Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#1 09.02.2012 21:34:00

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

AntiSMS

Эффективная программа для быстрого автоматического лечения блокировщиков и троянов


Ссылка на официальную страницу: AntiSMS.com

Тестирование новых версий (требуется регистрация)
Контрольные суммы | Точная версия | Загрузка новых версий (инструкция)

https://antisms.com/AntiSMS.png
Отдельная программа для использования в своём WinPE
(рекомендуется опытным пользователям)
Скачать: AntiSMS 8.4 (~29 МБ)

https://antisms.com/ISO.png https://antisms.com/ISO8.png
Готовый загрузочный диск с программой
(рекомендуется неопытным пользователям)
Скачать: Диск на основе WinXP (~60 МБ)
Диск на основе Win8 от Xemom1 (~127 МБ)

https://antisms.com/AntiSMSusb.png
Утилита для записи диска на основе WinXP на флешку
Скачать: AntiSMS USB Installer 3.5 (~450 КБ)

Полезные разработки и ресурсы для работы с AntiSMS


Если вы опытный пользователь:

1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.

Если вы неопытный пользователь:

1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Возможности программы:

• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-10 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимо минимум 512 МБ ОЗУ.
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
• Исправляются ярлыки от вредоносных сайтов.
• Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
• Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
• Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Описание способов интеграции AntiSMS

Интеграция в рабочую систему
1) Windows XP. Необходимо поместить образ AntiSMS.iso рядом с AntiSMS.exe, затем запустить основной файл AntiSMS.exe и выбрать пункт интеграции. Примечание: можно предварительно обновить образ AntiSMS.iso, перетянув его на AntiSMS.exe в проводнике, так как лечить компьютер будет именно основной файл в образе.
2) Windows 7/8/8.1/10 и их серверные аналоги. Нужно просто запустить основной файл AntiSMS.exe и выбрать пункт интеграции.

Интеграция в оригинальный образ Windows 7/8/8.1/10
1) Меню восстановления при запуске с диска/флешки. Нужно перетянуть файл Windows.iso/sources/boot.wim на AntiSMS.exe в проводнике.
2) Среда восстановления, доступная после установки системы. Нужно примонтировать необходимый индекс файла Windows.iso/sources/install.wim, затем найти в нём файл Windows\System32\Recovery\winRE.wim и перетянуть его на AntiSMS.exe в проводнике, затем отмонтировать install.wim с сохранением изменений. Вместо этого можно использовать UpdatePack7R2 с ключом /AntiSMS.

Интеграция в сборку Windows 7/8/8.1/10
1) В частности речь о сборках m0nkrus, где файл Windows\System32\Recovery\winRE.wim перенесён в третий индекс файлов Windows.iso/sources/boot*.wim для оптимизации размера образа. AntiSMS версии 8.2.1 и выше автоматически интегрируется в меню восстановления при запуске с диска/флешки и в среду восстановления, доступную после установки системы, если поочерёдно перетянуть файлы boot*.wim (как правило boot.wim для x86 и boot64.wim для x64) на AntiSMS.exe в проводнике.
2) AntiSMS версии 8.2 и выше на системах Windows 8/8.1/10 также будет добавлен прямо в меню MSDaRT на место справки, причём полноценную справку можно вызвать из пункта "Справка -> Вызов стравки" самих утилит MSDaRT. Для Windows 7 утилита будет добавлена рядом с MSDaRT.

Интеграция в загрузочные диски и флешки.
1) Для обновления оригинальных загрузочных дисков достаточно перетянуть iso-образы (AntiSMS.iso и AntiSMS8.iso) на AntiSMS.exe в проводнике.
2) Для обновления программы на флешке в составе сборки нужно найти поиском файл AntiSMS.exe и заменить его на новую версию. Например в сборках Strelec он находился в папке SSTR\AntiSMS, а у Core-2 в папке boot.wim\Program Files\AntiSMS.

История изменений (раскрыть):

Версия 1.3 от 19.02.2012
Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
Если в папках автозагрузки есть скрытые или системные исполняемые файлы - они удаляются.
Полностью очищаются системные и пользовательские временные папки.
Все нестандартные записи в файле hosts будут закомментированы.
Автозапуск на всех устройствах кроме дисковода будет отключен.
Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
Все отладчики системных процессов в Image File Execution Options будут удалены.
Все ограничения (Policies) пользователей и системы будут удалены.
В политике ограниченного использования программ будет выставлен неограниченный уровень.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

Версия 1.4 от 29.02.2012, добавлено:
Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
Вылечиваются MBR-блокировщики MBRLock.6 и MBRLock.14 (других нет в наличии). Резервная копия заражённого сектора сохраняется в корне раздела с системой под именем MbrLockX.bak, где X - номер вылеченного винчестера.
Восстанавливаются параметры запуска исполняемых файлов.
Правильно обрабатывается параметр AppInit_DLLs - из множества параметров убираются только неподписанные.
Из автозагрузки реестра убираются vbs-скрипты, можно восстановить через msconfig.
В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
Критически важные для загрузки системы службы теперь не отключаются.
Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
Для Windows XP x86 и Windows 7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны. Эти файлы есть на загрузочном диске, однако если AntiSMS будет использоваться в другом WinPE и диск с WinXP будет вставлен, то файлы будут взяты оттуда (только для Windows XP).
Загрузочный диск теперь полностью поддерживает файловую систему exFAT.
Для Windows 7 теперь Autoruns будет запускаться, но каталог системы нужно подключать вручную.
В некоторых случаях автозагрузка пользователей могла не обрабатываться - исправлено.
Значительно ускорена работа утилиты.

Версия 1.5 от 06.03.2012
В некоторых случаях параметры AppInit_DLLs могли не обрабатываться - исправлено.

Версия 1.6 от 07.03.2012
Добавлено лечение MBRLock.19, этот троян удаляет таблицу разделов, поэтому резервная копия заражённого сектора помещается во временную папку.
С большой вероятностью мог не обрабатываться файл hosts - исправлено.
Начиная с этой версии, AntiSMS также находится в корне загрузочного диска.

Версия 1.7 от 09.03.2012
Добавлено лечение MBRLock.17 всех модификаций, доступных на данный момент. Троян удаляет таблицу разделов, копия сектора создаётся во временной папке.
Теперь программа корректно определяет режим Windows PE во всех случаях.

Версия 1.8 от 14.03.2012
Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
Реализована более глубокая чистка системы от вредоносных действий троянов.

Версия 1.8.3 от 12.04.2012
Пополнена база известных загрузочных секторов.

Версия 1.8.4 от 17.04.2012
Добавлено определение новой модификации MBRLock.6.

Версия 1.8.5 от 27.04.2012
Реализовано правильное транслирование букв несистемных разделов.

Версия 1.9 от 15.05.2012
Реализована базовая поддержка логов и бекапов в папке %Temp%\AntiSMS.
Доработан и исправлен механизм обработки файлов автозапуска.
Доработано исправление файла hosts от некоторых видов троянов.
В обработку включены пользовательские профили типа Default.
Пополнена база известных загрузочных секторов.

Версия 1.9.3 от 17.05.2012
Добавлена обработка ярлыков и скриптов в папках автозагрузки.

Версия 1.9.4 от 20.05.2012
Корректная обработка нескольких систем в одном разделе.

Версия 1.9.5 от 24.05.2012
Папка Files также может располагаться рядом с AntiSMS.exe.
Резервная копия вылеченного сектора помещается в папку Backup.
Мелкие доработки журнала и резервного копирования.
Обновлены драйвера контроллеров MassStorage на диске.

Версия 2.0 от 30.05.2012
Оптимизирована работа программы.
Расширен диапазон проверяемых системных файлов.
Добавлены резервные копии файлов для Windows Vista.

Версия 2.1 от 05.06.2012
Добавлена поддержка базы проверенных файлов uVS.
Усовершенствована проверка системной базы хэшей.

Версия 2.3 от 14.06.2012
Накопительные обновления и исправления.

Версия 2.4 от 18.06.2012
C хэш-базой uVS утилита работает в среднем на 35% быстрее.
В загрузочный образ добавлены Hashes.bin и драйвер FiraDisk.
В AntiSMS USB Installer 2.0 добавлен загрузчик SysLinux.

Версия 2.5 от 15.07.2012
Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Добавлена поддержка пользовательской базы хэшей uVS.
Сообщения в Unicode - русский язык видно на любой системе.

Версия 2.6 от 16.10.2012
Обновлена база хэшей.
Исправлены найденные ошибки.
На диск добавлен Total Commander.
Обновлены драйвера контроллеров MassStorage.

Версия 3.0 от 12.11.2012
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.

Версия 3.1 от 06.01.2013
Обновлена база хэшей.
Исправлены найденные ошибки.
Усовершенствована проверка сертификатов.
Пополнена база известных загрузочных секторов.

Версия 3.2 от 14.01.2013
Добавлена обработка элементов Active Setup.

Версия 3.3 от 08.02.2013
Обновлена база хэшей.
Улучшена проверка DNS-серверов.
Усовершенствована проверка ярлыков.

Версия 3.4 от 27.03.2013
Обновлена база хэшей.
Добавлено определение NTFS-потоков.
Обновлена утилита для записи на флешку.
Улучшена обработка назначенных заданий.
Пополнена база известных загрузочных секторов.

Версия 3.5 от 31.03.2013
Исправлено несколько критических ошибок.

Версия 4.0 от 10.07.2013
Системные файлы включены в состав программы, теперь SysFiles.bin не нужен и не используется (Hashes.bin как и раньше не обязателен).
Обновлены системные файлы для всех систем с учётом всех исправлений, добавлено восстановление msconfig.exe и rpcss.dll.
Реализовано сохранение отладочной информации для диагностики неполадок на случай внезапной поломки программы.
Добавлена проверка сервисных библиотек и отключение соответствующих служб, даже если основной файл проверен.
Все неподписанные драйвера, которые участвуют в загрузке системы, будут занесены в лог, но не отключены.
В журнал будут занесены записи отключенных элементов AppInit, названия разделов служб и драйверов для быстрого поиска в реестре.
Организовано более тщательное резервирование отключённых и исправленных элементов автозагрузки и драйверов.
Значительно переработан механизм проверки подписанных файлов, который позволяет выявлять даже подписанные вредоносные файлы.
В логе обозначается, используется ли в процессе настройки внешняя база хэшей Hashes.bin.
Для драйверов в лог заносится также производитель файла без подписи, чтобы безопасные драйвера можно было узнать визуально.
Для операционной системы указывается точная версия и разрядность.
Командные файлы в автозапуске просто отключаются, так как невозможно проверить их команды автоматически.
Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
Для ключей Shell и Userinit в лог добавляются предыдущие записи, по которым можно отследить сложные сценарии запуска вирусов.
Решена проблема ложного срабатывания некоторых антивирусов, в частности аваста.
Значительно увеличена скорость работы программы благодаря замене алгоритмов проверки и оптимизации под многоядерные процессоры.
В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 4.1 от 26.07.2013
Увеличена скорость работы программы, оптимизирован размер и снижено требование к свободному месту.
Для работы программы больше не нужна внешняя утилита reg.exe, работа с реестром ведётся через API.
Исправлены найденные ошибки.

Версия 4.2 от 10.01.2014
Добавлено лечение новой модификации блокировщика MBRlock.17.
Мелкие накопившиеся исправления и дополнения.
Пополнена база известных загрузочных секторов.
Обновлена база хэшей.

Версия 5.0 от 19.01.2014
Добавлена поддержка Windows 8.1 x86-x64.
Накопительные исправления и дополнения.
Обновлена база хэшей.

Версия 5.1 от 01.04.2014
Добавлена утилита для сброса паролей пользователей.
Дополнен и оптимизирован алгоритм поиска файлов.
Переписан алгоритм работы с hosts.
Обновлена база хэшей.

Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.

Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.

Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.

Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.

Версия 6.4 от 07.09.2014
В пункт "Устранение неполадок" добавлена возможность сброса настроек сети.
Реализован более тщательный сброс настроек сети, добавлен сброс TCP/IPv6.
Если файл hosts не существует, будет создан стандартный.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Оптимизирован алгоритм проверки файлов.
Улучшено распознавание системных переменных.
Доработан алгоритм определения вредоносных DNS-записей.
Добавлено предупреждение при ошибке очистки некоторых разделов автозапуска.
Изменено поведение чистки App Paths, теперь создаётся только файл AppPaths.reg.
Усовершенствован поиск файлов без расширений.
Улучшено определение вредоносных записей в назначенных заданиях.
Добавлено восстановление стандартных префиксов протоколов.
На диске отключено плавное прокручивание списков и обновлён DiskCryptor.
Исправлены мелкие неточности.
Обновлена база хэшей.

Версия 6.5 от 03.10.2014
Добавлено исправление ярлыков от вредоносных сайтов.

Версия 6.5.1 от 04.10.2014
Алгоритм исправления ярлыков усовершенствован.
BitTorrent Sync: BEJJU4R5INZXCQLJWQFYSHZWH2LTZCNHL

Версия 6.5.3 от 12.10.2014
Очередная оптимизация исправления ярлыков, исправление ошибок.
В связи с ужасной работой BitTorrent Sync этот ресурс удалён.

Версия 7.0 от 21.12.2014
С ключом /start будет выведен запрос на запуск лечения, это полезно для автозагрузки WinPE.
Добавлен внутренний чёрный список сертификатов, использовавшихся для вредоносных целей.
Добавлены присланные сигнатуры известных загрузочных секторов.
Добавлена проверка ключевых изменений, ошибки будут занесены в журнал.
Исправлена проблема при работе с ярлыками, которая могла появиться в редких случаях.
Оптимизировано восстановление системных файлов, теперь права доступа не имеют значения.
Добавлена проверка файлов из CLSID, неподписанные заносятся в журнал.
Добавлено отключение драйверов для сертификатов из чёрного списка.
CLSID из чёрного списка будут удалены с созданием резервной копии.
Обновлена база хэшей, добавлены различные оптимизации и исправления.
Обновлён Partition Assistant на официальных загрузочных дисках до версии 5.6.
Реализовано обновление официальных загрузочных дисков простым перетягиванием iso-файлов на AntiSMS.exe.
Реализована интеграция в меню восстановления дистрибутивов (boot*.wim) перетягиванием их на AntiSMS.exe.

Версия 7.1 от 04.01.2015
Реализовано управление правами доступа для лечения особо сложных вирусов.
Ускорено сканирование системы и уменьшено требование к свободному месту.
Оптимизирована 64-разрядная версия.

Версия 7.2 от 14.01.2015
Добавлена функция обновления интегрированного AntiSMS через интернет.
Значительно усовершенствовано определение переменных в путях файлов.
Дополнен чёрный список производителей вредоносных программ.
Добавлено лечение нового вида вредоносных ярлыков.

Версия 7.3 от 03.03.2015
Добавлена поддержка зашифрованных разделов DiskCryptor в меню восстановления.
Добавлены присланные сигнатуры известных загрузочных секторов.
Улучшена проверка и исправление ярлыков вредоносных программ.
Усовершенствован и ускорен алгоритм обработки чёрного списка.
Дополнен чёрный список производителей вредоносных программ.
Обновлён алгоритм подсчёта хэшей для лучшей совместимости.
Усовершенствована обработка скриптов и ярлыков.
Улучшено отображение записей CLSID в логах.
Исправлены мелкие проблемы и неточности.
Обновлена база хэшей безопасных файлов.

Версия 7.4 от 17.04.2015
Реализовано обновление ядра системы для решения проблем загрузки.
Дополнено лечение браузера Chrome от некоторых видов Adware.
Дополнен чёрный список производителей вредоносных программ.
Добавлена дополнительная проверка при обработке служб.
Обновлена база хэшей безопасных файлов.

Версия 7.5 от 05.06.2015
Добавлена возможность интеграции в меню восстановления дистрибутива системы.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствовано восстановление работоспособности альтернативного ядра системы.
Исправлены мелкие проблемы, улучшена работа со службами и назначенными заданиями.
Обновлена база хэшей безопасных файлов, добавлен ряд известных загрузочных секторов.
Добавлено предупреждение о проблемах с винчестером, если файлы читаются слишком долго.

Версия 8.0 от 27.07.2015
Добавлена интеграция AntiSMS в меню загрузки Windows XP, доступно лечение из рабочей системы.
Добавлена поддержка Windows 10, включая исправление некоторых базовых системных файлов.
Снижено требование к свободной памяти и увеличена скорость создания архива с журналом.
Добавлено автоматическое исправление неглубоких повреждений системного реестра.
Дополнен чёрный список сертификатов, которые используют вредоносные программы.
Усовершенствован алгоритм сброса сетевых настроек до значений по умолчанию.
Добавлен новый вид проверки вредоносных программ в назначенных заданиях.
Резервная копия файла hosts теперь помещается в карантин для анализа.
Улучшена проверка и исправление ярлыков вредоносных программ.
Добавлено лечение некоторых видов MBR-блокировщиков.
Обновлена база хэшей безопасных файлов.

Версия 8.1 от 23.09.2015
Добавлена возможность обновлять оригинальный AntiSMS.iso из WinXP.
При запуске AntiSMS из меню Пуск лечение происходит автоматически.
Реализована очистка групповых политик с созданием резервной копии.
Обновлена база оригинальных системных файлов до актуальных версий.
Дополнен чёрный список сертификатов для лечения Adware.
Оптимизирован размер основного файла и iso-образов.
Обновлена база хэшей безопасных файлов.

Версия 8.2 от 30.10.2015
В программу из меню Пуск добавлена возможность работы в тихом режиме.
Дополнен чёрный список сертификатов для лечения Adware.
Обновлена база хэшей безопасных файлов, добавлены известные загрузочные секторы.
В лог добавляется сетевое расположение проверяемого компьютера.
Добавлено резервное копирование отключенных заданий.
В белый список добавлены известные DNS-сервера.
Усовершенствовано определение некоторых новых троянов.
Добавлено резервное копирование раздела AppInit.
Сделано понятное описание ошибок Dism при интеграции.
На Win8-10 добавлена возможность интеграции прямо в меню MSDaRT.
Значительно улучшено взаимодействие со средой восстановления в сборках.
Обновлена база оригинальных системных файлов до актуальных версий.
Добавлена поддержка дисков, зашифрованных BestCrypt Volume Encryption.

Версия 8.3 от 07.02.2016
При запуске проверяется наличие новой версии и с согласия пользователя обновляется.
Реализована модульная загрузка новой версии, поэтому обновление происходит быстрее.
Теперь обновление программы возможно и в WinXP благодаря переходу на wget.
Добавлена поддержка некоторых сборок с нестандартной конфигурацией.
В WinXP также возможна интеграция при наличии записанного на диск AntiSMS.iso.
Обновлён Downloader и более автоматизированы некоторые автоматические сценарии.
Добавлена поддержка разблокировки дисков, зашифрованных через BitLocker.
К восстанавливаемым файлам добавлен dnsapi.dll, а сами файлы обновлены.
Дополнен чёрный список сертификатов для лечения Adware и другие исправления.

Версия 8.4 от 06.07.2016
Накопительные обновления и исправления.

 

#2 10.02.2012 04:34:17

happywanderer
Чудом осчастливленный Миха
Зарегистрирован: 16.02.2010
Сообщений: 904

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Последнее время использую AntiWinLockerLiveCD, пока не подводил, но напрягает размер (146мб shock), и надо отдельно носить дополнительно или флешку или диск. Круто если Ваша утилита будет такой же по функционалу и лишена этих недостатков good. И ещё вопросы:исправляет ли она заражённые explorer.exe, taskmgr.exe, userinit.exe,, - уж больно часто попадаются, и лечение будет функционировать только в ХР? Спасибо!


"Ни один человек не богат настолько, чтобы искупить свое прошлое."

 

#3 10.02.2012 13:26:56

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Системные файлы пока не исправляет, но это есть в планах.

 

#4 12.02.2012 12:59:52

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Вирусёнок. AntiSMS 1.2 с ним не справился, 1.3 и выше - справляется.
Запустил из под WNPE Autoruns, нашел этот файл. Запустил редактор реестра там же и нашел все строки реестра, где используется этот файл. Выкладываю реестр и собственно сам файл http://rghost.ru/36477876, пароль на архив 123
Реестр (раскрыть): Windows Registry Editor Version 5.00

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ParseAutoexec"="0"
"ExcludeProfileDirs"="Local Settings;Temporary Internet Files;History;Temp"
"BuildNumber"=dword:00000a28
"Shell"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

[HKEY_USERS\Admin_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"multifon.exe"="\"C:\\Program Files\\MegaFon\\MultiFon\\multifon.exe\" /autostart"
"AlterGeoUpdater"="C:\\Program Files\\AlterGeo\\Html5 geolocation provider\\html5locsvc.exe"
"S60197191"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S797749"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S54265"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S72169116"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11699114"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S199154176"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1041263"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S338474"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S183179166"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S2719197"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S12746190"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11613425"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S11178143"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"
"S1113336"="C:\\Documents and Settings\\Admin\\Мои документы\\Downloads\\xxx_porno.exe"

Отредактировано MBTY (04.03.2012 22:39:50)

 

#5 12.02.2012 14:05:39

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY
Спасибо за файлик. Автозагрузка пока не обрабатывалась, так как пока нет возможности автоматически определить вирус в ней. Можно легко добавить лечение конкретно этого вируса, но нужно лечить и все остальные. Сейчас я работаю над реализацией проверки цифровых подписей системных файлов, возможно и с автозагрузкой что-то придумаю.

 

#6 12.02.2012 20:22:37

Kipovec
Member
Зарегистрирован: 12.02.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
"принимайте" "на пробу" http://rghost.ru/36406368 пароль 111 "реакция" вирустотал https://www.virustotal.com/file/64e010f … /analysis/   + Авира

 

#7 12.02.2012 22:59:24

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Kipovec
Этот вроде итак лечится. Позавчера подобный убил с помощью AntiSMS

 

#8 13.02.2012 01:07:49

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Kipovec
Спасибо, принято к сведению. Чем больше разных образцов будет собрано - тем лучше.

MBTY
Последний тоже лезет в автозагрузку, так же как и первый, поэтому автоматически пока не лечится.

P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим smile

 

#9 13.02.2012 05:21:16

Kipovec
Member
Зарегистрирован: 12.02.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY
"экземпляр" приложен для "экспериментов", у меня "проблем" с подобным не возникает 5-15 минут и НЕТу нечисти.

simplix
"P. S. Хорошая новость - скоро проблема с автозагрузкой будет решена! По предварительным оценкам полный автоматизм вполне достижим"
ПРИЯТНАЯ новость - потестим.

 

#10 13.02.2012 11:01:22

hal
Advanced Member
Зарегистрирован: 02.12.2008
Сообщений: 418

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix, а чем AntiSMS отличается в работе от UVS (http://dsrt.dyndns.org/uvs.htm)?
Полным автоматизмом?

 

#11 13.02.2012 23:12:36

clientyra
Member
Зарегистрирован: 10.06.2011
Сообщений: 70

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Такой вопрос, какие системы Windows лечит (все или только XP) ?, и ещё вопросик, действует эта утилита только из под WinPE этой сборки или же к примеру с Alkid-a тоже результат будет ( запуск утилиты от имени пользователя заражённой системы ) ?

P.S. Пардон, за невнимательность, первый вопрос отпал.

Отредактировано clientyra (13.02.2012 23:15:21)

 

#12 13.02.2012 23:35:46

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

clientyra
Теоретически утилита должна работать с любого WinPE, но тестируется только на моём. Программу не нужно запускать от имени какого-то пользователя, она всё делает автоматически и самостоятельно. Главное чтобы реестр заражённой системы не использовался другими программами, т. е. желательно сразу после загрузки WinPE запустить AntiSMS, а затем уже перезагружаться в рабочую систему.

hal
UVS создана для подготовленного пользователя и далеко не каждый разберётся, что именно нужно делать. Мне же хочется создать полностью автоматический инструмент, который будет лечить максимальное количество троянов нажатием одной кнопки. Задача оказалось несколько сложнее, чем предполагалось в начале, однако со временем всё будет реализовано.

Пока помечаю тему как Beta, так как до гарантированного излечения, которым можно будет смело пользоваться во всех случаях, нужно подождать. Сейчас нужно как можно больше разных образцов, в частности таких, которые записываются в MBR. Пока мне повезло поймать только MBRlock6.

 

#13 14.02.2012 07:53:24

Kipovec
Member
Зарегистрирован: 12.02.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
есть ещё "проблема" - в system32 "загружаются" некие.dll в результате пользователь не может работать в нете, через 2-5 сек при загрузке страницы - выскакивает заставка "заплатить денюшку за пользованием прокси".
Так же "известны" некие.dll, в результате блокируется biggrin доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).
К сожалению, этих "вещиц" в наличии нет - "прибиваю автоматом".

 

#14 14.02.2012 09:38:03

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Так же "известны" некие.dll, в результате блокируется  доступ на "помойки" (контакт и т.д.) с требованием ввести код из СМСки (платной).

Эх. Мне бы на работу таких дллок мешка два. Ато секретутки сидят во вконтактах, что прогноз погоды по пол часа грузится

Отредактировано MBTY (14.02.2012 09:38:18)

 

#15 14.02.2012 16:56:44

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Хотелось бы больше информации о том, что утилита правит, проверяет - а то запускать кота в мешке не хочется.
Пожалуйста, выложите подробный список действий утилиты.

 

#16 14.02.2012 18:21:59

Kipovec
Member
Зарегистрирован: 12.02.2012
Сообщений: 14

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY
"аб чём" проблема, бесправный юзер и блокировка в хост. Или политики запретов в роутер-сервер (включая анонимки). Или каждый комп под паролем + прога-шпиён, и с какого доступ - "владельцу" зарплату в МИНУС (самый действенный).

 

#17 19.02.2012 23:04:15

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Добавлена версия 1.3 и в шапке указан подробный список того, что умеет утилита.

 

#18 20.02.2012 10:09:41

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Создание отдельного маленького загрузочного диска. *
* уже возможно; если будет востребовано - сделаю быстро.

Хочу хочу хочу

 

#19 20.02.2012 13:10:02

Bitmarker
New member
Зарегистрирован: 13.11.2008
Сообщений: 5

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Сегодня на работе у бух-ов нарисовался винлокер.  AntiSMS 1.3 сработал отлично, нашел и уничтожил! После перезагрузки сканировал свежим CureIT-ом, ничего не нашел.

Для статистики: +79833204903 - на этот номер предгагалось отправить деньги

 

#20 20.02.2012 13:45:06

hal
Advanced Member
Зарегистрирован: 02.12.2008
Сообщений: 418

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Судя по описанию, получается примерно то же, что делает UVS, только в автоматическом режиме smile

simplix сообщает:

Все нестандартные записи в файле hosts будут закомментированы.
Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.

А вот после указанного в ряде случаев некоторые программы не будут работать. В общем, без последующего напилинга не обойтись cool Надо бы предусмотреть backup наподобие того, что сделано в AVZ в виде соответствующих reg-файлов.

А вообще вещь получается хорошая good

P.S. Плюсуюсь к созданию маленького загрузочного диска. Иногда приходится "лечить по телефону", для этих случаев был бы очень хороший инструмент. С последующим "долечиванием" через TeamViewer cool

Отредактировано hal (20.02.2012 13:47:32)

 

#21 20.02.2012 16:16:05

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

hal
закомментированы - это ж не удалены, а у остальныъ элементов просто галочки будут сняты на запуск - мона будет включить. то ли дело, если позиции автозапуска совсем удалить, а туточке всё разумно отрубается, но не трется

 

#22 20.02.2012 16:44:08

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Все ограничения (Policies) пользователей и системы будут удалены.

Данное исправление в AVZ не рекомендуют использовать в Windows 7/Vista, т.к. это может привести к незагружаемости ОС.
Для этих  версий Windows данный пункт AVZ советуют  заменить  на скрипт:


Код:

begin
ExecuteRepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Может в данной программе тоже это следует учитывать?

И еще.
Данная программа работает только с live CD.
Но иногда, получается вызвать Безопасный режим с командной строкой - может все таки дать возможность работать с активной windows ?

Отредактировано art9 (20.02.2012 17:30:47)

 

#23 20.02.2012 18:40:37

af_pro
Advanced Member
Зарегистрирован: 23.03.2009
Сообщений: 455

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
К сожалению или к счастью вирусов пока не попалось. Запустил несколько раз утилиту, порадовал аскетический интерфейс в стиле русского радио. Учитывая весьма значительный объем агрессивно-инвазивной работы программы, было бы не лишним организовать генерацию лог файла с исходным состоянием системы и проделанной работой.
Весьма скромные размеры утилиты позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.


#

 

#24 20.02.2012 18:45:56

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

af_pro сообщает:

позволяют надеяться на добавление ее в фирменную РЕ на постоянной основе.

Она уже там

 

#25 20.02.2012 20:04:59

af_pro
Advanced Member
Зарегистрирован: 23.03.2009
Сообщений: 455

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Рабочей системе полтора года. После холостого запуска утилиты, система начала загружаться ощутимо быстрее. Однако полезный побочный эффект.
shockgood


#

 

Board footer


© simplix