#76 10.03.2012 07:01:09

opp
New member
Зарегистрирован: 07.10.2009
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Странно, что библиотеку под Windows XP Novell даже не подписала.

Возможно это последствия конкурентной борьбы на рынке серверов. Хотя сейчас у новелла с мс дружба.

Неактивен

 

#77 10.03.2012 10:22:23

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

barsuk сообщает:

как раз это версия была 1.7

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

barsuk сообщает:

также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана. Задача программы стоит не полностью вылечить систему, а разблокировать её для проверки антивирусом.

barsuk сообщает:

как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской

Потому что русская встречается у 95% пользователей и замена повреждённых английских файлов на русские тоже решает проблему.

barsuk сообщает:

будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

Обязательно.

Неактивен

 

#78 10.03.2012 10:26:38

barsuk
Advanced Member
Откуда: Плохое Место!
Зарегистрирован: 09.03.2012
Сообщений: 264
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

это не мой)) просто у меня  в мультибуте
http://narod.ru/disk/42633129001.b3de29 … 3.rar.html

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана.

согласен, но файлы нужные и уезвимые) просто подумал лишним не будет biggrin

насчет английской винды и файлов: можно ли сделать чтоб самому (мне) накидать туда файлов из system32 и они проверялись?
папку сделать пустую WXPEN в которую если кинуть файлы, то копирование происходило не из русской папки а из этой?
я понимаю что для Вас еще важно чтоб все поместилось на 700-CD, но даже на моем ПК где ДВД и не пахло я и CD уже не юзаю... юзаю CDROM-область флешек, так что у меня еще 3,5ГБ свободно на 8ГБ-шной флешке)) а если файлы можно будет восстанавливать таким образом то думаю будет хорошо

Отредактировано barsuk (10.03.2012 11:31:59)

Неактивен

 

#79 12.03.2012 06:53:21

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
В последней версии 1.7 все нормально работает.
Принесли ноут Acer, с диагнозом, что был локер. После чего-то вообще перестал загружаться и писал что не знает с чего загружаться. Со слов клиента.
Загрузился с Windows 7 LiveCD 5.5 xalex, запустил AntiSMS с флешки - все пролечил. Перезагружаюсь - тишина. Загрузил Acronis Disk Director Suite - не было ни одного активного раздела вообще. Далее уже долечил стандартным загрузчиком от Windows 7. Он нашел еще проблемы в загрузке и сам исправил. Все заработало
Я к тому, что реально ли есть локер который подавляет атрибут Активного раздела?

Неактивен

 

#80 12.03.2012 11:44:28

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

barsuk
Возможно что-то из этого будет реализовано в будущем.

Savage-i
Скорее всего клиент занимался самолечением и что-то сделал неправильно. Если MBR-блокировщик вообще был и AntiSMS его вылечил, то в конце работы вы увидите сообщение, что винчестер тоже вылечен, а во временной папке WinPE (на моём это B:\Temp) и на разделе с системой (если таблица разделов не повреждена) будет файл MbrLock0.bak с копией заражённого MBR. Таких локеров, которые просто убирают атрибут активного раздела, я не видел.

Неактивен

 

#81 12.03.2012 13:51:44

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Вероятней всего что клиент пытался лечить самостоятельно. Но я просто подумал что МБР-локер такое мог сотворить. После лечения вроде не видел в системном разделе файл с копией МБР, может не обратил внимания.
Но все равно спасибо за чудесную утилиту! Надеюсь будет конкурентной для AntiWinLocker.
В будущем планируется ли создание программы как самостоятельное приложение в ОС, например как AntiWinLocker? Чтобы налету подавляла возможность заражения (по методу AntiWinLocker)
Будет ли добавлена возможность лечения Win2k3 Server (каталог с файлами для восстановления). Есть сборки типа nCore (lwgame.net), которые заточены под рабочую станцию

Отредактировано Savage-i (12.03.2012 13:54:27)

Неактивен

 

#82 12.03.2012 18:10:57

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix вот этот локер-вредитель системы http://zalil.ru/32855694 пароль на архив 20122 Ваша программа не лечит!!!!! Скрины в архиве, он блокирует винду и портит настройки системы.....блокирует диспетчер..меняет обои раб.стола...вместо часов в правом нижнем углу надпись ГНОЙ, пропал значек мой компьютер...и т.д и т.п.

Отредактировано olzaruta (12.03.2012 18:18:34)

Неактивен

 

#83 12.03.2012 18:14:38

Fiolet
New member
Зарегистрирован: 12.03.2012
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Спасибо большое за все Ваши проекты!good
В продолжении идей Savage-i хотел бы предложить возможно "нереализуемый вариант":
Прописать программу в автозагрузку Безопасного варианта входа в систему - чтобы программа на автомате вылечила систему.unknown

Неактивен

 

#84 12.03.2012 19:12:45

A_B
New member
Зарегистрирован: 12.03.2012
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Благодарю Вас, очень сильно выручили меня (на работе, при попытке загрузить AVZ появилось красное окно с предупреждением о блокировке Win XP). Благо дело это случилось в конце дня. С утра, вооружился Вашим загрузочным CD, затем запустил AntiSMS.exe и по окончании его работы перезагрузил комп в обычный режим и все стало ОК!
Дома, как любитель экспериментов, решил сделать испытание «тестовым файлом xxx_po….zip», за что автору этого файла отдельное спасибо. Мой нынешний nod32 v.4.2 сразу его заглушил и для продолжения эксперимента пришлось вырубить nod32 и запустить тот файл вновь
Появился синий прямсугольник, блокирующий работу WinXP. Загрузился  с  диска от AntiSMS.iso и запустил AntiSMS.exe, однако положительного результата не было, и после этого я прервался. Через 10 мин подхожу а синий блокирующий прямоугольник исчез ... Перезагрузил комп и все само стало ОК?
Вопросы: где найти следы удаленных зловредов, и каких именно, для обоих случаев?


Жизнь коротка, а искусство вечно

Неактивен

 

#85 12.03.2012 19:55:05

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Savage-i
Создание утилиты для рабочей системы вообще не планируется, если вас устраивает функциональность AntiWinLocker - пользуйтесь им. Если сравнивать загрузочные диски AntiSMS и AntiWinLockerLiveCD, то они достаточно разные как по размеру, так и по возможностям - там упор сделан на ручное редактирование, у меня же на полную автоматизацию. Да и понимание того, как должна работать такая программа у меня своё, это позволяет не использовать чужие идеи и возможные ошибки. Однако вряд ли можно назвать AntiWinLocker конкурентами, скорее коллеги - одно дело делаем.

Savage-i сообщает:

Будет ли добавлена возможность лечения Win2k3 Server

Скорее всего такая возможность появится в будущем, чтобы пользователь AntiSMS сам мог добавить файлы для нужных систем.

olzaruta
Я уже видел этот локер ChatADMIN, но на самом деле программа его лечит (проверено на версии 1.7). Если бы система осталась заблокированной, вот тогда можно было бы сказать что не лечит, а так - разблокирована полностью. То, что ChatADMIN портит систему, это не проблема AntiSMS, самое главное что появляется доступ ко всем настройкам, можно запустить антивирус и отредактировать автозагрузку через msconfig. AntiSMS не будет восстанавливать абсолютно все настройки в таком виде, в каком они были бы при переустановке системы. Согласитесь, восстановление времени вместо текста или координат фона рабочего стола совсем не входит в задачи разблокировки. Но я посмотрю, что можно сделать в подобных случаях, чтобы было разблокировано как можно больше возможностей в системе.

Fiolet
Программа не будет работать в системе, т. к. троян может тут же заражать систему заново, в том числе и в безопасном режиме. Лучше запишите загрузочный диск и выставьте очерёдность загрузки CD->HDD в BIOS, когда возникнут проблемы - достаточно вставить диск и перезагрузить компьютер.

A_B
На данный момент резервные копии удаляемых файлов не делаются, так как удаляются они только из тех папок, где легальных программ быть не может. Это будет реализовано в будущем.

Неактивен

 

#86 13.03.2012 06:20:50

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Спасибо за разъяснения.
Это будет хорошо, если будет возможность восстанавливать файлы различных систем.

Еще бы хотелось пожелать. Если AntiSMS не сможет пролечить MBR-локер, может тогда встроить функцию, которая бы делала копию зараженного MBR и сохраняла в виде файла. А дальше этот файл можно отправить Вам на анализ. А уж по дампу можно придумать лечение и выпустить обновленную версию

Неактивен

 

#87 13.03.2012 10:13:44

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

по поводу ChatADMIN: 1.7 лечит, но не до конца.
вот лог avz


Код:

9. Мастер поиска и устранения проблем
 >>  Блокировка редактора реестра
 >>>  Блокировка редактора реестра - исправлено
 >>  Блокировка диспетчера задач
 >>>  Блокировка диспетчера задач - исправлено
 >>  Установлена большая задержка перед открытием меню (более секунды)
 >>>  Установлена большая задержка перед открытием меню (более секунды) - исправлено
 >>  Рабочий стол - заблокировано отображение иконки Мой компьютер
 >>>  Рабочий стол - заблокировано отображение иконки Мой компьютер - исправлено
 >>  Заблокирован элемент Выполнить в меню Пуск
 >>>  Заблокирован элемент Выполнить в меню Пуск - исправлено
 >>  Некорректный порог предупреждения о недостатке свободного места на диске
 >>>  Некорректный порог предупреждения о недостатке свободного места на диске - исправлено
 >>  Заблокирована служба работы с USB накопителями
 >>>  Заблокирована служба работы с USB накопителями - исправлено
 >>  Заблокирована возможность установки и удаления программ
 >>>  Заблокирована возможность установки и удаления программ - исправлено

"Stay a While, and Listen"

Неактивен

 

#88 13.03.2012 15:11:02

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
В следующей версии всё-таки будет чистка от программ типа ChatADMIN. Кстати AVZ исправляет далеко не всё, к тому же неправильно определяет блокировку редактора реестра и диспетчера задач - на самом деле AntiSMS делает эту разблокировку.

Неактивен

 

#89 14.03.2012 02:10:51

Altorn
New member
Зарегистрирован: 14.03.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Уважаемые коллеги! Сегодня боролся с TrojanMBRlock. По классификации Dr.Weba - TrojanMBRlock6 c кодом разблокировки 113331 (найдено по номеру кошелька) Так CureIT его не взял! Эта зараза блокировала запуск сканера!? Записал последнего на две флешки, запускал из под WinPE.
Вопрос: Возможно ли такой розум у этой заразы? Поделитесь мнениями. Спасибо.

Неактивен

 

#90 14.03.2012 03:12:52

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Новая версия - 1.8, изменения как обычно в шапке. Последний тест от art9 проходит, ChatADMIN и подобные вредители нейтрализуются (в частности то, что можно автоматизировать и проверить).

Altorn
У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE. Но AntiSMS лечит такие трояны, а дальше CureIt можно запустить после перезагрузки уже в рабочей системе.

Неактивен

 

#91 14.03.2012 06:35:40

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Как я понимаю, сам ISO образ можно не перекачивать, основа не изменяется? Просто скачать обновленную утилитку и самому обновить ISO?

Отредактировано Savage-i (14.03.2012 06:53:26)

Неактивен

 

#92 14.03.2012 10:04:09

pdi77
Member
Зарегистрирован: 22.02.2012
Сообщений: 11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

В архиве Drive1.bin, возможно когда-то пытались использовать активатор, т.к видно записи про груб.
После выполнения команды bootsect /nt60 /c: /force /mbr файл получается идентичный.
http://ifolder.ru/29280623

Неактивен

 

#93 14.03.2012 11:31:58

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 2832
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Savage-i
Конкретно между версиями 1.7 и 1.8 образ не менялся, но в будущем такое запросто возможно, так что лучше по возможности загружать образ. Если у вас свой WinPE - убедитесь, что скопировали папку Files с оригинальными файлами.

pdi77
Похоже у вас два винчестера и команду bootsect вы выполняете для первого, поэтому на втором ничего не меняется.

Неактивен

 

#94 14.03.2012 11:41:17

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

http://forum.ru-board.com/topic.cgi?for … rt=5040#11
http://forum.ru-board.com/topic.cgi?for … art=5040#7
http://forum.ru-board.com/topic.cgi?for … art=5020#5
-тут выложил блокировщиков-шифровщиков...вечером будет еще один mbr

Отредактировано olzaruta (14.03.2012 11:43:19)

Неактивен

 

#95 14.03.2012 12:42:49

Kipovec
Member
Зарегистрирован: 12.02.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

....У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE...

А ещё "бывают" материнки на которых WINPE НЕ запускается (этим "грешат" мамки с чипом от NVideo в особенности со встроеной графикой) зависая на экране запуска с надписью "виндовсблаблабла".
Тоже происходит и с "лайфсд" (но эти уходят в бесконечный перезагруз) и только (увы не довелось попробовать вашу утилиту, на бывшем в руках даже не пионерском - скорее октябрятском (банальный автозапуск из папки темп, без какой либо порчи, чего нибуть)) AntiWinLockerLiveCD
запускается, им и "чистил-смотрел".

Отредактировано Kipovec (14.03.2012 13:05:08)

Неактивен

 

#96 14.03.2012 21:05:33

Herz
New member
Зарегистрирован: 13.03.2012
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Почему  такое выдает - так ли необходимо это ограничение ?
http://i29.fastpic.ru/big/2012/0314/90/5708c2f10465b83f2bdde6b1a7dab790.jpg

Неактивен

 

#97 15.03.2012 03:45:30

DJeir
Advanced Member
Зарегистрирован: 29.07.2010
Сообщений: 449

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Спасибо огромное за утилиту! Переоценить её невозможно! Запускаю теперь не только для лечения, но и для общей очистки после восстановления раздела или винды. Суперская штука! Столько времени экономит! А то все ручками приходилось..shock
И не только за antiSMS, но и за сборку, и за PE, и за все ОГРОМНОЕ СПАИБО!good

Неактивен

 

#98 16.03.2012 02:25:25

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Здравствуйте.
Если у Вас есть желание, мы бы хотели пригласить на наш форум forum.virlab.info где Вы бы могли изучить поведения баннеров используя их исходники.
Так же есть несколько предложений для загрузочного образа:
- uVS (для возможности выявления месторасположения файлов баннера, специалистам)
- Master Boot Record (MBR) для простых блокировщиков использующих пароль на виду.
- TDSSkiller (для сбора логов MBR жестких дисков и их расшифровки на форуме Касперского)

Отредактировано Vitokhv (16.03.2012 08:01:13)

Неактивен

 

#99 16.03.2012 08:47:08

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Авторы антивиноркера переманивают simplix smile


"Stay a While, and Listen"

Неактивен

 

#100 16.03.2012 09:07:13

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Я лишь предлагаю, то о чем просит simplix "Сейчас нужно как можно больше разных образцов..." пост #12
И идеи для охвата любого типа баннеров. Пока сложной задачей остается шифрование MBR применяемое в новых блокировщиках.

Неактивен

 

Board footer


Рекомендации: OSZone, Comss, Ru-Board
© simplix