g0dl1ke
Прикольно подмечено. У AntiWinLockerа уже с октября не обновляется LiveCD... наверно поэтому-что стопор у них с лечением MBR-локеров...
Вы парни думайте прежде чем писать. Многим помогла как идея AntiWinLocker так и AntiSMS программы, а что сделали Вы?
Если все упирается в лечение MBR то открою Вам секрет, ни один из антивирусных продуктов не способен разработать лечение данного блокировщика. Только лишь по тому, что компания Microsoft запрещает использование WinPE в коммерческих целях. И цена вопроса несколько десятков долларов, которые должна оплатить антивирусная компания за использование их продуктов.
На форуме мы обсуждаем поведение баннеров, извлеченные в процессе лечения. Каждый из них мы отправляем в антивирусные лаборатории. И взять 1% срабатывания детекта по всему миру, уже можно говорить о пользе, за которую даже не скажут спасибо.
olzaruta
Спасибо, но у шифровальщиков никак не может быть универсального решения, только выкладывать их и шифрованные файлы на антивирусных форумах, где специалисты постараются помочь.
Kipovec
Дело в том, что WinPE на основе WinXP не поддерживает AHCI-режим изначально, для многих контроллеров в него нужно интегрировать драйвера - что и сделано для самых распространённых случаев. WinPE на основе Win7 изначально поддерживает AHCI-режим, поэтому вероятность того, что он увидит винчестер, гораздо выше. Но там свои проблемы - большой размер образа, гораздо большие требования к памяти - на слабом компьютере он даже не запустится. В том числе поэтому оставлена возможность использовать AntiSMS в составе любого загрузочного диска, чтобы специалист мог собрать один или несколько WinPE по своим предпочтениям и использовать их в работе по ситуации.
Herz
Необходимо, почитайте эту тему, о причинах я уже не раз писал. К тому же вы не запустите утилиту на рабочей системе когда экран заблокирован.
Vitokhv
Спасибо за предложение. Моё сообщение #12 касалось старых версий AntiSMS, сейчас ситуация немного изменилась - уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом.
По поводу дополнительных утилит на диске объясню свою позицию - диск должен оставаться маленьким, чтобы пользователи со слабыми каналами могли быстро его скачать, а возможности AntiSMS должны обеспечивать качественное лечение, которое заменит все остальные утилиты. Например UVS будет заменён тогда, когда в AntiSMS появится полноценный бекап, чтобы по его содержимому можно было найти все вредоносные файлы. Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения). А в TDSSkiller необходимость отпала с версией 1.8, где было добавлено сохранение нестандартных записей в файл.
Вы также можете использовать AntiSMS в своих целях, ведь разработчиков много и у каждого своё видение, поэтому у всех есть возможность собрать такой диск, на котором будет присутствовать необходимый набор утилит.
Vitokhv
Я понимаю, что все работают на благо народа, против долбаных локерописателей. Конечно все скажут спасибо. Но хотелось просто подметить, что ваш вариант давно заморозился (имею ввиду LiveCD). А между прочим с тех пор уже много разновидностей локеров понаплодилось. Делайте сами выводы
simplix
Согласен. И будет очень прекрасно, когда ваша разработка заменит многие в совокупности мелкие утилиты...
Запустил сегодня AntiSMS на одном компьютере с профилактической целью (пользователь жаловался на медленную работу, блокера не было) и получил сообщение о нестандартном MBR:
http://rghost.ru/37050387
После работы AntiSMS 1.8 получил сообщение о нестандартном MBR:
http://rghost.ru/37059031
http://rghost.ru/37059060
После всех проделанных рекомендованных манипуляций интернет не заработал.
Отредактировано jarem1980 (18.03.2012 15:41:58)
MBR-локеры по моему опыту вообще не проблема - обновил MBR например в Paragon Hard Disk Manager'е или Acronis'ом и всего делов
Prohojiy
simplix сообщает:
Утилиты для записи стандартного MBR не помещаются потому, что это может привести к необратимой потере информации - некоторые блокировщики удаляют таблицу разделов, поэтому все блокировщики AntiSMS лечит (расшифровывает, загрузочный сектор становится байт-в-байт таким, каким был до заражения).
Еще один локер http://rghost.ru/37070130 ( 2012), блокирует много чего..долго писать....вашу программу на нем не пробовал...пока нет возможности, прошу протестить винлокер.
Отредактировано olzaruta (17.03.2012 15:36:11)
olzaruta сообщает:
блокирует много чего
Обычный шелл. 1.8 чистит нормально.
simplix
в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание? Конечно, никаких неудобств это не причиняет. Но Задание это очень полезное, а обычному юзеру довольно сложно будет вернуть его к жизни.
Новая версия тестовой утилиты для проверки антибаннерных программ, вроде AntiSMS.
+ Файлам в папке Автозагрузка присваивается атрибут "только чтение",
+ одна копия теста стартует через cmd.exe
В версии 1.8 данные фокусы не учтены.
http://upwap.ru/2102815
Пароль: 123
На свой страх и риск! Опасно!
Еще сейчас зловреды стартуют через lnk, пример в HiJack:
O4 - Startup: AdobeLoadereygeyx.lnk = C:\WINDOWS\system32\cmd.exe O4 - Startup: AdobeLoadergexrqa.lnk = C:\WINDOWS\system32\cmd.exe O4 - Startup: kkeydodouble.lnk = C:\WINDOWS\system32\cmd.exe O4 - Startup: xqurzsdouble.lnk = C:\WINDOWS\system32\cmd.exe
Может такие lnk (где ссылка на cmd.exe) тоже следует отключать?
up
del
Отредактировано art9 (20.03.2012 08:58:50)
Запускал AntiSMS через BSDW как образ \BCDW\image\AntiSMS_1_8.iso ,загрузка непроисходит. При запуске на прямую - всё ОК! Подскажите "хитрый" способ запуска с BCDW.
Отредактировано sov44 (18.03.2012 22:14:25)
Пробуйте, бетманы создавалка загрузочной флешки с AntiSMS, всё нужное вшито в ехе, создается загрузка тем же bootIT, но ТОЛЬКО HDD и ТОЛЬКО FAT32, тот же груб загрузчик, но без меню как такового, а с загрузкой AntiSMS сразу же. Маппинг напрямую.
Virustotal нашел 4 вируса, какие находит и в BootIT - ясно почему. Сторонние загрузочные области в него вшиты и BootIT умеет форматировать диск.
Vitokhv
вы конечно молодцы, но как то же лечили баннеры и лечим без вашего антивинлокера.
например база файлов у меня всегда с собой есть, а если что - восстановлю с диска.
а что до проги, что контроллирует автозапуск и убивает баннеры - она тоже не есть панацея от всех бед, многие баннеры ее обходили.
MBTY
а если образ прикрутить к грубу?
title SimplixAntiSMS map (hd1) (hd0) map (hd0) (hd1) map --mem (md)0x800+4 (99) map --mem /img/DIRECT.GZ (fd0) map /img/AntiSMS.ISO (0xff) map --hook write (99) [FiraDisk]\nStartOptions=cdrom,vmem=find:/img/AntiSMS.ISO;floppy,vmem=find:/img/DIRECT.GZ;\n\0 chainloader (0xff)
с меню и прочим
g0dl1ke
title SimplixAntiSMS
map /img/AntiSMS.ISO (0xff)
map --hook
chainloader (0xff)
ТОЛЬКО для Wnpe и AntiSMS от SImplix достаточно такого варианта, а потому отпадает нужда в драйвере FiraDisk (DIRECT.GZ) и связанной с этим драйвером уличной магией (write (99) [FiraDisk]..........)
то есть сосется на прямую и все ок?
а то у меня и так вроде пашет, тока с plop драйвером не дружит.
уличная магия?
распаковать в корень носителя и если адреса другие то подправить то что надо править)
; GRUB
title ■PE■ Windows PE Simplix Edition 15.03.12\n Windows PE от Simplix датированный 15 March 2012.
chainloader /WNPE/WINPELDR.BIN
; СУСЛИК
LABEL SMPLX-PE
MENU LABEL ■PE■ Windows PE ^Simplix Edition 15.03.12
TEXT HELP
Windows PE от Simplix датированный 15 March 2012.
ENDTEXT
COM32 /syslinux/chain.c32
APPEND ntldr=/WNPE/WINPELDR.BIN
с СДРОМ областью флэшки не каких проблем и с Plop`ом тем более
Отредактировано barsuk (19.03.2012 13:43:50)
В шапку добавлена программа AntiSMS USB Installer 1.1, разработанная совместно с MBTY для лёгкого создания загрузочной флешки AntiSMS.
art9 сообщает:
в вашей сборке XP предусмотрены резервные компии реестра через ERDNT, может стоит не отключать данное Задание?
Так оно и не отключается, потому что подписано. А что, у вас отключилось?
art9 сообщает:
В итоге Windows, скорее всего перестанет загружаться.
Не перестанет. Чтобы не повторяться, посмотрите это.
simplix сообщает:
Так оно и не отключается, потому что подписано. А что, у вас отключилось?
На подопытном компьютере сборка установлена очень давно - может из-за этого.
Во всяком случае, Задания дефрагментатора не удаляются, т.к. файлы его подписаны.
simplix
А может быть для неопытных пользователей сделать сразу появление Окна настройки системы (msconfig) при запуске утилиты в рабочей системе.
И может быть удобней было бы включать Назначенные задания через AutoRuns. (главное чтоб неопытные пользователи, еще чего не поотключали там )
И Вывести информационное окно: где что обратно включать.
Отредактировано Fiolet (21.03.2012 04:10:18)
пол дня с бубном вокруг компа танцевал, а антисмс за 1 минуту все проблемы решил...
Автору респект!!! И низкий поклон!
Тоже нестандартный MBR. Локер был. Win7 Starter. Вуаля: http://rghost.ru/37163532
Насчет флешек, предлагаю найти работающий способ записи образа.
Видимо не все флешки могут поддерживать загрузку. Пробовал через UltraISO
Отредактировано Vitokhv (24.03.2012 04:09:36)
универсального работающего способа не может быть для всех флэшек (т.е. контроллеров внутри) и материнок, особенно если загрузка не сразу происходит целиком в память
Здравствуйте. скачал, сделал образ на флешке, запускаю систему не видит. В чем может быть проблема?