еще места для исправлений:
1) удаление параметров Shell или Userinit в HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
2) удаление HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
и
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
3) HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager
параметр BootExecute должен быть "autocheck autochk *"
4) Задания Windows тоже часто используются для старта зловреда, но т.к. очень много полезных заданий, то лучше использовать переименование файлов, чтобы потом можно было вернуть обратно.
5) если в автозагрузке прописана программа wscript.exe, то отключение ее - через ее запускаются зловредные скрипты, а она имеет цифровую подпись
Отредактировано art9 (21.02.2012 10:32:39)
В шапку добавлен первый вариант загрузочного диска для AntiSMS, оставлены некоторые полезные и бесплатные программы.
art9
1 и 2 уже работает, 4 было в планах - дописал в шапку, 3 и 5 на заметку.
вот список временных папок, может будет чем-то плезно:
C:\users\ess\appdata\local\temp
C:\temp
C:\windows\temp
C:\windows\serviceprofiles\localservice\appdata\local\temp
C:\windows\serviceprofiles\networkservice\appdata\local\temp
C:\users\ess\appdata\local\microsoft\windows\temporary Internet Files
C:\users\ess\local Settings\application Data\mozilla\firefox\profiles\gpxy9y30.default\cache
C:\users\ess\local Settings\google\chrome\user Data\default\cache
C:\users\defaultapppool\appdata\local\temp
C:\users\defaultapppool\appdata\local\microsoft\windows\temporary Internet Files
C:\users\default\appdata\local\temp
C:\users\default\appdata\local\microsoft\windows\temporary Internet Files
так же следует удалить тут:
C:\recycler
C:\$recycle.bin
И программные файлы от сюда:
C:\windows\fonts
C:\users\ess\cookies
C:\users\defaultapppool\cookies
C:\users\default\cookies
MBTY сообщает:
simplix
C:\windows\fonts
не удаляй. там шрифты системы
Вообще-то я написал, что там следует удалить программные файлы, а не все файлы.
up
Новые винлоки кидают сюда: https://forum.ru-board.com/topic.cgi?fo … start=2480
и далее по форуму.
Кстати, antiSMS - название не очень звучит, сейчас вымогатели больше работают без смс.
Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix
Отредактировано art9 (21.02.2012 16:59:56)
art9 сообщает:
Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix
SimplixKills
simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.
1) очистка AppInit_DLLs, желательно с фильтром, чтобы не удалялись записи антивирусов, например, "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"
2) можете ли выложить скриншоты при работе с утилитой?
UP
удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.
Отредактировано art9 (24.02.2012 19:44:08)
art9 сообщает:
удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.
А вот такие вещи надо делать с согласия пользователя, т.к. многие качают софт прямо на рабочий стол, а потом уже перекидывают куда надо.
UPD:
Лог файл лучше сохранять на рабочем столе и открывать по завершении работы программы.
Можно еще чистить папку %WINDOWS%\SYSTEM32\DLLCACHE
Отредактировано Shadow_Man (24.02.2012 20:12:42)
Своих приучаю и себя - не хранить на рабочем столе ни чего лишнего, тем более exe-ники, для этого использую кнопку в total commandеr, для запрета изменений на раб. столе.
pdi77 сообщает:
simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.
Согласен с этим полностью. Сегодня заделал я себе usb-cdrom на флешку с последним образом сборки. Решил загрузиться с флешки на своём компе. Загрузился в WinPE, всё отлично загрузилось. Порадовало присутствие в программах BlueScreenView. Опечалило, что если на винте одна система Seven, Autoruns не запускается. Но это я отвлёкся.
Нельзя было не заметить иконку на Рабочем столе утилиты AntiSMS. Вещь на этом WinPE очень нужная!!! Ну щёлкнул я по иконке, запустил значит. Выскочило бодрое обещание "Делаю всё хорошо, подождите..", а я задумался. И где же ты делаешь "хорошо"? Всё дело в том, что в системнике у меня три винта и на каждом винте у меня как минимум 2 независимых операционных систем. Я любитель экспериментов, у меня такой извращённое хобби. Однако, мне же все таки хочется знать, хочется контролировать последствия.
Утилита отличная, идея очень хорошая. Как тут уже предлагали, очень нужно восстановление системных файлов explorer.exe, taskmgr.exe, userinit.exe. Три дня назад лечил винлокер. Пролечил утилитой AntiSMS, попробовал загрузиться в систему, а винлокер опять не пускает. Как оказалось, заражён userinit.exe. Опять пролечил AntiSMS, сходил в папку i386 сборки, нашёл нужный системный файл и распаковал его на "больную" систему. Так вот, у меня предложение simplix. Если утилита AntiSMS запущена из-под WinPE вашей сборки, значит дистрибутив Windows XP "под рукой". После проверки, что "больная" система является ХР, то восстановление (распаковка и замена) определённых системных файлов производить в любом случае. Не зависимо от того, были они заражены или нет. Это реализовать не сложно, можно просто скрипт написать, но если это будет уже заложено в AntiSMS на вашем WinPE, то я смело буду по телефону довать рекомендации: загрузитесь через Биос с диска simplix, выберите "загрузка небольшой операционной системы WinPE", когда загрузится Рабочий стол, то два раза кликните (запустите) по иконке AntiSMS, выньте диск и загрузитесь на свою систему.
Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать, а потому надо как можно больше добавить эффективности утилите и упростить работу с ней (правда, уже проще некуда)))).
Утилита делает ровно то, что написано в шапке, т. е. если винтов и систем много, то вылечены будут они все. Autoruns запускается через RunScanner, с Win7 действительно не работает, но её можно запустить вручную, не ярлыком, и указать каталог с системой (подключить средствами самой программы). Лично я пользуюсь Regedit PE, там в избранное добавляются ключевые ветки автозапуска. Логи - разве что в будущем, когда весь необходимый функционал будет реализован. Сделать ещё нужно много, далеко не всё написано в шапке. Сейчас уже реализовано лечение MBRLock 6 и 14 (других образцов на руках нет), когда будет добавлено ещё несколько серьёзных доработок, тогда и появится следующая версия.
Я очень мечтаю о таком сценарии "лечения" по телефону.
Я тоже, поэтому и взялся за полностью автоматическое лечение системы. Область применения не ограничивается только лечением по телефону, маленький образ может скачать кто угодно, независимо от знаний компьютера, и откуда угодно, хоть на скорости модема. Это замечательно.
Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.
С возможность скопировать их в определенную папку.
Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.
Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?
И кстати, будут ли скриншоты?
Отредактировано art9 (26.02.2012 18:00:18)
Sergikaz сообщает:
Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать,
art9 сообщает:
С возможность скопировать их в определенную папку.
Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.
Ребята молодцы, надежду не теряют, а у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS, лично у меня терпения нехватало - теперь уж или я к Вам или Вы ко мне - последнее чаще.
simplix
Полезная программа у вас получилась. Сегодня опробовал, больной комп элементарно починился (правда ещё пришлось скопировать userinit.exe с рабочей системы, после того как его грохнул антивирусник при проверке)
Маленькая просьба, а можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ? А то у меня всё чаще попадаются диски и флэшки отформатированные в нее.....
Отредактировано Smulev (27.02.2012 09:39:28)
Как образ диска АнтиСМС запустить с флешки из под груб4дос?
mariolast
Если в поиске форума написать GRUB, то ваши волосы станут мягкими и шелковистыми...и ни одной новой дырки
Бля
Отредактировано MBTY (28.02.2012 06:25:51)
сегодня при помощи
[AntiSMS 1.3 (93.1 KB)
успешно полечен свежий винлокер https://www.virustotal.com/file/0103d89 … /analysis/
simplix,
Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.
Представляет собой командный файл преобразованный в EXE файл с помощью утилиты bat2exe.
Введет лог работы в файл c:\testantibann.log
Прописывает в себя в разные ветки автозапуска и копирует себя в разные папки системы.
Пока взял самый минимум вариантов "заражения". Думаю, потом усовершенствую, если нужно будет.
Ссылка: http://upwap.ru/2066550
Пароль: 123
Отредактировано art9 (28.02.2012 20:26:59)
Новая версия 1.4, все изменения в шапке.
art9 сообщает:
Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.
Трояны легко могут менять время файлов, это не показатель. Лучше сделать быструю проверку свежим антивирусом.
art9 сообщает:
Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?
Учитываются только те исполняемые файлы, которые имеют сигнатуру MZ в начале файла. Но это не основная зачистка, а дополнительная, так как без автозапуска они безвредны.
art9 сообщает:
И кстати, будут ли скриншоты?
Было бы что скриншотить...
happywanderer сообщает:
у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS
Достаточно один раз поехать, выставить загрузку в порядке CD->HDD и оставить записанный диск.
Smulev сообщает:
можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ?
Хорошая была идея.
art9 сообщает:
Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.
Спасибо. Версия 1.4 текущий тест проходит.
Версия 1.4. Шикарно! И всего в 122 кб
возможен ли откат действий, на всякий случай?
11:10:47
про msconfig я понял - "галочки" поставить и все вернется на круги слова, а что делать например c AppInit_DLLs, туда падает не только каспер, а например комодо
12:47:30
возможно ли сделать по аналогии с avz папку "restore" или что то типа, куда упадут удаленные файлы и импорты ключей реестра, в reg файле, со значениями до изменений?
Отредактировано simplix (29.02.2012 16:09:29)
g0dl1ke
Полный откат невозможен, так как не приоритетно откатывать стандартные ключи реестра, но откат самых важных этапов лечения возможен через msconfig. Вот как раз "всякого случая" произойти не должно, утилита построена по принципу "лучше ничего не сделать, чем навредить". Возможно полный откат будет запланирован на будущее, но для этого как минимум нужно найти серьёзный повод в виде ошибки или нестандартного случая.
11:28:34
Файлы комодо обязательно должны быть подписаны, поэтому записи о них тоже не будут удалены.
Отредактировано simplix (29.02.2012 16:10:12)
А как утиль определяет что запущена под винПЕ??
а то у мя при запуске с винПЕ которая идёт на борту hiren by lexapass ругается что это не вин пе и что работать она небуит(
kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.