simplix сообщает:
Странно, что библиотеку под Windows XP Novell даже не подписала.
Возможно это последствия конкурентной борьбы на рынке серверов. Хотя сейчас у новелла с мс дружба.
barsuk сообщает:
как раз это версия была 1.7
Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?
barsuk сообщает:
также можно добавить нужные системные файлы туда:
6to4svc.dll, logonui.exe, reg.exe, sfc.exe, winlogon.exe
Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана. Задача программы стоит не полностью вылечить систему, а разблокировать её для проверки антивирусом.
barsuk сообщает:
как я понимаю там файлы только для Русской ХР. почему бы не добавить от английской
Потому что русская встречается у 95% пользователей и замена повреждённых английских файлов на русские тоже решает проблему.
barsuk сообщает:
будет ли в следующей сборке Винды от Вас встроен в PE Полный функционал диска AntiSMS ?
Обязательно.
Вы могли бы выложить куда-нибудь свой WinPE, чтобы определить причину?
это не мой)) просто у меня в мультибуте
http://narod.ru/disk/42633129001.b3de29 … 3.rar.html
Пока что не встречал ни одного случая, чтобы замена этих файлов приводила к блокировке экрана.
согласен, но файлы нужные и уезвимые) просто подумал лишним не будет
насчет английской винды и файлов: можно ли сделать чтоб самому (мне) накидать туда файлов из system32 и они проверялись?
папку сделать пустую WXPEN в которую если кинуть файлы, то копирование происходило не из русской папки а из этой?
я понимаю что для Вас еще важно чтоб все поместилось на 700-CD, но даже на моем ПК где ДВД и не пахло я и CD уже не юзаю... юзаю CDROM-область флешек, так что у меня еще 3,5ГБ свободно на 8ГБ-шной флешке)) а если файлы можно будет восстанавливать таким образом то думаю будет хорошо
Отредактировано barsuk (10.03.2012 11:31:59)
simplix
В последней версии 1.7 все нормально работает.
Принесли ноут Acer, с диагнозом, что был локер. После чего-то вообще перестал загружаться и писал что не знает с чего загружаться. Со слов клиента.
Загрузился с Windows 7 LiveCD 5.5 xalex, запустил AntiSMS с флешки - все пролечил. Перезагружаюсь - тишина. Загрузил Acronis Disk Director Suite - не было ни одного активного раздела вообще. Далее уже долечил стандартным загрузчиком от Windows 7. Он нашел еще проблемы в загрузке и сам исправил. Все заработало
Я к тому, что реально ли есть локер который подавляет атрибут Активного раздела?
barsuk
Возможно что-то из этого будет реализовано в будущем.
Savage-i
Скорее всего клиент занимался самолечением и что-то сделал неправильно. Если MBR-блокировщик вообще был и AntiSMS его вылечил, то в конце работы вы увидите сообщение, что винчестер тоже вылечен, а во временной папке WinPE (на моём это B:\Temp) и на разделе с системой (если таблица разделов не повреждена) будет файл MbrLock0.bak с копией заражённого MBR. Таких локеров, которые просто убирают атрибут активного раздела, я не видел.
simplix
Вероятней всего что клиент пытался лечить самостоятельно. Но я просто подумал что МБР-локер такое мог сотворить. После лечения вроде не видел в системном разделе файл с копией МБР, может не обратил внимания.
Но все равно спасибо за чудесную утилиту! Надеюсь будет конкурентной для AntiWinLocker.
В будущем планируется ли создание программы как самостоятельное приложение в ОС, например как AntiWinLocker? Чтобы налету подавляла возможность заражения (по методу AntiWinLocker)
Будет ли добавлена возможность лечения Win2k3 Server (каталог с файлами для восстановления). Есть сборки типа nCore (lwgame.net), которые заточены под рабочую станцию
Отредактировано Savage-i (12.03.2012 13:54:27)
simplix вот этот локер-вредитель системы http://zalil.ru/32855694 пароль на архив 20122 Ваша программа не лечит!!!!! Скрины в архиве, он блокирует винду и портит настройки системы.....блокирует диспетчер..меняет обои раб.стола...вместо часов в правом нижнем углу надпись ГНОЙ, пропал значек мой компьютер...и т.д и т.п.
Отредактировано olzaruta (12.03.2012 18:18:34)
simplix
Спасибо большое за все Ваши проекты!
В продолжении идей Savage-i хотел бы предложить возможно "нереализуемый вариант":
Прописать программу в автозагрузку Безопасного варианта входа в систему - чтобы программа на автомате вылечила систему.
simplix
Благодарю Вас, очень сильно выручили меня (на работе, при попытке загрузить AVZ появилось красное окно с предупреждением о блокировке Win XP). Благо дело это случилось в конце дня. С утра, вооружился Вашим загрузочным CD, затем запустил AntiSMS.exe и по окончании его работы перезагрузил комп в обычный режим и все стало ОК!
Дома, как любитель экспериментов, решил сделать испытание «тестовым файлом xxx_po….zip», за что автору этого файла отдельное спасибо. Мой нынешний nod32 v.4.2 сразу его заглушил и для продолжения эксперимента пришлось вырубить nod32 и запустить тот файл вновь
Появился синий прямсугольник, блокирующий работу WinXP. Загрузился с диска от AntiSMS.iso и запустил AntiSMS.exe, однако положительного результата не было, и после этого я прервался. Через 10 мин подхожу а синий блокирующий прямоугольник исчез ... Перезагрузил комп и все само стало ОК?
Вопросы: где найти следы удаленных зловредов, и каких именно, для обоих случаев?
Savage-i
Создание утилиты для рабочей системы вообще не планируется, если вас устраивает функциональность AntiWinLocker - пользуйтесь им. Если сравнивать загрузочные диски AntiSMS и AntiWinLockerLiveCD, то они достаточно разные как по размеру, так и по возможностям - там упор сделан на ручное редактирование, у меня же на полную автоматизацию. Да и понимание того, как должна работать такая программа у меня своё, это позволяет не использовать чужие идеи и возможные ошибки. Однако вряд ли можно назвать AntiWinLocker конкурентами, скорее коллеги - одно дело делаем.
Savage-i сообщает:
Будет ли добавлена возможность лечения Win2k3 Server
Скорее всего такая возможность появится в будущем, чтобы пользователь AntiSMS сам мог добавить файлы для нужных систем.
olzaruta
Я уже видел этот локер ChatADMIN, но на самом деле программа его лечит (проверено на версии 1.7). Если бы система осталась заблокированной, вот тогда можно было бы сказать что не лечит, а так - разблокирована полностью. То, что ChatADMIN портит систему, это не проблема AntiSMS, самое главное что появляется доступ ко всем настройкам, можно запустить антивирус и отредактировать автозагрузку через msconfig. AntiSMS не будет восстанавливать абсолютно все настройки в таком виде, в каком они были бы при переустановке системы. Согласитесь, восстановление времени вместо текста или координат фона рабочего стола совсем не входит в задачи разблокировки. Но я посмотрю, что можно сделать в подобных случаях, чтобы было разблокировано как можно больше возможностей в системе.
Fiolet
Программа не будет работать в системе, т. к. троян может тут же заражать систему заново, в том числе и в безопасном режиме. Лучше запишите загрузочный диск и выставьте очерёдность загрузки CD->HDD в BIOS, когда возникнут проблемы - достаточно вставить диск и перезагрузить компьютер.
A_B
На данный момент резервные копии удаляемых файлов не делаются, так как удаляются они только из тех папок, где легальных программ быть не может. Это будет реализовано в будущем.
simplix
Спасибо за разъяснения.
Это будет хорошо, если будет возможность восстанавливать файлы различных систем.
Еще бы хотелось пожелать. Если AntiSMS не сможет пролечить MBR-локер, может тогда встроить функцию, которая бы делала копию зараженного MBR и сохраняла в виде файла. А дальше этот файл можно отправить Вам на анализ. А уж по дампу можно придумать лечение и выпустить обновленную версию
по поводу ChatADMIN: 1.7 лечит, но не до конца.
вот лог avz
9. Мастер поиска и устранения проблем >> Блокировка редактора реестра >>> Блокировка редактора реестра - исправлено >> Блокировка диспетчера задач >>> Блокировка диспетчера задач - исправлено >> Установлена большая задержка перед открытием меню (более секунды) >>> Установлена большая задержка перед открытием меню (более секунды) - исправлено >> Рабочий стол - заблокировано отображение иконки Мой компьютер >>> Рабочий стол - заблокировано отображение иконки Мой компьютер - исправлено >> Заблокирован элемент Выполнить в меню Пуск >>> Заблокирован элемент Выполнить в меню Пуск - исправлено >> Некорректный порог предупреждения о недостатке свободного места на диске >>> Некорректный порог предупреждения о недостатке свободного места на диске - исправлено >> Заблокирована служба работы с USB накопителями >>> Заблокирована служба работы с USB накопителями - исправлено >> Заблокирована возможность установки и удаления программ >>> Заблокирована возможность установки и удаления программ - исправлено
g0dl1ke
В следующей версии всё-таки будет чистка от программ типа ChatADMIN. Кстати AVZ исправляет далеко не всё, к тому же неправильно определяет блокировку редактора реестра и диспетчера задач - на самом деле AntiSMS делает эту разблокировку.
Уважаемые коллеги! Сегодня боролся с TrojanMBRlock. По классификации Dr.Weba - TrojanMBRlock6 c кодом разблокировки 113331 (найдено по номеру кошелька) Так CureIT его не взял! Эта зараза блокировала запуск сканера!? Записал последнего на две флешки, запускал из под WinPE.
Вопрос: Возможно ли такой розум у этой заразы? Поделитесь мнениями. Спасибо.
Новая версия - 1.8, изменения как обычно в шапке. Последний тест от art9 проходит, ChatADMIN и подобные вредители нейтрализуются (в частности то, что можно автоматизировать и проверить).
Altorn
У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE. Но AntiSMS лечит такие трояны, а дальше CureIt можно запустить после перезагрузки уже в рабочей системе.
simplix
Как я понимаю, сам ISO образ можно не перекачивать, основа не изменяется? Просто скачать обновленную утилитку и самому обновить ISO?
Отредактировано Savage-i (14.03.2012 06:53:26)
В архиве Drive1.bin, возможно когда-то пытались использовать активатор, т.к видно записи про груб.
После выполнения команды bootsect /nt60 /c: /force /mbr файл получается идентичный.
http://ifolder.ru/29280623
Savage-i
Конкретно между версиями 1.7 и 1.8 образ не менялся, но в будущем такое запросто возможно, так что лучше по возможности загружать образ. Если у вас свой WinPE - убедитесь, что скопировали папку Files с оригинальными файлами.
pdi77
Похоже у вас два винчестера и команду bootsect вы выполняете для первого, поэтому на втором ничего не меняется.
https://forum.ru-board.com/topic.cgi?fo … rt=5040#11
https://forum.ru-board.com/topic.cgi?fo … art=5040#7
https://forum.ru-board.com/topic.cgi?fo … art=5020#5
-тут выложил блокировщиков-шифровщиков...вечером будет еще один mbr
Отредактировано olzaruta (14.03.2012 11:43:19)
simplix сообщает:
....У CureIt иногда такое бывает, что не хочет он работать на некоторых компьютерах из-под WinPE...
А ещё "бывают" материнки на которых WINPE НЕ запускается (этим "грешат" мамки с чипом от NVideo в особенности со встроеной графикой) зависая на экране запуска с надписью "виндовсблаблабла".
Тоже происходит и с "лайфсд" (но эти уходят в бесконечный перезагруз) и только (увы не довелось попробовать вашу утилиту, на бывшем в руках даже не пионерском - скорее октябрятском (банальный автозапуск из папки темп, без какой либо порчи, чего нибуть)) AntiWinLockerLiveCD
запускается, им и "чистил-смотрел".
Отредактировано Kipovec (14.03.2012 13:05:08)
Почему такое выдает - так ли необходимо это ограничение ?
simplix
Спасибо огромное за утилиту! Переоценить её невозможно! Запускаю теперь не только для лечения, но и для общей очистки после восстановления раздела или винды. Суперская штука! Столько времени экономит! А то все ручками приходилось..
И не только за antiSMS, но и за сборку, и за PE, и за все ОГРОМНОЕ СПАИБО!
simplix
Здравствуйте.
Если у Вас есть желание, мы бы хотели пригласить на наш форум forum.virlab.info где Вы бы могли изучить поведения баннеров используя их исходники.
Так же есть несколько предложений для загрузочного образа:
- uVS (для возможности выявления месторасположения файлов баннера, специалистам)
- Master Boot Record (MBR) для простых блокировщиков использующих пароль на виду.
- TDSSkiller (для сбора логов MBR жестких дисков и их расшифровки на форуме Касперского)
Отредактировано Vitokhv (16.03.2012 08:01:13)
Авторы антивиноркера переманивают simplix
Я лишь предлагаю, то о чем просит simplix "Сейчас нужно как можно больше разных образцов..." пост #12
И идеи для охвата любого типа баннеров. Пока сложной задачей остается шифрование MBR применяемое в новых блокировщиках.