Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#551 29.06.2012 11:18:11

weldance
Advanced Member
Зарегистрирован: 11.06.2012
Сообщений: 135

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
MBTY
где-то год назад создал 7pe на основе Microsoft Windows AIK... оболочку использовал Total Commander. Размер правда ~156 МБ. Как сделать его еще меньше пока не знаю sad... хотя необходимости не возникало - грузится быстро, проблем с драйверами и т.п. не возникало.

 

#552 29.06.2012 23:27:53

Herz
New member
Зарегистрирован: 13.03.2012
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Жаждущие - так сделайте себе такой антиСМС - если переключить HDD в IDE режим не умеете.
67 мв -
http://i43.fastpic.ru/big/2012/0630/de/ … 1b94de.jpg

 

#553 30.06.2012 07:37:51

Runner35
New member
Зарегистрирован: 19.03.2012
Сообщений: 3

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Herz сообщает:

если переключить HDD в IDE режим не умеете.

есть уже ноуты без режима IDE (В БИОСе выбора нет), только ACHI, так что без вариантов... как пример, попался (HP Pavillion G) винты которого не видит даже образ Виндовс 7 (оригинальный). Без интеграции SATA драйверов не обошлось (

Отредактировано Runner35 (30.06.2012 07:44:04)

 

#554 30.06.2012 12:48:13

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Core-2
Спасибо, позже посмотрю что к чему, помощь пока не нужна.

BeeBonus сообщает:

Контроллер следующий:
Intel(R) 631xESB/6321ESB Ultra ATA Storage Controller - 269E

Странно, это же обычный IDE-контроллер, с ним проблем быть не должно.

 

#555 01.07.2012 19:09:19

Doberman
Member
Зарегистрирован: 01.07.2012
Сообщений: 15

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

BeeBonus
Tак есть же "RusliveMicro" (со всеми интегрированными Masstorage ) от NikZZZZ размером ~45Mb. Найдешь на "ru-board" либо на трекерах. Пока я не встречал где бы она не увидела жесткие диски.

 

#556 04.07.2012 03:05:57

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

 

#557 04.07.2012 08:17:01

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv
вы ошибаетесь. b:/temp/antisms. при загрузке с lived переменная temp отличается

Отредактировано art9 (04.07.2012 08:19:31)

 

#558 05.07.2012 10:39:05

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

man1948 сообщает:

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! drinksgood

с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/

система -зверь- где искать заморочку ?

Первая десятка Тем (по количеству просмотров)
удаления блокираторов        9256

Скрытый текст (раскрыть): http://www.yaltanet.com.ua/forum/index.php?topic=290.15

Отредактировано man1948 (11.07.2012 21:28:13)

 

#559 05.07.2012 11:39:07

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

man1948 сообщает:

система -зверь- где искать заморочку ?

тут wink

Отредактировано happywanderer (05.07.2012 11:39:40)


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#560 05.07.2012 16:59:37

man1948
Member
Зарегистрирован: 15.06.2012
Сообщений: 12

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!

Есть желание покопаться - может ...

Проверить файл hosts - норма !

Почему некоторые ?

лог выложил http://rghost.ru/39077454

https://forum.simplix.info/viewtopic.ph … 725#p12725

3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!

simplix AntiSMS +  AVZ + art9  Большое спасибо за помощь!!! drinks

Отредактировано man1948 (07.07.2012 23:14:21)

 

#561 05.07.2012 17:06:22

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

man1948
выложите логи AVZ, UVS, hj,
посмотрим что у вас.
Только пишите в другую ветку форума.
например forum.simplix.info/viewtopic.php?id=114&p=5

Отредактировано art9 (05.07.2012 17:56:57)

 

#562 07.07.2012 18:54:01

LeoZhu
New member
Зарегистрирован: 07.07.2012
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Simplix, Привет Вам !
Спасибо за отличную программку drinks
Ковыряю потихоньку PE7, возникли некоторые затруднения с интеграцией AntiSMS, вернее подвеса который с ней идёт Hashes.bin и SysFiles.bin.
С Hashes.bin разобрался, поместил AntiSMS.exe  в папку uvs\SHA\ и запускаю :
"батником" (раскрыть):
ren MAIN Hashes.bin
wait 500
AntiSMS.exe
ren Hashes.bin MAIN
wait 500
explorer x:\Windows\Temp\AntiSMS\


А вот SysFiles.bin и папку uvs\STORE - в которой почти тоже что и в SysFiles.bin
подружить их между собой не получается (чтобы избежать дублирования файлов).
oops
Хочу предложить Вам такой вариант для - (Отдельная программа для использования в своём WinPE):
- добавить возможность работоспособности AntiSMS.exe в папке с программой UVS (или рядом с ней), чтобы она работала с содержимым папки uvs\STORE также как с SysFiles.bin, а с папкой uvs\SHA и файлом MAIN в ней, как с Hashes.bin.
Это несколько упростит и упорядочит PE-сборко-строительство smile.

 

#563 07.07.2012 23:35:20

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

LeoZhu
Утилиты wait нет ни в ХР ни в 7ке, так что эта комманда будет вызывать ошибку. Батник то сработает, но пользователь будет видеть сообщение
"wait" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

Отредактировано MBTY (08.07.2012 00:23:26)

 

#564 08.07.2012 00:09:29

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv сообщает:

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

В каком смысле не смог? Папка %Temp% должна существовать в любом случае для работы AntiSMS, а если утилита отработала, то и соответствующая папка появится. Если не отработала, то покажет сообщение об ошибке, например что не удалось обнаружить системную папку.

LeoZhu
Файл MAIN не обязательно переименовывать в Hashes.bin, AntiSMS поддерживает файл MAIN, если он находится в одной папке с AntiSMS.exe
Папка uvs\STORE не нужна, так как у AntiSMS есть собственное хранилище системных файлов - SysFiles.bin

 

#565 08.07.2012 03:31:54

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Как я понял, логи хранятся в оперативной памяти диска b:\Temp\AntiSMS
т.е. системный путь %Temp%\AntiSMS указывает именно на загруженную систему WinPE и после перезагрузки про логи можно забыть smile
Впрочем, это будет нужно только тем, кто знает где искать; ничего лишнего good

 

#566 08.07.2012 07:39:24

Алекс
Advanced Member
Зарегистрирован: 03.06.2012
Сообщений: 258
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Вчера клиент ноут приносил с винлоком,подхватил его где-то на просторах рунета.. biggrin
попробовал через анти-смс 2.3 пролечить,удалосьdrinks. но я сначала предварительно нашёл его в автозагрузке через ERD и скопировал себе на комп.
Так вот,посмотрел логи после работы антисмс,там ничё не было указано про то,что отключена автозагрузка этого трояна.. он сидел под именем upndown.ехе ,но в логах его так и не увидел.. unknown почему так ?

 

#567 08.07.2012 09:10:59

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Алекс
Троян сидел во временной папке и был удален до создания логов.

 

#568 08.07.2012 17:56:29

LeoZhu
New member
Зарегистрирован: 07.07.2012
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY сообщает:

Утилиты wait нет ни в ХР ни в 7ке

Скрытый текст (раскрыть):
это мелкая 3-кило-байтная утилька для временной задержки в миллисекундах - wait
ещё есть не менее интересная 1,5 кило-байтная утилька для скрытого запуска приложения hidec
например из меню ТС
%COMMANDER_PATH%\hidec %COMMANDER_PATH%\Program Files\uvs\SHA\AntiSMS-st.bat
или так, запуск exe'шника  ( hidec 123.exe )
или так, запуск cmd'шника ( hidec 123.cmd )


Simplix
Не-e, я имел ввиду, если это конечно возможно, добавить возможность работы AntiSMS в папке с программой UVS (или рядом с ней), вообще без наличия файликов Hashes.bin и SysFiles.bin. Чтобы AntiSMS работала с содержимым уже имеющемся у UVS в папках STORE и SHA.
Т.е. чтобы можно было просто закинуть AntiSMS в папку с программкой UVS (или рядом с ней). И не добавлять в PE'ху - дополнительных 3,65 мегабайтов ценнейшего места которое "на вес золота" в в любом livecd или PE.rolleyes

 

#569 08.07.2012 18:51:09

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv
Всё правильно. Кому логи и бекапы нужны - копируют их себе куда посчитают нужным.

Алекс
Не все записи в реестре заносятся в журнал, некоторые просто исправляются.

LeoZhu
Раньше я не смотрел, где в uVS находится файл MAIN, теперь вижу, что лучше помещать AntiSMS.exe в основную папку, рядом со startf.exe - это и будет сделано в следующей версии. Однако AntiSMS полностью самостоятельная программа и полноценно работает без файла MAIN (он же Hashes.bin), также и файл SysFiles.bin всегда будет использоваться, независимо от папки STORE в uVS. К слову, папка STORE весит 36 МБ, а SysFiles.bin всего 3 МБ.

 

#570 09.07.2012 00:37:57

LeoZhu
New member
Зарегистрирован: 07.07.2012
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Simplix
Поделюсь своими результатами и своими пожеланиями к AntiSMS
1. Какими настройками сжатия 7-zip'а создавать архив SysFiles.bin
2. Структура расположения файлов в архиве SysFiles.bin строго так как есть сейчас ? (SysFiles.bin\Win7\x86\все в одной папке) или можно создать архив со структурой расположения по папкам как обычно они находятся в системе т.е. (SysFiles.bin\Win7\x86\WINDOWS\explorer.exe), (SysFiles.bin\Win7\x86\WINDOWS\System32\taskmgr.exe) ... и т.д. чтобы можно было заменить всё разом (копированием с заменой) и не искать какой файл в какой папке должен лежать, почему возникло такое пожелание нашу чуть дальше !
3. Провел несколько экспериментов "С полным отсутствием и подменой файлов на другие" на системе win7-32-rus-sp1-ult, из под PE7. ( AntiSMS запускался с наличием Hashes.bin и SysFiles.bin из одной папки ).
- Удалил explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо > explorer.exe восстановился всё правильно для нужной винды (восстановлен из резервной копии??)!
P.S.Скрытый текст (раскрыть):
Журнал работы AntiSMS, время - 2:49:28 09.07.2012

Найдена операционная система в папке K:\Windows
Операционная система опознана как Windows 7
Файл K:\Windows\System32\wuauclt.exe восстановлен из резервной копии
Проверены и восстановлены важные ключи системного реестра
Файл K:\Program Files\Classic Shell\ClassicStartMenu.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл %SystemRoot%\system32\imdsksvc.exe не подписан и его служба отключена, создана резервная копия
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя admin
Проверены и восстановлены важные ключи реестра пользователя admin
Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\09.07.2012-1\Backup

Работа AntiSMS завершена, время - 2:49:40 09.07.2012

- Удалил explorer.exe, создал копированием первый попавшийся exe'шник с именем explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо  > explorer.exe не восстановился! (т.е. вирус сможет также заменить реальный explorer.exe собой - в практике такое встречалось - можно ли как-то организовать в AntiSMS чтобы он проверял контрольную сумму из файлов Hashes.bin и SysFiles.bin и при отрицательном варианте делал замену такого неправильного файла, а тот который был, копию в темп).
4. Вживил  в SysFiles.bin некоторые файлы которых там не было например regedit.exe. "удачно - т.е. AntiSMS не ругается на отсутствие SysFiles.bin и восстанавливает с него файлы при их отсутствии".
- Удалил regedit.exe > запустил AntiSMS > ... > Теперь всё хорошо  > regedit.exe не восстановился к сожалению, так как его не было в SysFiles.bin изначально, наверно из-за этого. Можно ли сделать так чтобы AntiSMS сверяла все файлы в SysFiles.bin, даже тех которых не было там изначально, с их реальным наличием в системе, и при отсутствии восстанавливала их из SysFiles.bin! Если это не возможно сделать, то тут бы не помешало то о чем я писал выше " создать архив со структурой расположения по папкам как обычно они находятся в системе"
5. AntiSMS ругнулся на X:\Windows\System32\imdsksvc.exe - и отключил его в службах и сделал бэкап (версия imdisk 1.5.7)
Уф! вроде пока всё!smile

Отредактировано LeoZhu (09.07.2012 01:57:47)

 

#571 09.07.2012 02:18:43

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Свойства архива
Кофиг файл SFX Скрытый текст (раскрыть):
;!@Install@!UTF-8!
InstallPath="%TEMP%\\SysFiles"
GUIMode="2"
;!@InstallEnd@!


А вообще это SFX архив - как душа пожелает, так и пакуйе. Лишь бы конфиг для него был таким же, как у оригинального

Отредактировано MBTY (09.07.2012 02:20:02)

 

#572 09.07.2012 06:14:58

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

LeoZhu
explorer.exe не восстановился, т.к. вы поместили на его место первый попавшийся EXE с цифровой подписью. Например, если заменить explorer.exe файлом regedit.exe, то он не восстановится, т.к. у обоих файлов есть цифровая подпись.
Если explorer.exe будет заражен вирусом или на его место запишется троян, то файл будет восстановлен.

Отредактировано art9 (09.07.2012 06:15:25)

 

#573 09.07.2012 10:54:11

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

LeoZhu
Файл SysFiles.bin не предназначен для самостоятельного пополнения. Туда уже добавлены самые распространённые файлы, которые нужны для запуска компьютера. Добавлять, к примеру, regedit.exe не нужно, так как он не участвует в автозапуске и будет вылечен антивирусом (инструкция в шапке темы), иначе так половину дистрибутива можно добавить. Но если вам попадётся троян, с которым AntiSMS не справится - присылайте, будем смотреть его по факту. Об остальном всё правильно сказали MBTY и art9.

 

#574 09.07.2012 12:59:50

Алекс
Advanced Member
Зарегистрирован: 03.06.2012
Сообщений: 258
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9
simplix
понятно,спасибо за ответ.drinks ну,я хоть на деле убедился позавчера в первый раз,что Антисмс работает. good а то всё не получалось проверить её в действии..
кстати,нужен кому-нидь свежий троянчик? crazy

 

#575 09.07.2012 15:26:17

LeoZhu
New member
Зарегистрирован: 07.07.2012
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Simplix, MBTY, Art9 - Спасибо !!!
По AntiSMS все понял, еще раз спасибо, если что найду обязательно сообщу. Буду тестить AntiDust 1.0 - крайне полезна утилита будет !!! smile

 

Board footer


© simplix