Antisms 7pe. Хотел посканировать какую-то полуурезанную, покоцанную ХР. Написали мне (Antisms), что системная папка не найдена. Делаю образ диска С, чтобы дома потом разобраться вместе почему AntiSMS не видит папку Windows
simplix
Подтверждаю, новая версия начиная с 4 пишет не найдена системная папка, я даже сам antisms.exe на диск С скопировал, пишет тож самое
aset
Можно подробнее? С какого WinPE вы запускали программу? Видно ли диски с системными файлами через "Мой компьютер"? Запускали Autoruns или Regedit перед запуском AntiSMS?
все банально, захожу обычно с Ruslive от Nikzzzz
ничего не запускал, просто жму antisms с флешки он запускается и через секунд 15 говорит не найдена сис папка
думаю фигня, опять запускаю antisms также, иду в мой комп там смотрю диск С стоит папка windows стоит
думаю ну ладно, копирую antisms 4.1 в корень С и облом сис папка не найдена
пришлось запустить 3,5 и не мучаться
Вообще-то AntiSMS должен работать на любом WinPE, а ограничения по размеру памяти убраны в версии 4.1.
aset
Сейчас попробую скачать последнюю сборку Ruslive от Nikzzzz с руборда, но всё-таки для порядка нужно чтобы вы выложили именно ту сборку, которой пользуетесь сами. Дополнительно напишите, какие разделы видно из WinPE, какая версия Windows там находится, чтобы я попробовал воспроизвести эту ошибку у себя.
Скачал RusLiveFull_CD_2013_08_10.iso и загрузился с настройками по умолчанию, при загрузке ничего не выбирал. Целевая система - WinXP, программа отработала без всяких проблем.
эмм, тогда прошу прощения в моем случае была Windows 7
хотя 3,5 видела Windows 7
aset сообщает:
была Windows 7
4.1 без проблем видит Windows 7. LiveCD на основе всё той же 7. На основе ХР может и не увидеть , как и не увидеть сам HDD. Но это редко,только на некоторых ноутах с Phoenix bios.
Отредактировано Core-2 (11.08.2013 21:23:15)
ладно, я сам виноват
распишу подробно! LiveCD на основе XP а виндоус на компе windows 7 и не видит
хотя для эксперимента, щас попробую на другом компе
aset
Всё равно работает такая схема. Нужен именно тот образ, где у вас возникает ошибка, и точную версию системы, включая разрядность. Если я не смогу воспроизвести ошибку у себя, то не смогу и исправить.
Core-2
Он писал, что папку Windows видно через "Мой компьютер".
Windows 7 x64
я сам понял уже почему, я вспомнил что MBR поврежден был
Отредактировано aset (11.08.2013 22:11:37)
Повреждённый MBR никак не мешает программе проверять системную папку, когда она доступна. Другое дело если бы была повреждена таблица разделов - тогда системная папка не могла бы быть найдена вообще, так как разделов в "Моём компьютере" тоже не было бы видно.
Баннер не удалился. В архиве лог и экземпляр баннера.
Папка "WINDOWS" лежала рядом с настоящей папкой "Windows", а в ней "explorer.exe"
http://rghost.ru/48060777
D1abl093
Файл трояна не запускается, напишите пожалуйста ответы на несколько вопросов:
1) До запуска AntiSMS баннер появлялся при загрузке системы и после запуска AntiSMS баннер снова появлялся при загрузке системы?
2) Что именно вы сделали для удаления баннера вручную?
3) Есть ли у вас возможность заархивировать и прислать в ПМ всю системную папку C:\Windows?
1. До и после запуска AntiSMS баннер появлялся
2. Запускал RegeditPE с вашего образа AntiSMS. Прошёлся по основным веткам реестра, заметил странную неточность в "Shell" (точнее сейчас не скажу HKLM или HKCU). Весь текст был заглавными буквами (переписал заново).
Зашёл на диск C: и увидел две папки Windows (WINDOWS и Windows). В одной только explorer.exe, в другой - всё как обычно.
3. Заархивировать возможности нет - вернул клиенту.
UAC у клиента был выключен
Отредактировано D1abl093 (12.08.2013 10:42:46)
D1abl093
Спасибо. К сожалению без системной папки причину определить трудно, возможно троян патчил системные файлы для своего запуска, попробую позже запустить его на реальной машине. Будем разбираться.
Запустил под виртуалкой (оригинал Windows XP SP3), прописав в "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell" "C:\имя_папки_скопировал\имя_файла_тоже_скопировал"
После Выход->Входа в систему было долгое примение параметров пользователя. А далее красовался баннер
Похоже, он сам себя не прописывает, а что-то другое его туда прописало.
Отредактировано D1abl093 (12.08.2013 15:08:36)
D1abl093
Удалось запустить блокировщик под VirtualBox и гостевой системой WinXP. Под VMware он не запускался, видимо там есть проверка на некоторые виртуальные машины. В обоих случаях, что в WinXP, что в Win7, AntiSMS справилась и написала об этом в логе, и блокировщик пропал. Почему у вас не сработало - остаётся только гадать.
simplix сообщает:
D1abl093
... остаётся только гадать.
Наверное, просто нужно было второй раз запустить. Но решил пойти сложным путём
Ну и да, тоже запускал с гостевым драйвером
наверняка опять фокус с русскими буквами папки windows
Да, там русская буква О (0xCE) вместо латинской O (0x4F)
http://rghost.ru/48103053
Новейший локер, теперь не работает под виртуалкой, тестить только на хостовой системе, кому не жалко)
Отредактировано jimq (14.08.2013 05:41:43)
jimq, не драматизируйте. Нормально запускается на VBox, правда без установленных "Дополнений гостевой ОС".
Действительно свежий локер.)
MD5: 15f4ad8c8ff59e41a878994a0ceaaba3
SHA-1: c8945230de653588973dbe6560e83d0f766a2f4e
Опять тот же фокус из поста выше с русской О в слове Windows.
AntiSMS справилась!
Скрытый текст (раскрыть):
Журнал работы AntiSMS 4.1, время - 10:56:51 14.08.2013
Найдена операционная система в папке C:\WINDOWS
Операционная система опознана как Windows XP SP3 x86
Для проверки файлов используется внешняя база хэшей
Восстановлены параметры загрузки системы в безопасном режиме
Проверены и восстановлены важные ключи системного реестра
Проверены папки и ключи реестра пользователя Default System
Проверены папки и ключи реестра пользователя Default User
Проверены папки и ключи реестра пользователя LocalService
Проверены папки и ключи реестра пользователя NetworkService
Проверены папки и ключи реестра пользователя Admin
Файл C:\WINDОWS\ехрlоrеr.exe не подписан и его автозагрузка отключена, создана резервная копия
Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\Temp\AntiSMS\14.08.2013-1\Backup
Работа AntiSMS завершена, время - 10:56:55 14.08.2013 (4 сек)
Отредактировано 0 0 (14.08.2013 10:15:19)