Объявление


Форум находится в режиме только для чтения, для комментариев есть блог.

#151 28.03.2012 15:50:05

Dimson81
New member
Зарегистрирован: 28.03.2012
Сообщений: 3

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Нестандартный MBR Drive0.bin

 

#152 30.03.2012 07:37:33

DJeir
Advanced Member
Зарегистрирован: 29.07.2010
Сообщений: 459

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Еще нестандартный MBR http://rghost.ru/37306849 Продолжать выкладывать?

 

#153 30.03.2012 12:23:27

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

DJeir
Выкладывайте, если не сложно.

 

#154 02.04.2012 19:13:27

oan
New member
Зарегистрирован: 25.09.2011
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Нестандартный MBR
http://rghost.ru/37372842

 

#155 04.04.2012 15:05:29

FagotAdmin
New member
Откуда: Украина
Зарегистрирован: 09.06.2009
Сообщений: 5
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

MBTY сообщает:

Вишмастер (в простонародьи вишенка, вишня) работает не на основе автозапуска, а просто трет таблицу разделов при ручном запуске утилиты и первый раздел тотально накрывается. Тут никакой антисмс не поможет, да и проги восстановления данных не особо спасают. Нужно автивирус иметь, который эту бяку запустить не даст.
Распространяется исключительно в пределах анонимных борд типа iichan.ru / 0chan.ru и конечно же 2ch.so как проверка для новичков. Скачали/запустили - значит новичики, которым тут не рады. Типа как проверка "Если хочешь стать админом, нажми Alt+F4", но гораздо смешнее, как по мне.
Просто так в сети не валяется, потому как не приносит выгоды распространителю вируса.
Это так. Для общего сведения

Не ваша правда, этот троян лечится двумя дисками, 1) С помощью консоли восстановления сначала перезаписываем MBR 2) Берем последний Hirens Boot CD в загрузочном меню запускаем мини Windows  XP   после запуска ищем в списке тулз утилиту под названием MiniTool Partition Wizard Home Edition и восстанавливаем раздел, все просто, прогонял на Windows XP  такой способ лечения от этой заразы 3 раза.

Regards...

 

#156 04.04.2012 22:59:30

clientyra
Member
Зарегистрирован: 10.06.2011
Сообщений: 70

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Нестандартный MBR : http://rghost.ru/37412898

 

#157 05.04.2012 00:47:59

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix, может Вам будет полезно для модернизации Вашей программы, то что выловил антивирус после блокировки   Windows ХР SР3.
Использовал AntiSMS 1.6 (небыло возможности записать 1.8), запустил AntiSMS 1.6, перезагрузился в рабочую систему, выполнил быструю проверку - нашел троян в корне С:/, переместил в папку инфектед, заархивировал, восстановил автозагрузку и службы, перезагрузился, после загрузки системы поизошла автоматическая перезагрузка и снова заблокировалась Windows. Повторно прошелся AntiSMS после загрузки в рабочую систему Windows загрузилась в Выборочный запуск и слител модуль SpIDer Gate в Dr.Web 6. Повторно выполнил быструю проверку и снова нашел троян в корне С:/, переместил в папку инфектед, заархивировал. Странно, антивирус нашел один вирус, а в папке инфектед оказалось 2 файла с одним временем.
http://files.mail.ru/QG9TRY
Пароль virus
P.S.
Напишите маленькое FAQ что Вам высылать в таких случаях для анализа.

Хорошее дело делаете.

Спасибо.

С ув. Gennadiy


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#158 05.04.2012 07:51:30

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
1) в архиве из сообщения выше  только bak зараженного mbr, т.е. быстрая проверка нашла только файл, который создала AntiSMS.
Может данный файл лучше помещать в архив с паролем "virus"? А получается, после быстрой проверки пользователь вводится в заблуждение (думает, что антивирус прибил заразу).

2) в инфо для неопытного пользователя сказано, что сначала нужно проверить антивирусом, а затем включить автозапуск. но "быстрая проверка" производит поиск зловредов в определенных папках, а также файлы, которые прописаны в автозапуске. может лучше советовать сначала включить автозапуск , а затем проверять антивирусом?

3) опять же возвращаясь к сообщению выше... может в архив к копии mbr также копировать файлы, которые были отключены? Т.е. если антивирус не находит заразу, то пользователь сможет отправить этот архив в антивирусные лаборатории.
Опять же в процессе лечения AntiSMS может генерировать txt файл во временную папку, в котором будет указана инфо для опытного/неопытного пользователя, а также ссылка на данный архив и ссылки для отправки в антивирусные лаборатории (http://support.kaspersky.ru/virlab/helpdesk.html и т.п.)

Отредактировано art9 (05.04.2012 07:54:17)

 

#159 05.04.2012 13:45:55

Voha56
New member
Зарегистрирован: 05.04.2012
Сообщений: 7

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Прога супер! Но мне также понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

 

#160 05.04.2012 20:51:48

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Так что получается, вирус не удален? а что это за второй файл в архиве? и что необходимо сделать?

Отредактировано GenAleks (05.04.2012 23:30:27)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#161 05.04.2012 22:07:29

art9
Advanced Member
Зарегистрирован: 14.02.2012
Сообщений: 563

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

FAQ, РАБОТА С ФОРУМОМ, Рекомендация 6 сообщает:

shock Не нужно цитировать предыдущее сообщение, его и так видно! shock

GenAleks
опираясь на свое чисто субъективное мнение, нужно проверить компьютер разными антивирусными сканерами, причем выполнять не быструю, а полную проверку.
http://www.kaspersky.ru/antivirus-removal-tool
http://www.malwarebytes.org/products/malwarebytes_free
http://www.surfright.nl/en/downloads/

И заметьте, что АнтиСМС полностью справился со своей задачей.

 

#162 05.04.2012 22:53:55

GenAleks
Member
Откуда: UA
Зарегистрирован: 04.04.2012
Сообщений: 18

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Спасибо art9, учту рекомендации.
Полная проверка проводилась, к сожалению не видел что еще нашел антивирус, но со слов было найдено пару вирусов и они были удалены.
Что касается АнтиСМС, насколько я понял, он не удаляет вирусы, а восстанавливает, тоесть разблокирует Виндовс - "Вылечиваются все известные MBR-блокировщики", с этой задачей АнтиСМС справился на 150%. Почему MbrLockX.bak определяется как троян.

Отредактировано GenAleks (05.04.2012 23:24:41)


"Пусть Бог воздаст тебе вдвойне, все то, что ты желаешь мне!"

"Мозги, конечно, не видно, но когда их не хватает - заметно!"

 

#163 06.04.2012 11:42:12

Savage-i
Member
Зарегистрирован: 11.03.2012
Сообщений: 16

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

GenAleks сообщает:

Почему MbrLockX.bak определяется как троян.

Так это и есть вирус, который находит AntiSMS. Он копирует зараженный MBR в этот файл, а уже потом лечит MBR от локера

 

#164 07.04.2012 11:56:20

vladshishkin_Forever
Member
Зарегистрирован: 07.04.2012
Сообщений: 11

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Voha56 сообщает:

Мне понравилась Вин ПЕ, аналогов по наименьшей емкости я  не встречал (у меня есть 42 мб. хорошо грузится на старых машинах) а эта еще лучше. Понравилось что нет ничего лишнего. Но единственное хочу добавить тотал командер - знаю что не по теме. Но может кто поможет? Добираюсь до Antisms.iso\BOOT\WinPE.IS_\WinPE.iso\Programs\tools\зная что проги лежат здесь и все на этом. Тоесть как мне интегрировать тотал сюда? Ултраисо не получается.

Открываешь образ в UltraIso.Извлекаешь файл-архив-образ WinPE.IS_
на жесткий диск.Образ сжат в CAB. Архив распаковываешь утилитой CABTools:
https://forum.oszone.net/thread-93596-2.html
,после установки появляется в контекстном меню Отправить 2 новых пункта:
Cжать в CAB
Распаковать CAB
Жмешь распаковать-получаешь: WinPE.ISO
редактируешь образ в UltraISO:
Кидаешь Total в папку tools. Скачиваешь на сайте: WinPE ModelRam исходник
https://forum.simplix.info/viewtopic.php?id=193
Создан он в NSUS-скачать бесплатно можно здесь:
http://nsis.sourceforge.net/Main_Page
Редактируешь файл под себя в блокноте (Размещение иконок,ярлыков)
После установки NSUS в контекстном меню появляется строчка "Compile NSUS Script"
После компиляции, получаем файл: ModelRam.exe
В сборке ModelRam находится в папке Windows\system32
Меняешь на свой ModelRam и собираешь образ в обратном порядке.

Автору сборку Большое спасибо!!! Переделал под себя. Советую открыть отдельную тему по переделки данной LiveCD.

Отредактировано vladshishkin_Forever (09.04.2012 09:21:41)

 

#165 08.04.2012 08:01:17

DJeir
Advanced Member
Зарегистрирован: 29.07.2010
Сообщений: 459

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Нестанд. MBR http://rghost.ru/37466677 Локера не было.

 

#166 08.04.2012 08:49:36

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

simplix
Частенько запускаю AntiSMS на компах для профилактики. Так же заметил на многих системах не стандартный MBR, при этом локера не было. Выкладывать такие MBR для анализа?

 

#167 08.04.2012 18:59:03

Herz
New member
Зарегистрирован: 13.03.2012
Сообщений: 9

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Sergikaz сообщает:

Частенько запускаю AntiSMS на компах для профилактики.

Смысл в таком запуске ? Убить МБР что ли ?

 

#168 08.04.2012 19:46:26

Sergikaz
Advanced Member
Откуда: Караганда
Зарегистрирован: 01.04.2009
Сообщений: 532

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Herz
Утилита отлично чистит временные файлы, хорошо чистит автозагрузку, чистит hosts, удаляет autorun.inf с разделов. Это то, с чего надо начинать работу (чистку-профилактику) на любом компе, который впервые попал к вам в руки.

 

#169 09.04.2012 03:11:22

DJeir
Advanced Member
Зарегистрирован: 29.07.2010
Сообщений: 459

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Именно так. Раньше все это делал ручками. Не шибко долго, но время отнимало. А теперь antisms тынц и готово. Красота!

Отредактировано DJeir (09.04.2012 16:06:41)

 

#170 09.04.2012 09:11:34

Amigos
New member
Зарегистрирован: 28.02.2012
Сообщений: 4

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

И снова здравствуйте!
Пара вопросиков по AntySMS 1.8
Проверяется ли ветка реестра [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]  ?
насколько понял, не проверяется sad , хотя теоретически зловреды её могут использовать для своего запуска

по "нестандартным MBR"
у меня попросила опубликовать их, публикую http://www.mediafire.com/file/4bggvgjzh … 9_12-05.7z
все mbr на всех 3 дисках стандартные, единственное, на одном из дисков (который разбит на 4 раздела) один из разделов отведён под AcronisSecureZone - наверно ругается на неё.

Отредактировано Amigos (09.04.2012 09:11:54)

 

#171 09.04.2012 11:29:43

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Скорее всего на этой неделе будет внеплановый выпуск, куда будут добавлены сигнатуры собранных MBR-файлов. Времени катастрофически не хватает.

 

#172 10.04.2012 08:06:26

Amigos
New member
Зарегистрирован: 28.02.2012
Сообщений: 4

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

"нестандартный MBR"  http://www.mediafire.com/file/o1dd6niuq … 0_11-05.7z
ноутбук Samsung. Возможно под "не стандарт" попал самсунговский "раздел восстановления"

 

#173 11.04.2012 20:57:02

Jon46
New member
Зарегистрирован: 11.04.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Спасибо!
Эту заразу +79133995791 вылечил за 15 минут, включая запись флэшки.
Касперский опростоволосился - час гонял и фиг-вам...

Огромное СПАСИБО!

 

#174 12.04.2012 12:13:07

GIF
New member
Зарегистрирован: 24.02.2012
Сообщений: 1

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Нестандартный MBR http://rghost.ru/37540197

 

#175 12.04.2012 12:22:56

simplix
Administrator
Зарегистрирован: 28.07.2008
Сообщений: 3011
Вебсайт

Re: AntiSMS - Быстрое лечение SMS-троянов (винлокеров, Trojan.Winlock)

Новая версия - 1.8.2, в неё добавлены известные загрузочные секторы, присланные вами. Изменений в основном алгоритме нет, поэтому обновляться не обязательно.

 

Board footer


© simplix