Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#601 12.07.2012 06:32:13

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Вы так рассуждаете как будто здесь конкуренция, обе программы бесплатны, и многие кто пользовался не задумывался об оплате. Лишь только сложностью лечения, так как для каждого баннера в ручном режиме нужен свой подход и своя инструкция.

Core-2
От себя добавлю, что использую AWL для выявления поведения баннеров, чтобы знать их действия и уязвимости. Да программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

 

#602 12.07.2012 12:34:21

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv разве создатели антивинлокера не просят денег за свой продукт?
simplix какие именно файлы входят в состав SysFiles.bin и принимаешь ли ты пожелания по его составу ?


Stay Awhile and Listen

 

#603 12.07.2012 12:51:35

PROROK
New member
Зарегистрирован: 11.07.2012
Сообщений: 5

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Administrator
,
вы там это...   извините меня, пожалуйста oops

Свой поспешный комментарий я отредактировал.

Сегодня сделал всё, как вы хотели - скопировал (сохранил) нужные файлы до запуска AntiSMS и после завершения успешной работы вашей программы, но загружать в интернет эти файлы (354 МБ) для меня слишком долго (пол-дня), и в свете новых обстоятельств теперь бессмыслено (ведь программа со своей задачей справилась).

Так что ещё раз приношу свои извинения за преждевременные несправедливые обвинения в Ваш адрес, и благодарю Вас за понимание и тактичность.

AntiSMS - это безвозмездный труд профессионала своего дела simplix, который помогает всем людям эффективно бороться с вредоносными программами-блокировщиками!

 

#604 12.07.2012 13:25:03

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
SysFiles.bin - обычный архив, в котором уже собраны самые нужные файлы. Замена других системных файлов не влияет на загрузку системы, так что они будут добавляться по необходимости.

PROROK
У вас получился очень большой архив, давайте включим в него не всю папку Windows\System32\Config, а только файлы Software и System из этой папки. До запуска AntiSMS файлы можно не копировать, только после запуска нужны: эти файлы, папка %Temp%\AntiSMS и реестр из той же WinPE c помощью reg save (выше давал инструкцию). Так архив получится очень маленький, а самое главное - поможет найти причину, почему у вас утилита не сработала в первый раз.

UPD: Прочитал ваше сообщение:

PROROK сообщает:

после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял.

Если так, то логи можно не выкладывать, причина предельно ясна.

 

#605 12.07.2012 13:45:12

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
LiveCD бесплатен, насчет ПО это уже платная утилита устанавливаемая на активную систему, с пробным периодом на 30 дней.
Для удаления баннеров без использования LiveCD (нажали на соответствующую клавишу, определили файл баннера, удалили)
Все просто: кому-то нужно удалить баннер без лишних манипуляций, а кому-то необходимо найти сам баннер, и его действия, тем самым хотя бы на 1% защитив от такого троянца обладателей антивирусов.
К примеру безопасный режим: http://www.youtube.com

Отредактировано Vitokhv (12.07.2012 13:46:02)

 

#606 12.07.2012 14:53:23

Dr. MefistO
New member
Зарегистрирован: 12.07.2012
Сообщений: 8
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Спасибо за самую чоткую программу для лечения системы!
По просьбе программы выкладываю DriveX.bin файл для анализа: http://zalil.ru/33568415


XNTeam Reverser, LAB 313 Former

 

#607 12.07.2012 14:54:33

Core-2
Advanced Member
Откуда: Благовещенск
Зарегистрирован: 13.04.2012
Сообщений: 242
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv сообщает:

... программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

Есть повод удивиться. Довольно длительное время программа не обновлялась. А по части сторонних коментариев, скорее всего ошиблись. У меня есть своя голова , не малый опыт , терпение , и желание повлиять на ситуацию распространения подобной заразы в сторону её уничтожения . Любыми методами.http://gn.ucoz.ua/im/yatakoy/pioneer.gif

На данном этапе самым эффективным и простым способом является AntiSMS. Сбоев - 0. Так же как и у старого доброго uVS. Будем тестить и свежий AWL в составе сегодняшнего Live & Boot CD/USB .


Учись писать обиды на песке, а радости гравировать на камне !

 

#608 12.07.2012 15:39:22

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix можно добавить winlogon.exe - его часто заменяют баннеры
Vitokhv и подразумевает коммерческое использование?
да и в целом, если я не ошибаюсь - любые livecd на базе *.win незаконны

Отредактировано g0dl1ke (12.07.2012 15:40:21)


Stay Awhile and Listen

 

#609 12.07.2012 16:04:54

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Dr. MefistO
Спасибо, добавлю.

g0dl1ke
Блокировщики не заменяют winlogon.exe, это один из важных системных процессов, без него система не загрузится.

По поводу использования в составе AntiWinLockerLiveCD - во-первых AntiSMS не продаётся в составе этого диска, все могут загрузить его бесплатно, во-вторых делать ли свою программу платной - исключительно выбор автора. Никто ведь не ходит на работу бесплатно, а создание программ - большой труд, который требует массу времени и ресурсов, поэтому продавать свои программы каждый имеет полное право.

А что касается использования WinPE и других программ на этом форуме - они используются исключительно для увеличения популярности и доходов для своих авторов. Если кто-то из этих авторов считает иначе, программы будут убраны по первому требованию законных владельцев.

 

#610 12.07.2012 18:32:55

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix, заменяют, точнее сказать - изменяют.
простой пример: есть сборки винды/твикеры, что вносят изменения в winlogon.exe, с целью изменения экрана входа в систему - с косметической точки зрения. Вирусы же (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D или баннеры) изменяют/заменяют файл, как например происходит с explorer.exe.
вообщем мое дело предложить, ибо 1 файлик в составе SysFiles.bin не сделает "погоды", зато может решить проблему, если потребуется.


Stay Awhile and Listen

 

#611 12.07.2012 18:51:26

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Ресурсы экрана входа в систему находится в logonui.exe, для этого winlogon.exe никто не патчит. Его могут заражать вирусы, но AntiSMS - не антивирусная программа, и замена одного winlogon.exe, когда заражены многие другие исполняемые файлы, ситуацию не изменит. А вот если пропатченный файл заменить оригинальным на OEM-версии WinXP, то у пользователя слетит активация.

 

#612 12.07.2012 20:35:55

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя.

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.  В настоящее время известно более сотни вирусов, использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.


Stay Awhile and Listen

 

#613 12.07.2012 22:18:53

LeoZhu
New member
Зарегистрирован: 07.07.2012
Сообщений: 6

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Simplix, возможно ли в следующей версии  AntiSMS сделать так чтобы например в папке Windows (или windows\temp) пролеченой системы появлялась папка antisms (с логами от этой ситемы) c тем же содержимым что и в рам диске PE'хи (%Temp%\AntiSMS\), на тот случай если забыл, или посмотрел и уже потом забыл (понадеясь на свою память), что там было, для админа польза - а юзеру все равно!
"P.S." (раскрыть):
так и планировал делать через батники и nircmd выводить сообщение о предложинии сохранять например на диске С: папку с логами, потому как бывают случаи, когда админ оставляет LiveCD юзеру на всякий случай и/или юзер сам пытается отремонтироваться, вот тут может и пригодиться эта фишка с сохранение логов (что и как делалось), хотя в вообщем-то в msconfig и так будет видно smile, кроме списка восстановленых фаилов.

P.S.S. "Мысли вслух"
Добавил в архив SysFiles.bin фаилы из UVS (и плюс добавил на своё усмотрение немножко фаилов) в результате архив получился около 10,2 МБ благодаря тому что в 7zip дубли повторно не архивируются.
Неплохо получилось если б Вы с Автором UVS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, как-то так примерно.

Отредактировано LeoZhu (13.07.2012 02:14:04)

 

#614 13.07.2012 00:58:56

trew911
Member
Зарегистрирован: 13.07.2012
Сообщений: 11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

да кстати  было тоже висел ms.exe   увидел через  uvs  . убрал, на всякий случай прошёлся anti sms 2/4  и всё капец висим на винлогонеее  , через лайв менял системные

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe

и т.д  и через runscanner+ regedit смотрел ветки винлогон, и так же чистил

и тута тоже чистил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

и по указке

запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст


всё равно висел на винлогоне!  при альт+таб  виден был винлогон

3 пальца не помогали как будто таск менеджера небыло.

короче пришлось сносить  ХР как не печально!

 

#615 13.07.2012 01:22:45

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Спасибо, я в курсе как работает winlogon.exe. Попробуйте вручную заменить его на любой другой файл или найдите блокировщик, после замены winlogon на который система не падает в BSOD при загрузке, тогда можно будет вести речь о добавлении.

LeoZhu
Добавление такой возможности не планируется, чтобы не засорять винчестер пользователя, а в ряде случаев, когда блокировщик повреждает таблицу разделов, файлов вообще не видно до перезагрузки и логи нельзя сохранить на винчестер. Оправдание "забыл" вообще не принимается, нельзя целенаправленно загрузившись с диска для лечения от блокировщика забыть о такой важной детали; кому нужно - скопируют, кому не нужно - даже смотреть не будут. Как вариант, можете создать батник, который сначала запускает AntiSMS, а затем копирует папку с логами на винчестер или флешку.

trew911
Чтобы дать хоть какую-то информацию по вашему случаю нужно увидеть тот самый ms.exe, иначе угадывать, что именно он сделал, совершенно бессмысленно. Если он у вас остался - закачайте на rghost.ru с паролем virus.

 

#616 13.07.2012 02:31:50

Be1blY
New member
Зарегистрирован: 13.07.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Спасибо за программу, знакомый принес бук HP с баннером. Камперский секьюрити грузиться с флешки отказался. Нашел сборку софта, с Вашей программой, загрузился с LiveCD и вот пишу уже с этого ноут бука. После проверки, программа написала, что изменена таблица MBR. Вот, передаю на анализ файлы из папки Temp.

 

#617 13.07.2012 06:54:50

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Отредактировано Vitokhv (13.07.2012 07:19:52)

 

#618 13.07.2012 13:31:10

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
естественно сейчас я не найду готового семпла, но прецеденты имели место быть.
как в случае подмены explorer и userinit


Stay Awhile and Listen

 

#619 13.07.2012 17:56:21

Rawtang
Member
Зарегистрирован: 13.07.2012
Сообщений: 20

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

При проверке вашей утилитой показало что существует нестандартный MBR. Вот ссылка на него Скрытый текст (раскрыть): rghost.ru/39192101

Отредактировано Rawtang (13.07.2012 18:00:03)

 

#620 15.07.2012 01:31:29

va99
New member
Зарегистрирован: 15.07.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv сообщает:

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Этот путь ведет прямиком к експлореру. Проще говоря, нужно изменить в строковом параметре значение на explorer.exe

 

#621 15.07.2012 18:30:42

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Новая версия AntiSMS 2.5

Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Сообщения теперь отображаются в Unicode - русский язык видно на любой системе, в том числе на английском Hiren's BootCD.

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

 

#622 16.07.2012 03:26:09

Gazeman
New member
Зарегистрирован: 14.02.2011
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
огромное спасибо за новую версию.отчень нужная вещь в нынешнее время.

 

#623 16.07.2012 10:31:00

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

total commander можно добавить в antisms.iso?


Stay Awhile and Listen

 

#624 16.07.2012 11:24:33

Алекс
Advanced Member
Зарегистрирован: 03.06.2012
Сообщений: 258
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

Вот про это не понял.. unknown Симпликс,это нужно когда используется антисмс как отдельная программа на другом лив-сд? unknown  Не совсем понятно,и сложно для понимания простым обывателям..
Насчёт Тотал Коммандера - поддержу идею! было бы не плохо,если бы он был в сборке. drinks

 

#625 16.07.2012 14:05:59

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

место он занимает на много, а пользы over9000


Stay Awhile and Listen

 

Board footer


© simplix