pdi77
Спасибо за желание помочь, но боюсь в этом случае мы ничего не сделаем - для тестов мне нужен этот ноутбук на несколько дней, чтобы наверняка выяснить причину такого поведения WinPE. Дистанционно это будет не меньше недели с моим графиком, к сожалению у меня нет столько времени. В вашем случае целесообразнее использовать другой WinPE, тем более что AntiSMS везде будет работать одинаково. Если мне попадётся такой ноутбук - обязательно проверю.
simplix
Просьба: нельзя ли получить ссылку на конструктор, которым вы делаете свой загрузочный ISO?
simplix
По ссылке Скачать: AntiSMS 3.2 качается версия 3.1
Viktor_Kisel
только что скачал, версия 3.2.0.0 может у вас "провайдер кривой" (инет через кеш прова) и поэтому качается старая версия, на всякий http://rghost.ru/43060717 да простит меня simplix
Отредактировано Kipovec (15.01.2013 20:02:22)
Kipovec
Спасибо скачал по Вашей ссылке. Провайдер стандартный, издержки нашей сети. Видимо виноват таки кеш. Стоит Mikrotik Router OS и включен кеш в нашей WiFi сети. Видимо в этом вся проблема. А я уже и не знал на что грешить, несколько раз перекачал, а версия 3.1 хоть тресни.
af_pro При перходе по Вашей ссылке - 17.01.2013 7:33:51 Фильтр HTTP архив хттp://1001kvadrat.ru/2/s3.js JS/Kryptik.ADZ троянская программа соединение прервано -изолирован.Обнаружена угроза при попытке доступа в Интернет следующим приложением: С:\Program Files (x86)\Opera\opera.exe.
Отредактировано Core-2 (16.01.2013 23:38:27)
Core-2
к филу (я "давно" с ним "распрощался") на сайт можно "не ходить", там "мимопроходящей", "кривогашеной" рекламы дохрена и потому такие "косяки", как у вас выходят. А в итоге перепост, после "гуляниям" по ссылам, на.... ргхост, где лежат в архиве эти файлы "Готовый загрузочный диск с программой и Утилита для записи загрузочного диска на флешку!!! Вот "прямая" ссыла (чтоб фила "не кормить") http://rghost.ru/43042289
Отредактировано Kipovec (17.01.2013 06:58:00)
Core-2
Как то неудобно получилось, хотя у меня FF + AdBlock + NoScript, всю эту фигню режет без проблем. Впрочем, общий смысл в том, что Фил выложил эту утилиту без упоминания источника.
af_pro Да у меня тоже режет . Не о себе пекусть . Не большая беда с филом. Обошлось без плагиата ведь. Есть товарищи матёрей . И я б не удивилась увидев в сети AntiSMS by StaforceTEAM.
Сама качаю с ссылок автора ,проблем никогда не было.
Добрый вечер! На заражённом компьютере запустил AntiSMS 3.2, в конце программа написала, что обнаружен не стандартный MBR выкладываю его сюда http://rghost.ru/43161400 Кстати блокировщика на компе не было...
Trojan.Winlock + Trojan.Encoder ( Блокировщик и Шифровщик) в одном флаконе http://rghost.ru/43217810 ( AntiSMS )
- Сначала запускается Винлокер..блокирует систему...затем Энкодер, шифрует файлы. Справится ли с ним AntiSMS ???? ( Запускаете на свой страх и риск, я предупредил!)
*ушел проверять*
olzaruta
AntiSMS справляется с тем, что можно автоматизировать. К примеру исправляет автозагрузку и повреждения системы, которые делает этот троян. Но функцию расшифровки файлов вообще невозможно автоматизировать, искусственный интеллект ещё не придуман. Кстати тот недоразвитый школьник, который сделал эту поделку, просто собрал в одну кучу блокировщик одного автора и шифровальщик другого, на своё, видимо, ума не хватило.
сегодня второй раз столкнулся с блокировщиком, но не системы, а браузеров. Ситуация стандартная - заходишь на сайт через 10-40 сек появляется окно о том, что сайт заблокирован, отправьте смс и т.д. и т.п. Так что если не в тему: перенесите мой пост в болтовню.
короче, запустил антисмс, он нашел всякую "неподписанную фигню". ситуация не изменилась. после запустил avz он нашел в "C:\windows\" подозрительный файл "gigalan.sys". но самое интересное, что ни windows, ни total commander, ни far в упор не "видели" этот файл. попробовал через cmd удалить этот файл - и о чудо, файл удалён.
теперь про реестр. нашел строковый параметр "ImagePath" в HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ services\ newdriver со значением \??\C:\windows\gigalan.sys
ниже экспорт самого куста:
Скрытый текст (раскрыть):
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,77,00,69,00,6e,00,\
64,00,6f,00,77,00,73,00,5c,00,67,00,69,00,67,00,61,00,6c,00,61,00,6e,00,2e,\
00,73,00,79,00,73,00,00,00
"DisplayName"="newdriver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\newdriver\Enum]
"0"="Root\\LEGACY_NEWDRIVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001
simplix, возможно ли справляться с такого рода вирусами используя антисмс?
Сегодня удалял такую заразу с помощью uVS - интернет работает, но в браузере открывалось второе окно с предложением отправить SMS. Сама зараза была в какой-то dll библиотеке в windows/system32, название файла не вспомню, да это и не важно.
hal
эта зараза попадалась мне не раз и антисмс справлялась с этим.
а прописывается она в HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ Windows\ AppInit_DLLs
gigalan.sys удаляется через тот же avz в два клика
вирусу примерно около двух месяцев, судя по жалобам клиентов
вирус включает в себя функционал руткита: скрывает себя, блокирует установку большинства антивирусов и тд
begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('%WinDir%\gigalan.sys',''); DeleteFile('%WinDir%\gigalan.sys'); DeleteService('newdriver'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU',2,3,true); RebootWindows(true); end.
g0dl1ke
вопрос не в том как эта гадость удаляется, а можно ли реализовать удаление подобной заразы в антисмс...
Например, добавить в антисмс отключение не подписанных драйверов.... Но, понятное дело это делать нельзя.
Можно пофантазировать: antisms создает список драйверов (при работе с лай ва). И прописывает в автозапуск небольшой одноразовый модуль, который сравнивает активные драйвера со списком, который был получен из неактивной среды - если какие-то элементы пропали, значит это возможные руткиты.
драйвер sрtd, от того же dt будет всегда иметь random имя при загрузке, а под live не отображается вовсе.
Это так, примеру ради
Ну да не все так просто, но решения найти можно.
Помоему данный модуль мог бы очень помочь. Например найти подмену загрузочного сектора или сокрытие программных файлов в определенных папках. Ну и еще чтото можно придумать
Драйвера сейчас никак не обрабатываются, так как классическим блокировщикам нет смысла лезть в ядро системы для блокировки компьютера. Отключать все неподписанные драйвера тоже нельзя - многие устройства могут перестать работать. Но для того, чтобы начать работу в этой области, мне нужен сам блокировщик, который использует драйвер - у кого есть возможность, поделитесь.
simplix
пжалуста http://rghost.ru/43247994
как он появляется в системе не могу сказать, вроде через sun java (вычитал в просторах интырнета).
это сам файл gigalan.sys. как он прописывается в реестре писал выше.
пароль - 12345
Всем привет, воспользовался Antisms и по завершении работы программа выдала, что всё хорошо, но из-за корявого MBR желат-но выложить сюда файлы вида DriveX.bin, которых оказалось в кол-ве 1шт. ))) - вот собссно выкладываю его вместе с логом: http://rghost.ru/43297712