Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#101 16.03.2012 09:39:30

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
Прикольно подмечено. У AntiWinLockerа уже с октября не обновляется LiveCD...  наверно поэтому-что стопор у них с лечением MBR-локеров... biggrin

 

#102 16.03.2012 10:48:37

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Вы парни думайте прежде чем писать. Многим помогла как идея AntiWinLocker так и AntiSMS программы, а что сделали Вы?
Если все упирается в лечение MBR то открою Вам секрет, ни один из антивирусных продуктов не способен разработать лечение данного блокировщика. Только лишь по тому, что компания Microsoft запрещает использование WinPE в коммерческих целях. И цена вопроса несколько десятков долларов, которые должна оплатить антивирусная компания за использование их продуктов.
На форуме мы обсуждаем поведение баннеров, извлеченные в процессе лечения. Каждый из них мы отправляем в антивирусные лаборатории. И взять 1% срабатывания детекта по всему миру, уже можно говорить о пользе, за которую даже не скажут спасибо.

 

#103 16.03.2012 11:21:24

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

olzaruta
Спасибо, но у шифровальщиков никак не может быть универсального решения, только выкладывать их и шифрованные файлы на антивирусных форумах, где специалисты постараются помочь.

Kipovec
Дело в том, что WinPE на основе WinXP не поддерживает AHCI-режим изначально, для многих контроллеров в него нужно интегрировать драйвера - что и сделано для самых распространённых случаев. WinPE на основе Win7 изначально поддерживает AHCI-режим, поэтому вероятность того, что он увидит винчестер, гораздо выше. Но там свои проблемы - большой размер образа, гораздо большие требования к памяти - на слабом компьютере он даже не запустится. В том числе поэтому оставлена возможность использовать AntiSMS в составе любого загрузочного диска, чтобы специалист мог собрать один или несколько WinPE по своим предпочтениям и использовать их в работе по ситуации.

Herz
Необходимо, почитайте эту тему, о причинах я уже не раз писал. К тому же вы не запустите утилиту на рабочей системе когда экран заблокирован.

Vitokhv
Спасибо за предложение. Моё сообщение #12 касалось старых версий AntiSMS, сейчас ситуация немного изменилась - уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом.
По поводу дополнительных утилит на диске объясню свою позицию - диск должен оставаться маленьким, чтобы пользователи со слабыми каналами могли быстро его скачать, а возможности AntiSMS должны обеспечивать качественное лечение, которое заменит все остальные утилиты. Например UVS будет заменён тогда, когда в AntiSMS появится полноценный бекап, чтобы по его содержимому можно было найти все вредоносные файлы. Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения). А в TDSSkiller необходимость отпала с версией 1.8, где было добавлено сохранение нестандартных записей в файл.
Вы также можете использовать AntiSMS в своих целях, ведь разработчиков много и у каждого своё видение, поэтому у всех есть возможность собрать такой диск, на котором будет присутствовать необходимый набор утилит.

 

#104 16.03.2012 12:06:59

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv
Я понимаю, что все работают на благо народа, против долбаных локерописателей. Конечно все скажут спасибо. Но хотелось просто подметить, что ваш вариант давно заморозился (имею ввиду LiveCD). А между прочим с тех пор уже много разновидностей локеров понаплодилось. Делайте сами выводы
simplix
Согласен. И будет очень прекрасно, когда ваша разработка заменит многие в совокупности мелкие утилиты...

 

#105 16.03.2012 12:58:14

hal
Advanced Member
Зарегистрирован: 02.12.2008
Сообщений: 418

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Запустил сегодня AntiSMS на одном компьютере с профилактической целью (пользователь жаловался на медленную работу, блокера не было) и получил сообщение о нестандартном MBR:

http://rghost.ru/37050387

 

#106 16.03.2012 20:13:03

jarem1980
New member
Зарегистрирован: 16.03.2012
Сообщений: 2

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

После работы AntiSMS 1.8 получил сообщение о нестандартном MBR:
http://rghost.ru/37059031
http://rghost.ru/37059060
После всех проделанных рекомендованных манипуляций интернет не заработал.

Отредактировано jarem1980 (18.03.2012 15:41:58)

 

#107 16.03.2012 22:26:10

Prohojiy
New member
Зарегистрирован: 16.03.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBR-локеры по моему опыту вообще не проблема - обновил MBR например в Paragon Hard Disk Manager'е или Acronis'ом и всего делов

 

#108 17.03.2012 05:45:47

mvk2000
Advanced Member
Зарегистрирован: 10.08.2009
Сообщений: 136

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Prohojiy

simplix сообщает:

Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения).

 

#109 17.03.2012 15:35:41

olzaruta
Member
Зарегистрирован: 08.03.2012
Сообщений: 41

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Еще один локер http://rghost.ru/37070130 ( 2012), блокирует много чего..долго писать....вашу программу на нем не пробовал...пока нет возможности, прошу протестить винлокер.

Отредактировано olzaruta (17.03.2012 15:36:11)

 

#110 17.03.2012 21:16:48

Herz
New member
Зарегистрирован: 13.03.2012
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

olzaruta сообщает:

блокирует много чего

Обычный шелл. 1.8 чистит нормально.

 

#111 18.03.2012 12:06:12

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание? Конечно, никаких неудобств это не причиняет. Но Задание это очень полезное, а обычному юзеру довольно сложно будет вернуть его к жизни.

Новая версия тестовой утилиты для проверки антибаннерных программ, вроде AntiSMS.
+ Файлам в папке Автозагрузка присваивается атрибут "только чтение",
+ одна копия теста стартует через cmd.exe

В версии 1.8 данные фокусы не учтены.
http://upwap.ru/2102815
Пароль: 123
На свой страх и риск! Опасно!

Еще сейчас зловреды стартуют через lnk, пример в HiJack:


Код:

O4 - Startup: AdobeLoadereygeyx.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: AdobeLoadergexrqa.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: kkeydodouble.lnk = C:\WINDOWS\system32\cmd.exe
O4 - Startup: xqurzsdouble.lnk = C:\WINDOWS\system32\cmd.exe

Может такие lnk (где ссылка на cmd.exe) тоже следует отключать?

up
del

Отредактировано art9 (20.03.2012 08:58:50)

 

#112 18.03.2012 22:05:45

sov44
Member
Зарегистрирован: 26.02.2012
Сообщений: 43

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Запускал AntiSMS через BSDW как образ \BCDW\image\AntiSMS_1_8.iso ,загрузка непроисходит.  При запуске на прямую - всё ОК! Подскажите "хитрый" способ запуска с BCDW.

Отредактировано sov44 (18.03.2012 22:14:25)

 

#113 19.03.2012 00:41:50

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Пробуйте, бетманы crazy создавалка загрузочной флешки с AntiSMS, всё нужное вшито в ехе, создается загрузка тем же bootIT, но ТОЛЬКО HDD и ТОЛЬКО FAT32, тот же груб загрузчик, но без меню как такового, а с загрузкой AntiSMS сразу же. Маппинг напрямую.

Virustotal нашел 4 вируса, какие находит и в BootIT - ясно почему. Сторонние загрузочные области в него вшиты и BootIT умеет форматировать диск.

 

#114 19.03.2012 07:26:25

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Vitokhv
вы конечно молодцы, но как то же лечили баннеры и лечим без вашего антивинлокера.
например база файлов у меня всегда с собой есть, а если что - восстановлю с диска.
а что до проги, что контроллирует автозапуск и убивает баннеры - она тоже не есть панацея от всех бед, многие баннеры ее обходили.
MBTY
а если образ прикрутить к грубу?


Код:

title SimplixAntiSMS
map (hd1) (hd0)
map (hd0) (hd1)
map --mem (md)0x800+4 (99)
map --mem /img/DIRECT.GZ (fd0)
map /img/AntiSMS.ISO (0xff)
map --hook
write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/AntiSMS.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0
chainloader (0xff)

с меню и прочим crazy


Stay Awhile and Listen

 

#115 19.03.2012 07:50:28

MBTY
Профессиональный соучастник
Откуда: ЮФО
Зарегистрирован: 30.04.2009
Сообщений: 1612
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

g0dl1ke
title SimplixAntiSMS
map /img/AntiSMS.ISO (0xff)
map --hook
chainloader (0xff)

ТОЛЬКО для Wnpe и AntiSMS от SImplix достаточно такого варианта, а потому отпадает нужда в драйвере FiraDisk (DIRECT.GZ) и связанной с этим драйвером уличной магией (write (99) [FiraDisk]..........)

 

#116 19.03.2012 07:56:51

g0dl1ke
Advanced Member
Зарегистрирован: 12.09.2010
Сообщений: 535

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

то есть сосется на прямую и все ок?
а то у меня и так вроде пашет, тока с plop драйвером не дружит.
уличная магия?


Stay Awhile and Listen

 

#117 19.03.2012 13:41:23

barsuk
Advanced Member
Откуда: Плохое Место!
Зарегистрирован: 09.03.2012
Сообщений: 264
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

распаковать в корень носителя и если адреса другие то подправить то что надо править)

; GRUB
title  ■PE■ Windows PE Simplix Edition 15.03.12\n Windows PE от Simplix датированный 15 March 2012.
chainloader /WNPE/WINPELDR.BIN

; СУСЛИК
LABEL SMPLX-PE
MENU LABEL  ■PE■ Windows PE ^Simplix Edition 15.03.12
TEXT HELP
Windows PE от Simplix датированный 15 March 2012.
ENDTEXT
COM32 /syslinux/chain.c32
APPEND ntldr=/WNPE/WINPELDR.BIN

с СДРОМ областью флэшки не каких проблем и с Plop`ом тем более

Отредактировано barsuk (19.03.2012 13:43:50)

 

#118 20.03.2012 01:25:01

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

В шапку добавлена программа AntiSMS USB Installer 1.1, разработанная совместно с MBTY для лёгкого создания загрузочной флешки AntiSMS.

art9 сообщает:

в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание?

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

art9 сообщает:

В итоге Windows, скорее всего перестанет загружаться.

Не перестанет. Чтобы не повторяться, посмотрите это.

 

#119 20.03.2012 05:51:37

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix сообщает:

Так оно и не отключается, потому что подписано. А что, у вас отключилось?

На подопытном компьютере сборка установлена очень давно - может из-за этого.
Во всяком случае, Задания дефрагментатора не удаляются, т.к. файлы его подписаны.

http://s019.radikal.ru/i605/1203/40/e1249e21ce7c.png

 

#120 21.03.2012 03:47:29

Fiolet
New member
Зарегистрирован: 12.03.2012
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.

И может быть удобней было бы включать Назначенные задания через AutoRuns. (главное чтоб неопытные пользователи, еще чего не поотключали там unknown)

И Вывести информационное окно: где что обратно включать.

Отредактировано Fiolet (21.03.2012 04:10:18)

 

#121 21.03.2012 13:23:02

Cash939
New member
Зарегистрирован: 21.03.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

пол дня с бубном вокруг компа танцевал, а антисмс за 1 минуту все проблемы решил...oops
Автору респект!!! И низкий поклон!good

 

#122 22.03.2012 17:52:32

dimkot
New member
Зарегистрирован: 09.04.2011
Сообщений: 4

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Тоже нестандартный MBR. Локер был. Win7 Starter. Вуаля: http://rghost.ru/37163532

 

#123 24.03.2012 04:09:19

Vitokhv
Member
Зарегистрирован: 16.03.2012
Сообщений: 44

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO

Отредактировано Vitokhv (24.03.2012 04:09:36)

 

#124 24.03.2012 04:45:30

barsuk
Advanced Member
Откуда: Плохое Место!
Зарегистрирован: 09.03.2012
Сообщений: 264
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

универсального работающего способа не может быть для всех флэшек (т.е. контроллеров внутри) и материнок, особенно если загрузка не сразу происходит целиком в память

 

#125 24.03.2012 13:24:58

Fakel
New member
Зарегистрирован: 24.03.2012
Сообщений: 4

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Здравствуйте. скачал, сделал образ на флешке, запускаю систему не видит. В чем может быть проблема?

 

Board footer


© simplix