simplix forum

pdi77
Спасибо за желание помочь, но боюсь в этом случае мы ничего не сделаем - для тестов мне нужен этот ноутбук на несколько дней, чтобы наверняка выяснить причину такого поведения WinPE. Дистанционно это будет не меньше недели с моим графиком, к сожалению у меня нет столько времени. В вашем случае целесообразнее использовать другой WinPE, тем более что AntiSMS везде будет работать одинаково. Если мне попадётся такой ноутбук - обязательно проверю.

simplix
По ссылке Скачать: AntiSMS 3.2 качается версия 3.1

Kipovec
Спасибо скачал по Вашей ссылке. Провайдер стандартный, издержки нашей сети. Видимо виноват таки кеш. Стоит Mikrotik Router OS и включен кеш в нашей WiFi сети. Видимо в этом вся проблема. А я уже и не знал на что грешить, несколько раз перекачал, а версия 3.1 хоть тресни.

af_pro При перходе по Вашей ссылке - 17.01.2013 7:33:51    Фильтр HTTP архив    хттp://1001kvadrat.ru/2/s3.js JS/Kryptik.ADZ троянская программа    соединение прервано -изолирован.Обнаружена угроза при попытке доступа в Интернет следующим приложением: С:\Program Files (x86)\Opera\opera.exe.

Отредактировано Core-2 (16.01.2013 23:38:27)

Core-2
Как то неудобно получилось, хотя у меня FF + AdBlock + NoScript, всю эту фигню режет без проблем. Впрочем, общий смысл в том, что Фил выложил эту утилиту без упоминания источника.

Добрый вечер! На заражённом компьютере запустил AntiSMS 3.2, в конце программа написала, что обнаружен не стандартный MBR выкладываю его сюда http://rghost.ru/43161400 Кстати блокировщика на компе не было...

*ушел проверять*

сегодня второй раз столкнулся с блокировщиком, но не системы, а браузеров. Ситуация стандартная - заходишь на сайт через 10-40 сек появляется окно о том, что сайт заблокирован, отправьте смс и т.д. и т.п. Так что если не в тему: перенесите мой пост в болтовню.
короче, запустил антисмс, он нашел всякую "неподписанную фигню". ситуация не изменилась. после запустил avz он нашел в "C:\windows\" подозрительный файл "gigalan.sys". но самое интересное, что ни windows, ни total commander, ни far в упор не "видели" этот файл. попробовал через cmd удалить этот файл - и о чудо, файл удалён.
теперь про реестр. нашел строковый параметр "ImagePath" в HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ newdriver со значением \??\C:\windows\gigalan.sys
ниже экспорт самого куста:
Скрытый текст (раскрыть):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,77,00,69,00,6e,00,\
  64,00,6f,00,77,00,73,00,5c,00,67,00,69,00,67,00,61,00,6c,00,61,00,6e,00,2e,\
  00,73,00,79,00,73,00,00,00
"DisplayName"="newdriver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver\Enum]
"0"="Root\\LEGACY_NEWDRIVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

simplix, возможно ли справляться с такого рода вирусами используя антисмс?

hal
эта зараза попадалась мне не раз и антисмс справлялась с этим.
а прописывается она в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs

g0dl1ke
вопрос не в том как эта гадость удаляется, а можно ли реализовать удаление подобной заразы в антисмс...

драйвер sрtd, от того же dt будет всегда иметь random имя при загрузке, а под live не отображается вовсе.
Это так, примеру ради

Драйвера сейчас никак не обрабатываются, так как классическим блокировщикам нет смысла лезть в ядро системы для блокировки компьютера. Отключать все неподписанные драйвера тоже нельзя - многие устройства могут перестать работать. Но для того, чтобы начать работу в этой области, мне нужен сам блокировщик, который использует драйвер - у кого есть возможность, поделитесь.

Всем привет, воспользовался Antisms и по завершении работы программа выдала, что всё хорошо, но из-за корявого MBR желат-но выложить сюда файлы вида DriveX.bin, которых оказалось в кол-ве 1шт. ))) - вот собссно выкладываю его вместе с логом: http://rghost.ru/43297712