simplix forum

simplix · 29.03.2013 00:15:19

0 0
Посмотрим, если всех будет устраивать - могу и этот сделать основным, начиная со следующей версии.

Incognito · 29.03.2013 09:47:44

Новый локер находиться
%temp%\*.exe
\\REGISTRY\\USER\\S-1-5-18\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
\\REGISTRY\\USER\\.DEFAULT\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
загружается во время входа User'а в систему wink

g0dl1ke · 29.03.2013 22:47:08

на старых пк так же без проблем грузица будет?
а так же многие наверняка попросят интегрировать дрова на sata контроллеры

byroot · 30.03.2013 05:19:09

Incognito сообщает:
Новый локер находиться
%temp%\*.exe
\\REGISTRY\\USER\\S-1-5-18\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
\\REGISTRY\\USER\\.DEFAULT\\SOFTWARE\\Microsoft\\Internet Explorer\\Explorer Bars
загружается во время входа User'а в систему

Папка %temp% итак чистится из под WinPE!!!

s_host · 30.03.2013 10:40:37

SergeyZV
У меня оба образа нормально грузятся через USB 3.0

Lhonemzathrum · 30.03.2013 11:58:15

У меня на 3.0 стандартный (не перепакованный) образ не пошел на 3 машинах - вместо экзешника текстовый файл с описанием ошибки (не найдены файлы программы), пришлось брать второй. Со вторым проблем нет. Кстати, почему версия 3.4 не убирает такой локер http://rghost.ru/36406368? (пас 111) - ссылка взята с данной темы, пост #6. Файлик локера в автозапуске после автоматической обработки так и остался. Autoruns конечно есть, но все же...

Отредактировано Lhonemzathrum (30.03.2013 12:13:07)

0 0 · 30.03.2013 13:00:27

Lhonemzathrum, не вводите людей в заблуждение.
Версия 3.4 отлично справляется с этим локером.
(проверено на виртуалке: xp sp 3, win 7 sp 1, win 8)

SergeyZV · 30.03.2013 15:07:36

s_host сообщает:
SergeyZV
У меня оба образа нормально грузятся через USB 3.0

На оригинальном не работает прямой маппинг, а на перепакованном работает!

Отредактировано SergeyZV (30.03.2013 16:30:41)

Lhonemzathrum · 30.03.2013 17:39:57

0 0
http://www.youtube.com/watch?v=866JBsV2 … e=youtu.be уж извините за качество видео, но снимал ради информативности а не ради красоты. Версия 3.4 не убрала локер на рабочей а не виртуальной машине, обвинять в введении в заблуждение меня это как то странно. Особо подчеркиваю что экзешник остался в автозагрузке

0 0 · 30.03.2013 17:50:41

Lhonemzathrum, куда больше было бы толку от ЛОГов.

логи работы программы сохраняются в папке %Temp%\AntiSMS.

з.ы. логи брать есессно из WinPE

Lhonemzathrum · 30.03.2013 18:35:57

0 0
Журнал работы AntiSMS 3.4, время - 20:26:56 30.03.2013

Найдена операционная система в папке H:\Windows
Операционная система опознана как Windows 8
Проверены и восстановлены важные ключи системного реестра
Файл C:\ProgramData\VKSaver\VKSaver.exe не подписан и его автозагрузка отключена, создана резервная копия
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя Алексей
Очищена временная папка пользователя Алексей
Очищена системная временная папка

Найдена операционная система в папке I:\Windows
Операционная система опознана как Windows 7

на этом лог заканчивается, и таких машин уже несколько

Отредактировано Lhonemzathrum (30.03.2013 18:37:14)

Albert · 30.03.2013 19:37:26

Здравствуйте. При проверке с флешки программой AntiSMS 3.4 (записана утилитой AntiSMSusb) компьютера с Win XP у меня вышло сообщение: AVIRA
Реестр заблокирован
Дата/Время: 30.03.2013, 20:41:30 Тип: Реестр заблокирован
Для вашей безопасности была заблокирована подозрительная попытка доступа к реестру.
Выполните полное сканирование системы!
Более подробную информацию можно получить в разделе справки.
Настройки
Справка
I Проверить 1 Г Позже |
Далее, при проверке системы с WIN7 и 8 на разных разделах, при загрузке компьютера выходит:
Scanning and repairing drive(E: ):xx%. И так на всех дисках. Этот случай наблюдался на флешках Transcend на 2 Гб и 32 Гб (USB 3.0). На флешке в 4 Гб (той же фирмы) после проверки, компьютер нормально загрузился.
До этой версии 3.4 таких моментов не было. В журнале работы программы отличий не заметил.

0 0 · 30.03.2013 20:21:42

Lhonemzathrum, версией 3.4 уже пролечено 6 системников (включая древних) и 3 ноута. Везде всё норм. правда на всех машинах была установлена 1 ос.
В случае на видео - их 2 как я понимаю. Посмотрим что скажет simplix.

simplix · 31.03.2013 02:15:11

Incognito
Видимо этот блокировщик у вас остался где-то ещё, так как он не может запуститься при входе в систему, если прописан только в Explorer Bars. Вы не указали, лечит его AntiSMS или нет, и если нет - пришлите этот блокировщик для анализа.

Lhonemzathrum
Большое спасибо вам за отчёт! Сразу вопрос по видео - там видно, что загрузка идёт с устройства SCSI-0, так что для начала нужно посмотреть, видно ли в WinPE раздел с той системой, которую не удаётся вылечить. Если через "Мой компьютер" видно папку с системой - уже хорошо, если не видно - значит и AntiSMS не увидит этот винчестер. Дальше, лог обрывается на ровном месте, значит в программе происходит критическая ошибка и она просто закрывается, не закончив работу по лечению. Буду очень благодарен, если вы сможете запустить несколько тестов на проблемном компьютере, подробности напишу вам в ПМ.

Albert
Что именно было под буквой E:? От работы программы проверка дисков никак не зависит, а если проверялась флешка, то возможная причина - небезопасное извлечение, вот система её и проверяет. По антивирусу пока не понятно, специально проверил - ничего подобного Avira не выдаёт при проверке AntiSMS.

Albert · 31.03.2013 07:26:09

Simplix
C:, D:, E: - это разделы диска. Флешка после проверки из разъема не вынималась. Она не тестировалась, при загрузке системы. На C: находится Win 8, на D: Win 7. Может это зависит от флешки? На Трансценде с 4ГБ все было нормально. Параметры моих флешек.

Код:

Volume: G:
Controller: Innostor IS902 E A1
Possible Memory Chip(s): Not available
VID: 8564
PID: 1000
Manufacturer: JetFlash
Product: Mass Storage Device
Query Vendor ID: JetFlash
Query Product ID: Transcend 32GB  
Query Product Revision: 1.00
Physical Disk Capacity: 31611420672 Bytes
Windows Disk Capacity:  31595937792 Bytes
USB Version: 3.00 in 2.00 port
Max. Power: 20 mA
ContMeas ID: 0A69-06
Microsoft Windows XP SP3

Volume: H:
Controller: Alcor AU6983/AU6986
Possible Memory Chip(s): 
  Samsung K9GAG08B0M
  Samsung K9GAG08U0M
Memory Type: MLC
Flash ID: ECD514B6 74EC
Flash CE: 1
Flash Channels: Single
Chip F/W: 2107
Group: 85
VID: 058F
PID: 6387
Manufacturer: JetFlash
Product: Mass Storage Device
Query Vendor ID: JetFlash
Query Product ID: Transcend 2GB   
Query Product Revision: 8.07
Physical Disk Capacity: 2019557376 Bytes
Windows Disk Capacity:  2010963968 Bytes
USB Version: 2.00
Max. Power: 100 mA
ContMeas ID: 0A69-08
Microsoft Windows XP SP3

К сожалению флешка на 4 ГБ не моя и я смогу поглядеть на нее только завтра.

Отредактировано Albert (31.03.2013 07:41:37)

barsuk · 31.03.2013 07:51:49

Albert, нахрен вообще 3.0 флешку использовать то под загрузку?
PS: Вы используете старую версию программы.

Albert · 31.03.2013 09:11:19

barsuk
Одна из флешек USB 2.0 на 2ГБ. Да и дело наверное не во флешках.

Отредактировано Albert (31.03.2013 13:17:15)

simplix · 31.03.2013 16:46:19

Новая версия 3.5:
Исправлено несколько критических ошибок.

Albert
Вероятно AntiSMS и проверка ваших дисков никак не связаны. Попробуйте загрузиться с диска и перезагрузиться в систему, не запуская AntiSMS, или загрузитесь с другого WinPE и посмотрите, что будет.

babayka · 31.03.2013 17:53:37

При использовании загрузочного диска, заметил что удаляются вирусы из оперативной памяти. good

0 0 · 31.03.2013 18:54:58

• Все нестандартные записи в файле hosts будут закомментированы.

Раскройте, пожалуйста, термин.
Стандартные записи - записи вида 127.0.0.1 dns-name
Так?

g0dl1ke · 31.03.2013 18:57:52

нестандартные - отличные от

Код:

    127.0.0.1       localhost
    ::1             localhost

art9 · 31.03.2013 19:00:35

Вроде как, любые 127.0.0.1 не убираются. Это для того чтобы не слетали всякие левые активации.

0 0 · 31.03.2013 19:05:49

g0dl1ke, до сего дня я так и думал что AntiSMS так и считает, но только что столкнулся с тем что сабж не комментировал

127.0.0.1 rad.msn.com
127.0.0.1 zbshareware.com
127.0.0.1 www.zbshareware.com
127.0.0.1 zbshareware.net
127.0.0.1 www.zbshareware.net

Хотя в этих строках нет ничего криминального (первая режет рекламу в Skype, последующие - не дают обновляться USB Disk Security), даже не знаю к добру ли это.

art9, так оно и есть. smile

Отредактировано 0 0 (31.03.2013 19:06:44)

simplix · 31.03.2013 19:52:31

Кстати, ::1 сейчас тоже комментируются, в следующей версии исправлю. Ещё нужно дожить до того времени, как трояны будут делать записи в формате IPv6, но пусть будет.

Тестовая версия диска с массой всевозможных драйверов для контроллеров, основан на базе драйвер-пака с DriverOff.net. Должен видеть все на свете винчестеры, конечно если взлетит (с).

g0dl1ke · 01.04.2013 07:55:20

иногда проскакивает вместо antisms.exe

Не удалось найти флешку или диск с AntiSMS.
Если вы переименовывали или перемещали файлы
из корня диска или флешки - найдите их
и запустите файл AntiSMS.exe вручную.

а тестовую затестим, пасиба

simplix forum

Объявление

#1226 29.03.2013 00:15:19

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1227 29.03.2013 09:47:44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1228 29.03.2013 22:47:08

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1229 30.03.2013 05:19:09

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Incognito сообщает:

#1230 30.03.2013 10:40:37

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1231 30.03.2013 11:58:15

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1232 30.03.2013 13:00:27

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1233 30.03.2013 15:07:36

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

s_host сообщает:

#1234 30.03.2013 17:39:57

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1235 30.03.2013 17:50:41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1236 30.03.2013 18:35:57

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1237 30.03.2013 19:37:26

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1238 30.03.2013 20:21:42

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1239 31.03.2013 02:15:11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1240 31.03.2013 07:26:09

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Код:

#1241 31.03.2013 07:51:49

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1242 31.03.2013 09:11:19

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1243 31.03.2013 16:46:19

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1244 31.03.2013 17:53:37

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1245 31.03.2013 18:54:58

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1246 31.03.2013 18:57:52

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Код:

#1247 31.03.2013 19:00:35

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1248 31.03.2013 19:05:49

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1249 31.03.2013 19:52:31

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

#1250 01.04.2013 07:55:20

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Board footer