Я выше отредактировал комментарий с процессом проверки.
Поддержал
Отредактировано Саша (26.07.2017 20:20:26)
Пока забил. Когда будет следующая версия отпишу.
Если не секрет, что изменено в сегодняшней версии?
Отредактировано Саша (26.07.2017 20:54:34)
Если пользователь руками удалил AppInit_DLLs, то смартфикс восстановит по-умолчанию?
simplix
Если вообще пользователь по незнанию удалил этот параметр, то смартфикс восстановит пустой параметр AppInit_DLLs, чтобы он вообще был (пустой)?
Интегрировал в среду восствновления F8. Нормально. Только я использовал WinRE где не MSDaRT, а который с антипаролем Password Reset.
simplix
Помогал одному человеку лечить компьютер. Зараза блокировала скачивание антивирусных сканеров из интернета. Еще она блокировала запуск антивирусных сканеров через настройки системы, как я понял, через блокировку сертификатов цифровых подписей. Ничего с компьютера того у меня нет, только куски логов FRST (с помощью ее и победил).
Зараза сидела на уровне драйвера.
C:\Windows\system32\drivers\3041003fb48d8e0278180f15dd723556.sys
К сожалению, как я писал выше, бинарники предоставить не могу. Но есть ссылка на вирустотал: https://www.virustotal.com/ru/file/6b67 … /analysis/
По ссылке можно увидеть данные о цифровой подписи. simplix, возможно ли добавить эту цифровую подпись в Смартфикс? Это бы позволило противостоять этой неприятной заразе с помощью Смартфикс.
Еще. Как я писал выше, зараза блокирует запуск антивирусов. Мне кажется, что Смартфикс могла бы исправлять этот зловредный фикс. Кусок лога FRST:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) <==== ATTENTION HKLM\ DisallowedCertificates: 18DEA4EFA93B06AE997D234411F3FD72A677EECE (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) <==== ATTENTION HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: 3353EA609334A9F23A701B9159E30CB6C22D4C59 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 373C33726722D3A5D1EDD1F1585D5D25B39BEA1A (SUPERAntiSpyware.com) <==== ATTENTION HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) <==== ATTENTION HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 4420C99742DF11DD0795BC15B7B0ABF090DC84DF (Doctor Web Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 5240AB5B05D11B37900AC7712A3C6AE42F377C8C (Check Point Software Technologies Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) <==== ATTENTION HKLM\ DisallowedCertificates: 88AD5DFE24126872B33175D1778687B642323ACF (McAfee) <==== ATTENTION HKLM\ DisallowedCertificates: 9132E8B079D080E01D52631690BE18EBC2347C1E (Adaware Software) <==== ATTENTION HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) <==== ATTENTION HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: 9E3F95577B37C74CA2F70C1E1859E798B7FC6B13 (CURIOLAB S.M.B.A.) <==== ATTENTION HKLM\ DisallowedCertificates: A1F8DCB086E461E2ABB4B46ADCFA0B48C58B6E99 (Avira Operations GmbH & Co. KG) <==== ATTENTION HKLM\ DisallowedCertificates: A5341949ABE1407DD7BF7DFE75460D9608FBC309 (BullGuard Ltd) <==== ATTENTION HKLM\ DisallowedCertificates: A59CC32724DD07A6FC33F7806945481A2D13CA2F (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: AD96BB64BA36379D2E354660780C2067B81DA2E0 (Symantec Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) <==== ATTENTION HKLM\ DisallowedCertificates: CDC37C22FE9272D8F2610206AD397A45040326B8 (Trend Micro) <==== ATTENTION HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) <==== ATTENTION HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) <==== ATTENTION HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) <==== ATTENTION HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) <==== ATTENTION HKLM\ DisallowedCertificates: E513EAB8610CFFD7C87E00BCA15C23AAB407FCEF (AVG Technologies CZ) <==== ATTENTION HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) <==== ATTENTION HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) <==== ATTENTION HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) <==== ATTENTION HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) <==== ATTENTION
simplix, возможно ли добавит в Смартфикс разблокировку этих сертификатов? Если Смартфикс позволит разблокировать запуск популярных антивирусов, то это будет супер здорово. А то Смартфикс пытается скачивать Курент или Адваре, но запуск не происходит. Даже было бы здорово, если бы перед скачиванием, например, Курента, Смартфикс проверяла сначала ветку реестра на предмет блокировки сертификата этого антивируса.
Интересующие меня вопросы выделил жирным
Отредактировано art9 (03.08.2017 18:00:47)
art9
Для начала нужно понять, как именно блокировался запуск антивирусов. Я полагаю, их блокировал тот вредоносный драйвер, так как добавление сертификата в недоверенные никак не запрещает запуск программы, подписанной этим сертификатом (без дополнительных настроек групповой политики по части UAC). Подпись того драйвера добавлю, однако нужно иметь в виду, что VirusTotal не всегда корректно отображает имена сертификатов, так что чтобы всё получилось точно, желательно отправлять сами файлы через форму на сайте. Дополнительно в последних версиях SmartFix анализирует автозагрузку до лечения из системы и отправляет хеши подписанных файлов мне, а я периодически проверяю их на VirusTotal и в случае положительного срабатывания добавляю в базу. В планах есть желание автоматизировать эту процедуру с помощью Autoruns, но его консольная версия работает в десятки раз медленнее графической (видимо отправляет запросы на VirusTotal только последовательно) и пока это слишком долго.
simplix
При активном зловреде браузеры дурили и не смог отправить через сайт. Кстати, помню, что смартфикс чего-то сначала анализировал - может информация отправилась с той машины.
После излечения пользователь получил своё и даже не отправил логи /карантины на анализ, хотя я просил.
art9
Конкретно по technologieboussac.com информация не пришла, возможно троян и это блокировал, но я уже добавил его в базу.
Сейчас изменения к нескольким последним версиям не указываются, т. к. они мелкие, в основном это обновление списков сертификатов и мелкие доработки. Если будет что-то существенное - напишу.
При перетаскивании образа AntiSMS.iso на программу SmartFix 1.4.15 выходит ошибка
7z.iso1 - 0
7z.is_ - 2
ReagentC-EnableErr - 0
С образом AntiSMS8.iso проходит всё как надо. Последний раз образы обновлял версией 1.4.11 вроде, проблем не было.
clientyra
Что-то у вас не в порядке с компьютером или образом, попробуйте повторить на оригинальном образе или другом компьютере, у меня проблема не подтверждается. По логу 7z не может извлечь файл из образа, код 2 означает фатальную ошибку.
Спасибо. С образом как оказалось, странно что с ним могло произойти
simplix
Подскажите... Не конфликтует ли Ваш сабж с MBRFilter'ом ? (хочу установить для доп.защиты)
avalslava
Не конфликтует, т. к. SmartFix вообще не взаимодействует с программами, установленными в системе. По описанию MBRFilter толку от него тоже не много - Петя сначала шифрует файлы, и только потом перезаписывает MBR. Когда по-настоящему деструктивный вредоносный файл запущен, поможет только резервная копия.
Можно "формальное" лицензионное соглашение сделать рабочим? То-есть при клике на строку, открывается страничка с соглашением (кликабельная ссылка), или локально внести в программу текст с соглашением, а то получается, что только галочка ставится и снимается, а больше ничего, а смысл?
Извиняюсь. Теперь понятно. Просто я щёлкал по галочке и кликал по самой надписи. А при снятой галочке не пробовал. Спасибо.
В рот того поотключала все нужное откат пришлось делать удаляю к чертям !
aiv3006
Кто же вам виноват, что вы даже не читаете описание программы. Автозагрузка потенциально опасных элементов отключается и её можно включить через msconfig, об этом написано в первом сообщении темы.
simplix сообщает:
aiv3006
Кто же вам виноват, что вы даже не читаете описание программы. Автозагрузка потенциально опасных элементов отключается и её можно включить через msconfig, об этом написано в первом сообщении темы.
Тут я автора полностью поддержу, руками все включается обратно, но для этого нужно хоть чуть-чуть поднапрячься и прочитать описание к программе.