там (или на руборде) просто указано неправильное число записей.

simplix — 10.01.2014 22:17:3