Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#51 02.03.2012 20:50:14

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Обновил тестовую утилиту для проверки антибаннерных программ.
Изменение:
+ различные варианты загрузки через папки "Автозагрузка"
+ ежеминутный старт через Назначенные задания.

Скачать: http://upwap.ru/2072743
Пароль: 123
На свой страх и риск! Опасно!

Отредактировано art9 (03.03.2012 14:07:55)

 

#52 04.03.2012 22:26:00

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Дожили. Получил ПК на лечение. Блокировщик был примерно такого вида Голубенький такой, но не на весь экран. Скачал касперский рескью диск. Базы были от 01.03, а дело было 02.03 и, не обновившись, проверил ПК. Ну и чтоб вы думали? Каспер вылечил файлы в TEMP, еще там во временных файлах инета, даже в HOSTS нашел трояна, и поправил его. Перегружаюсь, а блокировщик на месте. Решил, что ну стоит тратить время на обновление баз рескью сиди и повторную проверку в 2 часа, а просто с Антисмс 1.4 всё отремонтировал разом. Понравилась кстати фраза "Делаю всё хорошо". Вот как то так. Делайте выводы.

Отредактировано MBTY (04.03.2012 22:27:27)

 

#53 05.03.2012 17:29:19

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

файл hosts не обрабатывается, если у файла атрибут "только чтение"

UP
Еще, после отключения зловреда, AVZ показывается кое-какие остатки в реестре: http://s58.radikal.ru/i161/1203/64/2d2083753621.jpg
Хотя, автозапуска не происходит, так что, полагаю, это не принципиально.

Еще. У меня ctfmon.exe заменен файлом-пустышкой с помощью утилиты xpAntiSpy,
После AntiSMS у меня он восстановился, я его опять отключил. Потом опять запустил AntiSMS - восстановления уже не было....  хм....

UP2
Про файл ctfmon.exe я наврал! Он восстанавливается. Так что все веригуд.

Только зачем-то появился файл C:\WINDOWS\taskmgr.exe - он должен быть в папке system32

ps
Последняя версия тестовой утилиты пока не лечится (даже без Назначенного задания)

UP3
Появилась первая инструкция по борьбе с вымогателями с использованием AntiSMS: http://antivir.h18.ru/metodika/0035.html

Отредактировано art9 (05.03.2012 20:38:12)

 

#54 06.03.2012 11:55:10

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Утилита обновлена - добавлено небольшое исправление к алгоритму обработки AppInit_DLLs.

art9
hosts проверю, статья - отличная! taskmgr появился вместо taskman, тоже исправлено. Спасибо за тестовую утилиту, буду разбираться.

 

#55 06.03.2012 21:50:01

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

1) В текущей версии можно восстановить настройки сети из рабочей Windows. Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту. Но, если образ такой маленький, то можно в него кинуть и утилиту в доступном виде, а то пользователь сначала побежит к соседу чтобы записать образ на носитель, а затем побежит, чтобы закачать утилиту на флэшку (если не будет доступен инет из-за последствий зловреда). И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

2) чтобы записать образ на флэшку достаточно ли этой инструкции из инета:

Смонтировать LiveCD на флэшку можно через программу UltraISO:
1. Вставляем флешку.
2. Открываем iso-образ в UltraISO (проверял на версии 9.3.0.2600).
3. Меню: Самозагрузка - Записать образ Жесткого диска
4. В открывшемся окне: Disk Drive - Выбираем нашу флешку (у меня подставляется автоматом), Метод записи - Выбираем USB-HDD
5. Жмем кнопку: Форматировать - FAT32
6. После завершения форматирования, жмем кнопку: Записать

?

Отредактировано art9 (07.03.2012 04:57:12)

 

#56 06.03.2012 23:30:46

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9
1) Аntismsъ.exe есть в образе (в WinPE).
2) Ехе лежитъ отдельно для техъ, кто какъ разъ-таки в состоянии пользовать UltraISO и прочее.
3) Чо два раза бегать к соседу я не понял. Прийди раз да все сразу и сделай. Или у вас однозадачный сосед?
4) Ридми - если внимательно прочтете, то таких вопросов больше не возникнет.

http://savepic.su/1534232.jpg

Отредактировано MBTY (07.03.2012 00:26:30)

 

#57 07.03.2012 08:50:12

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Ну тогда повторюсь еще раз другими набором букв и слов: антиСМС имеет функцию для восстановления настроек инета из рабочей системы. И это единственная функция, которая работает из рабочей Windows. На лайве нет exe в открытом виде при работе в установленной WIndows.  Почему бы ее не добавить на лайв в виде файла antisms.exe, в корне например?

Отредактировано art9 (07.03.2012 08:50:54)

 

#58 07.03.2012 10:56:46

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Соглашусь, что стоит растолковать всем где находится и как достать antisms.exe из ISO образа. Мало ли какие ситуации бывают. Нашел два самых простых способа и, собственно, сделал два демо-ролика, в которых показано как это осуществить.
1)С использованием Total Commander, в котором есть хоть малолмальский набор архивных плагинов (сейчас другого и нен найти)
2)Через проводник с установленным в ОС архиватором (на ролике 7-zip, но для WinRar способ аналогичен)
http://rghost.ru/36891581
P.S. В TC на WINPE.IS_ нажимается не Enter, а CTRL+PageDown - я пока не понял как в эти ролики вписывать текст, по шустрому за  5 минут сделал

Отредактировано MBTY (07.03.2012 23:16:47)

 

#59 07.03.2012 22:09:46

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9 сообщает:

Мне думается, что файл antisms.exe можно вставить в образ (чтобы был доступен не только из livecd). А то получается, неискушенный пользователь должен скачать образ, затем и саму утилиту.

Разумное замечание, раз эта идея возникла не только у меня - так и сделаем. А если кому-то утилита понадобится в обычном виде - легко достанет её из образа.

art9 сообщает:

И если бы был небольшой ридми в корне образа с краткой информацией, то может она была бы для кого-то полезной.

В общем-то при запуске в системе утилита сообщает, какую страничку нужно посетить для подробностей. В будущем было бы очень полезно добавить на этот диск инструкцию, как выставлять загрузку с BIOS. Вот здесь есть хорошая и подробная инструкция.

art9
Здесь вы наверное выкладывали программу, поправьте ссылочки на те, что в шапке, а то старые скоро не будут доступны.

 

#60 07.03.2012 23:27:09

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

AntiSMS обновлена до версии 1.6, изменения в шапке.

 

#61 08.03.2012 01:13:07

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Не очень то рационально - удалить ехе с шапки.
1) Если на чужом компе вирусы, а флешки с софтом под рукой нет, то соственно часто становится всёравно лежит ли файл в корне образа или внутри образа в образе или еще где. Всеравно ISO открыть становится нечем.
2) Если у меня ПК и сеть на нем залочена, есть старый WNPE, то я мог просто грузануться с WNPE, скачать ТЕЛЕФОНОМ файлик, подключить телефон к пк как флешку и собственно запустить новый Аntisms.ехе, а теперь получается нужно в любом случае перекачивать 30 метров. Телефоном это и дорого и долго.
Случаи конечно я описал редкие, но они не так уж и невозможны. Убрав ехе с первого сообщения шансы всех людей самостоятельно вылечить ПК просто переполовинились.

Понимаю, что в образе есть стандартные системные файлы, которыми заменяются инфицированные, если это необходимо и качать ISO лучше, чем качать ехе, но и сама ехе вполне самодостаточна...

Отредактировано MBTY (08.03.2012 02:18:19)

 

#62 08.03.2012 02:07:15

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY
Убедил, значит будет и ссылка, и в корне образа.

 

#63 08.03.2012 11:18:48

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
ссылку поправил.

Интересно, при удалении блокиратора, который портит таблицу разделов, компьютер вернется к жизни или еще нужно будет с помощью другой программы восстанавливать таблицу разделов?

 

#64 08.03.2012 11:49:47

siva
Member
Зарегистрирован: 24.09.2008
Сообщений: 21

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Вчера без проблем избавился от такого блокиратора Trojan.MBRlock.6
СПАСИБО за утилиту!

Отредактировано siva (08.03.2012 11:55:33)

 

#65 08.03.2012 12:17:43

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9
Загрузочный сектор во всех случаях восстанавливается полностью, включая таблицу разделов, в таком виде, в котором он был до заражения компьютера. Но если таблица разделов была удалена, то все диски будут видны только после перезагрузки - тогда не помешает запустить AntiSMS ещё раз, чтобы просканировать рабочую систему.

 

#66 08.03.2012 22:12:21

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix ПРИВЕТ!  Подготовил для вас один новый винлокер+несколько блокировщиков-шифровщиков! Выложить здесь или там?

 

#67 08.03.2012 23:10:47

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

olzaruta сообщает:

...винлокеры тут выкладываются под паролем для спецов, и именно для того что бы рядовые пользователи знали опасность в лицо и умели противостоять им...не будет материала для исследования..не будет и защиты....

Это вы точно сказали. Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

 

#68 08.03.2012 23:49:56

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Выкладывайте где вам удобнее, я проверяю обе темы и скачаю с любой, однако мне кажется, что тему на руборде посещает больше людей, в т. ч. создателей антивирусов, поэтому если выкладывать там, то это будет полезно не только мне, а и другим людям.

- Выложу пока здесь...там критиков больно много развелось...smile
- Свежий локер   http://zalil.ru/32839169 пароль на архив tinezadnyi но он так же какой то недоделанный...скрин http://i28.fastpic.ru/big/2012/0309/7a/ … 56297a.jpg
- Шифровщики 4 шт:
- Первый: http://zalil.ru/32734710 пароль на скачку 2012 скрин http://i32.fastpic.ru/big/2012/0219/ce/ … 63b6ce.jpg
- Второй: http://rghost.ru/36920026 пароль на скачку 2012
- Третий: http://rghost.ru/36920049  пароль на скачку 2012
- Четвертый: http://rghost.ru/36920062  пароль на скачку 2012

- Но не уверен что шифровщиков нужно  через ваш софт лечить...по моему для них необходим спец механизм...хотя...как знать...

Нашел trojan.mbrlock.17  http://safezone.cc/forum/showthread.php?t=16225  но скачать не могу...не дают...может вы попробуете что нибудь предпринять?

simplix ну как материал? rojan.mbrlock.17 удалось выцепить?

Отредактировано olzaruta (09.03.2012 10:46:37)

 

#69 09.03.2012 15:11:38

opp
New member
Зарегистрирован: 07.10.2009
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Загрузился с CD, выбрал WinPE, запустил из под нее AntiSMS v1.3. После перезагрузки перестал грузиться Novell Client for Windows (XP). "msconfig -> Обычный запуск" ситуацию не исправил. Правда, после очередной перезагрузки, можно было вручную запустить клиента NetWare и подключиться к серверу. Вещь, конечно экзотическая, по нонешним временам, но вполне встречающаяся.
P.S. До проверки система была здоровая, просто решил потестить утилиту AntiSMS.

Да, Novell Client меняет экран входа в систему (а еще устанавливает NICI - инфраструктуру шифрования).
До проверки стояла версия клиента Novell Client 4.91 SP5 for Windows ( http://zalil.ru/32843187 ). После проверки AntiSMS решил заодно обновить клиента до последнего Novell Client 4.91 SP5 for Windows (IR1) ( http://zalil.ru/32843286 ).
Установка новой версии "поверх" старой (обновление) положительного эффекта не дало. В начале загрузки открывается стандартный (вместо новелловского) экран входа в систему и тут же открывается окошко "Поиск доменов для входа..." (кажется). И висит, пока не нажмешь Ctrl-Alt-Del. В общем, через несколько таких попыток (Ctrl-Alt-Del) удается войти просто в этот комп, но в итоге оказывается, что новеловский клиент подцепился к серверу нормально и подключились сетевые диски.

Отредактировано opp (09.03.2012 16:26:25)

 

#70 09.03.2012 15:16:29

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

olzaruta
Локер по первой ссылке толком не рабочий. Да и в принципе наверное все подряд публиковать не стоит, т. к. их тысячи, лучше выкладывать такие, с которыми программа не справилась, а до сих пор такого не было ни одного.
Шифровальщики только сегодня скачал, посмотрю. Хотя тут и так понятно, что универсального алгоритма лечения быть не может.
По другой ссылке MBRLock.17 находится не дроппер, а дамп секторов винчестера. Таких дампов у меня много, в принципе лечение можно разработать и по ним, но чтобы наверняка всё оттестировать - нужен живой дроппер (exe-файл, который заражает MBR).

opp
Я предполагал, что такая ситуация может возникнуть... Дело в том, что Novell Client насколько я помню меняет экран входа в систему, т. е. прописывает в GinaDll свою библиотеку. Туда вполне могут прописываться трояны, поэтому параметр изменяется к стандартному. Очень рекомендую пользоваться только новыми версиями AntiSMS, в них много исправлений и новый функций, а старые версии менее эффективные (видно по истории изменений в шапке).

 

#71 09.03.2012 18:07:29

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Программа обновлена до версии 1.7, лечение MBRLock.17 добавлено на основе анализа дампов, т. к. дроппера можно ждать долго.

opp
В 1.7 и выше учитывается Novell Client и его значение GinaDll. Странно, что библиотеку под Windows XP Novell даже не подписала.

 

#72 09.03.2012 18:59:56

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

как я понимаю, антиСМС в лечении загрузочных вымогателей работает по принципу "черного списка". Т.е. файловые баннеры лечатся универсальным способом, а загрузочные только если известны "в лицо".
Может тогда была бы полезна возможность переписать загрузочный сектор на стандартный? Как это делают подобные другие программы.
Конечно, это более опасно. Но, например, была бы кнопка "Если лечение не помогло", после ее нажатие появляется пугающая надпись, что используйте этот способ лечения, только если не помогло безопасное лечение, ну и если пользователь соглашается, то перезаписывается загрузочный сектор.

 

#73 09.03.2012 20:01:44

barsuk
Advanced Member
Откуда: Плохое Место!
Зарегистрирован: 09.03.2012
Сообщений: 264
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

kpuk
Ключ HKLM\SYSTEM\Setup\SystemSetupInProgress на рабочей системе должен быть равен 0, а во время установки и в WinPE - 1. По крайней мере я так определяю в своём WinPE, и если не ошибаюсь, так же сделано в оригинальном.

навскидку включил AlcorMini_2012-03 данный параметр установлен там как Вы и сказали, но все равно не грузится (тоже что и из обычной ХР), хотя с PE от винды Вашей всё гууд обрабатывается

можно ли как то упростить эту процедуру блокировки или сделать предупреждение что запуск не из PE неэффективен и все равно принудительным нажатие СОГЛАСИЯ завести утилиту?
или хотябы подскажите в чем дело, а то утилита нужная! и хотя я встроил Ваш PE в свою мутизагрузку, но все равно хочется чтоб запустить можно было не только из Вашей PE

Отредактировано barsuk (09.03.2012 20:03:24)

 

#74 09.03.2012 22:21:07

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

art9
Лечатся только известные MBR-блокировщики, неизвестные не лечатся, т. к. это рисковано. Во-первых загрузчик может быть нестандартный, тогда запись стандартного может убить альтернативный загрузчик или снести активацию. Во-вторых так можно окончательно убить таблицу разделов. Но не всё так плохо - на данный момент лечатся все MBR-блокировщики, которые можно реально поймать (6, 12, 13, 14, 17, 19), а новые будут оперативно добавляться. Здесь вирмейкеры оказываются в невыгодном положении, т. к. создание сложного блокировщика требует много времени и тестирования, а создание алгоритма лечения очень быстрое.

barsuk
С версии 1.7 ключ SystemSetupInProgress не используется, программа будет работать на любом WinPE.

 

#75 10.03.2012 06:19:59

barsuk
Advanced Member
Откуда: Плохое Место!
Зарегистрирован: 09.03.2012
Сообщений: 264
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

как раз это версия была 1.7, вот скрин
http://i28.fastpic.ru/big/2012/0310/01/ … ce6001.png
---------------
также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe
---------------
и как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской (я такую юзаю)
---------------
и еще вопросик т.к. в мультибут я добавил Ваш PE от диска Винды:
будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?

Отредактировано barsuk (10.03.2012 06:24:18)

 

Board footer


© simplix