Отдельная программа для использования в своём WinPE
(рекомендуется опытным пользователям)
Скачать: AntiSMS 8.4 (~29 МБ)

Готовый загрузочный диск с программой
(рекомендуется неопытным пользователям)
Скачать: Диск на основе WinXP (~60 МБ)
Диск на основе Win8 от Xemom1 (~127 МБ)

Утилита для записи диска на основе WinXP на флешку
Скачать: AntiSMS USB Installer 3.5 (~450 КБ)

Полезные разработки и ресурсы для работы с AntiSMS

1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.

Если вы неопытный пользователь:

1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Возможности программы:

• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-10 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимо минимум 512 МБ ОЗУ.
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
• Исправляются ярлыки от вредоносных сайтов.
• Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
• Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
• Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Описание способов интеграции AntiSMS

Интеграция в рабочую систему
1) Windows XP. Необходимо поместить образ AntiSMS.iso рядом с AntiSMS.exe, затем запустить основной файл AntiSMS.exe и выбрать пункт интеграции. Примечание: можно предварительно обновить образ AntiSMS.iso, перетянув его на AntiSMS.exe в проводнике, так как лечить компьютер будет именно основной файл в образе.
2) Windows 7/8/8.1/10 и их серверные аналоги. Нужно просто запустить основной файл AntiSMS.exe и выбрать пункт интеграции.

Интеграция в оригинальный образ Windows 7/8/8.1/10
1) Меню восстановления при запуске с диска/флешки. Нужно перетянуть файл Windows.iso/sources/boot.wim на AntiSMS.exe в проводнике.
2) Среда восстановления, доступная после установки системы. Нужно примонтировать необходимый индекс файла Windows.iso/sources/install.wim, затем найти в нём файл Windows\System32\Recovery\winRE.wim и перетянуть его на AntiSMS.exe в проводнике, затем отмонтировать install.wim с сохранением изменений. Вместо этого можно использовать UpdatePack7R2 с ключом /AntiSMS.

Интеграция в сборку Windows 7/8/8.1/10
1) В частности речь о сборках m0nkrus, где файл Windows\System32\Recovery\winRE.wim перенесён в третий индекс файлов Windows.iso/sources/boot*.wim для оптимизации размера образа. AntiSMS версии 8.2.1 и выше автоматически интегрируется в меню восстановления при запуске с диска/флешки и в среду восстановления, доступную после установки системы, если поочерёдно перетянуть файлы boot*.wim (как правило boot.wim для x86 и boot64.wim для x64) на AntiSMS.exe в проводнике.
2) AntiSMS версии 8.2 и выше на системах Windows 8/8.1/10 также будет добавлен прямо в меню MSDaRT на место справки, причём полноценную справку можно вызвать из пункта "Справка -> Вызов стравки" самих утилит MSDaRT. Для Windows 7 утилита будет добавлена рядом с MSDaRT.

Интеграция в загрузочные диски и флешки.
1) Для обновления оригинальных загрузочных дисков достаточно перетянуть iso-образы (AntiSMS.iso и AntiSMS8.iso) на AntiSMS.exe в проводнике.
2) Для обновления программы на флешке в составе сборки нужно найти поиском файл AntiSMS.exe и заменить его на новую версию. Например в сборках Strelec он находился в папке SSTR\AntiSMS, а у Core-2 в папке boot.wim\Program Files\AntiSMS.

История изменений (раскрыть):

Версия 1.3 от 19.02.2012
Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
Если в папках автозагрузки есть скрытые или системные исполняемые файлы - они удаляются.
Полностью очищаются системные и пользовательские временные папки.
Все нестандартные записи в файле hosts будут закомментированы.
Автозапуск на всех устройствах кроме дисковода будет отключен.
Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
Все отладчики системных процессов в Image File Execution Options будут удалены.
Все ограничения (Policies) пользователей и системы будут удалены.
В политике ограниченного использования программ будет выставлен неограниченный уровень.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

Версия 1.4 от 29.02.2012, добавлено:
Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
Вылечиваются MBR-блокировщики MBRLock.6 и MBRLock.14 (других нет в наличии). Резервная копия заражённого сектора сохраняется в корне раздела с системой под именем MbrLockX.bak, где X - номер вылеченного винчестера.
Восстанавливаются параметры запуска исполняемых файлов.
Правильно обрабатывается параметр AppInit_DLLs - из множества параметров убираются только неподписанные.
Из автозагрузки реестра убираются vbs-скрипты, можно восстановить через msconfig.
В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
Критически важные для загрузки системы службы теперь не отключаются.
Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
Для Windows XP x86 и Windows 7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны. Эти файлы есть на загрузочном диске, однако если AntiSMS будет использоваться в другом WinPE и диск с WinXP будет вставлен, то файлы будут взяты оттуда (только для Windows XP).
Загрузочный диск теперь полностью поддерживает файловую систему exFAT.
Для Windows 7 теперь Autoruns будет запускаться, но каталог системы нужно подключать вручную.
В некоторых случаях автозагрузка пользователей могла не обрабатываться - исправлено.
Значительно ускорена работа утилиты.

Версия 1.5 от 06.03.2012
В некоторых случаях параметры AppInit_DLLs могли не обрабатываться - исправлено.

Версия 1.6 от 07.03.2012
Добавлено лечение MBRLock.19, этот троян удаляет таблицу разделов, поэтому резервная копия заражённого сектора помещается во временную папку.
С большой вероятностью мог не обрабатываться файл hosts - исправлено.
Начиная с этой версии, AntiSMS также находится в корне загрузочного диска.

Версия 1.7 от 09.03.2012
Добавлено лечение MBRLock.17 всех модификаций, доступных на данный момент. Троян удаляет таблицу разделов, копия сектора создаётся во временной папке.
Теперь программа корректно определяет режим Windows PE во всех случаях.

Версия 1.8 от 14.03.2012
Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
Реализована более глубокая чистка системы от вредоносных действий троянов.

Версия 1.8.3 от 12.04.2012
Пополнена база известных загрузочных секторов.

Версия 1.8.4 от 17.04.2012
Добавлено определение новой модификации MBRLock.6.

Версия 1.8.5 от 27.04.2012
Реализовано правильное транслирование букв несистемных разделов.

Версия 1.9 от 15.05.2012
Реализована базовая поддержка логов и бекапов в папке %Temp%\AntiSMS.
Доработан и исправлен механизм обработки файлов автозапуска.
Доработано исправление файла hosts от некоторых видов троянов.
В обработку включены пользовательские профили типа Default.
Пополнена база известных загрузочных секторов.

Версия 1.9.3 от 17.05.2012
Добавлена обработка ярлыков и скриптов в папках автозагрузки.

Версия 1.9.4 от 20.05.2012
Корректная обработка нескольких систем в одном разделе.

Версия 1.9.5 от 24.05.2012
Папка Files также может располагаться рядом с AntiSMS.exe.
Резервная копия вылеченного сектора помещается в папку Backup.
Мелкие доработки журнала и резервного копирования.
Обновлены драйвера контроллеров MassStorage на диске.

Версия 2.0 от 30.05.2012
Оптимизирована работа программы.
Расширен диапазон проверяемых системных файлов.
Добавлены резервные копии файлов для Windows Vista.

Версия 2.1 от 05.06.2012
Добавлена поддержка базы проверенных файлов uVS.
Усовершенствована проверка системной базы хэшей.

Версия 2.3 от 14.06.2012
Накопительные обновления и исправления.

Версия 2.4 от 18.06.2012
C хэш-базой uVS утилита работает в среднем на 35% быстрее.
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

Версия 2.5 от 15.07.2012
Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Добавлена поддержка пользовательской базы хэшей uVS.
Сообщения в Unicode - русский язык видно на любой системе.

Версия 2.6 от 16.10.2012
Обновлена база хэшей.
Исправлены найденные ошибки.
На диск добавлен Total Commander.
Обновлены драйвера контроллеров MassStorage.

Версия 3.0 от 12.11.2012
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.

Версия 3.1 от 06.01.2013
Обновлена база хэшей.
Исправлены найденные ошибки.
Усовершенствована проверка сертификатов.
Пополнена база известных загрузочных секторов.

Версия 3.2 от 14.01.2013
Добавлена обработка элементов Active Setup.

Версия 3.3 от 08.02.2013
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.

Версия 3.4 от 27.03.2013
Обновлена база хэшей.
Добавлено определение NTFS-потоков.
Обновлена утилита для записи на флешку.
Улучшена обработка назначенных заданий.
Пополнена база известных загрузочных секторов.

Версия 3.5 от 31.03.2013
Исправлено несколько критических ошибок.

Версия 4.0 от 10.07.2013
Системные файлы включены в состав программы, теперь SysFiles.bin не нужен и не используется (Hashes.bin как и раньше не обязателен).
Обновлены системные файлы для всех систем с учётом всех исправлений, добавлено восстановление msconfig.exe и rpcss.dll.
Реализовано сохранение отладочной информации для диагностики неполадок на случай внезапной поломки программы.
Добавлена проверка сервисных библиотек и отключение соответствующих служб, даже если основной файл проверен.
Все неподписанные драйвера, которые участвуют в загрузке системы, будут занесены в лог, но не отключены.
В журнал будут занесены записи отключенных элементов AppInit, названия разделов служб и драйверов для быстрого поиска в реестре.
Организовано более тщательное резервирование отключённых и исправленных элементов автозагрузки и драйверов.
Значительно переработан механизм проверки подписанных файлов, который позволяет выявлять даже подписанные вредоносные файлы.
В логе обозначается, используется ли в процессе настройки внешняя база хэшей Hashes.bin.
Для драйверов в лог заносится также производитель файла без подписи, чтобы безопасные драйвера можно было узнать визуально.
Для операционной системы указывается точная версия и разрядность.
Командные файлы в автозапуске просто отключаются, так как невозможно проверить их команды автоматически.
Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
Для ключей Shell и Userinit в лог добавляются предыдущие записи, по которым можно отследить сложные сценарии запуска вирусов.
Решена проблема ложного срабатывания некоторых антивирусов, в частности аваста.
Значительно увеличена скорость работы программы благодаря замене алгоритмов проверки и оптимизации под многоядерные процессоры.
В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 4.1 от 26.07.2013
Увеличена скорость работы программы, оптимизирован размер и снижено требование к свободному месту.
Для работы программы больше не нужна внешняя утилита reg.exe, работа с реестром ведётся через API.
Исправлены найденные ошибки.

Версия 4.2 от 10.01.2014
Добавлено лечение новой модификации блокировщика MBRlock.17.
Мелкие накопившиеся исправления и дополнения.
Пополнена база известных загрузочных секторов.
Обновлена база хэшей.

Версия 5.0 от 19.01.2014
Добавлена поддержка Windows 8.1 x86-x64.
Накопительные исправления и дополнения.
Обновлена база хэшей.

Версия 5.1 от 01.04.2014
Добавлена утилита для сброса паролей пользователей.
Дополнен и оптимизирован алгоритм поиска файлов.
Переписан алгоритм работы с hosts.
Обновлена база хэшей.

Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.

Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.

Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.

Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.

Версия 6.4 от 07.09.2014
В пункт "Устранение неполадок" добавлена возможность сброса настроек сети.
Реализован более тщательный сброс настроек сети, добавлен сброс TCP/IPv6.
Если файл hosts не существует, будет создан стандартный.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Оптимизирован алгоритм проверки файлов.
Улучшено распознавание системных переменных.
Доработан алгоритм определения вредоносных DNS-записей.
Добавлено предупреждение при ошибке очистки некоторых разделов автозапуска.
Изменено поведение чистки App Paths, теперь создаётся только файл AppPaths.reg.
Усовершенствован поиск файлов без расширений.
Улучшено определение вредоносных записей в назначенных заданиях.
Добавлено восстановление стандартных префиксов протоколов.
На диске отключено плавное прокручивание списков и обновлён DiskCryptor.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.5 от 03.10.2014
Добавлено исправление ярлыков от вредоносных сайтов.

Версия 6.5.1 от 04.10.2014
Алгоритм исправления ярлыков усовершенствован.
BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 6.5.3 от 12.10.2014
Очередная оптимизация исправления ярлыков, исправление ошибок.
В связи с ужасной работой BitTorrent Sync этот ресурс удалён.

Версия 7.0 от 21.12.2014
С ключом /start будет выведен запрос на запуск лечения, это полезно для автозагрузки WinPE.
Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
Добавлены присланные сигнатуры известных загрузочных секторов.
Добавлена проверка ключевых изменений, ошибки будут занесены в журнал.
Исправлена проблема при работе с ярлыками, которая могла появиться в редких случаях.
Оптимизировано восстановление системных файлов, теперь права доступа не имеют значения.
Добавлена проверка файлов из CLSID, неподписанные заносятся в журнал.
Добавлено отключение драйверов для сертификатов из чёрного списка.
CLSID из чёрного списка будут удалены с созданием резервной копии.
Обновлена база хэшей, добавлены различные оптимизации и исправления.
Обновлён Partition Assistant на официальных загрузочных дисках до версии 5.6.
Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Версия 7.1 от 04.01.2015
Реализовано управление правами доступа для лечения особо сложных вирусов.
Ускорено сканирование системы и уменьшено требование к свободному месту.
Оптимизирована 64-разрядная версия.

Версия 7.2 от 14.01.2015
Добавлена функция обновления интегрированного AntiSMS через интернет.
Значительно усовершенствовано определение переменных в путях файлов.
Дополнен чёрный список производителей вредоносных программ.
Добавлено лечение нового вида вредоносных ярлыков.

Версия 7.3 от 03.03.2015
Добавлена поддержка зашифрованных разделов DiskCryptor в меню восстановления.
Добавлены присланные сигнатуры известных загрузочных секторов.
Улучшена проверка и исправление ярлыков вредоносных программ.
Усовершенствован и ускорен алгоритм обработки чёрного списка.
Дополнен чёрный список производителей вредоносных программ.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Усовершенствована обработка скриптов и ярлыков.
Улучшено отображение записей CLSID в логах.
Исправлены мелкие проблемы и неточности.
Обновлена база хэшей безопасных файлов.

Версия 7.4 от 17.04.2015
Реализовано обновление ядра системы для решения проблем загрузки.
Дополнено лечение браузера Chrome от некоторых видов Adware.
Дополнен чёрный список производителей вредоносных программ.
Добавлена дополнительная проверка при обработке служб.
Обновлена база хэшей безопасных файлов.

Версия 7.5 от 05.06.2015
Добавлена возможность интеграции в меню восстановления дистрибутива системы.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствовано восстановление работоспособности альтернативного ядра системы.
Исправлены мелкие проблемы, улучшена работа со службами и назначенными заданиями.
Обновлена база хэшей безопасных файлов, добавлен ряд известных загрузочных секторов.
Добавлено предупреждение о проблемах с винчестером, если файлы читаются слишком долго.

Версия 8.0 от 27.07.2015
Добавлена интеграция AntiSMS в меню загрузки Windows XP, доступно лечение из рабочей системы.
Добавлена поддержка Windows 10, включая исправление некоторых базовых системных файлов.
Снижено требование к свободной памяти и увеличена скорость создания архива с журналом.
Добавлено автоматическое исправление неглубоких повреждений системного реестра.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствован алгоритм сброса сетевых настроек до значений по умолчанию.
Добавлен новый вид проверки вредоносных программ в назначенных заданиях.
Резервная копия файла hosts теперь помещается в карантин для анализа.
Улучшена проверка и исправление ярлыков вредоносных программ.
Добавлено лечение некоторых видов MBR-блокировщиков.
Обновлена база хэшей безопасных файлов.

Версия 8.1 от 23.09.2015
Добавлена возможность обновлять оригинальный AntiSMS.iso из WinXP.
При запуске AntiSMS из меню Пуск лечение происходит автоматически.
Реализована очистка групповых политик с созданием резервной копии.
Обновлена база оригинальных системных файлов до актуальных версий.
Дополнен чёрный список сертификатов для лечения Adware.
Оптимизирован размер основного файла и iso-образов.
Обновлена база хэшей безопасных файлов.

Версия 8.2 от 30.10.2015
В программу из меню Пуск добавлена возможность работы в тихом режиме.
Дополнен чёрный список сертификатов для лечения Adware.
Обновлена база хэшей безопасных файлов, добавлены известные загрузочные секторы.
В лог добавляется сетевое расположение проверяемого компьютера.
Добавлено резервное копирование отключенных заданий.
В белый список добавлены известные DNS-сервера.
Усовершенствовано определение некоторых новых троянов.
Добавлено резервное копирование раздела AppInit.
Сделано понятное описание ошибок Dism при интеграции.
На Win8-10 добавлена возможность интеграции прямо в меню MSDaRT.
Значительно улучшено взаимодействие со средой восстановления в сборках.
Обновлена база оригинальных системных файлов до актуальных версий.
Добавлена поддержка дисков, зашифрованных BestCrypt Volume Encryption.

Версия 8.3 от 07.02.2016
При запуске проверяется наличие новой версии и с согласия пользователя обновляется.
Реализована модульная загрузка новой версии, поэтому обновление происходит быстрее.
Теперь обновление программы возможно и в WinXP благодаря переходу на wget.
Добавлена поддержка некоторых сборок с нестандартной конфигурацией.
В WinXP также возможна интеграция при наличии записанного на диск AntiSMS.iso.
Обновлён Downloader и более автоматизированы некоторые автоматические сценарии.
Добавлена поддержка разблокировки дисков, зашифрованных через BitLocker.
К восстанавливаемым файлам добавлен dnsapi.dll, а сами файлы обновлены.
Дополнен чёрный список сертификатов для лечения Adware и другие исправления.

Версия 8.4 от 06.07.2016
Накопительные обновления и исправления.

Последнее время использую AntiWinLockerLiveCD, пока не подводил, но напрягает размер (146мб :shock:), и надо отдельно носить дополнительно или флешку или диск. Круто если Ваша утилита будет такой же по функционалу и лишена этих недостатков :good:. И ещё вопросы:исправляет ли она заражённые explorer.exe, taskmgr.exe, userinit.exe,, - уж больно часто попадаются, и лечение будет функционировать только в ХР? Спасибо!

Системные файлы пока не исправляет, но это есть в планах.

Вирусёнок. AntiSMS 1.2 с ним не справился, 1.3 и выше - справляется.
Запустил из под WNPE Autoruns, нашел этот файл. Запустил редактор реестра там же и нашел все строки реестра, где используется этот файл. Выкладываю реестр и собственно сам файл http://rghost.ru/36477876, пароль на архив 123
Реестр (раскрыть): Windows Registry Editor Version 5.00

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec"="0"
"ExcludeProfileDirs"="Local Settings;Temporary Internet Files;History;Temp"
"BuildNumber"=dword:00000a28
"Shell"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"multifon.exe"="\"C:\\Program Files\\MegaFon\\MultiFon\\multifon.exe\" /autostart"
"AlterGeoUpdater"="C:\\Program Files\\AlterGeo\\Html5 geolocation provider\\html5locsvc.exe"
"S60197191"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S797749"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S54265"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S72169116"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11699114"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S199154176"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1041263"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S338474"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S183179166"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S2719197"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S12746190"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11613425"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11178143"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1113336"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

MBTY
Спасибо за файлик. Автозагрузка пока не обрабатывалась, так как пока нет возможности автоматически определить вирус в ней. Можно легко добавить лечение конкретно этого вируса, но нужно лечить и все остальные. Сейчас я работаю над реализацией проверки цифровых подписей системных файлов, возможно и с автозагрузкой что-то придумаю.

simplix
"принимайте" "на пробу" http://rghost.ru/36406368 пароль 111 "реакция" вирустотал https://www.virustotal.com/file/64e010f … /analysis/   + Авира

Kipovec
Этот вроде итак лечится. Позавчера подобный убил с помощью AntiSMS

Kipovec
Спасибо, принято к сведению. Чем больше разных образцов будет собрано - тем лучше.

MBTY
Последний тоже лезет в автозагрузку, так же как и первый, поэтому автоматически пока не лечится.

P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим :)

MBTY
"экземпляр" приложен для "экспериментов", у меня "проблем" с подобным не возникает 5-15 минут и НЕТу нечисти.

simplix
"P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим"
ПРИЯТНАЯ новость - потестим.

simplix, а чем AntiSMS отличается в работе от UVS (http://dsrt.dyndns.org/uvs.htm)?
Полным автоматизмом?

Такой вопрос, какие системы Windows лечит (все или только XP) ?, и ещё вопросик, действует эта утилита только из под WinPE этой сборки или же к примеру с Alkid-a тоже результат будет ( запуск утилиты от имени пользователя заражённой системы ) ?

P.S. Пардон, за невнимательность, первый вопрос отпал.

clientyra
Теоретически утилита должна работать с любого WinPE, но тестируется только на моём. Программу не нужно запускать от имени какого-то пользователя, она всё делает автоматически и самостоятельно. Главное чтобы реестр заражённой системы не использовался другими программами, т. е. желательно сразу после загрузки WinPE запустить AntiSMS, а затем уже перезагружаться в рабочую систему.

hal
UVS создана для подготовленного пользователя и далеко не каждый разберётся, что именно нужно делать. Мне же хочется создать полностью автоматический инструмент, который будет лечить максимальное количество троянов нажатием одной кнопки. Задача оказалось несколько сложнее, чем предполагалось в начале, однако со временем всё будет реализовано.

Пока помечаю тему как Beta, так как до гарантированного излечения, которым можно будет смело пользоваться во всех случаях, нужно подождать. Сейчас нужно как можно больше разных образцов, в частности таких, которые записываются в MBR. Пока мне повезло поймать только MBRlock6.

simplix
есть ещё "проблема" - в system32 "загружаются" некие.dll в результате пользователь не может работать в нете, через 2-5 сек при загрузке страницы - выскакивает заставка "заплатить денюшку за пользованием прокси".
Так же "известны" некие.dll, в результате блокируется :D доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).
К сожалению, этих "вещиц" в наличии нет - "прибиваю автоматом".

Так же "известны" некие.dll, в результате блокируется  доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).

Эх. Мне бы на работу таких дллок мешка два. Ато секретутки сидят во вконтактах, что прогноз погоды по пол часа грузится

Хотелось бы больше информации о том, что утилита правит, проверяет - а то запускать кота в мешке не хочется.
Пожалуйста, выложите подробный список действий утилиты.

MBTY
"аб чём" проблема, бесправный юзер и блокировка в хост. Или политики запретов в роутер-сервер (включая анонимки). Или каждый комп под паролем + прога-шпиён, и с какого доступ - "владельцу" зарплату в МИНУС (самый действенный).

Добавлена версия 1.3 и в шапке указан подробный список того, что умеет утилита.

Создание отдельного маленького загрузочного диска. *
* уже возможно; если будет востребовано - сделаю быстро.

Хочу хочу хочу

Сегодня на работе у бух-ов нарисовался винлокер.  AntiSMS 1.3 сработал отлично, нашел и уничтожил! После перезагрузки сканировал свежим CureIT-ом, ничего не нашел.

Для статистики: +79833204903 - на этот номер предгагалось отправить деньги

Судя по описанию, получается примерно то же, что делает UVS, только в автоматическом режиме :)

simplix сообщает:

Все нестандартные записи в файле hosts будут закомментированы.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

А вот после указанного в ряде случаев некоторые программы не будут работать. В общем, без последующего напилинга не обойтись :cool: Надо бы предусмотреть backup наподобие того, что сделано в AVZ в виде соответствующих reg-файлов.

А вообще вещь получается хорошая :good:

P.S. Плюсуюсь к созданию маленького загрузочного диска. Иногда приходится "лечить по телефону", для этих случаев был бы очень хороший инструмент. С последующим "долечиванием" через TeamViewer :cool:

hal
закомментированы - это ж не удалены, а у остальныъ элементов просто галочки будут сняты на запуск - мона будет включить. то ли дело, если позиции автозапуска совсем удалить, а туточке всё разумно отрубается, но не трется

simplix сообщает:

Все ограничения (Policies) пользователей и системы будут удалены.

Данное исправление в AVZ не рекомендуют использовать в Windows 7/Vista, т.к. это может привести к незагружаемости ОС.
Для этих  версий Windows данный пункт AVZ советуют  заменить  на скрипт:

begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Может в данной программе тоже это следует учитывать?

И еще.
Данная программа работает только с live CD.
Но иногда, получается вызвать Безопасный режим с командной строкой - может все таки дать возможность работать с активной windows ?

simplix
К сожалению или к счастью вирусов пока не попалось. Запустил несколько раз утилиту, порадовал аскетический интерфейс в стиле русского радио. Учитывая весьма значительный объем агрессивно-инвазивной работы программы, было бы не лишним организовать генерацию лог файла с исходным состоянием системы и проделанной работой.
Весьма скромные размеры утилиты позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.

af_pro сообщает:

позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.

Она уже там

simplix
Рабочей системе полтора года. После холостого запуска утилиты, система начала загружаться ощутимо быстрее. Однако полезный побочный эффект.
:shock::good:

еще места для исправлений:
1) удаление параметров Shell или Userinit в HKEY_CURRENT_USER -> Software -> Microsoft -> Windows NT -> CurrentVersion -> Winlogon
2) удаление HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
и
HKEY_CURRENT_USER -> Software -> Microsoft -> Windows -> CurrentVersion -> Policies -> Explorer -> Run
3) HKEY_LOCAL_MACHINE -> SYSTEM -> CurrentControlSet -> Control -> Session Manager
параметр BootExecute должен быть "autocheck autochk *"
4) Задания Windows тоже часто используются для старта зловреда, но т.к. очень много полезных заданий, то лучше использовать переименование файлов, чтобы потом можно было вернуть обратно.
5) если в автозагрузке прописана программа wscript.exe, то отключение ее - через ее запускаются зловредные скрипты, а она имеет цифровую подпись

В шапку добавлен первый вариант загрузочного диска для AntiSMS, оставлены некоторые полезные и бесплатные программы.

art9
1 и 2 уже работает, 4 было в планах - дописал в шапку, 3 и 5 на заметку.

вот список временных папок, может будет чем-то плезно:
C:\users\ess\appdata\local\temp
C:\temp
C:\windows\temp
C:\windows\serviceprofiles\localservice\appdata\local\temp
C:\windows\serviceprofiles\networkservice\appdata\local\temp
C:\users\ess\appdata\local\microsoft\windows\temporary Internet Files
C:\users\ess\local Settings\application Data\mozilla\firefox\profiles\gpxy9y30.default\cache
C:\users\ess\local Settings\google\chrome\user Data\default\cache
C:\users\defaultapppool\appdata\local\temp
C:\users\defaultapppool\appdata\local\microsoft\windows\temporary Internet Files
C:\users\default\appdata\local\temp
C:\users\default\appdata\local\microsoft\windows\temporary Internet Files

так же следует удалить тут:
C:\recycler
C:\$recycle.bin

И программные файлы от сюда:
C:\windows\fonts
C:\users\ess\cookies
C:\users\defaultapppool\cookies
C:\users\default\cookies

simplix
C:\windows\fonts
не удаляй. там шрифты системы

MBTY сообщает:

simplix
C:\windows\fonts
не удаляй. там шрифты системы

Вообще-то я написал, что там следует удалить программные файлы, а не все файлы.

up
Новые винлоки кидают сюда: https://forum.ru-board.com/topic.cgi?fo … start=2480
и далее по форуму.

Кстати, antiSMS - название не очень звучит, сейчас вымогатели больше работают без смс.
Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

art9 сообщает:

Например, AutoAntiBAnner, AntiBannerTools, EasyAntiBanner, AutoHelperAntiBanner, AntibannerFix

SimplixKills ;)

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

1) очистка AppInit_DLLs, желательно с фильтром, чтобы не удалялись записи антивирусов, например,  "C:\PROGRA~1\KASPER~1\KASPER~1.0FO\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0FO\adialhk.dll"

2) можете ли выложить скриншоты при работе с утилитой?

UP

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

art9 сообщает:

удаление программных файлов с рабочего стола
C:\Documents and Settings\Администратор\Рабочий стол\*.exe и т.п.

А вот такие вещи надо делать с согласия пользователя, т.к. многие качают софт прямо на рабочий стол, а потом уже перекидывают куда надо.

UPD:
Лог файл лучше сохранять на рабочем столе и открывать по завершении работы программы.
Можно еще чистить папку %WINDOWS%\SYSTEM32\DLLCACHE

Своих приучаю и себя - не хранить на рабочем столе ни чего лишнего, тем более exe-ники, для этого использую кнопку в total commandеr, для запрета изменений на раб. столе.

pdi77 сообщает:

simplix на будущее - было бы неплохо сделать создание лога после всех манипуляций с системой, где прописывались все изменения.

Согласен с этим полностью. Сегодня заделал я себе usb-cdrom на флешку с последним образом сборки. Решил загрузиться с флешки на своём компе. Загрузился в WinPE, всё отлично загрузилось. Порадовало присутствие в программах BlueScreenView. Опечалило, что если на винте одна система Seven, Autoruns не запускается. Но это я отвлёкся.
Нельзя было не заметить иконку на Рабочем столе утилиты AntiSMS. Вещь на этом WinPE очень нужная!!! Ну щёлкнул я по иконке, запустил значит. Выскочило бодрое обещание "Делаю всё хорошо, подождите..", а я задумался. И где же ты делаешь "хорошо"? Всё дело в том, что в системнике у меня три винта и на каждом винте у меня как минимум 2 независимых операционных систем. Я любитель экспериментов, у меня такой извращённое хобби. Однако, мне же все таки хочется знать, хочется контролировать последствия.
Утилита отличная, идея очень хорошая. Как тут уже предлагали, очень нужно восстановление системных файлов explorer.exe, taskmgr.exe, userinit.exe. Три дня назад лечил винлокер. Пролечил утилитой AntiSMS, попробовал загрузиться в систему, а винлокер опять не пускает. Как оказалось, заражён userinit.exe. Опять пролечил AntiSMS, сходил в папку i386 сборки, нашёл нужный системный файл и распаковал его на "больную" систему. Так вот, у меня предложение simplix. Если утилита AntiSMS запущена из-под WinPE вашей сборки, значит дистрибутив Windows XP "под рукой". После проверки, что "больная" система является ХР, то восстановление (распаковка и замена) определённых системных файлов производить в любом случае. Не зависимо от того, были они заражены или нет. Это реализовать не сложно, можно просто скрипт написать, но если это будет уже заложено в AntiSMS на вашем WinPE, то я смело буду по телефону довать рекомендации: загрузитесь через Биос с диска simplix, выберите "загрузка небольшой операционной системы WinPE", когда загрузится Рабочий стол, то два раза кликните (запустите) по иконке AntiSMS, выньте диск и загрузитесь на свою систему.
Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать, а потому надо как можно больше добавить эффективности утилите и упростить работу с ней (правда, уже проще некуда)))).

Утилита делает ровно то, что написано в шапке, т. е. если винтов и систем много, то вылечены будут они все. Autoruns запускается через RunScanner, с Win7 действительно не работает, но её можно запустить вручную, не ярлыком, и указать каталог с системой (подключить средствами самой программы). Лично я пользуюсь Regedit PE, там в избранное добавляются ключевые ветки автозапуска. Логи - разве что в будущем, когда весь необходимый функционал будет реализован. Сделать ещё нужно много, далеко не всё написано в шапке. Сейчас уже реализовано лечение MBRLock 6 и 14 (других образцов на руках нет), когда будет добавлено ещё несколько серьёзных доработок, тогда и появится следующая версия.

Я очень мечтаю о таком сценарии "лечения" по телефону.

Я тоже, поэтому и взялся за полностью автоматическое лечение системы. Область применения не ограничивается только лечением по телефону, маленький образ может скачать кто угодно, независимо от знаний компьютера, и откуда угодно, хоть на скорости модема. Это замечательно.

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.
С возможность скопировать их в определенную папку.

Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

И кстати, будут ли скриншоты?

Sergikaz сообщает:

Я очень мечтаю о таком сценарии "лечения" по телефону. У меня не всегда есть возможность выехать к "больному", иногда просто нет желания ехать,

art9 сообщает:

С возможность скопировать их в определенную папку.
Чтобы при лечении по телефону, человек смог потом эти файлы отправить на анализ.

Ребята молодцы, надежду не теряют, а у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS, лично у меня терпения нехватало - теперь уж или я к Вам или Вы ко мне - последнее чаще.

simplix
Полезная программа у вас получилась. Сегодня опробовал, больной комп элементарно починился (правда ещё пришлось скопировать userinit.exe с рабочей системы, после того как его грохнул антивирусник при проверке)
Маленькая просьба, а можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ? А то у меня всё чаще попадаются диски и флэшки отформатированные в нее.....

Как образ диска АнтиСМС запустить с флешки из под груб4дос?

mariolast
Если в поиске форума написать GRUB, то ваши волосы станут мягкими и шелковистыми...и ни одной новой дырки
Бля

сегодня при помощи 

[AntiSMS 1.3 (93.1 KB)

успешно полечен свежий винлокер https://www.virustotal.com/file/0103d89 … /analysis/

simplix,
Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Представляет собой командный файл преобразованный в EXE файл с помощью утилиты bat2exe.
Введет лог работы в файл c:\testantibann.log
Прописывает в себя в разные ветки автозапуска и копирует себя в разные папки системы.
Пока взял самый минимум вариантов "заражения". Думаю, потом усовершенствую, если нужно будет.

Ссылка: http://upwap.ru/2066550
Пароль: 123

Новая версия 1.4, все изменения в шапке.

art9 сообщает:

Еще такая идея:
возможность показа программных файлов (включая dll, vbs, bat, cmd и sys) в каталоге Windows, WIndows\system32, C:\WINDOWS\apppatch и т.п. созданных за последние х-дней? Которые без подписи.

Трояны легко могут менять время файлов, это не показатель. Лучше сделать быструю проверку свежим антивирусом.

art9 сообщает:

Еще вопрос, в шапке написано, что программа удаляет запускаемые файлы из некоторых папок. А такие как скрипты, командный и заставки, pif и т.п. учитываются?

Учитываются только те исполняемые файлы, которые имеют сигнатуру MZ в начале файла. Но это не основная зачистка, а дополнительная, так как без автозапуска они безвредны.

art9 сообщает:

И кстати, будут ли скриншоты?

Было бы что скриншотить...

happywanderer сообщает:

у меня всё "лечение по телефону" разбивается о: "а как загрузится с диска?" и попробуй объясни несчастному клиенту все "премудрости" современных BIOS

Достаточно один раз поехать, выставить загрузку в порядке CD->HDD и оставить записанный диск.

Smulev сообщает:

можно научить понимать Ваш мини загрузочный образ файловую систему Exfat ?

Хорошая была идея.

art9 сообщает:

Так как все файловые баннеры типичны в принципе заражения системы, я создал тестовую программку для проверки утилит вроде AntiSMS.

Спасибо. Версия 1.4 текущий тест проходит.

Версия 1.4. Шикарно! И всего в 122 кб :cool:

возможен ли откат действий, на всякий случай?

11:10:47
про msconfig я понял - "галочки" поставить и все вернется на круги слова, а что делать например c  AppInit_DLLs, туда падает не только каспер, а например комодо

12:47:30
возможно ли сделать по аналогии с avz папку "restore" или что то типа, куда упадут удаленные файлы и импорты ключей реестра, в reg файле, со значениями до изменений?

g0dl1ke
Полный откат невозможен, так как не приоритетно откатывать стандартные ключи реестра, но откат самых важных этапов лечения возможен через msconfig. Вот как раз "всякого случая" произойти не должно, утилита построена по принципу "лучше ничего не сделать, чем навредить". Возможно полный откат будет запланирован на будущее, но для этого как минимум нужно найти серьёзный повод в виде ошибки или нестандартного случая.

11:28:34
Файлы комодо обязательно должны быть подписаны, поэтому записи о них тоже не будут удалены.

А как утиль определяет что запущена под винПЕ??
а то у мя при запуске с винПЕ которая идёт на борту hiren by lexapass  ругается что это не вин пе и что работать она небуит(

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

Обновил тестовую утилиту для проверки антибаннерных программ.
Изменение:
+ различные варианты загрузки через папки "Автозагрузка"
+ ежеминутный старт через Назначенные задания.

Скачать: http://upwap.ru/2072743
Пароль: 123
На свой страх и риск! Опасно!

Дожили. Получил ПК на лечение. Блокировщик был примерно такого вида Голубенький такой, но не на весь экран. Скачал касперский рескью диск. Базы были от 01.03, а дело было 02.03 и, не обновившись, проверил ПК. Ну и чтоб вы думали? Каспер вылечил файлы в TEMP, еще там во временных файлах инета, даже в HOSTS нашел трояна, и поправил его. Перегружаюсь, а блокировщик на месте. Решил, что ну стоит тратить время на обновление баз рескью сиди и повторную проверку в 2 часа, а просто с Антисмс 1.4 всё отремонтировал разом. Понравилась кстати фраза "Делаю всё хорошо". Вот как то так. Делайте выводы.

файл hosts не обрабатывается, если у файла атрибут "только чтение"

UP
Еще, после отключения зловреда, AVZ показывается кое-какие остатки в реестре: http://s58.radikal.ru/i161/1203/64/2d2083753621.jpg
Хотя, автозапуска не происходит, так что, полагаю, это не принципиально.

Еще. У меня ctfmon.exe заменен файлом-пустышкой с помощью утилиты xpAntiSpy,
После AntiSMS у меня он восстановился, я его опять отключил. Потом опять запустил AntiSMS - восстановления уже не было....  хм....

UP2
Про файл ctfmon.exe я наврал! Он восстанавливается. Так что все веригуд.

Только зачем-то появился файл C:\WINDOWS\taskmgr.exe - он должен быть в папке system32

ps
Последняя версия тестовой утилиты пока не лечится (даже без Назначенного задания)

UP3
Появилась первая инструкция по борьбе с вымогателями с использованием AntiSMS: http://antivir.h18.ru/metodika/0035.html

Утилита обновлена - добавлено небольшое исправление к алгоритму обработки AppInit_DLLs.

art9
hosts проверю, статья - отличная! taskmgr появился вместо taskman, тоже исправлено. Спасибо за тестовую утилиту, буду разбираться.

1) В текущей версии можно восстановить настройки сети из рабочей Windows. Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту. Но, если образ такой маленький, то можно в него кинуть и утилиту в доступном виде, а то пользователь сначала побежит к соседу чтобы записать образ на носитель, а затем побежит, чтобы закачать утилиту на флэшку (если не будет доступен инет из-за последствий зловреда). И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

2) чтобы записать образ на флэшку достаточно ли этой инструкции из инета:

Смонтировать LiveCD на флэшку можно через программу UltraISO:
1. Вставляем флешку.
2. Открываем iso-образ в UltraISO (проверял на версии 9.3.0.2600).
3. Меню: Самозагрузка - Записать образ Жесткого диска
4. В открывшемся окне: Disk Drive - Выбираем нашу флешку (у меня подставляется автоматом), Метод записи - Выбираем USB-HDD
5. Жмем кнопку: Форматировать - FAT32
6. После завершения форматирования, жмем кнопку: Записать

?

art9
1) Аntismsъ.exe есть в образе (в WinPE).
2) Ехе лежитъ отдельно для техъ, кто какъ разъ-таки в состоянии пользовать UltraISO и прочее.
3) Чо два раза бегать к соседу я не понял. Прийди раз да все сразу и сделай. Или у вас однозадачный сосед?
4) Ридми - если внимательно прочтете, то таких вопросов больше не возникнет.

Ну тогда повторюсь еще раз другими набором букв и слов: антиСМС имеет функцию для восстановления настроек инета из рабочей системы. И это единственная функция, которая работает из рабочей Windows. На лайве нет exe в открытом виде при работе в установленной WIndows.  Почему бы ее не добавить на лайв в виде файла antisms.exe, в корне например?

Соглашусь, что стоит растолковать всем где находится и как достать antisms.exe из ISO образа. Мало ли какие ситуации бывают. Нашел два самых простых способа и, собственно, сделал два демо-ролика, в которых показано как это осуществить.
1)С использованием Total Commander, в котором есть хоть малолмальский набор архивных плагинов (сейчас другого и нен найти)
2)Через проводник с установленным в ОС архиватором (на ролике 7-zip, но для WinRar способ аналогичен)
http://rghost.ru/36891581
P.S. В TC на WINPE.IS_ нажимается не Enter, а CTRL+PageDown - я пока не понял как в эти ролики вписывать текст, по шустрому за  5 минут сделал

art9 сообщает:

Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту.

Разумное замечание, раз эта идея возникла не только у меня - так и сделаем. А если кому-то утилита понадобится в обычном виде - легко достанет её из образа.

art9 сообщает:

И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

В общем-то при запуске в системе утилита сообщает, какую страничку нужно посетить для подробностей. В будущем было бы очень полезно добавить на этот диск инструкцию, как выставлять загрузку с BIOS. Вот здесь есть хорошая и подробная инструкция.

art9
Здесь вы наверное выкладывали программу, поправьте ссылочки на те, что в шапке, а то старые скоро не будут доступны.

AntiSMS обновлена до версии 1.6, изменения в шапке.

simplix
Не очень то рационально - удалить ехе с шапки.
1) Если на чужом компе вирусы, а флешки с софтом под рукой нет, то соственно часто становится всёравно лежит ли файл в корне образа или внутри образа в образе или еще где. Всеравно ISO открыть становится нечем.
2) Если у меня ПК и сеть на нем залочена, есть старый WNPE, то я мог просто грузануться с WNPE, скачать ТЕЛЕФОНОМ файлик, подключить телефон к пк как флешку и собственно запустить новый Аntisms.ехе, а теперь получается нужно в любом случае перекачивать 30 метров. Телефоном это и дорого и долго.
Случаи конечно я описал редкие, но они не так уж и невозможны. Убрав ехе с первого сообщения шансы всех людей самостоятельно вылечить ПК просто переполовинились.

Понимаю, что в образе есть стандартные системные файлы, которыми заменяются инфицированные, если это необходимо и качать ISO лучше, чем качать ехе, но и сама ехе вполне самодостаточна...

MBTY
Убедил, значит будет и ссылка, и в корне образа.

simplix
ссылку поправил.

Интересно, при удалении блокиратора, который портит таблицу разделов, компьютер вернется к жизни или еще нужно будет с помощью другой программы восстанавливать таблицу разделов?

Вчера без проблем избавился от такого блокиратора Trojan.MBRlock.6
СПАСИБО за утилиту!

art9
Загрузочный сектор во всех случаях восстанавливается полностью, включая таблицу разделов, в таком виде, в котором он был до заражения компьютера. Но если таблица разделов была удалена, то все диски будут видны только после перезагрузки - тогда не помешает запустить AntiSMS ещё раз, чтобы просканировать рабочую систему.

simplix ПРИВЕТ!  Подготовил для вас один новый винлокер+несколько блокировщиков-шифровщиков! Выложить здесь или там?

olzaruta сообщает:

...винлокеры тут выкладываются под паролем для спецов, и именно для того что бы рядовые пользователи знали опасность в лицо и умели противостоять им...не будет материала для исследования..не будет и защиты....

Это вы точно сказали. Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

simplix сообщает:

Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

- Выложу пока здесь...там критиков больно много развелось...:)
- Свежий локер   http://zalil.ru/32839169 пароль на архив tinezadnyi но он так же какой то недоделанный...скрин http://i28.fastpic.ru/big/2012/0309/7a/ … 56297a.jpg
- Шифровщики 4 шт:
- Первый: http://zalil.ru/32734710 пароль на скачку 2012 скрин http://i32.fastpic.ru/big/2012/0219/ce/ … 63b6ce.jpg
- Второй: http://rghost.ru/36920026 пароль на скачку 2012
- Третий: http://rghost.ru/36920049  пароль на скачку 2012
- Четвертый: http://rghost.ru/36920062  пароль на скачку 2012

- Но не уверен что шифровщиков нужно  через ваш софт лечить...по моему для них необходим спец механизм...хотя...как знать...

Нашел trojan.mbrlock.17  http://safezone.cc/forum/showthread.php?t=16225  но скачать не могу...не дают...может вы попробуете что нибудь предпринять?

simplix ну как материал? rojan.mbrlock.17 удалось выцепить?

Загрузился с CD, выбрал WinPE, запустил из под нее AntiSMS v1.3. После перезагрузки перестал грузиться Novell Client for Windows (XP). "msconfig -> Обычный запуск" ситуацию не исправил. Правда, после очередной перезагрузки, можно было вручную запустить клиента NetWare и подключиться к серверу. Вещь, конечно экзотическая, по нонешним временам, но вполне встречающаяся.
P.S. До проверки система была здоровая, просто решил потестить утилиту AntiSMS.

Да, Novell Client меняет экран входа в систему (а еще устанавливает NICI - инфраструктуру шифрования).
До проверки стояла версия клиента Novell Client 4.91 SP5 for Windows ( http://zalil.ru/32843187 ). После проверки AntiSMS решил заодно обновить клиента до последнего Novell Client 4.91 SP5 for Windows (IR1) ( http://zalil.ru/32843286 ).
Установка новой версии "поверх" старой (обновление) положительного эффекта не дало. В начале загрузки открывается стандартный (вместо новелловского) экран входа в систему и тут же открывается окошко "Поиск доменов для входа..." (кажется). И висит, пока не нажмешь Ctrl-Alt-Del. В общем, через несколько таких попыток (Ctrl-Alt-Del) удается войти просто в этот комп, но в итоге оказывается, что новеловский клиент подцепился к серверу нормально и подключились сетевые диски.

olzaruta
Локер по первой ссылке толком не рабочий. Да и в принципе наверное все подряд публиковать не стоит, т. к. их тысячи, лучше выкладывать такие, с которыми программа не справилась, а до сих пор такого не было ни одного.
Шифровальщики только сегодня скачал, посмотрю. Хотя тут и так понятно, что универсального алгоритма лечения быть не может.
По другой ссылке MBRLock.17 находится не дроппер, а дамп секторов винчестера. Таких дампов у меня много, в принципе лечение можно разработать и по ним, но чтобы наверняка всё оттестировать - нужен живой дроппер (exe-файл, который заражает MBR).

opp
Я предполагал, что такая ситуация может возникнуть... Дело в том, что Novell Client насколько я помню меняет экран входа в систему, т. е. прописывает в GinaDll свою библиотеку. Туда вполне могут прописываться трояны, поэтому параметр изменяется к стандартному. Очень рекомендую пользоваться только новыми версиями AntiSMS, в них много исправлений и новый функций, а старые версии менее эффективные (видно по истории изменений в шапке).

Программа обновлена до версии 1.7, лечение MBRLock.17 добавлено на основе анализа дампов, т. к. дроппера можно ждать долго.

opp
В 1.7 и выше учитывается Novell Client и его значение GinaDll. Странно, что библиотеку под Windows XP Novell даже не подписала.

как я понимаю, антиСМС в лечении загрузочных вымогателей работает по принципу "черного списка". Т.е. файловые баннеры лечатся универсальным способом, а загрузочные только если известны "в лицо".
Может тогда была бы полезна возможность переписать загрузочный сектор на стандартный? Как это делают подобные другие программы.
Конечно, это более опасно. Но, например, была бы кнопка "Если лечение не помогло", после ее нажатие появляется пугающая надпись, что используйте этот способ лечения, только если не помогло безопасное лечение, ну и если пользователь соглашается, то перезаписывается загрузочный сектор.

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

навскидку включил AlcorMini_2012-03 данный параметр установлен там как Вы и сказали, но все равно не грузится (тоже что и из обычной ХР), хотя с PE от винды Вашей всё гууд обрабатывается

можно ли как то упростить эту процедуру блокировки или сделать предупреждение что запуск не из PE неэффективен и все равно принудительным нажатие СОГЛАСИЯ завести утилиту?
или хотябы подскажите в чем дело, а то утилита нужная! и хотя я встроил Ваш PE в свою мутизагрузку, но все равно хочется чтоб запустить можно было не только из Вашей PE

art9
Лечатся только известные MBR-блокировщики, неизвестные не лечатся, т. к. это рисковано. Во-первых загрузчик может быть нестандартный, тогда запись стандартного может убить альтернативный загрузчик или снести активацию. Во-вторых так можно окончательно убить таблицу разделов. Но не всё так плохо - на данный момент лечатся все MBR-блокировщики, которые можно реально поймать (6, 12, 13, 14, 17, 19), а новые будут оперативно добавляться. Здесь вирмейкеры оказываются в невыгодном положении, т. к. создание сложного блокировщика требует много времени и тестирования, а создание алгоритма лечения очень быстрое.

barsuk
С версии 1.7 ключ SystemSetupInProgress не используется, программа будет работать на любом WinPE.

как раз это версия была 1.7, вот скрин
http://i28.fastpic.ru/big/2012/0310/01/ … ce6001.png
---------------
также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe
---------------
и как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской (я такую юзаю)
---------------
и еще вопросик т.к. в мультибут я добавил Ваш PE от диска Винды:
будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

simplix сообщает:

Странно, что библиотеку под Windows XP Novell даже не подписала.

Возможно это последствия конкурентной борьбы на рынке серверов. Хотя сейчас у новелла с мс дружба.

barsuk сообщает:

как раз это версия была 1.7

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

barsuk сообщает:

также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана. Задача программы стоит не полностью вылечить систему, а разблокировать её для проверки антивирусом.

barsuk сообщает:

как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской

Потому что русская встречается у 95% пользователей и замена повреждённых английских файлов на русские тоже решает проблему.

barsuk сообщает:

будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

Обязательно.

Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?

это не мой)) просто у меня  в мультибуте
http://narod.ru/disk/42633129001.b3de29 … 3.rar.html

Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана.

согласен, но файлы нужные и уезвимые) просто подумал лишним не будет :D

насчет английской винды и файлов: можно ли сделать чтоб самому (мне) накидать туда файлов из system32 и они проверялись?
папку сделать пустую WXPEN в которую если кинуть файлы, то копирование происходило не из русской папки а из этой?
я понимаю что для Вас еще важно чтоб все поместилось на 700-CD, но даже на моем ПК где ДВД и не пахло я и CD уже не юзаю... юзаю CDROM-область флешек, так что у меня еще 3,5ГБ свободно на 8ГБ-шной флешке)) а если файлы можно будет восстанавливать таким образом то думаю будет хорошо

simplix
В последней версии 1.7 все нормально работает.
Принесли ноут Acer, с диагнозом, что был локер. После чего-то вообще перестал загружаться и писал что не знает с чего загружаться. Со слов клиента.
Загрузился с Windows 7 LiveCD 5.5 xalex, запустил AntiSMS с флешки - все пролечил. Перезагружаюсь - тишина. Загрузил Acronis Disk Director Suite - не было ни одного активного раздела вообще. Далее уже долечил стандартным загрузчиком от Windows 7. Он нашел еще проблемы в загрузке и сам исправил. Все заработало
Я к тому, что реально ли есть локер который подавляет атрибут Активного раздела?

barsuk
Возможно что-то из этого будет реализовано в будущем.

Savage-i
Скорее всего клиент занимался самолечением и что-то сделал неправильно. Если MBR-блокировщик вообще был и AntiSMS его вылечил, то в конце работы вы увидите сообщение, что винчестер тоже вылечен, а во временной папке WinPE (на моём это B:\Temp) и на разделе с системой (если таблица разделов не повреждена) будет файл MbrLock0.bak с копией заражённого MBR. Таких локеров, которые просто убирают атрибут активного раздела, я не видел.

simplix
Вероятней всего что клиент пытался лечить самостоятельно. Но я просто подумал что МБР-локер такое мог сотворить. После лечения вроде не видел в системном разделе файл с копией МБР, может не обратил внимания.
Но все равно спасибо за чудесную утилиту! Надеюсь будет конкурентной для AntiWinLocker.
В будущем планируется ли создание программы как самостоятельное приложение в ОС, например как AntiWinLocker? Чтобы налету подавляла возможность заражения (по методу AntiWinLocker)
Будет ли добавлена возможность лечения Win2k3 Server (каталог с файлами для восстановления). Есть сборки типа nCore (lwgame.net), которые заточены под рабочую станцию

simplix вот этот локер-вредитель системы http://zalil.ru/32855694 пароль на архив 20122 Ваша программа не лечит!!!!! Скрины в архиве, он блокирует винду и портит настройки системы.....блокирует диспетчер..меняет обои раб.стола...вместо часов в правом нижнем углу надпись ГНОЙ, пропал значек мой компьютер...и т.д и т.п.

simplix
Спасибо большое за все Ваши проекты!:good:
В продолжении идей Savage-i хотел бы предложить возможно "нереализуемый вариант":
Прописать программу в автозагрузку Безопасного варианта входа в систему - чтобы программа на автомате вылечила систему.:unknown:

simplix
Благодарю Вас, очень сильно выручили меня (на работе, при попытке загрузить AVZ появилось красное окно с предупреждением о блокировке Win XP). Благо дело это случилось в конце дня. С утра, вооружился Вашим загрузочным CD, затем запустил AntiSMS.exe и по окончании его работы перезагрузил комп в обычный режим и все стало ОК!
Дома, как любитель экспериментов, решил сделать испытание «тестовым файлом xxx_po….zip», за что автору этого файла отдельное спасибо. Мой нынешний nod32 v.4.2 сразу его заглушил и для продолжения эксперимента пришлось вырубить nod32 и запустить тот файл вновь
Появился синий прямсугольник, блокирующий работу WinXP. Загрузился  с  диска от AntiSMS.iso и запустил AntiSMS.exe, однако положительного результата не было, и после этого я прервался. Через 10 мин подхожу а синий блокирующий прямоугольник исчез ... Перезагрузил комп и все само стало ОК?
Вопросы: где найти следы удаленных зловредов, и каких именно, для обоих случаев?

Savage-i
Создание утилиты для рабочей системы вообще не планируется, если вас устраивает функциональность AntiWinLocker - пользуйтесь им. Если сравнивать загрузочные диски AntiSMS и AntiWinLockerLiveCD, то они достаточно разные как по размеру, так и по возможностям - там упор сделан на ручное редактирование, у меня же на полную автоматизацию. Да и понимание того, как должна работать такая программа у меня своё, это позволяет не использовать чужие идеи и возможные ошибки. Однако вряд ли можно назвать AntiWinLocker конкурентами, скорее коллеги - одно дело делаем.

Savage-i сообщает:

Будет ли добавлена возможность лечения Win2k3 Server

Скорее всего такая возможность появится в будущем, чтобы пользователь AntiSMS сам мог добавить файлы для нужных систем.

olzaruta
Я уже видел этот локер ChatADMIN, но на самом деле программа его лечит (проверено на версии 1.7). Если бы система осталась заблокированной, вот тогда можно было бы сказать что не лечит, а так - разблокирована полностью. То, что ChatADMIN портит систему, это не проблема AntiSMS, самое главное что появляется доступ ко всем настройкам, можно запустить антивирус и отредактировать автозагрузку через msconfig. AntiSMS не будет восстанавливать абсолютно все настройки в таком виде, в каком они были бы при переустановке системы. Согласитесь, восстановление времени вместо текста или координат фона рабочего стола совсем не входит в задачи разблокировки. Но я посмотрю, что можно сделать в подобных случаях, чтобы было разблокировано как можно больше возможностей в системе.

Fiolet
Программа не будет работать в системе, т. к. троян может тут же заражать систему заново, в том числе и в безопасном режиме. Лучше запишите загрузочный диск и выставьте очерёдность загрузки CD->HDD в BIOS, когда возникнут проблемы - достаточно вставить диск и перезагрузить компьютер.

A_B
На данный момент резервные копии удаляемых файлов не делаются, так как удаляются они только из тех папок, где легальных программ быть не может. Это будет реализовано в будущем.

simplix
Спасибо за разъяснения.
Это будет хорошо, если будет возможность восстанавливать файлы различных систем.

Еще бы хотелось пожелать. Если AntiSMS не сможет пролечить MBR-локер, может тогда встроить функцию, которая бы делала копию зараженного MBR и сохраняла в виде файла. А дальше этот файл можно отправить Вам на анализ. А уж по дампу можно придумать лечение и выпустить обновленную версию

по поводу ChatADMIN: 1.7 лечит, но не до конца.
вот лог avz

9. Мастер поиска и устранения проблем
 >>  Блокировка редактора реестра
 >>>  Блокировка редактора реестра - исправлено
 >>  Блокировка диспетчера задач
 >>>  Блокировка диспетчера задач - исправлено
 >>  Установлена большая задержка перед открытием меню (более секунды)
 >>>  Установлена большая задержка перед открытием меню (более секунды) - исправлено
 >>  Рабочий стол - заблокировано отображение иконки Мой компьютер
 >>>  Рабочий стол - заблокировано отображение иконки Мой компьютер - исправлено
 >>  Заблокирован элемент Выполнить в меню Пуск
 >>>  Заблокирован элемент Выполнить в меню Пуск - исправлено
 >>  Некорректный порог предупреждения о недостатке свободного места на диске
 >>>  Некорректный порог предупреждения о недостатке свободного места на диске - исправлено
 >>  Заблокирована служба работы с USB накопителями
 >>>  Заблокирована служба работы с USB накопителями - исправлено
 >>  Заблокирована возможность установки и удаления программ
 >>>  Заблокирована возможность установки и удаления программ - исправлено

g0dl1ke
В следующей версии всё-таки будет чистка от программ типа ChatADMIN. Кстати AVZ исправляет далеко не всё, к тому же неправильно определяет блокировку редактора реестра и диспетчера задач - на самом деле AntiSMS делает эту разблокировку.

Уважаемые коллеги! Сегодня боролся с TrojanMBRlock. По классификации Dr.Weba - TrojanMBRlock6 c кодом разблокировки 113331 (найдено по номеру кошелька) Так CureIT его не взял! Эта зараза блокировала запуск сканера!? Записал последнего на две флешки, запускал из под WinPE.
Вопрос: Возможно ли такой розум у этой заразы? Поделитесь мнениями. Спасибо.

Новая версия - 1.8, изменения как обычно в шапке. Последний тест от art9 проходит, ChatADMIN и подобные вредители нейтрализуются (в частности то, что можно автоматизировать и проверить).

Altorn
У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE. Но AntiSMS лечит такие трояны, а дальше CureIt можно запустить после перезагрузки уже в рабочей системе.

simplix
Как я понимаю, сам ISO образ можно не перекачивать, основа не изменяется? Просто скачать обновленную утилитку и самому обновить ISO?

В архиве Drive1.bin, возможно когда-то пытались использовать активатор, т.к видно записи про груб.
После выполнения команды bootsect /nt60 /c: /force /mbr файл получается идентичный.
http://ifolder.ru/29280623

Savage-i
Конкретно между версиями 1.7 и 1.8 образ не менялся, но в будущем такое запросто возможно, так что лучше по возможности загружать образ. Если у вас свой WinPE - убедитесь, что скопировали папку Files с оригинальными файлами.

pdi77
Похоже у вас два винчестера и команду bootsect вы выполняете для первого, поэтому на втором ничего не меняется.

https://forum.ru-board.com/topic.cgi?fo … rt=5040#11
https://forum.ru-board.com/topic.cgi?fo … art=5040#7
https://forum.ru-board.com/topic.cgi?fo … art=5020#5
-тут выложил блокировщиков-шифровщиков...вечером будет еще один mbr

simplix сообщает:

....У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE...

А ещё "бывают" материнки на которых WINPE НЕ запускается (этим "грешат" мамки с чипом от NVideo в особенности со встроеной графикой) зависая на экране запуска с надписью "виндовсблаблабла".
Тоже происходит и с "лайфсд" (но эти уходят в бесконечный перезагруз) и только (увы не довелось попробовать вашу утилиту, на бывшем в руках даже не пионерском - скорее октябрятском (банальный автозапуск из папки темп, без какой либо порчи, чего нибуть)) AntiWinLockerLiveCD
запускается, им и "чистил-смотрел".

Почему  такое выдает - так ли необходимо это ограничение ?

simplix
Спасибо огромное за утилиту! Переоценить её невозможно! Запускаю теперь не только для лечения, но и для общей очистки после восстановления раздела или винды. Суперская штука! Столько времени экономит! А то все ручками приходилось..:shock:
И не только за antiSMS, но и за сборку, и за PE, и за все ОГРОМНОЕ СПАИБО!:good:

simplix
Здравствуйте.
Если у Вас есть желание, мы бы хотели пригласить на наш форум forum.virlab.info где Вы бы могли изучить поведения баннеров используя их исходники.
Так же есть несколько предложений для загрузочного образа:
- uVS (для возможности выявления месторасположения файлов баннера, специалистам)
- Master Boot Record (MBR) для простых блокировщиков использующих пароль на виду.
- TDSSkiller (для сбора логов MBR жестких дисков и их расшифровки на форуме Касперского)

Авторы антивиноркера переманивают simplix :)

Я лишь предлагаю, то о чем просит simplix "Сейчас нужно как можно больше разных образцов..." пост #12
И идеи для охвата любого типа баннеров. Пока сложной задачей остается шифрование MBR применяемое в новых блокировщиках.

g0dl1ke
Прикольно подмечено. У AntiWinLockerа уже с октября не обновляется LiveCD...  наверно поэтому-что стопор у них с лечением MBR-локеров... :D

Вы парни думайте прежде чем писать. Многим помогла как идея AntiWinLocker так и AntiSMS программы, а что сделали Вы?
Если все упирается в лечение MBR то открою Вам секрет, ни один из антивирусных продуктов не способен разработать лечение данного блокировщика. Только лишь по тому, что компания Microsoft запрещает использование WinPE в коммерческих целях. И цена вопроса несколько десятков долларов, которые должна оплатить антивирусная компания за использование их продуктов.
На форуме мы обсуждаем поведение баннеров, извлеченные в процессе лечения. Каждый из них мы отправляем в антивирусные лаборатории. И взять 1% срабатывания детекта по всему миру, уже можно говорить о пользе, за которую даже не скажут спасибо.

olzaruta
Спасибо, но у шифровальщиков никак не может быть универсального решения, только выкладывать их и шифрованные файлы на антивирусных форумах, где специалисты постараются помочь.

Kipovec
Дело в том, что WinPE на основе WinXP не поддерживает AHCI-режим изначально, для многих контроллеров в него нужно интегрировать драйвера - что и сделано для самых распространённых случаев. WinPE на основе Win7 изначально поддерживает AHCI-режим, поэтому вероятность того, что он увидит винчестер, гораздо выше. Но там свои проблемы - большой размер образа, гораздо большие требования к памяти - на слабом компьютере он даже не запустится. В том числе поэтому оставлена возможность использовать AntiSMS в составе любого загрузочного диска, чтобы специалист мог собрать один или несколько WinPE по своим предпочтениям и использовать их в работе по ситуации.

Herz
Необходимо, почитайте эту тему, о причинах я уже не раз писал. К тому же вы не запустите утилиту на рабочей системе когда экран заблокирован.

Vitokhv
Спасибо за предложение. Моё сообщение #12 касалось старых версий AntiSMS, сейчас ситуация немного изменилась - уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом.
По поводу дополнительных утилит на диске объясню свою позицию - диск должен оставаться маленьким, чтобы пользователи со слабыми каналами могли быстро его скачать, а возможности AntiSMS должны обеспечивать качественное лечение, которое заменит все остальные утилиты. Например UVS будет заменён тогда, когда в AntiSMS появится полноценный бекап, чтобы по его содержимому можно было найти все вредоносные файлы. Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения). А в TDSSkiller необходимость отпала с версией 1.8, где было добавлено сохранение нестандартных записей в файл.
Вы также можете использовать AntiSMS в своих целях, ведь разработчиков много и у каждого своё видение, поэтому у всех есть возможность собрать такой диск, на котором будет присутствовать необходимый набор утилит.

Vitokhv
Я понимаю, что все работают на благо народа, против долбаных локерописателей. Конечно все скажут спасибо. Но хотелось просто подметить, что ваш вариант давно заморозился (имею ввиду LiveCD). А между прочим с тех пор уже много разновидностей локеров понаплодилось. Делайте сами выводы
simplix
Согласен. И будет очень прекрасно, когда ваша разработка заменит многие в совокупности мелкие утилиты...

Запустил сегодня AntiSMS на одном компьютере с профилактической целью (пользователь жаловался на медленную работу, блокера не было) и получил сообщение о нестандартном MBR:

http://rghost.ru/37050387

После работы AntiSMS 1.8 получил сообщение о нестандартном MBR:
http://rghost.ru/37059031
http://rghost.ru/37059060
После всех проделанных рекомендованных манипуляций интернет не заработал.

MBR-локеры по моему опыту вообще не проблема - обновил MBR например в Paragon Hard Disk Manager'е или Acronis'ом и всего делов

Prohojiy

simplix сообщает:

Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения).

Еще один локер http://rghost.ru/37070130 ( 2012), блокирует много чего..долго писать....вашу программу на нем не пробовал...пока нет возможности, прошу протестить винлокер.

olzaruta сообщает:

блокирует много чего

Обычный шелл. 1.8 чистит нормально.

simplix
в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание? Конечно, никаких неудобств это не причиняет. Но Задание это очень полезное, а обычному юзеру довольно сложно будет вернуть его к жизни.

Новая версия тестовой утилиты для проверки антибаннерных программ, вроде AntiSMS.
+ Файлам в папке Автозагрузка присваивается атрибут "только чтение",
+ одна копия теста стартует через cmd.exe

В версии 1.8 данные фокусы не учтены.
http://upwap.ru/2102815
Пароль: 123
На свой страх и риск! Опасно!

Еще сейчас зловреды стартуют через lnk, пример в HiJack:

O4 - Startup: AdobeLoadereygeyx.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: AdobeLoadergexrqa.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: kkeydodouble.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: xqurzsdouble.lnk = C:\WINDOWS\system32\cmd.exe

Может такие lnk (где ссылка на cmd.exe) тоже следует отключать?

up
del

Запускал AntiSMS через BSDW как образ \BCDW\image\AntiSMS_1_8.iso ,загрузка непроисходит.  При запуске на прямую - всё ОК! Подскажите "хитрый" способ запуска с BCDW.

Пробуйте, бетманы :crazy: создавалка загрузочной флешки с AntiSMS, всё нужное вшито в ехе, создается загрузка тем же bootIT, но ТОЛЬКО HDD и ТОЛЬКО FAT32, тот же груб загрузчик, но без меню как такового, а с загрузкой AntiSMS сразу же. Маппинг напрямую.

Virustotal нашел 4 вируса, какие находит и в BootIT - ясно почему. Сторонние загрузочные области в него вшиты и BootIT умеет форматировать диск.

Vitokhv
вы конечно молодцы, но как то же лечили баннеры и лечим без вашего антивинлокера.
например база файлов у меня всегда с собой есть, а если что - восстановлю с диска.
а что до проги, что контроллирует автозапуск и убивает баннеры - она тоже не есть панацея от всех бед, многие баннеры ее обходили.
MBTY
а если образ прикрутить к грубу?

title SimplixAntiSMS
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/AntiSMS.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/AntiSMS.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

с меню и прочим :crazy:

g0dl1ke
title SimplixAntiSMS
map /img/AntiSMS.ISO (0xff)
map --hook
chainloader (0xff)

ТОЛЬКО для Wnpe и AntiSMS от SImplix достаточно такого варианта, а потому отпадает нужда в драйвере FiraDisk (DIRECT.GZ) и связанной с этим драйвером уличной магией (write (99) [FiraDisk]..........)

то есть сосется на прямую и все ок?
а то у меня и так вроде пашет, тока с plop драйвером не дружит.
уличная магия?

распаковать в корень носителя и если адреса другие то подправить то что надо править)

; GRUB
title  ■PE■ Windows PE Simplix Edition 15.03.12\n Windows PE от Simplix датированный 15 March 2012.
chainloader /WNPE/WINPELDR.BIN

; СУСЛИК
LABEL SMPLX-PE
MENU LABEL  ■PE■ Windows PE ^Simplix Edition 15.03.12
TEXT HELP
Windows PE от Simplix датированный 15 March 2012.
ENDTEXT
COM32 /syslinux/chain.c32
APPEND ntldr=/WNPE/WINPELDR.BIN

с СДРОМ областью флэшки не каких проблем и с Plop`ом тем более

В шапку добавлена программа AntiSMS USB Installer 1.1, разработанная совместно с MBTY для лёгкого создания загрузочной флешки AntiSMS.

art9 сообщает:

в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание?

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

art9 сообщает:

В итоге Windows, скорее всего перестанет загружаться.

Не перестанет. Чтобы не повторяться, посмотрите это.

simplix сообщает:

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

На подопытном компьютере сборка установлена очень давно - может из-за этого.
Во всяком случае, Задания дефрагментатора не удаляются, т.к. файлы его подписаны.

simplix
А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.

И может быть удобней было бы включать Назначенные задания через AutoRuns. (главное чтоб неопытные пользователи, еще чего не поотключали там :unknown:)

И Вывести информационное окно: где что обратно включать.

пол дня с бубном вокруг компа танцевал, а антисмс за 1 минуту все проблемы решил...:oops:
Автору респект!!! И низкий поклон!:good:

Тоже нестандартный MBR. Локер был. Win7 Starter. Вуаля: http://rghost.ru/37163532

Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO

универсального работающего способа не может быть для всех флэшек (т.е. контроллеров внутри) и материнок, особенно если загрузка не сразу происходит целиком в память

Здравствуйте. скачал, сделал образ на флешке, запускаю систему не видит. В чем может быть проблема?

Fakel
А в BIOS загрузка с флэшки включена? А если включена, то материнка какая? Надо хоть какую-то информацию давать, а не факт наличия отсутствия видимости.
Почитай внимательно здесь.

Так система с антисмс загружается со флешки. а вот систему с  винта не видит. Винт сам тоже не видит естественно. Я так думаю трабла с драйверами контроллеров. Новый скачал antiwinlocker. он хоть автоматически не помог, но вот систему хотя бы увидел. Система win 7 ultimate родная стоит.

Fakel
Ну, уточни хоть - на чём установлена система, которую загрузочный диск не видит. Ноутбук какой или материнка? Если подозреваешь проблему с драйверами, то надо указывать для какого оборудования, конкретно.

Acer Aspire 5560G. Чипсет AMD Hudson-2, AMD K12, AMD A70 Fusion Contol Hub.

Fakel
Сделай проще. Если грузится AntiWinLocker LiveCD, то загрузись с ним. Запусти в нем FreeCommander, а дальше утилитку AntiSMS, предварительно ее записав на флэшку.

Savage-i
Следующий раз так и сделаю. Я удалил уже блокиратор. спасибо всем за участие.
На самом деле про проблему написал чтоб у других не возникала. Вроде в версии 1.3 написано что добавлены драйвера для различных контроллеров. а тут раз и такая бяка.

Многоуважаемый simplix об этом и писал. что win pe сделанная на семерке видит почти все контроллеры, но много весит. под хр наоборот. Я так понимаю антисмс написана с использованием win pe под хр? может стоит сделать и под семерку? когда ничего не помогает, то можно и скачать большой образ. тем более сейчас редко где проблемы со связью увидишь.

Fakel
Зачем изобретать велосипед. У любого пользователя есть различные LiveCD на основе Win7 и WinPE... а добавить туда утилитку проще простого...

art9 сообщает:

На подопытном компьютере сборка установлена очень давно - может из-за этого.

Именно из-за этого, в 2009 году задание ERUNT не было подписано, на таких компьютерах вы можете просто запустить файл I386\SVCPACK\Erunt.exe с нового диска.

Fiolet сообщает:

А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.

Сначала нужно выполнить проверку системы антивирусом, без этого включение автозагрузки обратно может снова активировать блокировщик.

Fiolet сообщает:

И может быть удобней было бы включать Назначенные задания через AutoRuns

Разница в том, что autoruns - сторонняя программа, а msconfig является частью любой системы.

Vitokhv сообщает:

Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO

А при чём здесь UltraISO? В шапке выложена утилита для создания загрузочной флешки.

Fakel сообщает:

может стоит сделать и под семерку? когда ничего не помогает, то можно и скачать большой образ.

Подумаю над этим вариантом, тем более это будет не замена, а дополнение к маленькому образу.

Прошу протестить http://rghost.ru/37201326 (2012) wishmaster.exe , AntiSMS версия 1,6 не справилась ( 1,8 проверить пока нет возможности), он начисто сносит MBR (главную загрузочную запись) и затирает мусором таблицу разделов, запуск на ваш страх и риск, действует на ХР...Семерка не по зубам ( хотя как знать)
Скрин при запуске http://files.myopera.com/Aminux/albums/ … royer1.png
Скрин после перезагрузки http://files.myopera.com/Aminux/albums/ … royer2.png

http://rghost.ru/36821986 ( 2012) и еще один пакостник-блокировщик, прошу протестить.

Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения

olzaruta сообщает:

Прошу протестить  wishmaster.exe

1.8 тоже не лечит
Но - диск директор серверный решил вопрос за полторы минуты.

Протестил вашу сборку LiveCD
Есть полноценный рабочий стол,проводник,можно получить доступ к файлам и папкам,
запустить некоторые программы. Даже ДокторВеб !!!
Но, некоторые программы зависают, ну да ладно.
Не работают три волшебные кнопки и диспетчер задач запустить не получится (что-бы выгрузить зависшее приложение).Хотя он есть в сборке.
Я предлагаю поместить ярлык диспетчера задач рядом с ярлыком: Свернуть все окна.
А также ярлык от программы cleartemp (весит мало,пользы много).Можно в инете найти.
Далее очень не хватает архиватора например 7Zip (около 1Мб) Хотя бы для того что бы распаковать системные файлы с этого диска, для ручной замены.
Программа запускается сразу после клика на ярлык без диалогов,добавьте пожалуйста хоть один: *Продолжить*  *Отмена*. 
Автозапуск с дисков в сборке по умолчанию включен! И вирусы на дисках,
использующие Авторан для размножения могут заразить и сборку!!!
При клике на иконку в моем компьютере СД, сразу запускается программа AntiSMS(Делаю все хорошо).Немного напрягает. Добавьте хоть один диалог.
Делаю все хорошо!? А что хорошо,что делаешь? Хотя бы лог файл о проделанной работе. Если что то отключает, удаляет надо знать что. А так чем программа лучше вируса!?
С уважением, Владимир.
Успехов в развитии проекта!!!
Жду новых ваших сборок.

vladshishkin Если хотите LiveCD, то попробуйте WNPE из сборки. С ТС, в который можно прикрутить и архиваторный плагин и много каких плюшков. А этот образ AntiSMS же изначально создавался для выполнения одной единственной задачи. Не стоит его перегружать набором софта, который затребует каждый юзер. Сборку заразят они, допустим (хотя такое "заражение" и заражением не назовешь), но после перезапуска сборки - всё будет как при первом запуске. CD, DVD, RAM диски, LiveCD.... вся фигня.. низя их заразить. Какой диалог вам надо? Да/Нет? Можете нарочно скачать этот образ, нарезать, грузануться с него, нарочно запустить АнтиСМС и ПЕРЕДУМАТЬ? Лог Simplix обещал позже. Если вдуматься о том количестве проектов, которые тащит на себе simplix, то торопить его и требовать чтото лучшее (хотя куда лучше) просто неприлично.

Перегружать сборку 7zip 1 mb  и пару иконок!? И все это для удобства.
В данном случае это сборка с рабочим столом и.т.д
А если LiveCD сделан только для одной цели, то можно и без рабочего стола обойтись!!!
Загрузился ------- Делаю все хорошо...
Форум для того и создан что бы улучшать программу, LiveCd.
Про Авторан, как то не очень будет если вирусы и в сборку залезут!!!

vladshishkin
вообщето суть программы не лайв-сд а сама программа размером 100кб

Перегружать сборку 7zip 1 mb  и пару иконок!? И все это для удобства.

1мб 7зип + скок надо другим пользователям. всем не угодишь!

залейте на флешку или диск набор мультизагрузки и в какой нибудь папке поместите этот 100кб файл программы и всё (я так и сделал)! эффект тот же что и хотели Вы + много еще чего. это бесмысленная трата времени делает то что уже есть

А если LiveCD сделан только для одной цели, то можно и без рабочего стола обойтись!!!

а идея то неплохая((

PS: вообще не вижу смысла чето мудрить с лайв-сд и прочим, хотя может толк есть если на базе семерки сделать ченибудь тоже совсем обрезанное. главное с моей точки зрения сама программа, т.к. она одна, а лайв-сд как мусора на свалке

vladshishkin
Как он вылезет? Авторан, допустим, прописался в реестр LiveCD, который развернут в RAM, сразу же он не стартанет, а только после перезапуска ПК. Перезгружаем. RAM сбрасывается полюбому и LiveCD разворачивается в RAM каждый раз заново.
Этот диск не для лечения от вирусов, а для лечения от локеров. Мы с вами только что о локерах говорили. Для лечения вирусов нужно юзать что-то на линуксе.  Kaspresky Rescue CD, например.
Как вариант, можете взять AntiSMS.exe и запихнуть его на свою любимую LiveCD, которая защищена от вирусов, обладает набором софта и т.д. и т.п.

Итак от слов к делу. Все что я описывал ранее реализовал:
Авторан выключен.
Появились две иконки: *диспетчер задач* и *очистка папки Темп* в быстром запуске возле иконки: Свернуть все окна
Интегрирован архиватор 7Zip
Включен в автозагрузку Process Killer - был в сборке,но не работал.
Process Killer - альтернатива диспетчеру задач.(запускается нажатием:Ctrl + Shift + ~)
Добавил программу для записи образа на диск.
Программу AntiSMS  не трогал - это к автору.

Размер архива: 30.84 Мб.
http://depositfiles.com/files/0242feqda

:drinks::drinks::drinks::drinks::drinks:

по-моему, главный плюс antisms - это возможность эффективной работы даже в неумелых руках.
кстати, интересная мысль - чтобы даже рабочего стола не было, чтобы сразу запускался аСМС.

И мне думается, желательно добавить несколько информативных фраз. Например, при работе аСМС: "Идет процесс лечения Windows от баннеров-вымогателей...". А по завершению: "Лечение завершено. Выньте диск (флэшку) из компьютера и нажмите любую клавишу для перезагрузки....".

А еще можно добавить в процесс лечения: создание во временной папке txt файла с краткой информацией (если вы опытный сделайте то-то, а если не опытный, то то-то...). И добавление в RunOnce вызов Блокнота на этот файл. При этом данное действие делать только если exe Блокнота подписан.

simplix, а если вирус заразил/заменил/удалил системные файлы (exe, dll, etc..) может прикрутить возможность брать эти файлы с папки i386? (если использовать winpe с simplix winxp и зараженная система не отличается от winxp)

g0dl1ke
В образе уже есть папка FILES, в которой имеются основные системные файлы для ХР и для 7ки х64/х86. Такие дела :drinks:

пропустил :crazy:
*ушел проверять*

добавил бы в папку windows 7:
svhost.exe
wuaueng.dll
winlogon.exe
wuauclt.exe

Привет, друзья Я вернулся!!!
Могу переделать сборку: убрать рабочий стол, все проги. В центр экрана поместить огромную кнопку <Удалить Баннер >.Если будут желающие, переделаю образ. Хоть ради прикола. Или лично для MBTY
Сборку могу пересобрать, хоть сегодня, будут желающие, Пишите.

Кстати вчера нечаянно клацнул на ярлык AntiSMS (у меня на буке Win7 Home Premium)
По умолчанию автозапуск с носителей был выключен, так AntiSMS его активировал.
Вопрос: ЗАЧЕМ!!! Теперь опять убирать... А что еще сделала программа , сюрпризом будет:crazy:
Для простого пользователя лечение может не ограничатся загрузкой LiveCD и запуском AntiSMS. Потребуется дополнительная настройка системы...
У программы есть аналог,код выдернул с LiveCD, может будет полезен, запускается с удаленным реестром.(Reg файл)

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"AutoRestartShell"=dword:00000001
"Shell"="explorer.exe"
"ShutdownWithoutLogon"="0"
"System"=""
"Userinit"="userinit.exe"
"VmApplet"="rundll32 shell32,Control_RunDLL \"sysdm.cpl\""
"forceunlocklogon"=dword:00000000
"UIHost"="logonui.exe"
"LogonType"=dword:00000001
"SFCDisable"=dword:00000000
"WinStationsDisabled"="0"
"EnableQuickReboot"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\dimsntfy]
"Asynchronous"=dword:00000001
"DllName"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
  74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,64,\
  00,69,00,6d,00,73,00,6e,00,74,00,66,00,79,00,2e,00,64,00,6c,00,6c,00,00,00
"Startup"="WlDimsStartup"
"Shutdown"="WlDimsShutdown"
"Logon"="WlDimsLogon"
"Logoff"="WlDimsLogoff"
"StartShell"="WlDimsStartShell"
"Lock"="WlDimsLock"
"Unlock"="WlDimsUnlock"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
@=""
"DLLName"="igfxdev.dll"
"Asynchronous"=dword:00000001
"Impersonate"=dword:00000001
"Unlock"="WinlogonUnlockEvent"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\klogon]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"="C:\\WINDOWS\\system32\\klogon.dll"
"Logon"="WLEventStop"
"Startup"="WLEventStart"
"Lock"="WLEventStart"
"Unlock"="WLEventStop"
"Logoff"="WLEventStart"
@=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,00,63,00,6c,00,67,00,6e,00,74,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,00,6c,00,6e,00,6f,00,74,00,69,00,66,00,79,00,2e,00,64,00,\
  6c,00,6c,00,00,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRun"=dword:00000001
"DisableLocalMachineRunOnce"=dword:00000001
"DisableCurrentUserRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"LoadAppInit_DLLs"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"NoInternetOpenWith"=dword:00000001
"DisableTaskMgr"=dword:00000000
"DisableRegistryTools"=dword:00000000
"NoDispCPL"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet001\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet002\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet003\Services\Tcpip\Parameters]
"DataBasePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
  00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,65,00,74,00,63,00,00,00

Сайт: http://krasgmu.net/publ/2-1-0-64

simplix сообщает:

А при чём здесь UltraISO? В шапке выложена утилита для создания загрузочной флешки.

Спасибо, пропустил.

Хочу отметить, что рабочий стол вовсе не мешает, польза есть и в ярлыке check disk
Сегодня восстановил с помощью него поврежденные сектора жесткого диска.

Насчет дополнений к образу, думаю излишне, так как все остальное можно сделать и в активной системе.
Например: лечение от вирусов, запрет автозапуска с дисков, некоторые системные файлы.
Кто-то говорил о диспетчере задач, работает.
Насчет сторонних программ, на файлообенниках удаляют аккаунт за нарушение авторских прав.

vladshishkin
Веди себя скромнее и внимательно прочитай правила форума. Для выражения эмоций есть отдельная тема, хватит меряться длиной "заслуг". Если есть возможность, делай то, что может принести конкретную пользу окружающим.

Vezunchik
Отдельная программа для использования в своём WinPE.

Нестандартный MBR http://rghost.ru/37269141

Нестандартный MBR Drive0.bin

Еще нестандартный MBR http://rghost.ru/37306849 Продолжать выкладывать?

DJeir
Выкладывайте, если не сложно.

Нестандартный MBR
http://rghost.ru/37372842

MBTY сообщает:

Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения

Не ваша правда, этот троян лечится двумя дисками, 1) С помощью консоли восстановления сначала перезаписываем MBR 2) Берем последний Hirens Boot CD в загрузочном меню запускаем мини Windows  XP   после запуска ищем в списке тулз утилиту под названием MiniTool Partition Wizard Home Edition и восстанавливаем раздел, все просто, прогонял на Windows XP  такой способ лечения от этой заразы 3 раза.

Regards...

Нестандартный MBR : http://rghost.ru/37412898

simplix, может Вам будет полезно для модернизации Вашей программы, то что выловил антивирус после блокировки   Windows ХР SР3.
Использовал AntiSMS 1.6 (небыло возможности записать 1.8), запустил AntiSMS 1.6, перезагрузился в рабочую систему, выполнил быструю проверку - нашел троян в корне С:/, переместил в папку инфектед, заархивировал, восстановил автозагрузку и службы, перезагрузился, после загрузки системы поизошла автоматическая перезагрузка и снова заблокировалась Windows. Повторно прошелся AntiSMS после загрузки в рабочую систему Windows загрузилась в Выборочный запуск и слител модуль SpIDer Gate в Dr.Web 6. Повторно выполнил быструю проверку и снова нашел троян в корне С:/, переместил в папку инфектед, заархивировал. Странно, антивирус нашел один вирус, а в папке инфектед оказалось 2 файла с одним временем.
http://files.mail.ru/QG9TRY
Пароль virus
P.S.
Напишите маленькое FAQ что Вам высылать в таких случаях для анализа.

Хорошее дело делаете.

Спасибо.

С ув. Gennadiy

simplix
1) в архиве из сообщения выше  только bak зараженного mbr, т.е. быстрая проверка нашла только файл, который создала AntiSMS.
Может данный файл лучше помещать в архив с паролем "virus"? А получается, после быстрой проверки пользователь вводится в заблуждение (думает, что антивирус прибил заразу).

2) в инфо для неопытного пользователя сказано, что сначала нужно проверить антивирусом, а затем включить автозапуск. но "быстрая проверка" производит поиск зловредов в определенных папках, а также файлы, которые прописаны в автозапуске. может лучше советовать сначала включить автозапуск , а затем проверять антивирусом?

3) опять же возвращаясь к сообщению выше... может в архив к копии mbr также копировать файлы, которые были отключены? Т.е. если антивирус не находит заразу, то пользователь сможет отправить этот архив в антивирусные лаборатории.
Опять же в процессе лечения AntiSMS может генерировать txt файл во временную папку, в котором будет указана инфо для опытного/неопытного пользователя, а также ссылка на данный архив и ссылки для отправки в антивирусные лаборатории (http://support.kaspersky.ru/virlab/helpdesk.html и т.п.)

Прога супер! Но мне также понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

Так что получается, вирус не удален? а что это за второй файл в архиве? и что необходимо сделать?

FAQ, РАБОТА С ФОРУМОМ, Рекомендация 6 сообщает:

:shock: Не нужно цитировать предыдущее сообщение, его и так видно! :shock:

GenAleks
опираясь на свое чисто субъективное мнение, нужно проверить компьютер разными антивирусными сканерами, причем выполнять не быструю, а полную проверку.
http://www.kaspersky.ru/antivirus-removal-tool
http://www.malwarebytes.org/products/malwarebytes_free
http://www.surfright.nl/en/downloads/

И заметьте, что АнтиСМС полностью справился со своей задачей.

Спасибо art9, учту рекомендации.
Полная проверка проводилась, к сожалению не видел что еще нашел антивирус, но со слов было найдено пару вирусов и они были удалены.
Что касается АнтиСМС, насколько я понял, он не удаляет вирусы, а восстанавливает, тоесть разблокирует Виндовс - "Вылечиваются все известные MBR-блокировщики", с этой задачей АнтиСМС справился на 150%. Почему MbrLockX.bak определяется как троян.

GenAleks сообщает:

Почему MbrLockX.bak определяется как троян.

Так это и есть вирус, который находит AntiSMS. Он копирует зараженный MBR в этот файл, а уже потом лечит MBR от локера

Voha56 сообщает:

Мне понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

Открываешь образ в UltraIso.Извлекаешь файл-архив-образ WinPE.IS_
на жесткий диск.Образ сжат в CAB. Архив распаковываешь утилитой CABTools:
https://forum.oszone.net/thread-93596-2.html
,после установки появляется в контекстном меню Отправить 2 новых пункта:
Cжать в CAB
Распаковать CAB
Жмешь распаковать-получаешь: WinPE.ISO
редактируешь образ в UltraISO:
Кидаешь Total в папку tools. Скачиваешь на сайте: WinPE ModelRam исходник
https://forum.simplix.info/viewtopic.php?id=193
Создан он в NSUS-скачать бесплатно можно здесь:
http://nsis.sourceforge.net/Main_Page
Редактируешь файл под себя в блокноте (Размещение иконок,ярлыков)
После установки NSUS в контекстном меню появляется строчка "Compile NSUS Script"
После компиляции, получаем файл: ModelRam.exe
В сборке ModelRam находится в папке Windows\system32
Меняешь на свой ModelRam и собираешь образ в обратном порядке.

Автору сборку Большое спасибо!!! Переделал под себя. Советую открыть отдельную тему по переделки данной LiveCD.

Нестанд. MBR http://rghost.ru/37466677 Локера не было.

simplix
Частенько запускаю AntiSMS на компах для профилактики. Так же заметил на многих системах не стандартный MBR, при этом локера не было. Выкладывать такие MBR для анализа?

Sergikaz сообщает:

Частенько запускаю AntiSMS на компах для профилактики.

Смысл в таком запуске ? Убить МБР что ли ?

Herz
Утилита отлично чистит временные файлы, хорошо чистит автозагрузку, чистит hosts, удаляет autorun.inf с разделов. Это то, с чего надо начинать работу (чистку-профилактику) на любом компе, который впервые попал к вам в руки.

Именно так. Раньше все это делал ручками. Не шибко долго, но время отнимало. А теперь antisms тынц и готово. Красота!

И снова здравствуйте!
Пара вопросиков по AntySMS 1.8
Проверяется ли ветка реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]  ?
насколько понял, не проверяется :( , хотя теоретически зловреды её могут использовать для своего запуска

по "нестандартным MBR"
у меня попросила опубликовать их, публикую http://www.mediafire.com/file/4bggvgjzh … 9_12-05.7z
все mbr на всех 3 дисках стандартные, единственное, на одном из дисков (который разбит на 4 раздела) один из разделов отведён под AcronisSecureZone - наверно ругается на неё.

Скорее всего на этой неделе будет внеплановый выпуск, куда будут добавлены сигнатуры собранных MBR-файлов. Времени катастрофически не хватает.

"нестандартный MBR"  http://www.mediafire.com/file/o1dd6niuq … 0_11-05.7z
ноутбук Samsung. Возможно под "не стандарт" попал самсунговский "раздел восстановления"

Спасибо!
Эту заразу +79133995791 вылечил за 15 минут, включая запись флэшки.
Касперский опростоволосился - час гонял и фиг-вам...

Огромное СПАСИБО!

Нестандартный MBR http://rghost.ru/37540197

Новая версия - 1.8.2, в неё добавлены известные загрузочные секторы, присланные вами. Изменений в основном алгоритме нет, поэтому обновляться не обязательно.

Ещё один нестандартный MBR - мультизагрузчик Symon http://rghost.ru/37564210

Сегодня лечил ноутбук от локера, нестандартный MBR:
http://rghost.ru/37567787

http://zalil.ru/33079108 вылечил спасибо огроменное вам

Версия 1.8.3, добавлены последние присланные загрузочные сектора.

Попалась новая модификация MBRLock.6, в связи с чем AntiSMS обновлена до 1.8.4.

simplix
а можно сделать iso образ что бы запускать из BCDW
а то как я запущю с сд если у меня весь экран банером забит и не возможно работать
с мышкой али клавкой:shock: и приходиться грузиться с РЕ
да и ещё не надо кучу дисков писать с этой прогой али PartitionWizard али Emsisoft Emergency Ki

Здравствуйте! В шапке "Отдельная программа для использования в своём WinPE" версия 1.8.3. Проверил контрольные суммы совпадают.В iso образе версия 1.8.4

conductor2009 Внимательно читайте шапку - там выбор на все случаи жизни. ;)

simplix
Выручает очень, низкий поклон за труды:good:,

Автор, спасибо огромное за труды!!!!!! Нестандатный mbr при холостом запуске http://zalil.ru/33097698. Система ощутимо быстрее работает. Ещё раз спасибо!!!

jarem1980
У вас и некоторых других провайдер кеширует файлы, поэтому качается старая версия. Пробуйте загружать с другого провайдера или компьютера, на крайний случай можно вытянуть из iso-образа.

latifff
Подобный MBR уже добавлен.

happywanderer сообщает:

conductor2009 Внимательно читайте шапку - там выбор на все случаи жизни. ;)

если вы такой грамотный попробуйте 3апустить из под
\BCDW\AntiSMS.iso ; AntiSMS... ; позваляет разблокировать ВИНДУ ...;
флаг в руки !!! :crazy:

conductor2009
BCDW образы (ISO) не грузит впринципе! попробуйте распаковать образ и запустить WINPELDR.BIN

conductor2009 на грамотность не претендую, но кажется программа фунциклирует по прямому назначению только из под WinPE, а смысл вот этого не понял:

а то как я запущю с сд если у меня весь экран банером забит и не возможно работать

, мож чёт не докурил? :unknown:

conductor2009
Выражайте пожалуйста свои вопросы более понятно, иначе спор и упрёки будут продолжаться очень долго.
По поводу BCDW. Грузить ISO образы он умеет, но для этого  нужен BCDW 2.0a1. Но и он не абсолютно любой ISO образ может загрузить. Проект этого загрузчика так и забросили на пол пути. Вторая версия дальше "альфы" не продвинулась, нет нормального справочного материала. Всё новые "способности" находятся энтузиастами методом тыка. К примеру, определили, что BCDW распознает образ не по расширению, а по содержимому. Расширение образа может быть любое. Каким видит этот загрузчик образ AntiSMS.iso по содержимому - никому не известно.
Если у вас уже есть загрузочный диск с BCDW-загрузчиком и вы хотите добавить в него AntiSMS.iso, то я сразу отвечу, что не знаю как. С BCDW возился очень давно. Очень большой его минус, что он может загружать только с CD и DVD. В виду его "недоработанности" давно перешёл на другие загрузчики, с намного большим функционалом и возможностями. Выяснять, каким методом запустит на BCDW образ AntiSMS.iso, нет никого желания. Как мне кажется, мало сейчас кого найдётся с таким желанием. Проще и быстрее содержимое загрузочного диска с BCDW-загрузчиком переделать для загрузки с флешки с другим загрузчиком. Я уже почти забыл, как носить с собой CD и DVD. Всё уже давно на флешках.

Sergikaz
мой пост как будто не заметили :shock::D:)
BCDW как и всё прочее робит с флэшки с сдром раздела и как я уже заметил кажись грузит лайвы на базе ХР! (грузил пару месяцев назад кажись)
-------------------------------------------------
simplix :oops:
смотри что например лично мне хочется насчет поддержки файлов различны ОС
вот у меня есть на флэхе с сдром разделом ОСИ установочные (т.е. дистры):
V32 - семерка 32
V64 - понятно что
I386 - VLRU
ENVL\I386 - VLEN
.....
+ может у кого к примеру в
RU03\I386 - 2003 винда

т.е. мое предложение создать рядом с файлом EXE-антиэсэмеса файл ASMSPATH.INI (или не создавать его - т.е. если его нет то по дефолту все пути, а если он есть то пути берутся из НЕГО!).
ну и нем прописать пути на моей флэшке чтобутилита сама лезла в RU03\I386 и брала файлы для 2003 оттуда
к примеру можно типа такого по ДЕФОЛТУ!

VLRU = I386
; VLEN = ENVL\I386
; 2003 = RU03\I386

т.е. ;  это по дефолту чтоб не использовать типа ЗАКОМЕНТИРОВАЛИ :rolleyes:

DJeir сообщает:

Нестандартный MBR http://rghost.ru/37269141

Стесняюсь спросить,ребята,это только для ХР.?! Или как!? ..:oops:

tomik сообщает:

DJeir сообщает:

Нестандартный MBR http://rghost.ru/37269141

Стесняюсь спросить,ребята,это только для ХР.?! Или как!? ..:oops:

Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.

Мне нестандартные загрузочные записи попадались только при лечении или восстановлении Xp.

Нестандартный MBR http://rghost.ru/37722903

Нестандартный MBR http://clck.ru/1-YSD

Скажите, а поддержка Ahci в Iso образе есть? Если нет, то будет ли? Если нет, то как добавить? (т.к. в некоторых биосах нет переключателя Ahci).

-----

Все, вопрос снят, сделал поиск по сайту.
Огромная благодарность за грамотный продукт!

Ребят СПАСИБО за прогу выручала не раз !!!

А можете добавить в неё следующие функции:
-Выбор раздела с операционной системой
-Лог всех проделанных изменений

И сообщите пожалуйста как скоро .

Ещё раз спасибо и молодцы :good:

AntiSMS обновлена до 1.8.5
Раньше гарантированно правильно распознавался только системный раздел, даже если его буква была совсем другой в WinPE. В этой версии AntiSMS реализовано правильное определение и всех остальных разделов. К примеру у нас есть несколько десятков разделов от C: до Z: и после загрузки WinPE они перемешались абсолютно произвольным образом и блокировщик запускается с одного из этих несистемных разделов, тогда AntiSMS правильно определит изменённую букву раздела и найдёт блокировщик, при этом время работы утилиты не увеличилось.

barsuk
Ручное указание файлов для восстановления через ini-файл запланировано на будущее, так как эта функция сейчас почти не актуальна. По простой причине - вирусы ловят только малоопытные пользователи, следовательно у них в 99.99% случаев установлена либо WinXP, либо Win7, и они уже лечатся. Ставить серверную систему обычный пользователь себе не будет, и ему никто её не поставит, а запустить вирус на сервере предприятия невозможно из-за ограничения прав и грамотной настройки системы. Отсюда автоматически получается так, что на серверных системах блокировщиков практически не бывает.

Ytro
Выбора раздела не будет, обрабатываются все системы, чтобы любой пользователь мог легко вылечить свой компьютер. Логи и другие фичи будут внедряться по мере появления свободного времени - эта разработка никем целенаправленно не финансируется, так что придётся просто ждать.

simplix
http://upwap.ru/2219809

Просьба к автору : Включить в состав uVS.
Спасибо за работу !!!:drinks:

Добрый день, еще раз спасибо за Вашу работу. Хочу взнос сделать, куда отправить?

--

Ах да, еще хотел спросить, на форуме OSZone был аддон с AHCI, если не ошибаюсь, по-моему тоже Ваша работа. Это он  в ISO интегрирован? И если нет - то большая просьба интегрировать его. И присоединяюсь к добавлению uVS. Спасибо!

а нафига этот uVS ???

Вроде данный образ сделан для быстрой загрузки и запуска AntiSMS.
Все для простоты и минимализма, а вы предлагаете раздуть ее на целых 20Мб(если с базой).
Когда тут ранее за предложение добавить 7-Zip - человека чуть не закопали)))))) (хотя реально нехватает, поскольку на флешке все доп файлы пожаты в 7z)

И для пользования uVS надо куда более 2 кликов - а это лишние вопросы, причем скорее всего обращения к автору сборки, а не к создателю uVS...

зы. По поводу добавления, что скажете насчет oleacc.dll, частенько нехватает для запуска чего-нить.

more
Согласен. Логичнее было бы попросить, чтобы создатель uVS сделал WNPE со своей утилиткой, нежели просить это сделать за него других людей. Или, что вобще то логичнее всего, доавить в WNPE что либо сосбтвенноручно, а не просить (как тут уже много раз писалось) добавить что-то для себя любимомго, не думая о других - вот я хочу uVS - добавьте мне и за меня...

Вашей работой удивлена. Сама борюсь давно с вымогателями.Спасиб конечно ,огромное уважение к ВАМ.Включаю Вашу разработку в свои изделия.

Может все кто сталкивался с баннерами, объединимся, изучим вместе образцы баннеров, их поведения. Возможно кто-то умеет извлекать из них код разблокировки.
Те, кто желает подстроить WinPE под себя, можно сделать разные варианты, даже с поддержкой ACHI но то, что образ AntiSMS имеет более простые действия по лечению его не стоит усложнять и загружать.

Когда все будет выглядеть как мануал по созданию образов и поиска кода внутри баннера, специалистам будет легче извлекать вирусы, а пользователям не придется объяснять, по телефону, своим родителям как загрузиться с диска.

Vitokhv "Оптимист - это плохо проинформированный пессимист", смысл изучать и извлекать??? - есть инструмент простой и эффективный, зачем делать операцию на глаза через задний проход?:shock:

Вы пропустили ситуацию, когда человек находится за границей и обращается к своим близким, друзьям, чтобы те помогли найти код. Иначе, по телефону объяснить как записывать образ, загружаться с диска это займет много времени или даже пытаться не стоит, да та же фраза "зайди в BIOS" многих озадачит. Таких случаев много, и даже в разделе AntiSMS есть просьбы прислать "код" если баннер его использует. Вот пример где есть куча инструкций по лечению но их не используют.
Если говорить о простом, то это либо восстановление системы, либо командный безопасный режим.

more сообщает:

а нафига этот uVS ???

Когда тут ранее за предложение добавить 7-Zip - человека чуть не закопали)))))) (хотя реально нехватает, поскольку на флешке все доп файлы пожаты в 7z)
По поводу добавления, что скажете насчет oleacc.dll, частенько нехватает для запуска чего-нить.

Я перестал советовать по поводу сборки. Под себя все переделал, добавил 7Zip, .dll Размер остался примерно тем же. Для запуска антивирусных сканеров не хватает всего одной rich*.dll, которая весит 3,5 Кб Ранее я рассказывал как пересобрать образ под себя, это не так уж сложно. Не будем отвлекать автора.

Vitokhv А Вы пропустили ситуацию, в каком количестве в день выпускают, ЛЮДИ, ЗАРАБАТЫВАЮЩИЕ НА ЭТОМ ДЕНЬГИ, такие блокеры??? Думаете они сидят на месте? Для простых обывателей, таких как мы с Вами, всё упирается во время. А друзьям и знакомым за границей можно посоветовать "интернет-кафе" как самый крайний случай во время "буйства" смартфонов и т.д и т.п., для "исправления" сложивщейся ситуации, если они конечно не находятся в каком-нибудь тоталитарном государстве типа Северной Кореи ;). В общем Кто ищет, тот обрящет. Сумел заразить - сумей и вылечить. Не хочешь "шевелить" мозгами - плати деньги, людям которые в этом понимают или "специальнообучены" или жди-ищи код на спец. ресурсах. Это мне напоминает автомобилистов, даже те кто "всё знает и всё умеет" едет менять масло и "переобутся" в автосервис. Всё как всегда упирается в нехватку времени.
vladshishkin_Forever да, видел Ваши "советы" :lol:, но это не обиду. Создал бы тему, всё подробно описал, выложил - люди бы спасибо сказали. Здесь же не диктаторский форум.

vladshishkin_Forever
Твоя сборка вроде неплохо получилась.

По поводу размеров сборок - огорчает один момент.
Сэкономили на кб-ных *.dll, но зато ОБОИНУ покрасивше поставили!!! :unknown:
Ведь можно же просто чего-нибудь однотонное - это же больше метра получается

Добавьте пожалуйста английский интерфейс или подскажите как прикрутить поддержку русского в hiren bootcd, а то вместо надписей вопросики.:oops:

radteh
поддерживаю! даже не из-за кракозябр, а потому что утилита простая. сам использую в большенстве своем программы на английском языке, да и в любом случае это будет способствовать международному признанию продукта):D:good:
ну в зависимости от языка системы фейс или русский иначе всегда английский, хотя прога для работы из PE, а там не знаю можно будет так нормально сделать или нет т.к.  хз на чем РЕ-основаны) небось всегда английский будет

PS: думаю лучше это организовать в INI-файле о котором я писал выше. т.е. в нем выбрать параметр языка, но это для более новых версий

Создается такое впечатление, что все дружно решили сделать этот WNPE своей родной осью. Столько предложений по ее изменению. Одно офигительней другого. И вот я уверен, что каждый по разу-два запустил WNPE поглядел на функционал. Закрыл и счел нужным насоветовать автору как надо делать LiveCD. Успокойтесь уже. Ладно бы недочет какой нашли или на каком-нибудь бы железе LiveCD не стартанул, ато уже читать смешно тему. Косметологов полон форум.

Я вообще-то попытался интегрировать AntiSMS в Hiren’s BootCD http://www.hirensbootcd.org/, и возникла проблема с не читаемыми сообщениями. Если программу запустят в операционке без поддержки русского языка, опять не читабельные сообщения. По функционалу может добавить полу автоматический режим, а то мало ли какие специализированные проги не подписанные в автозапуске.
PS LiveCD использую постоянно, так как сисадминю помаленьку.

возникла проблема с не читаемыми сообщениями.

Извините, а чего там читать??? Там всего то два окошка (с нестандартный MBR, то три). Автор AntiSMS  -  уважаемый simplix. На его WinPE всё отлично работает. После отработки AntiSMS, можно запустить Autoruns и посмотреть состояние автозагрузки, включить что требуется. Все восстановительные работы можно провести не выходя с этого WinPE.
Правильно высказался MBTY, если чего-то хотите, то изменяйте под себя как угодно. Хоть чёрный фон, хоть выход в интернет для обновления, ну всего что душа желает. Не мешайте делать simplix его дело как он сам хочет.

Я не прошу менять WinPE, просто тексты в AntiSMS на инглише сделать (причём не сиюминутно), но видно это сверхтяжёлая задача.

radteh
Если текста не видите значит, скорее всего, в вашей LiveCD шрифтов нет нужных же. А если шрифта нет, то и английские буквы будут закорючками.
И вы же понимаете, что тогда будет море людей, возмущающихся почему всё стало на английском (потому что он никому кроме вас не понадобился) Если же сделать выбор языка по умолчанию, то снова все будут писать "А нафига выбор языка сделали, если тут всего две строки текста, автор ты чё??" и всё в этом духе.
Потребности большинства не должы перевешивать потребностей меньшинства.

MBTY
а зачем вообще на русском делать, тем более там всего две строчки? да и английский как правило всегда работает! а иероглифы типа русского и т.д. это уже внешний лоск. а насчет нужны шрифтов то это непонятно! почему русские шрифты сразу нужные? может они кому то . не нужны!
а про выбор я уже написал что имено считаю приемлемым. а имено сделать INI-файл в котором также пути к дистрибутивам указаны + язык по умолчанию русский, а если параметр добавить то будет английский! помойму такая схема будет удобна всем! (т.к. ini файл simplix и так собирался в будущем добавить!)

PS: была бы моя воля я сделал тупо всё английское и не парился бы с параметрами

Сделать английский интерфейс - идея хорошая, об этом я думал ещё давно, но вот реализовать пока не дошли руки, так как связи с англоязычными пользователями нету. Даже не знаю, распространены ли за границей такие методы вымогательства или уже давно всё решено на уровне операторов. Например друг из Испании говорил, что СМС-вирусов у них вообще нет, так что я решил не спешить с переводом. Но в планах это есть, как и много всего другого.

Насчёт включения на диск всякой всячины - здесь всё просто. Есть базовый диск для быстрого лечения, он будет максимально простым и маленьким, а уже на его основе, если это кому-нибудь нужно, можно создавать сборки с uVS и прочими утилитами. Можно и нужно создать отдельную тему, где будут выкладываться эти сборки с описаниями. Можете создавать отдельные темы, потом мы их объединим и оформим.

Vitokhv, вопрос о доставании кодов внутри блокировщиков достаточно спорный и я не сторонник этой идеи по вполне логичным причинам. Во-первых это может потребовать значительных усилий, ведь совсем не сложно сделать так, что поиск кода даже специалистом займёт очень много времени. Во-вторых, и это самое главное, нет никакой гарантии, что троян честно удалится и не появится снова через какое-то время. Доверять вымогателям в чём-либо не приемлемо в принципе. Моя позиция - только лечить, чтобы разблокировал систему не троян, а его отсутствие после работы утилиты, с обязательной последующей антивирусной проверкой.

В будущем AntiSMS, как и запланировано, будет создавать резервные копии для их анализа специалистами. Работы в этом направлении ведутся, но быстрый результат не могу обещать - на всё нужно время, и не мало. К тому же у меня случилась небольшая неприятность - умер винчестер со всеми данными, и пока я их восстановлю может пройти от нескольких дней до двух недель.

по поводу uvs - весит мало, а вот "могет" очень много

Столкнулся - нестандартный MBR - выложил - http://rghost.ru/37875136

simplix
Соболезную по поводу смерти винта. Это большая неприятность.

вместо загрузчика винды ставит анимацию алгоритма жизни http://rghost.ru/37880252 (2012), прошу проверить вашей программой, сам не имею пока возможности.

Сегодня впервые столкнулся с MBRLock.6.
UVS показал пару подозрительных файлов, убрал их из автозагрузки - не помогло.
Запустил AntiSMS 1.8.4, перегрузил компьютер - а Windows сразу после загрузки пошла на перезагрузку и после этого я опять увидел знакомое окно блокировки...
Пришлось лечить снова и грузить комп в безопасном режиме, где DrWeb обнаружил штук 5 разных троянов.
В процессе лечения слетели какие-то настройки и интернет перестал подключаться, пришлось опять же запускать AntiSMS из-под Windows и сносить сетевые настройки и потом настраивать их заново.
Вместо ожидаемых 15 минут убил 2 часа на лечение компьютера...

hal
Если блокировщик удаляет таблицу разделов (файлов из WinPE не видно), тогда AntiSMS нужно запускать дважды: при первом запуске лечится загрузчик и таблица разделов, а после перезагрузки, когда уже видно файлы, нужно запустить AntiSMS ещё раз - вылечится всё остальное.

а если, АнтиСМС сама будет себя запускать второй раз, когда испорчена таблица разделов?

simplix, может, есть смысл в целях профилактики блокировать доступ на запись в ветку реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon текущему пользователю?
Ну и другие ветки, которые чаще всего модифицируются блокерами.
Или блокеры уже умеют сами переписывать разрешения?

Попробовал AntiSMS в деле. На экране заражённой машины был чёрный фон с текстом. Утилита в целом справилась со своей задачей, но в ветке "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" есть ключ "System" с пустым значением, на заражённой машине там оказалось имя какого-то файла с расширением "tmp". После работы программы AntiSMS этот ключ оказался не чищен.

1) Новый вирус сразу меняет загрузчик и ставит анимацию жизни  http://rghost.ru/37880252 ( 2012) проверьте лечит ли его AntiSMS
2) Новый mbr локер Internet Police ( скрин http://www.1st.rv.ua/wp-content/uploads … -virus.jpg) http://rghost.ru/37898566 ( 2012)
прошу протестировать AntiSMS, пароль на архив infected

art9
После исправления таблицы разделов обязательно нужна перезагрузка, чтобы Windows PE увидела разделы.

hal
Блокировщики умеют всё, что может администратор, а пользователь без прав администратора не сможет поломать систему.

radteh
Хорошее замечание, учту его в следующей версии.

olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.

нужно восстанавливать таблицу разделов специализированными утилитами.

пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит? :oops:

happywanderer сообщает:

нужно восстанавливать таблицу разделов специализированными утилитами.

пока ни разу не приходилось - вопрос к профи: что лучше для этого подходит? :oops:

На XP и 2003 успешно помогал Partition Table Doctor 3.5 , на 7 не сталкивался

http://rghost.ru/37903334 pass на архив 225, там и загрузочный образ и программа

simplix сообщает:

восстанавливать таблицу разделов

однажды сталкивался с подобным, хорошо помогла следующая вещь http://www.cgsecurity.org/wiki/TestDisk_RU

simplix, было бы неплохо в шапке рядом с номером версии указывать дату.

Всем привет и Спасибо нашему Админу - simplix за постоянную помощь :)
Недавно словил блокировку Виндов, успешно вылечил и согласно рекомендации выкладываю подозрительный файл.

Поворчу немного :(
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.
Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.

hal
Согласен. То же самое подумал, но не стал писать. Перезалил файл от A_B
http://rghost.ru/38020407

Нестандартный MBR http://clck.ru/d/dDH6eSD114IiO

hal сообщает:

Поворчу немного :(
Не пользуйтесь всякими айфолдерами, рапидшарами и прочей рекламной шнягой, когда есть нормальные файлообменники типа rghost.ru.

Нет никакого удовольствия отгадывать коды и ждать минуту для скачивания файла.

Написали как укрупненный ветеран, хотя свое ворчание вполне можно было изложить в пределах одной строки.
Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.


МВТУ, thanks:)

A_B сообщает:

Однако, настоящий Ветеран, если он профессионал в своей основе, начинает с ворчания а заканчивает свой монолог профессиональным ответом на запрашиваемый вопрос.

Однако, достаточно проблематично профессионально отвечать на вопрос, который не был задан...

simplix сообщает:

art9
olzaruta
Первый вирус просто портит загрузочный сектор и не вымогает денег, поэтому разблокировать нечего и вылечить невозможно, нужно восстанавливать таблицу разделов специализированными утилитами. Второй блокировщик успешно лечится.

http://www.cgsecurity.org/wiki/TestDisk_RU
лечит, проверил уже 5 раз, собственно мануал можно почитать тут: клик

g0dl1ke
Это не лечение, а восстановление, то есть TestDisk является той самой специализированной утилитой, которая пытается восстановить разделы, причём 100% гарантии нет, что всё получится. Но когда таблица разделов удалена полностью и троян не оставил резервную копию - такими утилитами и нужно восстанавливать.

ну я так назвал :D
итог то один - все работает, вопрос в том, что имеет автор с убивания таблицы - ведь денег не просит...
или just4fun?

Новая версия AntiSMS 1.9, изменения в шапке.

АнтиСМС просил передать :)
http://memories.ks.ua/Drive2.bin

simplix сообщает:

Новая версия AntiSMS 1.9, изменения в шапке.

Спасип за искреннюю и бескорыстную заботу, доктор:)

simplix
уже три раза воспользовался данной утилитой (версии 1.8.5), все три раза она успешно выполнила свое предназначение, за что вам огромное спасибо.
от себя замечу, что даже на второй запуск утилиты уже в отремонтированной из под livecd системы (когда предлагается восстановить настройки сети) она не исправила в протоколе TCP/IPv4 сетевого соединения Получить адрес DNS-сервера автоматически (может это под полным восстановлением настроек сети и не подразумевалось).
от себя замечу что какие то отличные от значений по умолчанию (получать автоматически) значения в последнее время прописывают вирусы (вторая альтернатива правке hosts), после чего иногда практически никуда нет выхода, а иногда на определенные ресурсы (поисковики, социальные сети, сайты антивирусных компаний). например вчера, столкнулся с невозможностью открытия яндекса и подменой реального vk.com на поддельный, который повторяет дизайн и просит отправить sms для "верификации". при открытии яндекса вылазило во всех браузерах
http://yandex.ru/yandsearch?text=welcom … &lr=18. т.е. вирус был, нагадил, его удалили а, пардон, кучка осталась и мерзко пахнет.
у большинства дома роутеры, adsl которые уже сами настроены на получение и трансляцию актуальных DNS-серверов от местных провайдеров, да и по причине отсутсвия последних тоже в большинстве случаев эта опция стоит получать DNS автоматически (а вирус прописывает свои значения).
было бы замечательно если в будущих версиях это значение становилось дефолтным.
Еще раз спасибо за утилиту.

specialist
После сброса сетевых настроек поля DNS-серверов тоже устанавливаются по умолчанию, проверял. Может быть троян что-то дополнительно испортил в системе, в таком случае мне нужен или этот троян, или виртуальная машина с такой проблемой.

к сожалению эта машина более недоступна, но раз это уже реализовано, хорошо. будем считать разовой несработкой
еще раз спасибо за утилиту и ответ.

Если можно, в истории рядом с версией не помешала бы еще дата, от какого она :)

дата не че не изменит! функционал в шапке расписан всё равно (там же БАЗ нету антивирусных)
а если бы я делал я бы вообще не так (1.8.1)  версии обозначал, а просто AntiSMS L0516 (L-год, 05-месяц, 16-число. к SMI контроллеров так все производственные утилиты идут и мне нравится такая система). хотя у такой системы есть один маленький недостаток - после 26 года может возникнуть небольшая путаница в обозначении.))
PS: в утилите можно было такое ПОЛЕ (в котором можно выделить) сделать со ссылкой на блокировщик или на сайт (на порно сайтах их нету!) где его можно подцеппить (имено блокировщик, а не другую шнягу). т.к. у меня антивирус почти всегда в оффе (99%времени) и я не разу не подцеплял такую шнягу и думаю другим тоже интересно (может ктото эксперемент хочет поставить):lol:

Новая версия AntiSMS 1.9.3. Особая благодарность art9 за подробные отчёты и замечания.

1) Поддержка XPx64 и Vista планируется?
2) От каких SP используются файлы или они для всех одинаковы?

Yoti
WinXP x64 и Vista всегда поддерживались, но замена неподписанных файлов есть только в WinXP x86 и Win7 x86+x64, как самых распространённых системах. Поддержка малоиспользуемых систем возможно появится в будущем. Все восстанавливаемые файлы имеют последние публичные версии.

Программка СУПЕР!
Но сегодня лечил комп в котором Рабочий-Главный WindowsXP стартовал с папки WINDOWS.0 , а прога обработала папку WINDOWS - систему, которая стояла раньше (или не использовалась в данный момент) и Баннер остался :unknown:

simplix Хочу выразить огромную благодарность за проделанную работу. Сильная программа ! Прошла успешные тесты на имеющейся коллекции "заразы". Жаль не удаётся поймать её онлайн . Исколесила кучу порно-ресурсов в поиске.Благо,друзья помогали,делясь "уловом".
Всего наилучшего !
С Уважением к Вам .

Новая версия AntiSMS 1.9.4.

Fiolet, Core-2
Спасибо вам за тестирование.

Действительно, если в одном разделе было несколько систем (что очень нежелательно), некоторые из них могли не обрабатываться. Сейчас это уже исправлено.

simplix Огромное СПАСИБО за труд!!!:good:

Core-2
Частенько обновляются ссылки на сайты с Порно-Баннерами на сайте Malware Domain List, и конкретно на форуме www.malwaredomainlist.com/forums/index. … c=4625.255
Осторожно!!!:crazy:

Fiolet Спасибо большое ! Не знала . Пошла пополнять копилочку. Предупреждение об осторожности излишни. Ошибка исключена . :rolleyes:

simplix сообщает:

но замена неподписанных файлов есть только в WinXP x86 и Win7 x86+x64, как самых распространённых системах

Виста очень частая система на буках.

Доброго времени суток, вашей утилитой довел новенький здоровый ноут (запустил проверить работает или нет, чтобы на другом компе включить) до синего экрана смерти...

Riko сообщает:

запустил проверить работает или нет, чтобы на другом компе включить

Автор - Петросян, выложил посмеяться. Ок?

Yoti прости ничего смешного тут не вижу.
И ваще не ок на том компе столько инфы, которую терять нельзя


Но все равно БОЛЬШОЕ спасибо автору, на нужном компе сработало, ноут еле-еле откатил :good:

Yoti прости ничего смешного тут не вижу.

я тоже, но возможно дело в том, что тузла пытается восстановить надежные или стандартные параметры и при отсутствии цифровой подписи у нужных дров заменяет их на другие, которые тут работать не будут но они с подписью.
(например ACHI дрова без подписи могут быть заменены на стандартные с подписью). Возможно я и не прав

Я понимаю, шо тут не стол заказов и вобще я не по теме, да и стаж мой на этом форуме не позволяет писать шото там, где не положено, но обращусь к Core-2 тут (вдруг она на другие ветки и в личку не заглядывает)
Насоветуйте мне, добрый человек, файл boot.wim-установщик семерки, в котором всего ну ооооочень по минимуму. Чем меньше он в мегабайтах, тем лучше (и само собой меньше оригинального). А если вас не затруднит выпустить такой вариант или написать в личку КАК это сделать самому, то я вобще буду благодарен.

Riko
Всё бы хорошо, но вы предоставили настолько мало информации о проблеме, что фактически ничего не сообщили. Дело в том, что в AntiSMS реализовано множество защитных механизмов, которые предотвращают любое повреждение системы, поэтому вероятность того, что проблема у вас появилась из-за утилиты, практически равна нулю. Если же вы уверены, что программа стала причиной неполадки, и хотите помочь в диагностике, напишите - какой именно BSOD вы получили (можно фотографию экрана), пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

Simplix агромное спасибо тебе за твой труд благодаря тебе я компов 15 от порно банеров избавил не снялся только тот что сидит не на жостком диске   а в оперативе тот что стартует сразу после старта биоса и до загрузки windows и помимо снятия банеров твоя прога прекрасно востанавливает систему на днях у клиента полный зависон компьютера у мышки вечные часики не одна прога не запускается это гдето минуту продолжалось а патом мышка даже не шевелится после лечения твоей прогой все промблемы исчезли никаких зависонов все проги запускаются всё работает на ура,и у меня предложение давайте каждый будет сообщать какой антивирусник стоял на заблокированной банером системе чтоб люди могли знать какой антивирус следует использовать а какой на помойку.

simplix сообщает:

Все восстанавливаемые файлы имеют последние публичные версии.

А лечение vanilla xp проверялось? Например, в виртуалке.

svoit сообщает:

например ACHI дрова без подписи могут быть заменены на стандартные с подписью

simplix, это так?

MBTY сообщает:

Насоветуйте мне, добрый человек, файл boot.wim-установщик семерки, в котором всего ну ооооочень по минимуму. Чем меньше он в мегабайтах, тем лучше (и само собой меньше оригинального). А если вас не затруднит выпустить такой вариант или написать в личку КАК это сделать самому, то я вобще буду благодарен.

Полностью поддерживаю идею, хоть пока и не добрался до практики - первый ответ темы.

Rimer101 сообщает:

не снялся только тот что сидит не на жостком диске   а в оперативе тот что стартует сразу после старта биоса и до загрузки windows

Жаль, что для пользования компьютером не требуется димплом об окончании специальных курсов...

MBTY Почти не реально уменьшить меньше оригинала и , + с добавлением полезных функций. Мои загрузчики регулярно обновляются по мере возможности и с выходом новых Анти-СМС и ативирусных утилит.Так же есть наборы-конструкторы с плагинами по изготовлению модифицированных boot.wim и LiveCD&USB на базе Win7PE. Ресурс виден в профиле.
Не сочтите за рекламу.

simplix 
У меня установлена программка Mkey, в ней я забиндил на комбинацию клавиш действие: Убить задачю - она снимает активную задачю - Баннер, и дальше подчищаю хвосты uVS`ом.
И вот пожелания:
Можно ли добавить функционал к AntiSMS в ввиде установки (интеграции) в систему и последующих действий:
При нажатии определенной комбинации клавиш AntiSMS убивает все не системные задачи с последующей зачисткой системы.
А еще ОЧЕНЬ хочется, чтоб была возможность запускать AntiSMS в активной системе, даже для профилактики.:drinks:
А по окончанию работы программы, здорово былоб запускать MsConfig совместно с информационным окном, где указать - что включить.

simplix
С удовольствием предоставил бы вам эти данные, однако ноут вылечил, а сфотать или записать номер ошибок как-то в голову не пришло ))
Спасибо за ваш труд, прога очень стоящая (смотрел спосбы лечения от Dr.Web, Kasperskiy, Nod) вообще в сравнение даже не идет ))

simplix
По поводу использования в других WinPE - папка FILES должна находиться обязательно в корне диска или просто в одной папке  с ANTISMS.EXE ? И можно ли сделать второй вариант (если он конечно еще не сделан :) )

Riko сообщает:

simplix
С удовольствием предоставил бы вам эти данные, однако ноут вылечил, а сфотать или записать номер ошибок как-то в голову не пришло ))

А что мешает еще раз повторить?

art9
ноут еле-еле вытащил, почему-то все бэкапы оказались с каким то битым файлом. И вообще я досих пор не понимаю как он восстановился, потому что пока он это делал выдал ошибок 50 и это был последний бэкап... хотя все они до этого были исправны, а это значит, что глючит либо прога восстановления либо я не знаю что. Боюсь не спасти в следующий раз комп ))))

Yoti, svoit
Откуда вы придумали, что драйвера вообще обрабатываются? И в шапке темы об этом ничего не написано.

Fiolet
В активной системе AntiSMS работать не будет, используйте для этого антивирусы/песочницы. Также для этой цели есть AntiWinLocker.

Riko
К сожалению без вашего содействия эта проблема так и останется лично вашей, по одной только фразе "синий экран" выяснить причину невозможно. Без тех данных, которые я просил прислать, можно сделать вывод, что проблема была с самим компьютером.

А меня пропустил :oops:

korsak сообщает:

simplix
По поводу использования в других WinPE - папка FILES должна находиться обязательно в корне диска или просто в одной папке  с ANTISMS.EXE ? И можно ли сделать второй вариант (если он конечно еще не сделан :) )

korsak
Папка Files должна находиться в корне диска или в папке Support, второй вариант (расположение рядом с AntiSMS.exe) будет реализован в следующей версии.

simplix сообщает:

Yoti, svoit
Откуда вы придумали, что драйвера вообще обрабатываются? И в шапке темы об этом ничего не написано.

Не придумывал, уточнил =)

simplix сообщает:

второй вариант (расположение рядом с AntiSMS.exe) будет реализован в следующей версии.

Тоже жду.

Yoti сообщает:

Тоже жду.

Аналогично.:)

После успешного избавления от очередного локера, перезагрузился и обнаружил, что с рабочего стола пропали иконки, первой мыслью мелькнуло, что в системе ещё что-то порушено, а оказалось - стандартный функционал Windows
Галочку "Отображать значки рабочего стола" локер снял:


Пожелание - добавить это к автоматическим фиксам реестра, если возможно
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
HideIcons=0

Программа обновлена до версии 1.9.5.

AlexW
Спасибо за замечание, оно учтено в текущей версии.

В папке Files обрабатываются только текущие файлы, или можно добавить свои? Спасибо.

sceatch
Только текущие. Мне пока не встречались трояны, которые меняли другие системные файлы, если вам такой попадётся - пришлите имя файла и желательно сам троян.

simplix сообщает:

sceatch
Только текущие. Мне пока не встречались трояны, которые меняли другие системные файлы, если вам такой попадётся - пришлите имя файла и желательно сам троян.

Троян-блокировщик винды, подменяет системные файлы userinit.exe и taskmgr.exe http://rghost.ru/38256552 ( 2012 )
Троян-блокировщик ( для буржуйских винд) подменяет explorer.exe http://rghost.ru/38241656 ( infected ) и http://rghost.ru/38110899 ( infected )

olzaruta
эти файлы антисмс восстанавливает

Simplix, вот мой список, который проверяю обычно я, основные цели для вирусов, часть - цели текущие, часть - цели, которые однозначно будут инфицироваться в будущем. Список, думаю, не полный. (Часть уже присутствует в Вашем списке).

logonui.exe
userinit.exe
winlogon.exe
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\System32\csrss.exe
C:\WINDOWS\System32\services.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\netdde.exe
C:\WINDOWS\System32\clipsrv.exe
C:\WINDOWS\System32\locator.exe
C:\WINDOWS\System32\lsass.exe
ctfmon.exe

Плюс, "апплеты" системы (те, что с расширением .mmc) - тоже уязвимое место.

Это, конечно, в основном, работа антивирусов, но по теме, список что выше довольно уязвим.
Спасибо.

Хотелось бы поддержку восстановления файлов Vista. Скачать и выложить?

simplix Ваше изделие 1.9.5 работает на моих Live CD из папки Program Files (FILES и ANTISMS.EXE).Может правильнее чтоб они лежали в корне образа ? Или с выходом крайней версии это уже не имеет значения ?
Спасибо.

Друзья, наконец-то на свет появилась версия AntiSMS 2.0 - теперь в программе реализовано всё то, что было запланировано с самого начала. Утилитой можно смело пользоваться в любых случаях, на данный момент она справляется со всеми существующими блокировщиками, в том числе MBR-локерами. И в то же время имеет высокую скорость работы, малый размер, исключительную простоту использования и эффективность.

В этой версии формат хранения резервных системных файлов был изменён, а их количество пересмотрено и дополнено. В корне загрузочного диска находится файл SysFiles.exe - это и есть архив с необходимыми файлами для восстановления. Поддерживаются системы WinXP x86, Win7 x86-x64, Vista x86-x64. Файл SysFiles.exe можно держать как в корне диска, так и рядом с файлом AntiSMS.exe - кому как будет удобнее в своём WinPE.

simplix
Просто огромное тебе спасибо!

simplix
Премного благодарны (я и мое окружение) за Вашу бескорыстную и искреннюю заботу о нас! Просьба, если иногда кого-то "заносит" в переписках-просьбах, не берите это близко к сердцу, спаситель Вы наш :)

simplix
Большое Вам спасибо за такую программу! :good:

simplix
СПАСИБО ВАМ за ваши проекты и труд над ними!:good:

Грандиозная работа ! Спасибо !

simplix
Крутбл :D
Присоединяюсь к благодарностям.

Вчера только успешно использовал диск AntiSMS у давних клиентов. Диск оставил им, на всякий случай, рассудив, что денег я и без блокеров заработаю :cool:

Кстати, файл hosts не обработался, пришлось после AntiSMS вручную удалить блокировку vk.com и его зеркал.
Версия была 1.9.5.

hal
Вы бы прислали тот файл hosts, а то я пробовал повторить у себя и никаких проблем не выявил, hosts корректно обрабатывается на всех системах.

Прислать не могу, я его уже откорректировал.
Windows XP SP3 Simplix Edition

По памяти: после стандартной строки
127.0.0.1       localhost

стояли еще 4 строчки:

127.0.0.1      vk.com
127.0.0.1      www.vk.com
127.0.0.1      vkontakte.ru
127.0.0.1      www.vkontakte.ru

Всё правильно, записи 127.0.0.1 не меняются, чтобы не навредить другим программам. В данном случае эти записи добавил не троян, а программа LoviVkontakte.

было бы полезно, чтобы 127001 удался если заблокированы таким способом сайты антивирусов

simplix, спасибо дружище! Отдельное спасибо за SysFiles.exe :good:

Столкнулся с такой проблемой. У меня флешка 32 гб в NTFS была, ваша программа отформатировала в FAT32. Нельзя ли при форматировании добавить опцию с выбором файловой системы в AntiSMSusb.exe?

art9
Думается, такой функционал уже давно есть в утилите :cool:

При загрузке на ноутбуке вылазит синий экран с ошибкой - Stop: 0x000000B4 The Video Driver Failed to Initialize

art9 сообщает:

было бы полезно, чтобы 127001 удался если заблокированы таким способом сайты антивирусов

Неблагодарное это занятие - на одном вирустотале представлено 42 антивируса, а сколько ещё мелких антивирусов на свете... Искать, добавлять и отслеживать эти сайты не имеет смысла, учитывая что компьютер будет разблокирован. В инструкции рекомендуется проверить компьютер CureIt'ом, а он уже сам предложит восстановить пустой hosts, удалив из текущего все записи.

maks сообщает:

Нельзя ли при форматировании добавить опцию с выбором файловой системы в AntiSMSusb.exe?

FAT32 работает быстрее и больше подходит для флешки. Но если сильно нужно - воспользуйтесь DirectGRUB

maks сообщает:

При загрузке на ноутбуке вылазит синий экран с ошибкой

Значит BIOS вашего компьютера конфликтует с таким методом загрузки образа с флешки, при этом с диска этот же образ загрузится нормально, и эта же флешка на компьютере другой конфигурации будет работать. Не бывает абсолютно 100% беспроблемного способа загрузки образов с флешки, например создатели GRUB4DOS не могли протестировать его работу со всеми видами ноутбуков, и Microsoft не тестировали свои драйвера в такой конфигурации, и производители ноутбука не могут предусмотреть все варианты загрузки.

создатели GRUB4DOS не могли протестировать его работу со всеми видами ноутбуков

может я  не прав, но контроллеров USB и разных вариантов BIOS очень не много (в сумме хватит пальцеив одной руки), откуда же такое разнообразие и такая не совместимость (при том, что все стандартизовано)

Так для полноценной работы AntiSMS с WinPE нужно рядом положить SYSFILES.EXE из ISO образа?

mselin, именно так, на тот случай, когда системные файлы подменены.

Прошу помочь советом. Возможно, кто-то сталкивался с подобным. У меня 2 вопроса.
1. Касательно проприетарности WinPE. Пробовал вместо нее бесплатную альтернативу ReactOS, хотел протестировать в связке с AntiSMS, но пока не выходит. На реальном железе отказывается грузиться, в виртуальной ОС - траблы. Но значёк AntiSMS отображается, траблы судя по всему, из-за LiveCD-версии ReactOS. Вопрос - стоит ли вообще продолжать это, или кто-то уже тестировал и результат отрицательный?
2. Существует ли хоть один способ создать зашифрованную загрузочную флешку? Делал шифрование готовой загрузочной флешки с grub4dos через прграмму DiskCryptor, далее не эту же флешку ставил загрузчик DiskCryptor-а, grub в MBR при этом не затирается, но это не сработало. Что можно предпринять? Есть ли у кого-нибудь опыт в этой области?

sceatch
1) ReactOS !=Windows. С тем же успехом можно загрузиться с LinuxLiveCD и запустить AntiSMS под Wine
2) http://www.kingston.com/ru/usb/encrypted_security или же разбить флешку на два раздела. Маленький с TrueCrypt и большой с зашифрованными им данными

MBTY, спасибо.
1. А как же реестр Windows под Wine? Тоже будет работать?
2. Мне нужно будет грузиться с этой флешки. TrueCrypt не умеет встраивать свой загрузчик на флешку, а только на системный раздел или создавать rescue образ ISO, если не ошибаюсь. Даже если я создам 2ой зашифрованный TrueCrypt-ом раздел, grub все равно это дело не поймет.
На счет hardware-encrypted флешки, большое спасибо, раньше слышал как-то про нее, но когда занялся этим вопросом, про нее даже не вспомнил. А Вы не в курсе, если я сделаю из нее загрузочную, grub сможет прочесть iso файлы в режиме on-the-fly? По-моему, она (флешка) их только под уже загруженной виндой раскриптовывает на лету.
---
Из всего этого, для меня получается совсем мрачные выводы.
1. ReactOS, если даже на моей машине с LiveCD не пошла, что уж говорить об остальных, особенно кривых нетбуках. Отпадает.
2. Linux+Wine, похоже, тоже отпадает, т.к. в линуксах я не разбираюсь практически совсем.
3. TrueCrypt, скорее всего, не осилит такую связку. Если даже DiskCryptor не осилил.
4. Остается флешка с аппаратным шифрованием. И то, если она будет поддерживать расшифровку на лету в буте. И это будет неуниверсальный метод, т.е. не все захотят покупать такие флешки.
P.S.: этот вопрос надеюсь что не будет считаться офф-топом к данной теме, т.к. есть необходимость сделать полностью легальное решение, заменив проприетарный WinPE альтернативным свободным решением. Это для многих важно. Поэтому и прошу помощи опытных людей.

спасибо за прогу отчень помогла:)

svoit сообщает:

может я не прав, но контроллеров USB и разных вариантов BIOS очень не много

Если бы это было так, то вирусы уже давно заражали бы BIOS. Попробуйте прошить BIOS от одной материнской платы на другой и посмотрите на результат.

sceatch
Определитесь с терминологией, проприетарное - не значит платное, даже с открытыми исходниками ПО может быть проприетарным. Скорее всего вам нужно сделать так, чтобы ПО было лицензионным, т. е. использовать WinPE полностью законно. Насколько мне известно, Microsoft разрешает использовать WinPE в своих целях за небольшую плату, для уточнения которой вам лучше позвонить им в офис.

Малость не в тему. За GRUB4DOS . Вчера купила ноут Samsung 300E5Z-S01 , bios Phoenix . Так вот , - не грузится ни один USB HDD на основе grub  , активаторы на его же основе приводят к полной остановке загрузки ОС. Думала , кривой один экземпляр . Проверена в магазине вся линейка . Все отказывались грузиться. Так стоит ли винить разработчиков grub ? Думаю , вся вина на местных "биосописцев" и производителей компьютеров , толком не протестировавших свои детища.

Core-2 сообщает:

Малость не в тему. За GRUB4DOS . Вчера купила ноут Samsung 300E5Z-S01 , bios Phoenix . Так вот , - не грузится ни один USB HDD на основе grub  , активаторы на его же основе приводят к полной остановке загрузки ОС. Думала , кривой один экземпляр .

Попробуйте поставить загрузчик syslinux, было пару раз, когда grub не грузил, а с syslinux'ом благополучно грузилось.

Yevgen16 Проще ноут поменять . Зачем такая недоделка после одного дня покупки ? Ради этого переделывать все флешки нет резона. Да и grub привычнее , распространённее , удобнее.

Да вот уж не богатая , чтоб позволять себе за такие деньги убитый или недоделанный ноут. Зачем мне гемморой за почти 22 т.р.? Пусть меняют . Права то я , по сути.

Тема зарыта , нафлудили и так порядочно .

Ну смотрите сами... у богатых свои причуды :d

Приветствую автора. Предложение, если SysFiles.exe может реально понадобиться при лечении, может стоит его так же выложить для скачивания в шапке? Не многие же образ качают. У меня, например, куча своих LiveCD есть - зачем мне весь образ. А так приходится его скачивать и из него доставать SysFiles.exe, чтобы рядом с лечилкой положить.

Поддерживаю viprus :)

И еще вопрос: в SysFiles.exe три папки: Vista, Win7 и WinXP. Они просто распаковываются в TEMP, а дальше руками?

подскажите пожалуйста что именно востанавливает SysFiles.exe  или в каких именно случаях её нужно запускать а в каких достаточно запуска только AntiSMS.

имхо вы зря паритесь с SysFiles.exe. Прога сама распаковывает и берет оттуда нужные файлы. И руками запускать SysFiles.exe не надо

Кстати, новый exe файл теперь заставит сомневаться пользователя. Ведь если есть EXE  - значит его нужно запустить!

Rimer101
Не обращайте внимание на файл SysFiles.exe. Вам нужно только загрузиться с liveCD и нажать на ярлык "AntiSMS". Другими вещами не забивайте голову - утилита сама все сделает.

Здрасьте ,господа Админы форума и программы Антисмс!
Сёдня попробовал вашу прогу,записал на диск её, загрузился с него, всё запустилось ок.
Но дело в том,что я пробовал на абсолютной здоровой системе с Вин ХР.. в общем,после работы программы этой и ребута компа, у меня ОС вообще не загрузилась.. :lol:
Несколько минут висело "добро пожаловать" и всё.. Ни на что не реагировала система.
В общем,ваша удивительная прога что-то намутила там и винду мне загробила.. спасибо ,ребята! :good:  Пришлось использовать ERD commander и откатываться к точке восстановления.. благо,он помог.
В общем,жду Ваших комментариев.. почему такое происходит?

Алекс
я пробовал антиСМС  на нескольких здоровых компьютерах (win xp home; win xp pro; win 7) - ни разу проблем с запуском системы не было.
Если это действительно правда, то повторите эксперимент, сохраните логи АнтиСМС и выложите их сюда.

art9 сообщает:

Если это действительно правда, то повторите эксперимент, сохраните логи АнтиСМС и выложите их сюда.

а по Вашему- я прикалываюсь тут и  небылицы выдумываю?:D  нафиг мне это нужно?
канешно это правда. я только вчера об этой проге узнал,решил попробовать, и вот что из этого вышло- система просто заглохла..:(  логи выслать пока не могу,так как я откатился на точку восстановления.. если только заново повторять эксперимент,и потом логи эти искать.. ксати,где они хранятся? в какой папке должны быть после работы проги?

Алекс
Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.

Алекс сообщает:

пробовал на абсолютной здоровой системе с Вин ХР

Вы уверены в таком абсолютном и категоричном утверждении?
Лично я не могу так категорично сказать про свою ОС, хотя регулярно слежу за чистотой. Система без переустановки работает уже 21 месяц. Регулярно запускаю на проверку сканеры от различных антивирусов. Кроме отдельного антивируса стоит отдельный файервол. Однако, я прекрасно понимаю, что антивирусы могут обнаружить только те вирусы, сигнатура которых имеются в их базах.
Теперь по поводу вашего случая.
Утилита делает на системе определённые изменения. Некоторые из них:

• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.

Сам часто на своей системе провожу опыты с различными твикерами-улучшателями. Бывает, про это уже и забыл, а вот новые файлы, службы, драйвера от этого эксперимента потом дают о себе знать. Поэтому, даже если у вас "абсолютно здоровая" от вирусов система, то очень возможно, что-то было в автозагрузке "без подписи".

Алекс сообщает:

В общем,жду Ваших комментариев.. почему такое происходит?

Если действительно интересно "почему такое происходит", если это действительно не "камушек в чужой огород", то сделайте как написал art9. Сделайте образ системы, сохраните важные данные и повторите эксперимент. В случае ошибки AntiSMS, то вы только поможете исправить глюк и заслужите большое уважение в наших глазах. ;)

Sergikaz сообщает:

Вы уверены в таком абсолютном и категоричном утверждении?
Лично я не могу так категорично сказать про свою ОС, хотя регулярно слежу за чистотой. Система без переустановки работает уже 21 месяц.

Да,абсолютно уверен!Господа авторы проги,не надо меня за болванчика считать.. :) я сам в компах кое-чё шарю,занимаюсь иногда ремонтом и настройкой компов и ноутов ,и уже не один раз занимался ручным лечением компов от троян-винлоков без всяких дополнительных программ типа вашей..
Абсолютно уверен что моя ОС чиста, ваша вот работает уже 21 месяц,а моя с 2009 года (это сколько уже? ) , изначально был сделан образ системы Акронисом,с установленными дровами,программами и настройками под себя.. иногда откатываюсь на этот образ (где то раз в 2-3 месяца) ,дополняю его свежими програмками, и делаю новый образ..
Антивирусами регулярно проверяю. у меня стоит Outpost SS pro как основной, и изредка прогоняю Др. веб кьюрит. Система чиста и здорова,в этом я точно уверен.:good:

что касается моего случая,возможно ваша программа отключила что-то нужное из автозагрузки,поэтому у меня всё и повисло..
Кстати, по-моему это не совсем правильно- то что программа отключает всё что попадя без цифровых подписей.. :shock:  как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?..
в общем,я думаю- надо Вам поразмыслить более конкретно над тем,что должна отключать программа,а что-нет..

Будет свободное время,повторю эксперимент и скину логи.

Алекс
На чистой Windows программа неможет отключить ничего нужного.
Так что как Вы сами должны понимать закавыка в комлексе программ которые Вы савили на чистую Windows.
Да и логика программы правильная, поскольку программа предназначена для работы с зараженой, заблокированой системой, то правильно считает все неподписанные автозагружаемые программы потенциально опасныим.
И согласитесь, если система не способна загрузиться без какойто сторонней программы в автозагрузке то она уже далеко не чистая.

как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?..

Для начала, юзерам (и не только им), надо ознакомиться с первым постом этой темы. В том числе и с "История изменений (раскрыть)". Тогда не надо будет задавать многие вопросы и шанс наломать дров будет сведён к минимуму.

Будет свободное время,повторю эксперимент и скину логи.

Да уж, это же так много времени займёт у такого опытного пользователя. Проще кинуть камушек в чужой огород и рассказывать всем какой этот огород беспонтовый, да поучить других как картошку окучивать.

На этом, лично я, флуд заканчиваю. Это абсолютно пустой разговор. ИМХО.

Sergikaz сообщает:

Да уж, это же так много времени займёт у такого опытного пользователя. Проще кинуть камушек в чужой огород и рассказывать всем какой этот огород беспонтовый, да поучить других как картошку окучивать.

На этом, лично я, флуд заканчиваю. Это абсолютно пустой разговор. ИМХО.

Уважаемый,Вы по-моему начинаете обвинять меня во лжи и провокации, что не совсем уместно в данном случае.. Или вы до сих пор думаете,что я это всё придумал что бы осквернить имя вашей проги? :lol: 
я ж сказал- будет время -сделаю эксперимент повторный!!
на это нужно время, хотя бы пол-часа ,час. нужно загрузиться с вашего диска,провести якобы лечение, потом загрузить мою винду (она опять не загрузиться) , потом зайти с флэшки Win PE в комп, найти там эти самые логи, потом откатиться через ERD на точку восстановления, и уже только потом можно будет о чём то говорить и скидывать логи вам..
По вашему это минутное дело?!  у меня щас комп занят,он мне нужен пока в рабочем состоянии, и нету пока времени на эксперименты.  Завтра примерно в это же время- возможно повторю эксперимент.
----------------------------------------------
И ещё... если прога мне действительно поможет при лечении клиентских компов, и окажется мне полезной, то я отблагодарю авторов денежным вознаграждением.
пока о ней ничего полезного сказать не могу..  но возможно ситуация изменится.
Sergikaz, и не надо глупостей про огороды молоть.. :unknown:
я сам заинтересован в том,что бы такая программа была и работала эффективно,и без лишних заморочек.. и мне нету ризона писать глупости и провокации в адрес программы. пишу как есть,по делу.

По поводу SysFiles.exe - не ожидал, что его начнут запускать, в следующей версии видимо переименую его во что-то нейтральное и выложу отдельно. Конечно SysFiles.exe не нужно запускать вручную, AntiSMS всё делает автоматически, просто использует этот файл в своих целях. А сделан он в виде архива для того, чтобы люди могли просматривать и изменять его содержимое для своих целей.

Других участников форума я прошу не обвинять в некомпетентности людей, которые пишут о проблемах - сам факт того, что они не отмахнулись, а пришли и написали свой опыт работы с программой, достоин уважения. А причину проблемы покажут дальнейшие тесты и отчёты.

Алекс
Спасибо за описание проблемы, в общем случае мне нужна такая же информация, как и здесь:

Пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

В отличии от этого случая у вас появился не синий экран, а просто висело "Добро пожаловать". Для начала можно выяснить, проблема возникает из-за редактирования реестра или файлов системы. Если вы перед запуском AntiSMS сделаете резервную копию папки C:\Windows\System32\Config, а после запуска утилиты восстановите её на место и проблема исчезнет - значит дело в реестре и отчёт из цитаты выше мне очень поможет в диагностике.

Алекс сообщает:

как потом юзер должен искать и возвращать обратно нормальные службы и элементы автозагрузки? ковыряться в куче настройках? а если юзер не совсем опытный и мало в этом разбирается?

Эта информация есть в первом сообщении темы, в инструкции для неопытных пользователей.

simplix сообщает:

Алекс
Спасибо за описание проблемы, в общем случае мне нужна такая же информация, как и здесь:

Пришлите в ПМ папку C:\Windows\System32\Config до запуска AntiSMS и после запуска, а также папку B:\Temp\AntiSMS из WinPE, и желательно папку C:\Windows\Minidump, если она существует.

Логи обязательно скину, но не сёдня. завтра возможно примерно в это же время.. я работаю днём, время свободное только вечером бывает да и то не всегда.:)

simplix,Спасибо за внимание. прога по отзывам вроде не плохая, но нужно её дорабатывать и допиливать.. :)

Вопрос к посетителям форума - у кого-нибудь есть аккаунт на хабре и желание опубликовать статью о AntiSMS от своего имени? Саму статью я написал и отправил в песочницу, но реакция админов несколько удивила - после почти недельной задержки они написали ответ, что топик не был одобрен, причём не указали ни одной причины или нарушения. Топик красиво оформлен и грамотно написан, песочница завалена статьями и похуже, в данном случае я считаю отклонение несправедливым. Целью статьи является только донесение до широкой аудитории компьютерных специалистов самого факта существования программы, ведь масса людей могли бы лечить компьютеры за пять минут, если бы просто знали о существовании этой программы.

simplix AntiSMS успешно распростаняется на многих ресурсах. И стоит ли унижаться перед неадекватными админами ? Нужно немножко подождать . Программа пользуется популярностью и спрос на неё будет постоянным пока не будут давать реальные тюремные сроки за кибер-мошенничество .
Готова разместить статью на нескольких ресурсах от Вашего имени , где мне это право дано людьми .

Core-2
Спасибо за помощь, но так как на хабре не приветствуется копирование статей с других ресурсов, то я бы дождался появления топика сначала там, а потом уже где угодно. Но это не значит, что на других ресурсах нельзя кратко добавить описание от себя со ссылкой на сайт, этого будет достаточно. Я не считаю админов хабра неадекватными, наоборот - люди замечательные, так как читаю его много лет и вывод небезосновательный. Но вот конкретно модератор песочницы не всегда понимает, будет ли статья полезна сообществу, и видимо при отсутствии личного интереса её убирает. Мне подсказывают, что случай не единичный - несколько лет назад статья, не допущенная даже в песочницу, была опубликована другим человеком и оказалась интересной обществу. Иногда и я недоумеваю - статья про твик, один-единственный твик, который элементарно гуглится, набирает кучу плюсов и добавлений в избранное, тогда как действительно полезная информация совсем не проходит. Ну да ладно, время всё расставит по местам.

Sergikaz
Логи моей проблемы все скинул админу, на все эксперименты ушло почти 2 часа личного времени.. 
Кто там говорил что разговор пустой и ни о чём? :unknown:
simplix
Спасибо за внимание, жду результатов исследования.. :drinks:

Алекс
2 часа - это явный перебор :)
Запустить утилитку - 2 минуты, перегрузка, убедиться, что не грузится - еще 5 минут максимум.
Перегрузить комп, загрузить WinPE - еще 5 минут, восстановить реестр - 2 минуты.
Полчаса - это с перекурами :drinks:
На этом оффтоп прекращаю.

Исследование отчётов Алекс показало, что проблема была в операционной системе - там полностью отсутствовали каталоги безопасности, поэтому и сама система, и все сторонние программы определяли системные файлы как неподписанные, и соответственно отключались AntiSMS с возможностью включения через msconfig. Эту ситуацию я смоделировал у себя и получил ожидаемый результат - система всё равно загружается, но так как большинство служб и автозагрузки отключено, то интерфейс больше напоминает безопасный режим. Такой случай крайне редкий и за всё время существования программы встретился первый раз, так что в следующей версии я добавлю ещё одну проверку, которая позволит проверять и повреждённую систему, но в этом случае лечение не будет гарантировано. Лучший вариант в этой ситуации, который на 100% решит проблему, - переустановка системы.

simplix
правильно ли я понял, что вызвать msconfig в этом случае все равно можно, и вернуть Обычный вариант автозапусков без шаманств?

art9
Конечно можно, на то и рассчитано, чтобы систему всегда можно было загрузить. Только когда большинство служб отключены вход в систему может немного замедлиться, у меня на тестах нужно было подождать на 10-20 секунд дольше, а вот почему у Алекс происходило именно подвисание - это уже особенности его системы, которые нужно исследовать напрямую (по интернету будет долго и не удобно), поэтому я и советую ему переустановку.

art9 сообщает:

simplix
правильно ли я понял, что вызвать msconfig в этом случае все равно можно, и вернуть Обычный вариант автозапусков без шаманств?

может и можно вызвать msconfig, но в моём случае это сделать было не реально.. "добро пожаловать" висело около 5 -ти минут, и я так и не дождался даже появления рабочего стола..
И кстати, повторюсь ещё раз- моя система не настолько уж страшна и запущена.. :crazy:
Всё работает идеально и без глюков, просто скорее всего это вина горе-сборщиков Виндоуса "зверь CD" - вероятно они что то намутили в этой "чудо-сборке" и большинство файлов оказались без цифровой подписи. но на общую работу ОС это никак в принципе не влияет,насколько я заметил за несколько лет..

Новая версия 2.1

1) Файл SysFiles.exe переименован в SysFiles.bin, чтобы люди не пытались его запускать вручную. Это по-прежнему обычный самораспаковывающийся архив, но вручную его запускать не нужно, программа работает с ним самостоятельно и при необходимости восстанавливает системные файлы автоматически. Файл может располагаться как в одной папке с программой, так и в корне диска. Скачать SysFiles.bin можно здесь.

2) Добавлена поддержка базы проверенных файлов программы Universal Virus Sniffer, за что её автору огромное спасибо. Обновления базы можно скачивать непосредственно на этой страничке или здесь (724993 хэшей в базе [14.03.2013]). Для использования в программе файл MAIN нужно переименовать в Hashes.bin и поместить в каталог с AntiSMS или в корень диска. Добавить файл в образ диска можно с помощью UltraISO. Сама программа uVS не требуется для AntiSMS, но вы можете дополнять базу проверенных файлов с помощью uVS, а потом подключать эту базу к AntiSMS.

Примечание: для использования с uVS версии 2.5 и выше прочитайте это сообщение.

hal сообщает:

2 часа - это явный перебор :)
Запустить утилитку - 2 минуты, перегрузка, убедиться, что не грузится - еще 5 минут максимум.
Перегрузить комп, загрузить WinPE - еще 5 минут, восстановить реестр - 2 минуты.
Полчаса - это с перекурами :drinks:

А Вы прибавьте ещё к этим пол-часам:
1)Зайти с другого вин PE (который кстати грузится чуть дольше,чем PE- антисмс)в комп,скопировать папку с конфигами системы,сжать её в архиве,выйти из вин -PE, зайти в рабочую ОС,зайти в инет, залить этот архив на файлообменник,скинуть ссылку админу.
2)После проведения эксперимента-опять зайти в вин -PE, скопировать уже изменённые конфиги ОС,сделать опять архив на них.
3)откатиться на точку восстановления через ERD-сommander, что бы можно было нормально заходить в ОС и работать дальше.
3) зайти в рабочую ОС, снова залить изменённые конфиги и папку Temp на файлообменник,скинуть ссылку.
Ну вот как раз 2 часа и получается.. ;)  Админ подтвердит :)
ладно,дело то не в этом, ради хорошей и эффективной проги  можно и потратить время.:drinks:
-------------------
simplix
"Сама программа uVS не требуется для AntiSMS, но вы можете дополнять базу проверенных файлов с помощью uVS, а потом подключать эту базу к AntiSMS."
не совсем понял.. для чего нужен uVS? он работает отдельно или уже встроен в анти-смс? или его нужно отдельно запускать?

uVS - это шикарная утилитка для лечения компьютеров от разных гадостей в ручном режиме.
АntiSMS делает примерно то же самое, но в автоматическом режиме, и предназначено для неопытных (или ленивых :D ) пользователей, в этом ее ценность.

hal
ясно:) но я думаю- антисмс предназначена в большей степени не для ленивых пользователей, а для сис-админов и для тех кто занимается настройкой-ремонтом компов.. :D  ленивые пользователи лучше позвонят и мастера вызовут,который приедет и всё сделает за них :crazy: ленивые узнают о таких вещах и программах самые последние,как правило... ))

Алекс
Админы при наличии времени и возможности предпочитают помучиться и c помощью AVZ, uVS и autoruns понять, где на этот раз разместилась очередная зараза :cool:

А AntiSMS хороша для тех случаев, когда нет времени или желания разбираться.
Или компьютер находится, к примеру, в другом городе, в таком случае проще объяснить юзеру, как записать диск и с его помощью провести лечение (если юзер достаточно подготовлен, классическим блондинкам метод не подходит).

Резюмирую - AntiSMS подходит более-менее подготовленным пользователям. Как вариант - совсем неподготовленным, если у них уже есть записанный диск.

Ребята!
Вот представляете - не могу оценить до сих пор AntiSMS. Никто из моих друзей, родственников и знакомых, кому устанавливал систему, не ловил никакой заразы. Устанавливаю в строгом соответствии с вот с этими рекомендациями. Возни много, соответственно, но себя оправдывает. Надо хорошо подумать, как сей процесс автоматизировать по запросу. Тем более, что разумные предложения от народа уже поступали, но все времени не хватает хорошо подумать - то праздники, то похороны.

потестил новую версию с базой безопасных Uvs - это вообще бомба. очень ювелирное удаление зловредных записей.
очень желательно включить в образ

Waterclo

Устанавливаю в строгом соответствии с вот с этими рекомендациями. Возни много, соответственно, но себя оправдывает

вот бы этот процесс немного автоматизировать по возможности (а то действительно  довольно сложен), например основную часть настроек уже внести в образ и с него ставить уже настроенною винду для безопасного пользования. А после установки дров ещё немного усилить защиту.

art9
В образ база пока не включается из-за большого размера, вместо этого есть видеоинструкция, как самому легко добавить базу в образ с помощью UltraISO. К тому же это дополнительный компонент, совсем не обязательный для работы программы.

Waterclo, svoit
Любая защита системы её же средствами упирается в ограничения, что именно пользователю можно делать, а чего нельзя. Вряд ли здесь можно предусмотреть универсальную конфигурацию ограничений, которая устроит всех пользователей. А им совершенно справедливо не понравится, что в систему встроены какие-то ограничения, которые нужно изучать. Для этих целей Microsoft придумала компромисс в виде UAC, а в WinXP ничего такого нету.

simplix
возможно ли выкладывать ссылки как с базой так и без? я бы знакомым советовал качать больший образ (все равно балванку будут юзать только для одной этой цели - места полно)

art9
Конечно можно, сам образ с базой есть здесь, размер - 42 МБ.

simplix
С базой наблюдается одна особеность, если в автозагрузку добавить следующее

REG ADD "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /f /v "virushi" /t REG_SZ /d "cmd.exe /C pbaner.exe"

то запись после проверки остается, если без базы то запись отключается.
В первом случае считается что cmd.exe легитим и запись остается.(надо проверять то, что запускается через cmd, а не сам файл cmd.exe)

simplix, хотелось бы иметь возможность работать с базами UVS-а (MAIN) без их переименования. Работаю из-под "пешки" и с UVS-ом и с AntiSMS-ом, а каждый раз менять название файла не хочется.
Это возможно? Хотя бы как вариант для тех, кому это нужно?

Waterclo сообщает:

Ребята!
Вот представляете - не могу оценить до сих пор AntiSMS. Никто из моих друзей, родственников и знакомых, кому устанавливал систему, не ловил никакой заразы.

У меня есть 2 троянчика-винлока в запасе.. :crazy:  хранятся в архивчике на моём компе. я их вытаскивал из заражённых компов клиентов, и оставил на память себе.. если надо- могу запросто залить куда-нидь на файлообменник и ссылку скинуть.
когда запустишь их,система заблокируется и сможешь проверить анти-смс в действии.. :)

а куда статья с хабра пропала?

g0dl1ke сообщает:

а куда статья с хабра пропала?

Да там админом один из SMS вымогателей пристроился . Достойнее выхода не нашёл .

http://webcache.googleusercontent.com/s … st/145288/

да, якобы ты перевел статью в черновики
жесть какая то, хабрам то какой профит от отсутствия софтинки на сайте?
аль касперский переживает :lol:

glax24
Принял к сведению, проверю этот момент, спасибо.

proto
Замечание справедливое, в следующей версии я добавлю такую возможность - файл MAIN можно будет держать в одном каталоге с AntiSMS.exe, при этом Hashes.bin тоже будет работать.

Core-2, g0dl1ke
Не удивлюсь, если подобный функционал появится в антивирусах, так как сейчас по части полной автоматизации аналогов программы не существует. Может это и к лучшему, главное что начало положено.

simplix
ну так то и ты можешь любого забанить на этом ресурсе ;)
просто обычно не наблюдал за хабравцами такого лютого баттхерта, как вчера
в принципе ничего не случилось: твое творение набирает популярность, тебя прекрасно знают в рунете (одна сборка винды чего стоит), а хабром больше/хабром меньше - погоды не сделает, разве что действительно выйдет "новый" касперский с функционалом antisms или аналогичная утилита с спец EULA.
так уже было с avz, правда там вроде все законно, вроде...
доброй ночи всем :cool:

Вот, где заблудшие люди ищут помощи: http://www.ixbit.ru/forum как только они этот форум находят..
А насчет "Habrahabr" я уже упоминал о использовании WinPE в коммерческих целях, из за чего далеко-подобная сборка на основе uVS была запрещена на форуме Касперского, хоть и была не коммерческой (бесплатной). Даже дали права Модератора, и позже все забрали : )
Думаю им выгоднее рекламировать свой продукт, а админам "Хабра" не охото получить по голове от Microsoft.

Пока на моих ресурсах просмотров AntiSMS:
- первый 859 просмотра
- второй 2141 просмотра
- хорошие отзывы : )
Но вскоре закроюсь, т.к. платный хостинг, могу отдать домен Вам simplix

g0dl1ke сообщает:

тебя прекрасно знают в рунете (одна сборка винды чего стоит)

Можно узнать о  какой сборке идёт речь? ссылку ,если можно, на описание.

Алекс
форум не такой уж и большой чтобы не найти.
https://forum.simplix.info/viewtopic.php?id=15

simplix сообщает:

в следующей версии я добавлю такую возможность - файл MAIN можно будет держать в одном каталоге с AntiSMS.exe, при этом Hashes.bin тоже будет работать.

Ждём . :good: Отличное решение. Работаю с обеими программами. И держать две одинаковые базы в одном образе LiveCD - лишь увеличение веса и времени загрузки.
Но тогда ведь придётся ложить файлы AntiSMS в папку с uVS либо прописывать в программе точный и единый путь к базам .

AntiSMS версии 2.0 обнаружил нестандартный MBR. Блокировки системы не было, утилита запускалась для профилактики.
http://rghost.ru/38534952

Core-2 сообщает:

Но тогда ведь придётся ложить файлы AntiSMS в папку с uVS либо прописывать в программе точный и единый путь к базам .

Тогда может уже пока сделать файл настройки для AntiSMS (AntiSMS.ini), где будет возможность менять путь к базам и системным файлам.

glax24 сообщает:

Тогда может уже пока сделать файл настройки для AntiSMS (AntiSMS.ini), где будет возможность менять путь к базам и системным файлам.

Для LiveCD есть другой выход

http://habrahabr.ru/sandbox/44916/

art9, Боги снизошли? :D Simplix forever :drinks:

Не избежен повтор алгоритма simplix монополистами , акулами АВ софта. Факт приимуществ AntiSMS давно уже очевиден. :good:

g0dl1ke
На этом ресурсе я крайне не хочу никого банить, такие меры принимаются лишь при значительной неадекватности человека.

Что касается соблюдения буквы закона, то для меня приоритетной является помощь пользователям, а не мифическая недополученная прибыль копирастов. До сих пор не было ни одной официальной просьбы что-то убрать с ресурса, вот когда Microsoft решит, что моя некоммерческая деятельность им мешает, тогда и буду искать решение этого вопроса.

Vitokhv
Насчёт домена написал альтернативное предложение в ПМ.

Core-2, glax24
Для выпуска новой версии нужны более значимые изменения. База хэшей uVS - всего лишь необязательное дополнение к программе. Но если вы используете две программы, то я не вижу никакой проблемы в том, чтобы поместить AntiSMS в каталог uVS, они не покусаются. Делать только для этого отдельный файл конфигурации нерационально.

Sergikaz
Принято. Всем другим, кто выкладывает нестандартные MBR - даже если я не пишу об этом в теме, всё равно их обрабатываю.

art9
Спасибо. Интересно, по какой причине эта статья попала в песочницу - только из-за того, что здесь обзор трёх программ, а не одной? Именно обзор программы был одной из причин моей блокировки, так было указано администрацией хабра. Надеюсь этого автора не забанят после того, как кто-то подарит ему инвайт.

simplix

дак этот автор- я :)
кстати, можно еще взять и потестить эти три софта на определенном количестве зловредов, потом сделать статью "тестирование анти баннерных программ 2012".  это более любят читать чем просто обзор какого то определенного софта

это более любят читать чем просто обзор какого то определенного софта

я наоборот не когда не читаю (или читаю ради того чтоб потрещать) ТЕСТИРОВАНИЯ! т.к. все тестирования (даже Ваше art9 - ХОТЬ В ЧЕМ-ТО) имеют свою корупционую или иную заинтересованую составляющую и вообще на вкус и цвет товарища нет
PS: я как то месяц-другой назад запустил АнтиСМС на своей чистой от вирусов английской системе и он мне сбил элементарные настройки системы (не автозагрузка и прочее - было неприятно очень т.к. еще я непонял почему это сбилось и что вообще сбилось - растерен маляшь был), так что идеала не существует .............

barsuk сообщает:

PS: я как то месяц-другой назад запустил АнтиСМС на своей чистой от вирусов английской системе и он мне сбил элементарные настройки системы (не автозагрузка и прочее - было неприятно очень т.к. еще я непонял почему это сбилось и что вообще сбилось - растерен маляшь был), так что идеала не существует .............

у меня примерно та же история.. :(  система без вирусов , но с повреждёнными цифровыми подписями (точнее- их вообще нету ,и куда пропали они-так и не понял.. :D ) , и на моей горе-системе анти-смс упорно отказывается корректно работать.  точнее- может она и корректно работает, но вин-локов не удаляет при этом.
И я вот так и не понял до конца - можно ли программу доработать ,что бы она нормально справлялась с вин-локами на таких же ОС как и у меня (без цифровых подписей) ? :unknown:
Это нужно не для моей системы конкретно (я её буду на днях сносить,ставить другую) , а вообще- нужно на будущее, возможно мне попадётся такая же примерно ОС на чужих компах.
что касается Хабра- почему все туда так стремятся попасть? :)
Инфа о анти-смс размещена на многих ресурсах уже и так.. нужно просто время для раскрутки, и вполне без Хабра можно раскрутиться ,я думаю.

art9
Теперь ясно, а то ведь там автора не видно. Сделать тестирование всех существующих разблокировщиков было бы замечательно, по аналогии с тестами антивирусных продуктов на коллекциях вирусов, только для объективности оно должно проводиться независимыми тестерами, а не авторами. В отчётах у вас очень хорошо получалось наглядно показывать проблемные места программы, так что если решите взяться за такое тестирование - уверен, оно поможет многим пользователям сделать правильный выбор.

barsuk
Утилита развивается в том числе благодаря отзывам пользователей, а так как вы не написали, какие конкретно настройки системы у вас сбились, то и решения не получили.

Алекс
Принцип работы утилиты основан именно на проверке цифровых подписей, поэтому без них корректно проверить систему не получится. Такие повреждения попадаются крайне редко (ваш случай первый за мою практику), вероятность встретить их близка к нулю.

simplix
, а можно ли как-то изменить поведение программы - что бы она успешно работала на ОС,подобных моей? или это не реально? ну там- код дописать, новые функции привентить к ней и т.д.. ? :)  можно ли,допустим сделать дополнительный режим в котором будут проверяться только подозрительные файлы в автозагрузке?  это же можно как-то реализовать наверно.. то бишь- проверяется автозагрузка и отключается всё подозрительное от туда, при этом ничего не проверятся в системных файлах.
Ну а потом уже переходить на обычный режим..

то бишь- другими словами, я хочу сказать что можно ли сделать разные режимы работы (проверки) в программе? а не один, как реализовано сейчас..

по-моему, в случае если в Windows проблемы с цифровыми подписями, то АнтиСМС должна просто об этом сообщить и дать совет переустановить нормальную Windows.
Такая Windows не должна использоваться.

Отличное предложение! :good: я кстати думал об этом тоже и хотел предложить,но как-то вылетело из головы. Симликс, можно ли в новую версию добавить такую функцию- программа после проверки будет сообщать что-то типа "Ваша Виндоус повреждена и не должна использоваться.. переустановите систему! "  , это в случае если проблемы с цифровыми подписями.

art9 сообщает:

Такая Windows не должна использоваться.

Совершенно согласен. Это далеко небезопасная операционная система.
Некоторые пользователи забывают, что главная задача утилиты "Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)". Она предназначена для лечения, для разблокировки ОС и совершенно правильно делает, что запрещает грузиться не подписанным файлам и их службам. Другой разговор, что более опытным пользователям полезно узнать побольше подробностей. В логе утилиты, после её работы, можно увидеть много строчек типа "Проверены и восстановлены важные ключи реестра пользователя  ....". Если бы добавить возможность записывать в логе все "важные ключи реестра пользователя", которые восстановила утилита, то это намного упростило бы восстановление в непредвиденных ситуациях.
Может, пора добавлять в утилиту поддержку дополнительных параметров командной строки? Что бы расширить функционал утилиты для опытных пользователей, а для простых юзеров так и оставить "работу утилиты в один клик".

В журнале версии 2.1 выводится соответствующее предупреждение, если системный каталог безопасности повреждён. Но я подумаю, как можно уведомить об этом пользователей, которые не просматривают журнал.

Sergikaz
В планах есть и резервное копирование реестра, и детальное журналирование исправленных записей. А что конкретно подразумевается под поддержкой дополнительных параметров командной строки, что именно будут делать опытные пользователи этим способом?

simplix
Обычные юзеры вряд ли просматривают логи и журналы.. они то впервые с программой может встретились,зачем им в журналах копаться ещё? :)  доработать функцию оповещения о повреждённых подписях обязательно нужно. ;)  может выводить после проверки большое сообщение прям на рабочий стол ? ну там где пишется "сейчас всё хорошо" , выводить сообщение :"всё уже очень плохо... "  :D , ну или что-нидь типа того. что бы пользователь сразу обращал на это внимание и понимал что у него беда с ОС.

simplix сообщает:

что конкретно подразумевается под поддержкой дополнительных параметров командной строки, что именно будут делать опытные пользователи этим способом?

Я подозреваю, что резервное копирование реестра и детальное журналирование исправленных записей (и много других дополнительных функций, которые в будущем можно добавить) будут занимать в работе утилиты намного больше времени. В тоже время, простого юзера совсем не интересует резервное копирование реестра, системных файлов, детальное журналирование исправленных записей и т.д. Ему бы поскорее вернуть к жизни ОС, разблокировать её. Я уверен, что простые пользователи даже не подозревают о наличии папки Temp на виртуальном разделе WinPE, где сохраняется важная информация и файлы. Для них эта папка не важна! Что бы не превратить утилиту в медленного, функционального монстра, я и предложил сделать возможность запускать расширенные функции утилиты через параметры командной строки. Если хочет пользователь подробно знать каждый шаг утилиты, сохранить весь реестр, сохранить системные файлы и т.д., пожалуйста - запускай утилиту из командной строки с нужными параметрами. Сиди и жди, пока утилита всё это отработает. К тому же, через параметр командной строки, можно сделать возможным запустить утилиту из-под самой, "живой" ОС. Так сказать, в целях профилактики, с подробным отчётом о выполненной "профилактике", о состоянии системы, с предложением просмотреть этот отчёт. Через командную строку можно прикрутить к утилите очень многие специфичные возможности и в то же время, она останется для простого пользователя утилитой для быстрого лечения, с уникальной  "работой в один клик".

Sergikaz
Для указанных задач совсем не нужно делать разграничение пользователей на опытных и неопытных, лучшим вариантом будет работа утилиты в максимально подробном режиме, но все эти подробности будут в журнале и резервных копиях. Журналирование любой степени детальности совершенно не замедлит работу утилиты, как и частичное резервирование параметров реестра. Все данные программа специально сохраняет во временной папке, которая существует до перезагрузки, таким образом специалист может при необходимости скопировать её для своих нужд, а обычного пользователя это не затронет и место на винчестере не отнимет.

simplix сообщает:

Сделать тестирование всех существующих разблокировщиков было бы замечательно

Написал небольшой тест (у art9 тоже есть тест) портит ключи автозагрузки, в тесте есть 4 разновидности банеров (можно заменить на свои вместо существующих, только с теми же именами).
Данный тест AntiSMS проходит, осталось протестировать остальные утилиты и сколько уйдет времени на лечение.
http://rghost.ru/38576382
Пароль на архив, имя архива.

AntiSMS - прогамма для удаления всяческих винлоков неопытным юзером.
Если Вы более опытны - юзайте спецпроги для обнаружения сохранения и удаления данных зловредов.
И нагружать лишним функционалом AntiSMS ( притом абсолютно невостребованым )  - имхо не стоит.

simplix
В сообщении после окончания работы , кроме "Все хорошо", не помешает краткая информация об отключенных сомнительных элементах - только как повод-напоминалка для корректировки автозагрузки и служб, например:

Отключено 5 сомнительных элементов автозагрузки
Отключено 3 неподписанные службы
Подробности в журнале во временной папке B:\temp\Antisms

Автоматическое открытие лога действий блокнотом было бы самое то, кажися.

Автоматическое может и не надо - а дополнительная кнопка не помешает

тестирование на предмет удаления баннеров разными автоматическими програмами еще требуется?

simplix сообщает:

Вопрос к посетителям форума - у кого-нибудь есть аккаунт на хабре и желание опубликовать статью о AntiSMS от своего имени? Саму статью я написал и отправил в песочницу, но реакция админов несколько удивила - после почти недельной задержки они написали ответ, что топик не был одобрен, причём не указали ни одной причины или нарушения. Топик красиво оформлен и грамотно написан, песочница завалена статьями и похуже, в данном случае я считаю отклонение несправедливым. Целью статьи является только донесение до широкой аудитории компьютерных специалистов самого факта существования программы, ведь масса людей могли бы лечить компьютеры за пять минут, если бы просто знали о существовании этой программы.

TO simplix
Готов разместить вашу статью на своих сайтах не сочтите за рекламу:
http://novirus.ks8.ru/
http://antivirusfagot.blogspot.com/
http://keydrweb.ru/

и причем тут ключи на дрвеб?

g0dl1ke сообщает:

и причем тут ключи на дрвеб?

Ресурс посещаем, какая разница, ключи или не ключи?

размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше?:D:lol: странно и подозрительно это будет выглядить!

Автоматическое открытие лога действий блокнотом было бы самое то, кажися.

а Вы уверены что у всех тем кто загадил свою систему есть блокнот вообще (хотябы его аналог)? а то будет пытаться открыть то чего нету)):D таким боком и сам файл блокнота (английский 69120кб ) придется бросать:shock:)) хотя най лайв-ве наверно он есть)) :) забыл что про лайв идет речь

Автоматическое может и не надо - а дополнительная кнопка не помешает

согласен. лучше не пугать людей.

barsuk

а Вы уверены что у всех тем кто загадил свою систему есть блокнот вообще (хотябы его аналог)?

Мы уверены, что загаженность системы не влияет на наличие блокнота в wnpe из под которой запускается antisms

предложение добавить удаление такого белого окна: http://www.cyberforum.ru/windows-xp/thread438451.html

Версия 2.1 его не удаляет.

https://forum.windowsfaq.ru/showthread.php?t=130614 - тут еще про него

Да частенько сталкивался с таким окном, но "грешил" на "криворукие сборки", т.к. проверка на "вшивость" не давала результата.

glax24
Спасибо, наверняка ваш тест пригодится тому, кто захочет написать статью о тестировании антиблокировщиков. Мне, как условно заинтересованному лицу, делать это нежелательно, статья должна быть объективной и беспристрастной.

korsak, MBTY
На данный момент я не вижу необходимости выводить эту информацию в конце работы программы, просто потому что она не будет нести никакого смысла. Какая пользователю разница, сколько и чего было отключено, если ему нужно всего лишь вылечить компьютер? Вся полезная информация есть в логе, открыть который можно парой щелчков при необходимости. Он-то и предназначен для специалистов, пользователь там может ничего не понять, и поэтому бессмысленно выводить его на экран для всех. Лично я смотрю лог очень редко и использую в работе первую инструкцию, т. е. запускаю AntiSMS и после перезагрузки ставлю в msconfig галочки где нужно. К тому же специалист наверняка прочитает описание программы и всегда будет знать, где находятся логи, а пользователю оно сто лет не надо.

g0dl1ke
Тестирование не то что требуется, оно желательно, если у кого-то возникнет желание написать такую сравнительную статью, которая поможет пользователям сделать выбор, какой же программой эффективнее и безопаснее пользоваться. Другие люди, прочитав статью, возможно захотят разместить её у себя на сайте. Никакого спонсирования у нас нет, ровно как и прибыли от этого проекта, поэтому распространение программы зависит только он нашего альтруизма и самих пользователей.

Вообще по сути автором программы считается не только тот, кто пишет её, а и все участники этого форума, которые помогают в тестировании, развитии и распространении программы. Это наш общий труд, так что вы сами можете решить, как участвовать в этом деле. Никакие ограничения на программу изначально не налагались.

FagotAdmin
Если есть желание разместить - буду только благодарен. Абзац выше относится и к этому виду помощи.

art9, happywanderer
Это окно убирается начиная с версии 1.4, если же у вас есть компьютер, где оно не убирается - пришлите пожалуйста его реестр, это папка C:\Windows\System32\Config.

simplix
к сожалению окно уже убрал с помощью AVZ (6-й таблеткой).
источник его появления не известен - не вникал , поэтому повторить ситуацию не могу.

simplix окна попадались ещё до того, как появился AntiSMS, поэтому не утверждаю что не лечит. Если и попадётся, то поверю и отпишусь. В основном  это попадалось на сборках типа Zver, Best  и т.п.

Сегодня провёл эксперимент на своём системнике. У меня в системнике стоит три винта и на них располагаются 5 различных операционных систем. Загрузился с WinPE, запустил AntiSMS 2.0. Скопировал папку Temp на флешку. Заглянул в лог, чего там AntiSMS "сделал хорошо". Меньше всего изменениям подверглась система супруги. Было заблокировано в Планировщике два задания от принтера НР из-за не подписанных файлов и из автозагрузки удалён dslstat.exe для USB-adsl модема (левые драйвера). С разделом Windows 8 разговор был короткий: "Операционная система поддерживается частично!" и только проверены, восстановлены  ключи реестра, да очищены временные папки. На моей Семёрке тоже мало изменений. Из автозагрузки удалён "updatemailru.exe не подписан и его служба отключена" - туда ему и дорога. Была отключена служба "DrWU.exe /$ervice не подписан и его служба отключена". Конечно, ничего страшного, зашёл да запустил опять службу, вернул настройки обратно. Только я вот одно понял, если бы я не посмотрел лог и не увидел, что DrWU отключён, то я бы потом через какое-то время стал бы голову ломать "почему у меня антивирус перестал обновляться". :unknown: Потому поддерживаю мнение, что на финальном окошке "теперь всё хорошо", надо добавить рекомендации дальнейших действий: 1. посмотреть (сохранить) папку Temp, почитать AntiSMS.log, 2. обязательно после загрузки системы проверить антивирусом, 3. запустить msconfig и восстановить нужные программы в автогагрузке и в сервисах. Главное напомнить, рекомендовать, а что будет делать после этого пользователь - это его проблемы. Продолжу рассказ о моих системах. Как я и предполагал, само больше изменений утилита сделала на "игровой" системе сборки Game-Edition. Восстановила из резервных копий 7 системных файлов, много чего поотключала из автозагрузки.
Так же отмечу, что msconfig везде отлично отработал, восстановил всё. Действительно, через msconfig легко и просто всё сделать как надо. Только вот теперь ещё юзерам надо понятнее объяснить, как запустить msconfig на их компе. :)
В целом, утилита отлично справилась на моём многооперационном системнике. :good:

art9
AVZ создаёт резервные копии автоматически, вы можете найти исправленные записи реестра в папке Backup\Дата.

Sergikaz
Интересно, каким образом автообновление DrWeb оказалось у вас неподписанным? Может это чья-то самописная утилита для его обновления? Ведь все модули официального антивируса должны быть подписаны, и обновляться он должен без всяких дополнительных программ. Если же утилита официальная - напишите полное название и версию антивируса, чтобы я смог проверить это у себя.

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения. Но решение не окончательное, я ещё подумаю, как найти компромисс между информативностью и ненавязчивостью.

simplix
Это утилита альтернативного обновления антивируса и она не подписанная. :oops:
Просто это пример, когда была отключена "личная", незаметная, тихая служба и если бы я не просмотрел AntiSMS.log, то ломал бы голову через 7 дней над загадкой. Это хороший урок для меня. Теперь я буду просматривать AntiSMS.log всегда, в любом случае. Но на чужих ошибках не учатся, а потому лучше всё же предупредить, напомнить. Можно, как уже советовали, на финальном окне прикрутить кнопочку "Рекомендации". Кому интересно - почитает.

Sergikaz
Вообще-то в данном случае нужно было всего лишь прокрутить список служб в msconfig и обратить внимание на снятые галочки, среди которых была и эта служба. По второй инструкции (msconfig -> Обычный запуск -> ОК) вообще не пришлось бы ничего просматривать.

Согласен. Я так и сделал. :)
Но я подозреваю, что многие вообще не смотрят AntiSMS.log, не заглядывают в msconfig, не проверяют систему антивирусом. Когда потом у них "не правильно" работает загрузившаяся система, они обвиняют в этом AntiSMS и переустанавливают систему.

Sergikaz
Предлагаю определить наши догадки в разряд наших фантазий.
Неужели из-за неисправности антивируса, из-за нелегального дополнения, пользователь будет переустанавливать систему? Не проще удалить антивирус и поставить другой?
В мануале кстати написано, что нужно запускать msconfig - это обязательная часть использования утилиты

simplix, потверждаю, ни версия 1.9, ни версия 2.1 "белое окно" не "берёт". файлы config сбросил в личку.

По-моему, все эти кнопочки и дополнительные сообщения - лишняя трата времени. Новые пользователи, знакомясь с новой программой, читают FAQ, что и как работает, а как иначе узнать что программа умеет и как с ней обращаться. Simplix все это понятно и доходчиво описаал на первой странице. А то этих сообщений с просьбами аж на трех страницах уже, надоело. Если уж добавлять, то единственное что можно добавить - это в финальному сообщению "Теперь все хорошо" на следующей строке - "Подробности в log.txt". Или же, что более автоматично, создавать в конце работы программы ярлык на msconfig.exe на реальной системе. Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

simplix сообщает:

Что касается сообщений после работы утилиты, я постарался объяснить свой взгляд чуть выше. В двух словах - опытные пользователи читают описание и знают, где искать логи, а неопытным оно не нужно, они не будут их просматривать даже после сообщения.

Суть предложения была не совсем в том чтобы делать указку на логи для непродвинутых, а для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено. То есть во второй ситуации смысл тупо в экономии времени - в случаях когда действительно "Все хорошо" :) 
Юзеру который возится со своим компом это не важно, а когда лечишь комп клиента - каждая перезагрузка на счету. Время - деньги. Да и в первом случае будет быстрее понятно - на чем акцентировать внимание.

happywanderer сообщает:

файлы config сбросил в личку.

можно на общее обозрение.

barsuk сообщает:

размещать статью о борьбе с вирусами на сайтах на которых всплывает куча неблагонадежной рекламы и тому подобного мусора - что может быть лучше?:D:lol: странно и подозрительно это будет выглядить!

В наше тяжелое время размещение на своих сайтах как Вы выразились, мусора, помогает поддержать штаны, например размещение мусора на своих 3 сайтах мне оплачивает интернет каждый месяц и даже на 3 месяца вперед.
А сайты да, посвящены тематике лечения вирусов, антивирусной тематике, и тематике администрирования. Двое из них посещаемые, а для общего дела (рекламы AntiSMS) это и нужно.

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.

sceatch сообщает:

Чтобы ненавязчиво, создавать в RunOnceEx в реестре, чтобы отрабатывала только один раз.

Я думал об этом, но вариант не универсальный - неопытный пользователь не будет знать, что делать с этим окном, если он не читал инструкцию. При этом система будет отлично работать даже без запуска msconfig, что для неопытного является более приемлемым вариантом. И соответственно те, кто читали или распечатали себе инструкцию, не нуждаются в автозапуске msconfig.

korsak сообщает:

для различения ситуаций - когда нужно последующее вмешательство через msconfig, а когда без него можно обойтись - то есть когда отключены явные зловреды, а неподписанных и подозрительных элементов не найдено ... когда лечишь комп клиента - каждая перезагрузка на счету

Опять же, если система не чистая, то что-то да будет отключено наверняка, учитывая сколько хлама установлено на среднестатистическом компьютере. Лучшим вариантом в данном случае будет просто запустить msconfig в рабочей системе после AntiSMS, при этом вы сразу увидите, были ли сделаны изменения в автозагрузке по вариантам запуска: "Обычный запуск" - изменений не было, "Выборочный запуск" - изменения были. Это действие занимает буквально секунды и не требует дополнительных перезагрузок.

Еще один:
http://memories.ks.ua/Drive1.bin

antisms 2.1 и зарубежный локер on simplix winxp

g0dl1ke
Локер обычный, такие лечатся, а ошибка ясно говорит, что места на разделе с временной папкой настолько мало, что файлы для восстановления не распаковываются. Диск B: с папкой Temp создаётся в памяти и занимает 40% от её количества. Если блокировщик не подменял системные файлы, то AntiSMS справится и без SysFiles, поэтому оставлена возможность продолжить работу программы.

машина старая, 128 sdrаm ;)
а то что мелькает фраза про win7, а система хр - это нормально?

simplix, может я немного не по делу, но подобные сообщения встречались выше (например, просьба в удалении белого окна через AntiSMS)
Теперь к делу: сегодня столкнулся с таким вирусом - не открываются скайп, опера, хромы, KIS 2012 и др. программы. Обнаружил вредоносный файл вот тут "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" параметр "AppInit_DLLs" значение "C:\Windows\system32\hdbuuyj.dll". ОС win7x64.
Как выяснилось "По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINE\Software\WOW6432Node"
Если возможно, добавьте в свою программы данное правило.

Уважаемый Simplix.
Спасибо за чудный продукт (AntiSMS).
С версией 2.1 Win_PE возникла проблема.
При загрузке с CD все работает, а вот если гружусь с МультиЗагрузочной флэшки (Grub) при запуске AntiSms - сообщение: "Sysfiles.bin не найден или поврежден".
До версии 2.1 все было OK.   Помогите !

Ab-Man37
присоединяюсь

g0dl1ke
Во временную папку распаковываются все файлы, а используются только необходимые. 128 МБ ОЗУ слишком мало, весь образ распаковывается в память, нужно хотя бы 256 для нормальной работы.

weldance
Спасибо, очень хорошее замечание, обязательно добавлю.

Ab-Man37, weldance
В GRUB'е нужно подключать FiraDisk, чтобы в WinPE было видно CD-дисковод с содержимым ISO-файла - на нём и находится нужный файл. Образ дискеты FiraDisk вы можете найти на флешке после работы AntiSMS USB Installer из шапки, там используется такое меню:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)

simplix
спасибо, поправил меню, всё работает.

у меня выглядит так:

title SimplixLiveCD
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/SimplixLiveCD.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/SimplixLiveCD.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

правда почему та иногда на старых компах не загружается меню или недозагружается
кстати, live cd из simplix winxp без проблем работает на 128 ram

g0dl1ke сообщает:

live cd из simplix winxp без проблем работает на 128 ram

Про работу winxp никто и не говорил, 128 ram мало для распаковки SysFile.bin.

simplix
Как же так, подмена локером файла logonui.exe и все AntiSMS отдыхает.

simplix сообщает:

Проверил - не подтверждаю, даже с базой запись отключается.

     

Что я делаю не так?

simplix сообщает:

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы)

Удалил все значения из System при старте нет белых окон.

glax24
Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.

О трояне на скриншотах - перепроверил ещё раз, у меня такие ключи удаляются. Тестировал даже с теми троянами, которые указаны на скриншотах. Попробуйте повторить то же самое на виртуальной машине, если получится - придётся прислать заархивированную виртуальную машину. То же самое и о белом окне - у меня конкретно в этой ситуации оно появляется, если у вас не появляется и нужно выяснить причину - присылайте виртуальную машину любым удобным способом.

я тож тестил антисмс с базой увс - старты тестового "зловреда" через cmd.exe были удалены.
(winxp pro sp3)

simplix наконец добрался до той машины, присланный Вами вариант AntiSMS "белое окно" удалил. Спасибо. :good:

simplix сообщает:

Файл logonui.exe не был включён в архив по двум причинам: 1) я не видел троянов, которые бы физически заменяли logonui.exe, 2) на сборках часто встречается модифицированный logonui.exe, у многих пользователей он будет заменён на стандартный и этому изменению пользователь никак не обрадуется.

А если в следующих версиях банеры начнут подменять файл logonui.exe? И поверьте пользователи будут больше радоваться обычному окну приветствия чем банеру. А что мешает пользователю после лечения вернуть свой любимый logonui из сборки? (только лишь наличие самого образа)

Новая версия AntiSMS 2.3
Основные изменения - реализация всех исправлений, которые обсуждались на форуме с предыдущей версии.
Новый SysFiles.bin - http://antisms.simplix.info/SysFiles.bin
Образ с Hashes.bin - http://antisms.simplix.info/AntiSMS.iso

Особая благодарность art9 и glax24 за помощь в тестировании, ваши отчёты и замечания сильно помогают в развитии программы.

glax24
Учитывая, что наконец попался троян, который подменяет logonui.exe, в версии 2.3 добавлено его восстановление. Но AntiSMS отличает трояна от модифицированного файла какой-то сборки, поэтому экран приветствия у пользователя не поменяется.

simplix
а куда пропала версия 2.2 ? после 2.1 сразу на 2.3 перепрыгнули? :D
в новой версии реализовано то о чём юзеры просили? - сделать после "всё хорошо" какое-нидь дополнительное сообщение о том что конкретно хорошо, или что всё очень плохо ? :)

Алекс
В версии 2.2 была маленькая ошибочка, поэтому тут же была создана 2.3. По поводу сообщений я уже неоднократно высказывался, смотрите лог после работы программы, там есть вся нужная информация.

simplix
Большое спасибо за программу.

А не планируется ли работа программы как в автоматическом режиме, так и в ручном? Может не актуально конечно, но неплохо было бы посмотреть где что сидит прежде чем править.

Scampy сообщает:

но неплохо было бы посмотреть где что сидит прежде чем править.

где что сидит - в большинстве случаев можно легко узнать через утилиту типа autoruns (она есть на сборке) . то бишь- в большинстве случае, винлока можно найти в автозагрузке под именем типа 37e32d80.ехе или ему подобных. но я встречал случаи когда винлоки тщательно маскировались, и даже в автозагрузке их найти не удавалось.

отличная прога автору низкий поклон

Программа супер, огромное спасибо :) Но вот если бы была возможность выбора опций, цены бы ей не было, не всегда вирусы такого типа делают то, что программа сбрасывает (точнее один не делает все сразу) поэтому хотелось бы выбирать какие действия производить.

Scampy, Yuretasdert
Смысл программы именно в автоматизации всех действий с поправкой на msconfig, а для опытных пользователей есть Universal Virus Sniffer.

Спасибо за поддержку проги !
Я знал про MBR , но попал 2 раза - не было инфы о вашей проги !

С тех пор слежу за вашей прогой на всяк случай!

удаления блокираторов

Первая десятка Тем (по количеству просмотров)
:oops::oops:
13145 

Скрытый текст (раскрыть): http://www.yaltanet.com.ua/forum/index.php?topic=290.msg1922#msg1922

simplix сообщает:

С белым окном разобрался, оно возникает в том случае, когда раздел HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System полностью пустой - это ошибка самой ОС, при этом в окне появляется каждый раз разный текст (иероглифы). В следующей версии утилита будет исправлять эту и некоторые другие ошибки, которые могут появиться из-за использования всяких чистильщиков реестра или троянов.

glax24 сообщает:

Удалил все значения из System при старте нет белых окон.

Как я понял ошибка в основном связана с winXP home (хотя не факт). Сегодня "вылечил" такую ОС таким вот скриптом:

Reg Delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "dontdisplaylastusername" /t REG_DWORD /d "0x00000000" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticecaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticetext" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "shutdownwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "undockwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "NoInternetOpenWith" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "LegalNoticeCaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v "LegalNoticeText" /t REG_SZ /d "" /f

лично у меня на ОС от simplix в этой ветке следующие параметры:

Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "dontdisplaylastusername" /t REG_DWORD /d "0x00000000" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticecaption" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "legalnoticetext" /t REG_SZ /d "" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "shutdownwithoutlogon" /t REG_DWORD /d "0x00000001" /f
Reg Add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system" /v "undockwithoutlogon" /t REG_DWORD /d "0x00000001" /f

+ 250kB к архиву с файлами если сжимать раром при добавлении 32 битной английской ХР сп3)
вот файлы (на случай если Вы хотите, но время нету на поиск файлов))) система обновлена по майские обновы) если надо могу прогнать по июнь)
http://rghost.net/38679816

также можно проверить что там с WIndows FLP (возможно что тоже самое что и в английской винде. но точно помню что загрузочный сектор отличается как минимум хешью, да и про обновлении с оригинала (сп2) до оригинальной СП3 файл загрузочного сектора тоже обновляется. хотя не думаю что много у кого она стоит :D. если надо то могу нарыть файлы))

simplix сообщает:

Но AntiSMS отличает трояна от модифицированного файла какой-то сборки,

Огромное спасибо, ювелирная работа!:)

simplix сообщает:

Новая версия 2.1
Добавить файл в образ диска можно с помощью UltraISO.

RGhost — файлообменник
Tweaks.rar (3.0 МБ)

Доступ к файлу запрещён: copyright violation.

GenAleks, Gore.dine.S, Алекс
Исправлено, файл выложен на другой файлообменник.

Уважаемый simplix
может быть лучше выкладывать на другие файлообменники файлы?
на ргхосте часто удаляют файлы за нарушение авторских прав.

simplix
Спасибо за прогу! Весчь отличная!!!:good::drinks:
Я не особо опытный пользователь и вот у меня появился  вопрос / пожелание:
Можно ли сделать так, что бы служба которая отвечает за раскладку клавы не пропадала из автозагрузки???
Простому юзеру тогда точно не придётся лезть в мсконфиг!
Спасибо!:)

TVR13 сообщает:

simplix
Можно ли сделать так, что бы служба которая отвечает за раскладку клавы не пропадала из автозагрузки???

Как правило в сбоках файл ctfmon.exe идет модифицированный (без цифровой подписи). А файлы не прошедшие проверку отключаются в автозапуске. Тут 2 варианта заменить этот файл на оригинал, или включать его в случае отключения через msconfig.

вообщето если этот файл без цифровой подписи, то антисмс должна его заменить на оригинальный.

Неподписанные системные файлы проверяются и восстанавливаются до проверки автозагрузки, поэтому автозагрузка раскладки клавиатуры не будет отключена на поддерживаемых системах.

Поддерживаю glax24 насчёт ctfmon.exe
У меня пару раз он откючался из автозагрузки на разных системах.

Fiolet
Вы какой версией AntiSMS пользуетесь? На WinXP x86, Vista x86-x64 и Win7 x86-x64 последняя версия не отключает ctfmon, т. к. он заменяется на оригинальный до проверки автозагрузки.

simplix
С новой версией все в порядке.:good: Файл заменяется и не отключается.
Fiolet
Обновите программу.

Да, Спасибо! С новой версией всё отлично!

simplix
С ctfmon теперь всё понятно,но тут подкралась ещё одна мыслишка:
Возможно ли сделать что то типа как в акронисе, загрузка проги при нажатии клавиши F при запуске системы????
Было бы очень удобно,образ где нибудь положить в системе, а  клавишой F вызывать его.
Отпала бы нужда таскать к родственникам , друзьям и.т.д флэшку или диск. Можно было бы тогда удаленно помогать им!

TVR13
Просто выставляете в BIOS приоритет загрузки CD -> HDD и оставляете им диск с AntiSMS, дальше можно и по телефону. Тот же номер с флешкой, но диск дешевле.

Логично!:D
Спасибо за подсказку!:drinks:

simplix
Будет ли обновляется образ AntiSMS+.iso при обновлении базы uVS?

Что то ни как не въеду с последней версией. Загружаюсь с флэшки и получаю типа не найден файл sysfiles.bin хотите продолжить без него и.т.п...хотя на флэшке он есть! Куда копать???:unknown:

TVR13
тебе сюда и ниже

weldance сообщает:

TVR13
тебе сюда и ниже

У меня меню лист отличается от этих. Пробовал эти , тогда вообще не запускается!
Вот как у меня и что где подправить надо?

title Start AntiSMS
map --unhook
root (hd0,0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

TVR13
тебе нужно подключать FiraDisk
т.е. я думаю, сделать надо как-то так:

title Start AntiSMS
map --unhook
root (hd0,0)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

но если честно, немного не пойму твой код

simplix,
Сейчас очень много пользователей, которые негодуют от постоянного появления в системе таких "полезных" штуковин, как бары от фирм в названии темы, Guard/защитники, спутники и т.п.
Это можно увидеть по поисковым запросам; по темам на хабре.

У моих знакомым обязательно этот букет присутствует. И бороться деинсталляцией абсолютно не эффективно - в следующий раз та же картина. Да и после удаления остаются остатки.

Может мой пост натолкнет вас на создание соответствующей утилиты, Удалятора навязчивого софта от mailru, yandex, qip и т.п.?

Как я понимаю примерно такой функционал:
1) завершение процессов всяких гуардов
2) деинсталляция
3) зачистка следов.

Т.к. эти файлы имеют информацию о создателе софта, то нет необходимости удаления по сигнатуре. Частое обновление удалятора будет не нужным.

Наличие автоматического удаления при загрузке Windows позволит держать систему неопытного пользователя в чистоте. А т.к. утилите не нужно будет сидеть резидентно, то она не будет отнимать ресурсы компьютера.

Например, после установки Агента МаилРУ "по умолчанию" получаем в автозапуске следующее:

C:\Program Files\Mail.Ru\Agent\magent.exe
C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
C:\Documents and Settings\ВСЕ ПОЛЬЗОВАТЕЛИ\Application Data\AlterGeo\Update for Html5 geolocation provider\html5locsvc.exe
C:\Documents and Settings\ВСЕ ПОЛЬЗОВАТЕЛИ\Application Data\AlterGeo\Update for Html5 geolocation provider\html5loc.dll
C:\Program Files\AlterGeo\Html5 geolocation provider\html5locsvc.exe
C:\Program Files\Mail.Ru\Sputnik\MailRuSputnik.dll
C:\Documents and Settings\ПОЛЬЗОВАТЕЛЬ\Local Settings\Application Data\Mail.Ru\MailRuUpdater.exe
C:\Program Files\Mail.Ru\Guard\GuardMailRu.exe

Все кроме запуска самого Агента - лишнее.

Думаю, что утилита будет востребована и обретет популярность.

Так тоже не пошло. Копаю дальше!

art9
При выпуске новой версии утилиты будет обновляться и база. Она не имеет большого значения, а кому нужно - обновят вручную.

TVR13
Протестируйте несколько вариантов:

1)

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
chainloader (0xff)

2)

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
root (0xff)
chainloader (0xff)

3)

title AntiSMS
map --unhook
root (hd0,0)
map --mem (md)0x800+4 (99)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/AntiSMS.iso;floppy,vmem=find:/DIRECT;\n\0
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

И какой результат после использования AntiSMS USB Installer?

art9
Соглашусь, идея разумная. Всех, кому устанавливаю систему, сразу предупреждаю чтоб не устанавливали никаких баров и гуардов, ибо это способ отслеживания интернет активности и утечки личной информации, благодаря которой можно огрести различные трояны, персональную рекламу и море спама.
Только вот зачем тему для запроса создал отдельную? Сообщение и без того не осталось бы без внимания. Впрочем, пусть висит пока. Думаю, если simplix-у не до этой проблемы, то может MBTY подумает.

Идея хорошая, но неужели до сих пор никто не написал программу для автоматического удаления этого хлама? Если так, то я с удовольствием возьмусь за этот проект.

simplix
Все варианты не подходят,я тоже тут несколько своих комбинаций попробовал результат тот же!:crazy:
Результат после использования AntiSMS USB Installer положительный,но мои флэшки 16-ти гиговки и не могу я их форматировать в фат32 так как они выполняют ещё и другие задачи в нтфс.
Использую я winsetupfromusb всякие ОС хр 7-ки акронисы, антивинлокеры ставлю без проблем, а вот анти смс последних версий ни как! Теперь сижу ломаю голову:crazy:

TVR13 Используйте версию на основе 7PE , грузите её из ISO.Не будет проблем.Версию предоставлю ,если надо.

Смотрите РМ. В UltraISO прежде удалите файл подтверждения загрузки с CD- BOOT\BOOTFIX.BIN

simplix
никто.

Waterclo
перенесите куда следует.

Предоставьте если не трудно!
Загоню её всё тем же winsetup....:drinks:

TVR13
Файлы SysFiles.bin и Hashes.bin могут располагаться как в корне диска (не флешки, для iso нужен FiraDisk), так и рядом с AntiSMS.exe, так что если не получается первое - используйте второе.

simplix
:shock: В том всё и дело, что этих вероломных довесков развелось слишком много, а идея универсального удалятеля пришла art9, видимо под влиянием работы твоей AntiSMS.
Думаю надо объявить сбор инсталяторов этого опасного хлама, как MBR от блокировщиков, ибо оно приходит не только от поисковиков и "дерьмосоциальных" сетей, но может установиться и с разнообразным софтом.

А без  Grub с НОВЫМИ версиями ПРАВИЛЬНО грузиться можно ?
Со Старыми правильно грузил syslinux:
MENU LABEL AntiSMS
KERNEL /memdisk
APPEND iso raw
INITRD /antisms.iso
Теперь - ошибка SysFiles.bin.

Waterclo
Пока не нужно ничего собирать, этого добра на каждом углу хватает. Когда выйдет первая версия - создам отдельную тему, тогда и будем дополнять.

MiklF
В старых версиях просто не выводилось сообщение, когда SysFiles не был найден.

В общем понятно, одним грабом не обойтись. В следующей версии встрою FiraDisk в iso-образ, тогда дисковод будет создаваться с любым загрузчиком.

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! :drinks::good:

simplix
За такую прогу: downloader_turbobitua.exe ставит подобный хлам. По запарке забываешь убрать галки с довесков.

simplix сообщает:

В следующей версии встрою FiraDisk в iso-образ, тогда дисковод будет создаваться с любым загрузчиком.

Было бы неплохо!

Waterclo

то может MBTY подумает.

У меня видюха за 10 тыщ сгорела (не без моей помощи) спустя неделю после истечения срока гарантии. Я щас в унынии. С горя валяюсь на диване, деньги все брату занял, так что новая будет не скоро. Сидю на интегрированой от Intel i7. Короче я щас могу чо хошь програмировать. Ну я так понял simplix взялся. Кстати вопрос спрошу. Кто-нибудь замечал с какой приблудой ставится webalta тулбар для IE? Я у себя за месяц его дважды сносил и у бати откуда то взялся. Да и на ремонт приносят тоже с ним частенько. То всё время маилру защитники всякие были у вех, а теперь эта фигня. Никак не пойму ОТКУДА оно лезет.

TVR13 сообщает:

simplix
Все варианты не подходят,я тоже тут несколько своих комбинаций попробовал результат тот же!:crazy:
Результат после использования AntiSMS USB Installer положительный,но мои флэшки 16-ти гиговки и не могу я их форматировать в фат32 так как они выполняют ещё и другие задачи в нтфс.
Использую я winsetupfromusb всякие ОС хр 7-ки акронисы, антивинлокеры ставлю без проблем, а вот анти смс последних версий ни как! Теперь сижу ломаю голову:crazy:

Я так понял, что вы хотите добавить AntiSMS на уже созданную, загрузочную флешку форматированную в NTFS? Тогда надо учитывать ещё, что загрузка образа очень чувствительна к фрагментации на этой флешке. Когда отрабатывает AntiSMS USB Installer, то он на чистую, форматированную флешку копирует образ, нужные файлы и  всё записывается на неё цельными файлами. Всем советую, после добавления образа и дополнительных файлов на рабочею, загрузочную флешку, проводить дефрагментацию этих файлов при помощи WinContig. В случае TVR13 может и помочь.

MBTY
:( Да уж, сочувствую... :unknown:
Подобные тулбары ставятся обычно Java скриптами или элементами управления ActiveX, при посещении сайтов, разместивших у себя для заработка вредоносный элемент. Интернет обозреватели должны быть портативными (Pale Moon Portable, language packs - устанавливаются перетаскиванием мышкой файла на открытую страницу обозревателя) и с установленными плагинами для блокировки скриптов, неутвержденного VeriSign ActiveX, редиректов и фиксации "домашней страницы".
Могут они так же установиться с помощью загрузчика, который грузится по ссылке "скачать на высокой скорости". Пример - downloader от turbobit, skymonk от letitbit и подобное от других мудрецов. Благодаря этим загрузчикам в комплекте с заявленым содержимым обязательно в тихаря подгрузится ещё какая-нибудь хрень, оплаченая заказчиком.
Ещё можно огрести из контейнера - запароленого SFX архива, пример - TM FilePacker или SafeSurf и подобное.
А ещё способ распространения всякой заразы - сетевые игры, в том числе на "фекально-социальных" сетях.

man1948 сообщает:

После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! drinks

да,такое бывает.  Вам ещё повезло ,что просто системные файлы посыпались некоторые..
иногда бывает что и кое-какие из компонентов компьютера сгорают или ломаются после подобных скачков. и тогда уже анти-смс не поможет.. :crazy:
Поэтому,категорически рекомендую использовать ИБП (источник бесперебойного питания),что бы подобных случаев не возникало вообще.
Стабильное питание компа- это залог его долгой и без глючной работы. :drinks:

Новая версия AntiSMS 2.4
C хэш-базой uVS утилита работает в среднем на 35% быстрее.
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

В этой версии решено включить базу хэшей в состав диска, это немного ускорит работу программы и предотвратит отключение некоторых проверенных, но неподписанных файлов. Если же у кого-то медленный или дорогой интернет и понадобится диск на 30 МБ - пишите, сделаю (AntiSMS полноценно работает и без базы хэшей).

simplix
извиняюсь,а что дают Hashes.bin и драйвер FiraDisk ? если предыдущая версия допустим и так нормально работала, нужно ли мне обновляться на эту версию?

про приблуду от великой поисковой системы байду не забудьте (baidu.com)
PS: пути проникновения мне были не понятны (я и не разбирался - раза два-три подхватывал). или в самой большой библиотеке мира ихней подцепил (wenku) или на каком то родственном сайте (защитных механизмов кроме рук моих кривых нету). по наблюдениям у китайцев очень мало вирусов. по этому, когда я на их сайтах я раслаблен. даже если все стенки кучей всплывающей рекламой с китаежками голыми пестрят
PS2: ни каких других тулбаров никогда НЕ цеплял, на скок помню! поэтому меня интересует имено этот экземпляр :rolleyes:. удаляется в пару кликов но все же неприятно

simplix сообщает:

Новая версия AntiSMS 2.4
...В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk...

я так понимаю, теперь меню GRUB4DOSa будет немного по другому выглядеть (не так как тут)? не могли бы вы написать сам код меню для GRUB4DOS и Syslinux.
p.s. просто сейчас нет времени самому тестировать разные варианты менюшек.
p.p.s. и еще... последующие версии antisms будут собираться на основе версии 2.4 (т.е. с Hashes.bin и FiraDisk)???

возможно ли добавить такую функцию: если запуск антисмс с нажатой клавишей шифт, то база увс не используется? А то иногда нужно почистить автозапуск и др. случаи бывают, когда без увс надо.
в общем оба варианта запуска хороши. и оба нужны

art9
я в таких случаях заливаю на флешку два образа antisms и выбираю нужный... они весят-то около 30-40 м.

Алекс
Почитайте несколько последних страниц, эти вопросы много раз поднимались. Обновляться не обязательно, если возможности новой версии вам не нужны.

weldance
Работать будет и новое и старое меню. Минимальный вариант конфигурации такой:

Grub4Dos:

title AntiSMS
map /AntiSMS.iso (0xff)
map --hook
chainloader (0xff)

SysLinux:

label AntiSMS
kernel memdisk
append iso raw initrd=AntiSMS.iso

При этом AntiSMS.iso переименовывать нельзя, т. к. FiraDisk ищет его по имени.

art9
Для того база и была добавлена, чтобы снизить количество отключений легальных программ. Конечно, всё будет работать и без базы, но с ней - немного лучше, не хуже, поэтому отключать её тогда, когда она уже есть на диске, нет смысла.

simplix сообщает:

Новая версия AntiSMS 2.4
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

simplix Вы волшебник!:good: Спасибо!!!:drinks:

GenAleks, art9
Ваше обсуждение здесь.

simplix сообщает:

GenAleks, art9
Ваше обсуждение здесь.

Сори, промахнулся, исправлюсь

Спасибо.

С ув. Gennadiy

weldance сообщает:

TVR13
тебе нужно подключать FiraDisk
т.е. я думаю, сделать надо как-то так:

Код:

title Start AntiSMS
map --unhook
root (hd0,0)
map --mem /DIRECT (fd0)
map /AntiSMS.iso (0xff) || map --mem /AntiSMS.iso (0xff)
map --hook
root (0xff)
configfile /grub4dos.lst || chainloader (0xff)
map --unmap=0:0xff

но если честно, немного не пойму твой код

У меня лично замечательно работает следующий вариант menu.lst (Флэшка GRUB4DOS):

title SimplixWinPE + AntiSMS-2.4(PLOP!!!)
map /IMG/SimplixWinPE+AntiSMS_2.4.iso (0xff) || map --mem /IMG/SimplixWinPE+AntiSMS_2.4.iso (0xff)
map --hook
chainloader (0xff)

Прошу прощения у Simplix-а за некоторую модернизацию исошника :-((. Взял файл WINPE.IS_ из его
сборки Windows XP Pro SP3 VLK Rus simplix edition (x86) 15.06.2012 (там есть Total Commander, а я
без него жить не могу ;-)) )

Здравствуйте, форумчане:)
Нужен совет по поводу такой ошибки:
Выдается она программой MultiBoot USB
Записывала на флешку с помощью программы AntiSMSusb, пробовала и с grub4dos и с syslinux - выходит одно и то же. Как с этим бороться? Жду ответа:)

Katherine
При загрузке образ пытается распаковаться в память, а ошибка означает, что или образ повреждён, или памяти слишком мало (нужно >256 МБ).
MD5: 1e8dd991b2aa6dda2446d5817f458e68 *AntiSMS.iso (v2.4)

MD5 такой же, как у вас.
ОЗУ 2ГБ
надо попробовать без этой программы:)
___________
надо же, все получилось)
зато в программе до сих пор не грузится: все таки в программе проблемка)

Katherine
Не тестируйте GRUB+RAM на qemu. Никогда. маппинг напрямую - наздоровье, ram маппинг - глючит в зависимости от хрен пойми чего. То работает то нет

Спасибо автору за программу. Время, когда его нет, сильно экономит.

Единственный вопрос, что делать, если системный диск не С. (т.е. винда не на С)
Прога пишет, что винды нет. Может ключи какие-нибудь для запуска есть?

wwwmom
Программа обрабатывает все системы на всех дисках. Если она не нашла систему, значит её там нет, либо она настолько повреждена, что даже подключить реестр не удалось (система не загружалась и до работы программы). Попробуйте сначала выполнить Check Disk на рабочем столе, поставив две первые галочки.

Не запускается с флешки, падает в BSOD после заставки Windows XP.
Проверял на 2 компьютерах.

Classic
Пробуйте с другой флешкой и/или методом SysLinux. Если и это не поможет - пишите на диск. Метод загрузки с флешки не обеспечивает 100% гарантию.

AntiSMS попросил выложить нестандартный MBR: http://rghost.ru/38795389
На компе стоит Убунтовский бутлоадер, если что.
За прогу спасибо :good:

Метод загрузки с флешки не обеспечивает 100% гарантию.

жаль что даже раздел CD на флешки также никакой гарантии не дает

barsuk
AntiDust - средство быстрой очистки системы от навязчивых сервисов и других "легальных" троянов.
Про защитные механизмы я пояснял здесь. Установи то, что я рекомендовал по ссылкам и настрой систему - голова болеть не будет. Посмотри ещё моё сообщение выше, я дополнил его ссылками на очень хороший, быстрый интернет обозреватель и плагины для обеспечения его безопасности.
Я не в состоянии вспомнить, когда ловил заразу или переустанавливал систему. Никто из тех, кому ставил систему с подобными программами и настройками ничего не ловят. Всё время удивляюсь - откуда народ гребёт заразу?

XaHyMaH
Спасибо.

svoit
Это касается не только AntiSMS, но и абсолютно всех загрузочных флешек. У кого-то синий экран будет из-за самой флешки, у кого-то BIOS не поддерживает такой вид загрузки и так далее. Конкретно в случае с флешками вероятность успешного запуска составляет в среднем 95%, всё зависит от оборудования.

... синий экран ... - бывает когда порт Usb3

MiklF
:lol::shock::unknown: "... синий экран ..."
Надо бы оглашать, хоть для статистики характеристику оборудования, ибо пусть хоть Usb324 . Однако, там в FAQ есть предупреждения и рекомендации...

simplix
сёдня я запускал для пробы Антисмс 2.3 на ноуте приятеля, после работы программы появилось сообщение,что "обнаружен не стандартный mbr . пришлите его на форум.. "  короче я его скопировал из папки Temp. куда присылать- в личку или здесь?
это как-то поможет для развития программы? программа сможет MBR чинить? :)

Алекс
Поможет. Выкладывай на обменник и ссылку сюда.

ок,вот ссылка http://rghost.ru/38823951

версия 2.4 не работает из под hbcd 14 ((( выскакивают 2 мессаги с кракозябрами, типа окей окей, и все

Уважаемый Waterclo, Что за реакция ? Я объяснил когда возникает BSOD.

MiklF
Уважаемый, реакция стандартная. Стоило бы заглянуть сюда. Я может и не подарок, но стараюсь объяснить как умею... :unknown:

Тук тук. Я с советами как сделать мир лучше...
1) Кусок лога работы AntiSMS
Скрытый текст (раскрыть): Файл C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл %SystemRoot%\system32\Ati2evxx.exe не подписан и его служба отключена, создана резервная копия
Файл C:\WINDOWS\system32\ati2sgag.exe не подписан и его служба отключена, создана резервная копия
Файл C:\Program Files\Common Files\DeviceHelper\DeviceManager.exe -start не подписан и его служба отключена, создана резервная копия
Файл C:\WINDOWS\system32\msdtc.exe не подписан и его служба отключена, создана резервная копия
simplix
Мож стоит впилить в AntiSMS автозамену таких переменных на понятные начинающему юзеру пути? Тоесть Системрут назвать на с:\Windows. Видимо в реестре именно Ati2evxx был прописан таким макаром с переменной, но начинающий пользуватель может не знать что это за папка.
2) AntiSMSusb дюже грубо размер флешки считает. Флешка в парвославные 4 гигабайта посчиталась как 3. Обидно Скрытый текст (раскрыть):

2) AntiSMSusb дюже грубо размер флешки считает. Флешка в парвославные 4 гигабайта посчиталась как 3. Обидно

Вот это точно несущественно , главное  - форматирует , ставит образ , флешка грузится и РАБОТАЕТ !!!
А вот когда она бы 4-х гиговую флешку форматировала в 3-х тогда бы надо было бить тревогу !


P.S. Автору респект и уважуха !!! Всякие хвалёные антивирусы отдыхают или курят в сторонке ...

vovec79
simplix очень любит точность и Качество (с большой буквы) у своих проектов и степень существенности моего предложения определит он и только он.
P.S.

Алекс сообщает:

это как-то поможет для развития программы? программа сможет MBR чинить?

Шапка, которую некоторые не читают, сообщает:

Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.

За файлик спасибо, добавлю.

braid
HBCD не имеет поддержки русского языка, поэтому сообщения видно как кракозябры. Но это не значит, что программа не работает, просто вы так видите сообщение "всё хорошо".

MBTY
По первому пункту - лог предназначен для продвинутых пользователей, к тому же важно занести в журнал оригинальные строки, чтобы их можно было найти поиском в реестре. Если пользователь не знает, что такое %SystemRoot%, то журнал ему тоже ни о чём не скажет. По второму - число округлялось до целых, исправить вообще не вопрос (что уже и сделано).

simplix, дело в том,что на той системе где обнаружился этот не стандартный мбр , не было никаких троянов и винлоков! я запускал просто для пробы анти-смс там.
так почему же там не стандартный мбр появился? возможно ли это потому,что во время работы программы с CD ,в компе ещё стояла флэшка с другим(посторонним) лив-сд ?
Может антисмс распознала не стандартный мбр на флэшке этой? :unknown:

И я так же про маленькую информативность. Утилита работает безупречно. :good: Пришёл, запустил, перегрузил и радуйся. :D Совсем недавний случай. Пришёл к человеку, у которого блокер денежку запросил. Запустил утилиту. Утилита отработала, заглянул в лог-файл. Записей было мало, показала  конкретный подозрительный файл, который был удалён. Ничего нужного отключено не было. Перегрузил. Всё заработало как прежде. Дал обновиться установленному Нод 32 и показал человеку как надо проводить полную проверку. Антивирус ничего не нашёл. Перед уходом, посоветовал скачать Сureit и проверить систему ещё раз. Через полторы недели этот человек опять словил блокера (уже другого). Процедура уже стандартная, но когда заглянул в лог-файл утилиты, то не увидел там ничего конкретного. Только общие записи, типа:
"Проверены и восстановлены важные ключи реестра пользователя ....
Очищена временная папка пользователя ...
Очищена системная временная папка"
Никаких файлов не восстанавливалось, автозагрузка каких-то файлов не отключалась, копии файлов не создавались. То есть, в этом логе я не увидел никакого намёка на блокера (что это за гадость, где сидела, как запускалась). Однако, после перезагрузки система заработала нормально, утилита сработала отлично.
Я понимаю, что главное результат, но всё же хочется "знать врага в лицо" и как он запускается.

Sergikaz
дак, зловред находился во временной папке - если АнтиСМС будет помещать в карантин все содержимое временных папок, то это будет не разумно.

art9 сообщает:

зловред находился во временной папке - если АнтиСМС будет помещать в карантин все содержимое временных папок, то это будет не разумно.

Перемещать явный зловред никто не просит, его надо удалять. Меня интересуют способы запуска, где он был прописан в автозагрузке. Ведь зловред могут "прописать" в другую папку, не во временную.

Прекращаем здесь спорить "какой антивирус лучше"...

Алекс, al7eks
Ваши сообщения здесь.

Sergikaz, art9
Сейчас нет детальных записей журнала работы с реестром помимо стандартной автозагрузки, это запланировано на будущее.

simplix
такой вопрос: имеются много ПК с ОС win7 и winXP. Системы находятся на диске C. Можно ли скопировать antisms.iso на диск D и добавить его в загрузчик? С winXP (boot.ini) вроде разобрался... а вот с win7 проблема:(... если кто в курсе, скиньте как это сделать для win7 и winXP.
p.s. я думаю этот вариант будет попроще, чем всем раздавать диски/флешки.
p.p.s. и желательно чтоб можно было просто перезаписывать файл antisms.iso на более новую версию

---
есть конечно вариант через grub... но тогда, соответственно, меняется загрузчик (такой вариант не подходит)... в этом случае, кстати, antisms заменит его на стандартный winXP/win7?

weldance

этот вариант будет попроще

но не поможет против MBR Locker-ов, так что диски/флешки иметь все равно нужно..
А вот зачем antisms.iso обязательно на диск D: не сообразил..

есть конечно вариант через grub... но тогда, соответственно, меняется загрузчик

Grub можно добавить пунктом к загрузчику Windows и менять не обязательно..

mvk2000

А вот зачем antisms.iso обязательно на диск D: не сообразил..

эт только моё желание.... можно и на системный диск кинуть.

Grub можно добавить пунктом к загрузчику Windows и менять не обязательно..

если знаешь как - напиши или скинь ссылочку (на win7 и winXP)... я чет найти не могу, нашел только запуск win7 и winXP через grub.

Для прод польз Мы боремся с последсвиями !

2IP StartGuard следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.

http://www.yaltanet.com.ua/forum/index. … 32#msg1232

пока ничего не ловил с .....0

man1948 сообщает:

2IP StartGuard следит за реестром Windows и как только...

Программулинку использую даааавно, на различных OSях! Ресурсы не "кушает", а всегда на страже, т.е. "расскажет", если что-то добавится в Автозагрузку (папки или реестр); свежая всегда здесь и описание там же.

По мне так PTstartmon не плох.

2simplix

Программа обрабатывает все системы на всех дисках. Если она не нашла систему, значит её там нет, либо она настолько повреждена, что даже подключить реестр не удалось (система не загружалась и до работы программы). Попробуйте сначала выполнить Check Disk на рабочем столе, поставив две первые галочки.

Ну может быть у меня уникальный случай. Но система была живой и UVS справился.
Диск с виндой шел после всех дисков создаваемых кардридером.

Второго такого случая в практике не было, поэтому вновь проверить не могу.

man1948 сообщает:

2IP StartGuard следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.

я ещё много полезных программок могу подсказать, но все они (в том числе и вами рекомендованная) задает много вопросов и рядовому пользователю непонятно, что можно разрешать, а что нет...
p.s. были случаи - люди устанавливали Dr.Web Security Space и их Брандмауэр постоянно спрашивал разрешение на те или иные действия почти всего софта на ПК... сами понимаете, что эти пользователи в ужасе, т.к. понятия не имеют, что разрешать, что - нет

Для прод польз

К сожалению только для Для прод польз

Не знаешь - отвечай - нет !

Не так часто что то просится в автозагрузку.

А если что нухно всегда можно добавить ручками !

man1948
вот после таких советов у людей потом и блокируются браузеры, скайпы и т.п.:)

weldance
Если вам надо добавить в загрузчик Win7 образ  AntiSMS, то могу посоветовать утилиту EasyBCD 2.0.2. Через эту утилиту очень легко организовать разнообразную мультизагрузку в Семёрке. Есть в ней возможность сделать загрузку и с ISO-образа. Я кинул образ AntiSMS в корень диска С:, указал на него утилите и спокойно загрузился с этого образа, выбрав его при старте.

Sergikaz
спасибо.. попробую

Sergikaz Спасибо и мне тоже пригодилась!

Нестандартный MBR: http://rghost.ru/38900238

Доброго всем дня!

Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp. Пришлось воспользоваться программой конкурентом.

после загрузки с диска система не видела диска "С"

вполне возможно что вам нужно было бы программу вставить в другой лайвсд, а то в местном может не хватать дров для дисков в апчхи режиме

svoit
Согласен, можно еще при загрузки системы подсунуть дрова на дискете... Я про то, что LiveCD, скачиваемый отсюда, не годится для массового использования, со многими ноутами будут такие траблы. На мой взгляд нужно отказаться от XP, а LiveCD собрать на W7, тогда Продукт будет более универсальным.

А можно ли выдернуть все драйверы на ahci из дистрибутива с win7 и интегрировать в этот iso? Там ведь в принципе только inf и кое-где sys файлы? Или от семерки не подойдет? Уважаемый simplix, что скажете?

sceatch Есть варианты  AntiSMS на основе wim 7-ки с интегрированными драйверами SCSI SATA RAID IDE . Если надо.

sceatch
От Кочерги не подойдёт.

BeeBonus сообщает:

...Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp. Пришлось воспользоваться программой конкурентом.

пользуюсь LiveCD от Simplix несколько раз в день на разных машинах уже около года... проблем возникало 3-4 за всё время. На крайний случай на флешке лежит LiveCD с win7.

Core-2, Спасибо, бываю на вашем сайте, видел много хороших проектов, и вроде бы тоже тот диск про который вы говорили. Я просто хотел узнать про возможность иинтеграции в simplix win pe , т.к. пока он самый быстрый, и просто очень понравился. Да и железо не везде нормально тянет win pe на основе семерки. А некоторые экземпляры аж до 5ти минут грузятся.

sceatch
Может я лезу не в своё дело, но было бы больше пользы, если бы вы написали на каком "железе" WinPE-simplix не обнаружил винт. Какого драйвера Sata-контроллера не оказалась у simplix. Предполагаю, что интеграция всех возможных Sata драйверов в WinPE может привести к большим конфликтам этих драйверов и необоснованно увеличит размер WinPE.

Sergikaz
Всё верно, без характеристик железяки, разговор теряет смысл.

sceatch
Я же об этом и оповещаю народ в ПРЕДУПРЕЖДЕНИЯХ, только видно легче развести бодягу, чем дать сразу нужную информацию.

Я не помню точно какое железо было, но на 2 ноутах, оба куплены в этом году (Asus и HP, моделей не запомнил). Чуть выше на этой странице писал BeeBonus про проблемы с ahci, возможно он приведет характеристики своего железа. Я постараюсь узнать модели ноутов, хочется хоть чем то помочь. Насчет того, что с обилием драйверов будут конфликты, то это не так.

Я завтра напишу, чтто за система у меня

weldance сообщает:

имеются много ПК с ОС win7 и winXP. Системы находятся на диске C. Можно ли скопировать antisms.iso на диск D и добавить его в загрузчик?

Как уже заметили, это на спасёт от MBR-блокировщиков. Диск очень дешёвый, а на одно предприятие хватит и одного диска.

wwwmom сообщает:

Диск с виндой шел после всех дисков создаваемых кардридером.

Спасибо, когда мне попадётся такая машина - обязательно проверю.

Gore.dine.S
Спасибо, забрал.

BeeBonus сообщает:

Не помогла ваша программа, т.к. после загрузки с диска система не видела диска "С". Данной проблемы не было бы если загружалась W7, а не Xp.

Идея создания образа на основе Win7 витает давно, но у неё есть как свои плюсы, так и минусы. Главный минус - большой размер образа. Тем не менее со временем и такой образ будет создан, чтобы вероятность определения винчестера была ещё выше. У кого интернет дешёвый и быстрый, тем конечно будет предпочтительнее использовать новый WinPE.

Core-2 сообщает:

Есть варианты  AntiSMS на основе wim 7-ки с интегрированными драйверами SCSI SATA RAID IDE . Если надо.

А вы использовали чистый Microsoft Windows AIK, или дополнительно интегрировали туда свои драйвера контроллеров? Насколько мне известно чистый тоже неплохо справляется.

BeeBonus сообщает:

Я завтра напишу, чтто за система у меня

Было бы очень хорошо, нужна точная модель контроллера или рабочие драйвера к нему на WinXP.

simplix Я не использую Microsoft Windows AIK . Уж очень заумный инструмент . Есть более простые вещи от наших народных умельцев. А интеграцию драйверов делала лишь по просьбе одного пользователя , у которого были подключены дополнительные HDD через сторонние контроллеры. Если интересуетесь инструментом интеграции , то можете взять его для теста у меня на сайте >> Форум » Программы » "Хирургическое отделение" » Создание Windows PE (Windows 7)>> Creates_WinPE_v12 x86
Могу и сама сделать специально для Вашей темы образ на основе 7PE. Нужны лишь требования,пожелания, картинка фона. :)

MBTY сообщает:

Картинка фона без вариантов

Я серьёзно говорила. А эту картинку поставьте себе на рабочий стол.

Доброго дня,

Контроллер следующий:
Intel(R) 631xESB/6321ESB Ultra ATA Storage Controller - 269E

Core-2
очень хочу таки образ на основе 7PE.
Требование одно. Чем меньше вес, тем лучше.
Пожелание: Если можно - вкачестве основого лаунчера (или как там в 7ре это называется) использовать чего нить такое, что потом было бы возможно кастомизировать и набивать новым софтом.
Картинка фона без вариантов
http://savepic.net/3047815.jpg

simplix
MBTY
где-то год назад создал 7pe на основе Microsoft Windows AIK... оболочку использовал Total Commander. Размер правда ~156 МБ. Как сделать его еще меньше пока не знаю :(... хотя необходимости не возникало - грузится быстро, проблем с драйверами и т.п. не возникало.

Жаждущие - так сделайте себе такой антиСМС - если переключить HDD в IDE режим не умеете.
67 мв -
http://i43.fastpic.ru/big/2012/0630/de/ … 1b94de.jpg

Herz сообщает:

если переключить HDD в IDE режим не умеете.

есть уже ноуты без режима IDE (В БИОСе выбора нет), только ACHI, так что без вариантов... как пример, попался (HP Pavillion G) винты которого не видит даже образ Виндовс 7 (оригинальный). Без интеграции SATA драйверов не обошлось (

Core-2
Спасибо, позже посмотрю что к чему, помощь пока не нужна.

BeeBonus сообщает:

Контроллер следующий:
Intel(R) 631xESB/6321ESB Ultra ATA Storage Controller - 269E

Странно, это же обычный IDE-контроллер, с ним проблем быть не должно.

BeeBonus
Tак есть же "RusliveMicro" (со всеми интегрированными Masstorage ) от NikZZZZ размером ~45Mb. Найдешь на "ru-board" либо на трекерах. Пока я не встречал где бы она не увидела жесткие диски.

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

Vitokhv
вы ошибаетесь. b:/temp/antisms. при загрузке с lived переменная temp отличается

man1948 сообщает:

Не стандартно применил прогу! После скачка напряжения сети -  началась свистопляска с загрузкой Винды видмо побились какие-то системные файлы.
Загрузился  с LiveCD изапустил AntiSMS_2 с SysFiles.bin и о чудо Винда заработала ! :drinks::good:

с небольшим глюком- некоторые сайты перестали загружаться - к примеру http://lib.aldebaran.ru/

система -зверь- где искать заморочку ?

Первая десятка Тем (по количеству просмотров)
удаления блокираторов        9256

Скрытый текст (раскрыть): http://www.yaltanet.com.ua/forum/index.php?topic=290.15

man1948 сообщает:

система -зверь- где искать заморочку ?

тут ;)

Этот вариант я знаю. Не горит.Может есть другие мысли - где собака зарыта!

Есть желание покопаться - может ...

Проверить файл hosts - норма !

Почему некоторые ?

лог выложил http://rghost.ru/39077454

https://forum.simplix.info/viewtopic.ph … 725#p12725

3. Но важен результат - ИНТЕРНЕТ ЗАРАБОТАЛ !!!!!!

simplix AntiSMS +  AVZ + art9  Большое спасибо за помощь!!! :drinks:

man1948
выложите логи AVZ, UVS, hj,
посмотрим что у вас.
Только пишите в другую ветку форума.
например forum.simplix.info/viewtopic.php?id=114&p=5

Simplix, Привет Вам !
Спасибо за отличную программку :drinks:
Ковыряю потихоньку PE7, возникли некоторые затруднения с интеграцией AntiSMS, вернее подвеса который с ней идёт Hashes.bin и SysFiles.bin.
С Hashes.bin разобрался, поместил AntiSMS.exe  в папку uvs\SHA\ и запускаю :
"батником" (раскрыть):
ren MAIN Hashes.bin
wait 500
AntiSMS.exe
ren Hashes.bin MAIN
wait 500
explorer x:\Windows\Temp\AntiSMS\

А вот SysFiles.bin и папку uvs\STORE - в которой почти тоже что и в SysFiles.bin
подружить их между собой не получается (чтобы избежать дублирования файлов).
:oops:
Хочу предложить Вам такой вариант для - (Отдельная программа для использования в своём WinPE):
- добавить возможность работоспособности AntiSMS.exe в папке с программой UVS (или рядом с ней), чтобы она работала с содержимым папки uvs\STORE также как с SysFiles.bin, а с папкой uvs\SHA и файлом MAIN в ней, как с Hashes.bin.
Это несколько упростит и упорядочит PE-сборко-строительство :).

LeoZhu
Утилиты wait нет ни в ХР ни в 7ке, так что эта комманда будет вызывать ошибку. Батник то сработает, но пользователь будет видеть сообщение
"wait" не является внутренней или внешней
командой, исполняемой программой или пакетным файлом.

Vitokhv сообщает:

На Windows 7 не смог открыть %Temp%\AntiSMS
т.е. C:\Users\Пользователь\AppData\Local\Temp\AntiSMS

В каком смысле не смог? Папка %Temp% должна существовать в любом случае для работы AntiSMS, а если утилита отработала, то и соответствующая папка появится. Если не отработала, то покажет сообщение об ошибке, например что не удалось обнаружить системную папку.

LeoZhu
Файл MAIN не обязательно переименовывать в Hashes.bin, AntiSMS поддерживает файл MAIN, если он находится в одной папке с AntiSMS.exe
Папка uvs\STORE не нужна, так как у AntiSMS есть собственное хранилище системных файлов - SysFiles.bin

Как я понял, логи хранятся в оперативной памяти диска b:\Temp\AntiSMS
т.е. системный путь %Temp%\AntiSMS указывает именно на загруженную систему WinPE и после перезагрузки про логи можно забыть :)
Впрочем, это будет нужно только тем, кто знает где искать; ничего лишнего :good:

simplix
Вчера клиент ноут приносил с винлоком,подхватил его где-то на просторах рунета.. :D
попробовал через анти-смс 2.3 пролечить,удалось:drinks:. но я сначала предварительно нашёл его в автозагрузке через ERD и скопировал себе на комп.
Так вот,посмотрел логи после работы антисмс,там ничё не было указано про то,что отключена автозагрузка этого трояна.. он сидел под именем upndown.ехе ,но в логах его так и не увидел.. :unknown: почему так ?

Алекс
Троян сидел во временной папке и был удален до создания логов.

MBTY сообщает:

Утилиты wait нет ни в ХР ни в 7ке

Скрытый текст (раскрыть):
это мелкая 3-кило-байтная утилька для временной задержки в миллисекундах - wait
ещё есть не менее интересная 1,5 кило-байтная утилька для скрытого запуска приложения hidec
например из меню ТС
%COMMANDER_PATH%\hidec %COMMANDER_PATH%\Program Files\uvs\SHA\AntiSMS-st.bat
или так, запуск exe'шника  ( hidec 123.exe )
или так, запуск cmd'шника ( hidec 123.cmd )


Simplix
Не-e, я имел ввиду, если это конечно возможно, добавить возможность работы AntiSMS в папке с программой UVS (или рядом с ней), вообще без наличия файликов Hashes.bin и SysFiles.bin. Чтобы AntiSMS работала с содержимым уже имеющемся у UVS в папках STORE и SHA.
Т.е. чтобы можно было просто закинуть AntiSMS в папку с программкой UVS (или рядом с ней). И не добавлять в PE'ху - дополнительных 3,65 мегабайтов ценнейшего места которое "на вес золота" в в любом livecd или PE.:rolleyes:

Vitokhv
Всё правильно. Кому логи и бекапы нужны - копируют их себе куда посчитают нужным.

Алекс
Не все записи в реестре заносятся в журнал, некоторые просто исправляются.

LeoZhu
Раньше я не смотрел, где в uVS находится файл MAIN, теперь вижу, что лучше помещать AntiSMS.exe в основную папку, рядом со startf.exe - это и будет сделано в следующей версии. Однако AntiSMS полностью самостоятельная программа и полноценно работает без файла MAIN (он же Hashes.bin), также и файл SysFiles.bin всегда будет использоваться, независимо от папки STORE в uVS. К слову, папка STORE весит 36 МБ, а SysFiles.bin всего 3 МБ.

Simplix
Поделюсь своими результатами и своими пожеланиями к AntiSMS
1. Какими настройками сжатия 7-zip'а создавать архив SysFiles.bin
2. Структура расположения файлов в архиве SysFiles.bin строго так как есть сейчас ? (SysFiles.bin\Win7\x86\все в одной папке) или можно создать архив со структурой расположения по папкам как обычно они находятся в системе т.е. (SysFiles.bin\Win7\x86\WINDOWS\explorer.exe), (SysFiles.bin\Win7\x86\WINDOWS\System32\taskmgr.exe) ... и т.д. чтобы можно было заменить всё разом (копированием с заменой) и не искать какой файл в какой папке должен лежать, почему возникло такое пожелание нашу чуть дальше !
3. Провел несколько экспериментов "С полным отсутствием и подменой файлов на другие" на системе win7-32-rus-sp1-ult, из под PE7. ( AntiSMS запускался с наличием Hashes.bin и SysFiles.bin из одной папки ).
- Удалил explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо > explorer.exe восстановился всё правильно для нужной винды (восстановлен из резервной копии??)!
P.S.Скрытый текст (раскрыть):
Журнал работы AntiSMS, время - 2:49:28 09.07.2012

Найдена операционная система в папке K:\Windows
Операционная система опознана как Windows 7
Файл K:\Windows\System32\wuauclt.exe восстановлен из резервной копии
Проверены и восстановлены важные ключи системного реестра
Файл K:\Program Files\Classic Shell\ClassicStartMenu.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл %SystemRoot%\system32\imdsksvc.exe не подписан и его служба отключена, создана резервная копия
Проверены и восстановлены важные ключи реестра пользователя Default System
Проверены и восстановлены важные ключи реестра пользователя Default
Очищена временная папка пользователя Default
Проверены и восстановлены важные ключи реестра пользователя LocalService
Очищена временная папка пользователя LocalService
Проверены и восстановлены важные ключи реестра пользователя NetworkService
Очищена временная папка пользователя NetworkService
Проверены и восстановлены важные ключи реестра пользователя admin
Проверены и восстановлены важные ключи реестра пользователя admin
Все отключённые элементы автозагрузки можно включить с помощью msconfig
Резервные копии файлов находятся в папке X:\windows\TEMP\AntiSMS\09.07.2012-1\Backup

Работа AntiSMS завершена, время - 2:49:40 09.07.2012

- Удалил explorer.exe, создал копированием первый попавшийся exe'шник с именем explorer.exe > запустил AntiSMS > ... > Теперь всё хорошо  > explorer.exe не восстановился! (т.е. вирус сможет также заменить реальный explorer.exe собой - в практике такое встречалось - можно ли как-то организовать в AntiSMS чтобы он проверял контрольную сумму из файлов Hashes.bin и SysFiles.bin и при отрицательном варианте делал замену такого неправильного файла, а тот который был, копию в темп).
4. Вживил  в SysFiles.bin некоторые файлы которых там не было например regedit.exe. "удачно - т.е. AntiSMS не ругается на отсутствие SysFiles.bin и восстанавливает с него файлы при их отсутствии".
- Удалил regedit.exe > запустил AntiSMS > ... > Теперь всё хорошо  > regedit.exe не восстановился к сожалению, так как его не было в SysFiles.bin изначально, наверно из-за этого. Можно ли сделать так чтобы AntiSMS сверяла все файлы в SysFiles.bin, даже тех которых не было там изначально, с их реальным наличием в системе, и при отсутствии восстанавливала их из SysFiles.bin! Если это не возможно сделать, то тут бы не помешало то о чем я писал выше " создать архив со структурой расположения по папкам как обычно они находятся в системе"
5. AntiSMS ругнулся на X:\Windows\System32\imdsksvc.exe - и отключил его в службах и сделал бэкап (версия imdisk 1.5.7)
Уф! вроде пока всё!:)

Свойства архива
Кофиг файл SFX Скрытый текст (раскрыть):
;!@Install@!UTF-8!
InstallPath="%TEMP%\\SysFiles"
GUIMode="2"
;!@InstallEnd@!

А вообще это SFX архив - как душа пожелает, так и пакуйе. Лишь бы конфиг для него был таким же, как у оригинального

LeoZhu
explorer.exe не восстановился, т.к. вы поместили на его место первый попавшийся EXE с цифровой подписью. Например, если заменить explorer.exe файлом regedit.exe, то он не восстановится, т.к. у обоих файлов есть цифровая подпись.
Если explorer.exe будет заражен вирусом или на его место запишется троян, то файл будет восстановлен.

LeoZhu
Файл SysFiles.bin не предназначен для самостоятельного пополнения. Туда уже добавлены самые распространённые файлы, которые нужны для запуска компьютера. Добавлять, к примеру, regedit.exe не нужно, так как он не участвует в автозапуске и будет вылечен антивирусом (инструкция в шапке темы), иначе так половину дистрибутива можно добавить. Но если вам попадётся троян, с которым AntiSMS не справится - присылайте, будем смотреть его по факту. Об остальном всё правильно сказали MBTY и art9.

art9
simplix
понятно,спасибо за ответ.:drinks: ну,я хоть на деле убедился позавчера в первый раз,что Антисмс работает. :good: а то всё не получалось проверить её в действии..
кстати,нужен кому-нидь свежий троянчик? :crazy:

Simplix, MBTY, Art9 - Спасибо !!!
По AntiSMS все понял, еще раз спасибо, если что найду обязательно сообщу. Буду тестить AntiDust 1.0 - крайне полезна утилита будет !!! :)

Возможно не столь важно, но у пользователя сбивается программа AntiWinLocker подробнее тут.

Vitokhv
пользователю достаточно прочитать мануал к программе Antisms для решения его проблемы.
(msconfig)

Добрый день.
Не осилил прочитать все 23 страницы, может это уже проскакивало  в общем заметил вот что вчера, при загрузки с флешки с установленным AntiSms  появилась надпись типа нет системного диска или раздела, загрузился с LiveCD и заметил вот что, если система стоит на диске С то все ок прога работает на 5+ а если винт разбит на несколько частей и на диске С парочку скрытых файлов а все остальное аж на диске Н, кривые руки у людей еще не отменяли кто ставит систему, с такой бедой уже сталкивался кто? можно сделать загрузочную флешку чтобы она проходила по всем разделам?

dema777
AntiSms сканирует все диски и ищет на них системы, после работает с ней (ними, если их несколько). так что должно всё работать как положено.

Возможно ли подружить файл сервиса ServiceAntiWinLocker.exe без подписи?
SHA1: 96c097f599611a24f12613d8f0f14b71b257273f
MD5: c25ad8ca641c01e96c853a019a6420b5
VirusTotal

Vitokhv

Как вариант, прислать хэш автору UVS Кузнецову - он добавит ее в базу чистых, а эта база используется утилитой Antisms.

simplix
Administrator,

Вчера я поймал один блокировщик, а сегодня уже второй... естественно, удаляю их собственноручно (однако, сохраняю в архиве под паролем "на память").
Решил проверить эту программу (AntiSMS) - скачал образ, и записал диск. Запустил блокировщик (файл блокировщика находился на другом физическом диске), и убедился, что моя Win7sp1x86 заблокирована.
Загрузился с этого AntiSMS_CD-диска, и запустил программу с ярлыка на Рабочем столе - появилось окошко с сообщением "Буду делать хорошо..." и через время ещё сообщение - "Теперь всё хорошо". Перезагрузил компьютер, и Windows по-прежнему заблокирована.

Так какого хрена программа написала, что "Теперь всё хорошо", если Windows по-прежнему заблокирована?! - этим вопросом я начал поспешные и напрасные обвинения в адрес Автора программы AntiSMS. На второй день я во всём разобрался, и теперь редактирую этот свой комментарий, чтобы прояснить ситуацию, и принести свои извинения simplix.

Дело было так:
после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял. Возможно, именно этот случай привёл к тому, что программа AntiSMS не смогла разблокировать Windows, однако полной уверенности в этом нет, ведь Windows находилась на жестком диске, который замечательно определялся.
На следующий день переподключил свои жесткие диски так, чтобы все определялись в BIOS.
Скопировал блокировщик на его место по-умолчанию (C:\Users\имя пользователя), и запустил... перезагрузился, чтобы убедиться, что Windows заблокирована. Загрузился с AntiSMS_CD-диска, и запустил программу... после сообщения "Теперь всё хорошо!" перезагрузил компьютер, и убедился, что Windows больше не заблокирована. Для пущей убедительности, запустил блокировщик с другого жесткого диска -  AntiSMS снова разблокировала Windows. Таким образом, программа AntiSMS хоть и не удалила файл блокировщика (http://4.firepic.org/4/images/2012-07/1 … 4u5zf5.jpg), тем не менее разблокировала Windows, а это означает, что программа AntiSMS эффективная, и написана грамотным человеком!

P.S. на всякий случай проверил AntiWinLockerLiveCD версия 4.0.1 - тоже справилась с моим простейшим блокировщиком, но в 2 раза дольше, чем это делает AntiSMS, хотя и нагляднее (показывает что делает, и где находится файл блокировщика).

PROROK Сообщение своё позорное отредактируйте или удалите ! Вирусописцы не дремлют и изощряются по всякому. Возможно это просто новый вариатн заразы. И прежде чем писать такое громогласное заявление , сначала б прочитали отзывы и пост.
Автор AntiSMS работает над программой опираясь на отзывы ,тесты и помощь пользователей.
А тут припёрся PROROK . Сделал необоснованное заявление и свалил. Нет бы просто помочь людям в работе.

А программа СУПЕР ! :good: Аналога нет. Или Вы ещё скажете,что типа Каспер рулит !?
Каспер и остальные курят бамбук !

И по поводу Вашей ссылки на блокировщик :

PROROK
поймите Ваши слова были бы справедливы если с Вас брали деньги за эту программу. Нужно было не критиковать, а для начала прислать этот вирус автору, а потом уже рассуждать о чём то.
хотя в фраза "Теперь стало хорошо" мне тоже не очень нравиться)) лучше бы сделали чето типа: А теперь возможно всё хорошо;)

Core-2

Аналога нет. Или Вы ещё скажете,что типа Каспер рулит !?

все гениальное очень просто. а то что у каспера нету это незначит что они не могут. мне просто кажится что они и НЕ ХОТЯТ и в этом главная проблема. да и отчистка от вирусов системы не является функцией антивиурсной программы вообще, а делать хорошо людям бесплатно (livecd) у них наверно не модно или есть какието другие причины

И по поводу Вашей ссылки на блокировщик :

не думаю что файлы там проверяются на вирусы т.к. во всяком на драйвера прошивальщиков флэшек накоторые можно сказать все антивиурсные программы реагируют депозит не жалуется. возможно причина другая

на яндекс почему-то не загружается

на яндекс можно загрузить, но аккаунт заблокируется до удаления файла (дрвеб проверяет)

Core-2,

Аналога нет?! - AntiWinLockerLiveCD версия 4.0.1 (http://www.antiwinlocker.ru/antiwinlock … anual.html - это не реклама, а просто ещё один инструмент для нашей общей борьбы с блокировщиками.

PROROK Слышь ! Ты мне не тыкай тут. Я с тобой не корешилась.А по части инструментов понятия имею,будь уверен.
AntiWinLockerLiveCD версия 4.0.1 наконец то обновили.Уже ,думала ,забросили навсегда.Да и надолго ли его хватит,если опять забросят.

dema777
Не совсем понятно, что у вас происходит - AntiSMS не лечит систему, когда она находится на диске H, или вы только думаете, что она её не вылечит? Здесь даже был один отзыв, когда утилита не увидела систему, которая находилась после четырёх букв кардридера, однако я проверял и такой случай - всё работает. Дайте немного больше информации, чтобы я мог вам помочь.

Vitokhv
После выхода новой версии хэш изменится, так что сигнатуры файлов вряд ли будут добавляться в программу, для этого и предназначена база хэшей. Я не в курсе, как у автора uVS организовано пополнение базы - он самостоятельно добавляет туда хэши или есть форум с доверенными пользователями, которые пополняют базу. Можете попробовать найти эту информацию и отправить хэш им для пополнения базы. Сейчас я выяснил, что если в uVS вручную добавлять программу (правой клавишей мыши на файле, затем "Добавить хэш файла в базу проверенных"), то эти хэши не дописываются в файла SHA\MAIN, как я предполагал, а записываются в новый файл SHA1, который находится в каталоге uVS. В следующей версии AntiSMS я добавлю поддержку файла SHA1, чтобы пользовательская база проверенных файлов тоже учитывалась при поиске исключений.

PROROK
Никто ваш пост удалять не будет, мне важны все отзывы. Сообщение о том, что всё уже хорошо, сделано потому, что программа не может отличить вредоносный файл от безопасного, но сам принцип работы программы подразумевает разблокировку компьютера на 100%. Единственным слабым местом загрузочного диска, но не AntiSMS, является поддержка не всех 100% существующих контроллеров жёстких дисков, а когда WinPE физически не видит файлы на диске, то и AntiSMS сделать ничего на сможет. На данный момент этот вопрос решается использованием других загрузочных дисков на базе Win7 или WinXP с поддержкой множества контроллеров, многие авторы уже добавляют AntiSMS в свои проекты. Другие не очевидные слабые места выясняются благодаря таким отзывам как ваш, а если человек предоставляет сам блокировщик и помогает довести дело до конца - такая помощь бесценна для всех. К сожалению выложенный файл недоступен - "Такого файла не существует, доступ к нему ограничен или он был удален из-за нарушения авторских прав". Если не затруднит, закачайте его с более сложным паролем на rghost.ru для диагностики.

Пожалуйста, ведите себя здесь прилично.

simplix
Administrator

Как вы просили:
http://rghost.net/39158449

PROROK
Проверил - блокировщик самый обычный, AntiSMS его успешно лечит на тестовом компьютере. Значит причин, по которой программа у вас не сработала, всего две: либо WinPE не увидел вашего винчестера, либо конфигурация вашей системы была нестандартной.

Первый вариант на данный момент решается использованием другого WinPE, который видит больше контроллеров жёстких дисков, чем мой. Например тот же AntiWinLockerLiveCD 4.0.1 основан на Win7, который поддерживает больше контроллеров, чем WinXP - там в разделе "Инструменты" есть AntiSMS, на данный момент немного устаревшая версия 2.1, но и она справляется с вашим блокировщиком.

Второй вариант - нужно анализировать вашу систему. Для этого нужно заразить её этим блокировщиком и убедиться, что после перезагрузки он блокирует систему. Затем сразу после запуска AntiSMS скопировать папку %Temp%\AntiSMS (на моём диске это B:\Temp\AntiSMS) и реестр рабочей системы (Windows\System32\Config), и архив этих двух папок прислать мне в ПМ. Это очень поможет в диагностике, если мы имеем дело не с первым вариантом, а со вторым.

simplix
Administrator,
на виртуалке я не пробовал, а заражал свою рабочую Систему. Жесткие диски у меня старые, поэтому ваша программа их хорошо определила. Важным моментом является то, что я запускал блокировщик с другого диска, и соответственно в реестре путь к нему был другим (а по-умолчанию блокировщик размещается в С:-Пользователи-Имя Пользователя). Кстати, должен сказать и добрые слова в ваш адрес: в regedit в Избранное добавлены удобные ссылки. Вашу просьбу о зарожение моей Системы для сбора нужной информации отложу на завтра. А сейчас представляю вашему вниманию ещё один такой-же блокировщик (вашу программу на нём не проверял) - http://rghost.net/39158991   (Блокировщик в архиве под паролем REG, а архив в ISO-образе для надёжности).

simplix
запустил данный баннер и загрузился с флешки:

title Run AntiSMS
find --set-root /Antisms/Antisms.iso
map /Antisms/Antisms.iso (hd32) 
map --hook 
chainloader (hd32) 
boot

AntiSMS написал, что все хорошо, но в итоге баннер остался.
После загрузился с флешки:

title AntiSMS
map --mem (md)0x800+4 (99)
map --mem /XP/FIRA.GZ (fd0)
map /Antisms/Antisms.iso (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/Antisms/Antisms.iso;floppy,vmem=find:/XP/FIRA.GZ;\n\0
chainloader (0xff)

и всё ок... ОС работает
соответственно, PROROK что-то не так делал.
PROROK не нужно "плохо" отзываться о AntiSMS - моим знакомым она не раз помогала (100% случаев), хотя сам удаляю баннеры "ручками"

Спасибо. Софт быстро и качественно решает проблему с винлок.

PROROK
Если AntiSMS не видит файла по указанному пути, то не удаляет это значение, чтобы ничего не испортить. Но и поиск файла по дискам я считал пройденным этапом, так как удалось придумать для этой цели хороший алгоритм. Тогда будем ждать логи и реестр, возможно они покажут, что было не так. Ещё одна просьба - нужно будет сохранить реестр самой WinPE после работы AntiSMS, для этого достаточно выполнить команду:

Пуск -> Выполнить -> reg save HKLM\System %Temp%\System

Файл System во временной папке и будет нужным файлом реестра.

weldance
В первом случае баннер останется - вы же поместили AntiSMS.iso не в корень диска, а в папку Antisms. При выпуске версии 2.4 со встроенным драйвером FiraDisk я предупреждал, что драйвер ищет образ AntiSMS.iso по имени и в корне, иначе нужно загружать его вторым способом (через GRUB). При этом в первом случае должно было быть предупреждение, что файл SysFiles.bin не найден и заменённые системные файлы не будут восстановлены.

PROROK сообщает:

то есть почувствовал себя обманутым, и какая-то насмешка в этом сообщении.

А если бы программа выдала сообщение "У вас все плохо", вы бы еще больше расстроились, надо проще относиться к таким вещам.
Проверил 2 ваших блокера на своей машине, ничего особенного в них нет, антисмс с ними справляется. И после завершения работы антисмс можно проверить программой Autoruns  что автозапуск чист.(Пуск-Программы-AutoRuns)

simplix
а баннер от PROROK заменяет системные файлы?
хотя всё равно - главно AntiSMS сработал!!!!

weldance сообщает:

simplix
а баннер от PROROK заменяет системные файлы?

Нет системные файлы не заменяются.

а это нормально, что пиарившийся тут антивинлокер 4.0.1 использует antisms? :shock:

glax24
тогда почему он не сработал без SysFiles.bin?

weldance
Проверил - эти два блокировщика однотипные, у меня файлы не заменяли, лечение сработало и без SysFiles.

g0dl1ke
AntiSMS разрешается использовать всем в любых целях, тем более коллегам.

simplix сообщает:

dema777
Не совсем понятно, что у вас происходит - AntiSMS не лечит систему, когда она находится на диске H, или вы только думаете, что она её не вылечит? Здесь даже был один отзыв, когда утилита не увидела систему, которая находилась после четырёх букв кардридера, однако я проверял и такой случай - всё работает. Дайте немного больше информации, чтобы я мог вам помочь.

Сама программа пока не подводила, а вот WinPE не всегда видит диски с системой, прочитал ниже пару постов и понел над этим работают, значит будем ждать, спасибо за ответ

g0dl1ke
Вы так рассуждаете как будто здесь конкуренция, обе программы бесплатны, и многие кто пользовался не задумывался об оплате. Лишь только сложностью лечения, так как для каждого баннера в ручном режиме нужен свой подход и своя инструкция.

Core-2
От себя добавлю, что использую AWL для выявления поведения баннеров, чтобы знать их действия и уязвимости. Да программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

Vitokhv разве создатели антивинлокера не просят денег за свой продукт?
simplix какие именно файлы входят в состав SysFiles.bin и принимаешь ли ты пожелания по его составу ?

simplix
Administrator,
вы там это...   извините меня, пожалуйста :oops:

Свой поспешный комментарий я отредактировал.

Сегодня сделал всё, как вы хотели - скопировал (сохранил) нужные файлы до запуска AntiSMS и после завершения успешной работы вашей программы, но загружать в интернет эти файлы (354 МБ) для меня слишком долго (пол-дня), и в свете новых обстоятельств теперь бессмыслено (ведь программа со своей задачей справилась).

Так что ещё раз приношу свои извинения за преждевременные несправедливые обвинения в Ваш адрес, и благодарю Вас за понимание и тактичность.

AntiSMS - это безвозмездный труд профессионала своего дела simplix, который помогает всем людям эффективно бороться с вредоносными программами-блокировщиками!

g0dl1ke
SysFiles.bin - обычный архив, в котором уже собраны самые нужные файлы. Замена других системных файлов не влияет на загрузку системы, так что они будут добавляться по необходимости.

PROROK
У вас получился очень большой архив, давайте включим в него не всю папку Windows\System32\Config, а только файлы Software и System из этой папки. До запуска AntiSMS файлы можно не копировать, только после запуска нужны: эти файлы, папка %Temp%\AntiSMS и реестр из той же WinPE c помощью reg save (выше давал инструкцию). Так архив получится очень маленький, а самое главное - поможет найти причину, почему у вас утилита не сработала в первый раз.

UPD: Прочитал ваше сообщение:

PROROK сообщает:

после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял.

Если так, то логи можно не выкладывать, причина предельно ясна.

g0dl1ke
LiveCD бесплатен, насчет ПО это уже платная утилита устанавливаемая на активную систему, с пробным периодом на 30 дней.
Для удаления баннеров без использования LiveCD (нажали на соответствующую клавишу, определили файл баннера, удалили)
Все просто: кому-то нужно удалить баннер без лишних манипуляций, а кому-то необходимо найти сам баннер, и его действия, тем самым хотя бы на 1% защитив от такого троянца обладателей антивирусов.
К примеру безопасный режим: http://www.youtube.com

simplix
Спасибо за самую чоткую программу для лечения системы!
По просьбе программы выкладываю DriveX.bin файл для анализа: http://zalil.ru/33568415

Vitokhv сообщает:

... программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.

Есть повод удивиться. Довольно длительное время программа не обновлялась. А по части сторонних коментариев, скорее всего ошиблись. У меня есть своя голова , не малый опыт , терпение , и желание повлиять на ситуацию распространения подобной заразы в сторону её уничтожения . Любыми методами.

На данном этапе самым эффективным и простым способом является AntiSMS. Сбоев - 0. Так же как и у старого доброго uVS. Будем тестить и свежий AWL в составе сегодняшнего Live & Boot CD/USB .

simplix можно добавить winlogon.exe - его часто заменяют баннеры
Vitokhv и подразумевает коммерческое использование?
да и в целом, если я не ошибаюсь - любые livecd на базе *.win незаконны

Dr. MefistO
Спасибо, добавлю.

g0dl1ke
Блокировщики не заменяют winlogon.exe, это один из важных системных процессов, без него система не загрузится.

По поводу использования в составе AntiWinLockerLiveCD - во-первых AntiSMS не продаётся в составе этого диска, все могут загрузить его бесплатно, во-вторых делать ли свою программу платной - исключительно выбор автора. Никто ведь не ходит на работу бесплатно, а создание программ - большой труд, который требует массу времени и ресурсов, поэтому продавать свои программы каждый имеет полное право.

А что касается использования WinPE и других программ на этом форуме - они используются исключительно для увеличения популярности и доходов для своих авторов. Если кто-то из этих авторов считает иначе, программы будут убраны по первому требованию законных владельцев.

simplix, заменяют, точнее сказать - изменяют.
простой пример: есть сборки винды/твикеры, что вносят изменения в winlogon.exe, с целью изменения экрана входа в систему - с косметической точки зрения. Вирусы же (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D или баннеры) изменяют/заменяют файл, как например происходит с explorer.exe.
вообщем мое дело предложить, ибо 1 файлик в составе SysFiles.bin не сделает "погоды", зато может решить проблему, если потребуется.

g0dl1ke
Ресурсы экрана входа в систему находится в logonui.exe, для этого winlogon.exe никто не патчит. Его могут заражать вирусы, но AntiSMS - не антивирусная программа, и замена одного winlogon.exe, когда заражены многие другие исполняемые файлы, ситуацию не изменит. А вот если пропатченный файл заменить оригинальным на OEM-версии WinXP, то у пользователя слетит активация.

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя.

WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален.  В настоящее время известно более сотни вирусов, использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.

Simplix, возможно ли в следующей версии  AntiSMS сделать так чтобы например в папке Windows (или windows\temp) пролеченой системы появлялась папка antisms (с логами от этой ситемы) c тем же содержимым что и в рам диске PE'хи (%Temp%\AntiSMS\), на тот случай если забыл, или посмотрел и уже потом забыл (понадеясь на свою память), что там было, для админа польза - а юзеру все равно!
"P.S." (раскрыть):
так и планировал делать через батники и nircmd выводить сообщение о предложинии сохранять например на диске С: папку с логами, потому как бывают случаи, когда админ оставляет LiveCD юзеру на всякий случай и/или юзер сам пытается отремонтироваться, вот тут может и пригодиться эта фишка с сохранение логов (что и как делалось), хотя в вообщем-то в msconfig и так будет видно :), кроме списка восстановленых фаилов.

P.S.S. "Мысли вслух"
Добавил в архив SysFiles.bin фаилы из UVS (и плюс добавил на своё усмотрение немножко фаилов) в результате архив получился около 10,2 МБ благодаря тому что в 7zip дубли повторно не архивируются.
Неплохо получилось если б Вы с Автором UVS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, как-то так примерно.

да кстати  было тоже висел ms.exe   увидел через  uvs  . убрал, на всякий случай прошёлся anti sms 2/4  и всё капец висим на винлогонеее  , через лайв менял системные

С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe

и т.д  и через runscanner+ regedit смотрел ветки винлогон, и так же чистил

и тута тоже чистил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\

и по указке

запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст


всё равно висел на винлогоне!  при альт+таб  виден был винлогон

3 пальца не помогали как будто таск менеджера небыло.

короче пришлось сносить  ХР как не печально!

g0dl1ke
Спасибо, я в курсе как работает winlogon.exe. Попробуйте вручную заменить его на любой другой файл или найдите блокировщик, после замены winlogon на который система не падает в BSOD при загрузке, тогда можно будет вести речь о добавлении.

LeoZhu
Добавление такой возможности не планируется, чтобы не засорять винчестер пользователя, а в ряде случаев, когда блокировщик повреждает таблицу разделов, файлов вообще не видно до перезагрузки и логи нельзя сохранить на винчестер. Оправдание "забыл" вообще не принимается, нельзя целенаправленно загрузившись с диска для лечения от блокировщика забыть о такой важной детали; кому нужно - скопируют, кому не нужно - даже смотреть не будут. Как вариант, можете создать батник, который сначала запускает AntiSMS, а затем копирует папку с логами на винчестер или флешку.

trew911
Чтобы дать хоть какую-то информацию по вашему случаю нужно увидеть тот самый ms.exe, иначе угадывать, что именно он сделал, совершенно бессмысленно. Если он у вас остался - закачайте на rghost.ru с паролем virus.

Спасибо за программу, знакомый принес бук HP с баннером. Камперский секьюрити грузиться с флешки отказался. Нашел сборку софта, с Вашей программой, загрузился с LiveCD и вот пишу уже с этого ноут бука. После проверки, программа написала, что изменена таблица MBR. Вот, передаю на анализ файлы из папки Temp.

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

simplix
естественно сейчас я не найду готового семпла, но прецеденты имели место быть.
как в случае подмены explorer и userinit

При проверке вашей утилитой показало что существует нестандартный MBR. Вот ссылка на него Скрытый текст (раскрыть): rghost.ru/39192101

Vitokhv сообщает:

Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Этот путь ведет прямиком к експлореру. Проще говоря, нужно изменить в строковом параметре значение на explorer.exe

Новая версия AntiSMS 2.5

Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Сообщения теперь отображаются в Unicode - русский язык видно на любой системе, в том числе на английском Hiren's BootCD.

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

simplix
огромное спасибо за новую версию.отчень нужная вещь в нынешнее время.

total commander можно добавить в antisms.iso?

simplix сообщает:

Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.

Вот про это не понял.. :unknown: Симпликс,это нужно когда используется антисмс как отдельная программа на другом лив-сд? :unknown:  Не совсем понятно,и сложно для понимания простым обывателям..
Насчёт Тотал Коммандера - поддержу идею! было бы не плохо,если бы он был в сборке. :drinks:

место он занимает на много, а пользы over9000

Алекс сообщает:

...это нужно когда используется антисмс как отдельная программа на другом лив-сд?

Это нужно для совместного использования  AntiSMS и uVS в составе сторонних LiveCD&USB. В этом случае экономится место на диске.

Уважаемые ( Автор или другие посвященные ).
Версия 2.5 не грузится с МультиЗагрузочной флэшки. Сообщение:
" Error 60: File for drive emulation must be in one contigous area ".
Подобное уже было при переходе с вер. 2.0  на 2.1. Настройки в MENU.LST с FIRA у меня остались до сих пор. Вернул на флэшку AntiSMS.iso от прежней версии. Все работает.  ???
Сори. Вопрос снят. Дефрагментировал ISO.

Ab-Man37
Это скорее всего сообщение grub'а. Дефрагментируйте ISO, с которого пытаетесь загрузиться.

Jabbb.
Спасибо. Вы - настоящий друг, а я - лопух. Слышал же о необходимости дефрагментации ISO на флэшке.