g0dl1ke
Вы так рассуждаете как будто здесь конкуренция, обе программы бесплатны, и многие кто пользовался не задумывался об оплате. Лишь только сложностью лечения, так как для каждого баннера в ручном режиме нужен свой подход и своя инструкция.
Core-2
От себя добавлю, что использую AWL для выявления поведения баннеров, чтобы знать их действия и уязвимости. Да программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.
Vitokhv разве создатели антивинлокера не просят денег за свой продукт?
simplix какие именно файлы входят в состав SysFiles.bin и принимаешь ли ты пожелания по его составу ?
simplix
Administrator,
вы там это... извините меня, пожалуйста
Свой поспешный комментарий я отредактировал.
Сегодня сделал всё, как вы хотели - скопировал (сохранил) нужные файлы до запуска AntiSMS и после завершения успешной работы вашей программы, но загружать в интернет эти файлы (354 МБ) для меня слишком долго (пол-дня), и в свете новых обстоятельств теперь бессмыслено (ведь программа со своей задачей справилась).
Так что ещё раз приношу свои извинения за преждевременные несправедливые обвинения в Ваш адрес, и благодарю Вас за понимание и тактичность.
AntiSMS - это безвозмездный труд профессионала своего дела simplix, который помогает всем людям эффективно бороться с вредоносными программами-блокировщиками!
g0dl1ke
SysFiles.bin - обычный архив, в котором уже собраны самые нужные файлы. Замена других системных файлов не влияет на загрузку системы, так что они будут добавляться по необходимости.
PROROK
У вас получился очень большой архив, давайте включим в него не всю папку Windows\System32\Config, а только файлы Software и System из этой папки. До запуска AntiSMS файлы можно не копировать, только после запуска нужны: эти файлы, папка %Temp%\AntiSMS и реестр из той же WinPE c помощью reg save (выше давал инструкцию). Так архив получится очень маленький, а самое главное - поможет найти причину, почему у вас утилита не сработала в первый раз.
UPD: Прочитал ваше сообщение:
PROROK сообщает:
после того, как я отловил блокировщик, и запустил его с другого физического диска... короче, загрузившись с AntiSMS_CD-диска, я не обратил внимания на то, что жесткий диск с блокиратором по непонятной причине первый раз за 2 года отключился так, что его даже BIOS не определял.
Если так, то логи можно не выкладывать, причина предельно ясна.
g0dl1ke
LiveCD бесплатен, насчет ПО это уже платная утилита устанавливаемая на активную систему, с пробным периодом на 30 дней.
Для удаления баннеров без использования LiveCD (нажали на соответствующую клавишу, определили файл баннера, удалили)
Все просто: кому-то нужно удалить баннер без лишних манипуляций, а кому-то необходимо найти сам баннер, и его действия, тем самым хотя бы на 1% защитив от такого троянца обладателей антивирусов.
К примеру безопасный режим: http://www.youtube.com
Отредактировано Vitokhv (12.07.2012 13:46:02)
simplix
Спасибо за самую чоткую программу для лечения системы!
По просьбе программы выкладываю DriveX.bin файл для анализа: http://zalil.ru/33568415
Vitokhv сообщает:
... программа сложна но это не повод удивляться ее обновлению. Не слушайте сторонних комментариев они только пиарят свои неудачи.
Есть повод удивиться. Довольно длительное время программа не обновлялась. А по части сторонних коментариев, скорее всего ошиблись. У меня есть своя голова , не малый опыт , терпение , и желание повлиять на ситуацию распространения подобной заразы в сторону её уничтожения . Любыми методами.
На данном этапе самым эффективным и простым способом является AntiSMS. Сбоев - 0. Так же как и у старого доброго uVS. Будем тестить и свежий AWL в составе сегодняшнего Live & Boot CD/USB .
simplix можно добавить winlogon.exe - его часто заменяют баннеры
Vitokhv и подразумевает коммерческое использование?
да и в целом, если я не ошибаюсь - любые livecd на базе *.win незаконны
Отредактировано g0dl1ke (12.07.2012 15:40:21)
Dr. MefistO
Спасибо, добавлю.
g0dl1ke
Блокировщики не заменяют winlogon.exe, это один из важных системных процессов, без него система не загрузится.
По поводу использования в составе AntiWinLockerLiveCD - во-первых AntiSMS не продаётся в составе этого диска, все могут загрузить его бесплатно, во-вторых делать ли свою программу платной - исключительно выбор автора. Никто ведь не ходит на работу бесплатно, а создание программ - большой труд, который требует массу времени и ресурсов, поэтому продавать свои программы каждый имеет полное право.
А что касается использования WinPE и других программ на этом форуме - они используются исключительно для увеличения популярности и доходов для своих авторов. Если кто-то из этих авторов считает иначе, программы будут убраны по первому требованию законных владельцев.
simplix, заменяют, точнее сказать - изменяют.
простой пример: есть сборки винды/твикеры, что вносят изменения в winlogon.exe, с целью изменения экрана входа в систему - с косметической точки зрения. Вирусы же (например W32.Neveg.A@mm, Spyware.CMKeyLogger, W32/Netsky-D или баннеры) изменяют/заменяют файл, как например происходит с explorer.exe.
вообщем мое дело предложить, ибо 1 файлик в составе SysFiles.bin не сделает "погоды", зато может решить проблему, если потребуется.
g0dl1ke
Ресурсы экрана входа в систему находится в logonui.exe, для этого winlogon.exe никто не патчит. Его могут заражать вирусы, но AntiSMS - не антивирусная программа, и замена одного winlogon.exe, когда заражены многие другие исполняемые файлы, ситуацию не изменит. А вот если пропатченный файл заменить оригинальным на OEM-версии WinXP, то у пользователя слетит активация.
WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя.
WINLOGON.EXE - процесс, ответственный за начало ( logon) сеанса и завершение сеанса ( logoff) пользователя. Процесс активируется только после пользователем кнопок CTRL+ALT+DEL и демонстрирует диалоговое окно для ввода пароля.
Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть незамедлительно удален. В настоящее время известно более сотни вирусов, использующих имя WINLOGON.EXE для сокрытия своего присутствия в системе.
Simplix, возможно ли в следующей версии AntiSMS сделать так чтобы например в папке Windows (или windows\temp) пролеченой системы появлялась папка antisms (с логами от этой ситемы) c тем же содержимым что и в рам диске PE'хи (%Temp%\AntiSMS\), на тот случай если забыл, или посмотрел и уже потом забыл (понадеясь на свою память), что там было, для админа польза - а юзеру все равно!
"P.S." (раскрыть):
так и планировал делать через батники и nircmd выводить сообщение о предложинии сохранять например на диске С: папку с логами, потому как бывают случаи, когда админ оставляет LiveCD юзеру на всякий случай и/или юзер сам пытается отремонтироваться, вот тут может и пригодиться эта фишка с сохранение логов (что и как делалось), хотя в вообщем-то в msconfig и так будет видно , кроме списка восстановленых фаилов.
P.S.S. "Мысли вслух"
Добавил в архив SysFiles.bin фаилы из UVS (и плюс добавил на своё усмотрение немножко фаилов) в результате архив получился около 10,2 МБ благодаря тому что в 7zip дубли повторно не архивируются.
Неплохо получилось если б Вы с Автором UVS использовали SysFiles.bin совместно т.е. каждый по своему со своей структурой папок в нем, как-то так примерно.
Отредактировано LeoZhu (13.07.2012 02:14:04)
да кстати было тоже висел ms.exe увидел через uvs . убрал, на всякий случай прошёлся anti sms 2/4 и всё капец висим на винлогонеее , через лайв менял системные
С:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\explorer.exe
и т.д и через runscanner+ regedit смотрел ветки винлогон, и так же чистил
и тута тоже чистил
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
и по указке
запустить Regedit
установить указатель на HKEY_LOCAL_MACHINE
меню Файл -> Загрузить куст -> указать папку с рухнувшей системой \WINDOWS\system32\config, открыть файл software
задать имя куста, например SFT
зайти в раздел HKEY_LOCAL_MACHINE\SFT\Microsoft\Windows NT\CurrentVersion\Winlogon и восстановить параметр Userinit
меню Файл -> Выгрузить куст
всё равно висел на винлогоне! при альт+таб виден был винлогон
3 пальца не помогали как будто таск менеджера небыло.
короче пришлось сносить ХР как не печально!
g0dl1ke
Спасибо, я в курсе как работает winlogon.exe. Попробуйте вручную заменить его на любой другой файл или найдите блокировщик, после замены winlogon на который система не падает в BSOD при загрузке, тогда можно будет вести речь о добавлении.
LeoZhu
Добавление такой возможности не планируется, чтобы не засорять винчестер пользователя, а в ряде случаев, когда блокировщик повреждает таблицу разделов, файлов вообще не видно до перезагрузки и логи нельзя сохранить на винчестер. Оправдание "забыл" вообще не принимается, нельзя целенаправленно загрузившись с диска для лечения от блокировщика забыть о такой важной детали; кому нужно - скопируют, кому не нужно - даже смотреть не будут. Как вариант, можете создать батник, который сначала запускает AntiSMS, а затем копирует папку с логами на винчестер или флешку.
trew911
Чтобы дать хоть какую-то информацию по вашему случаю нужно увидеть тот самый ms.exe, иначе угадывать, что именно он сделал, совершенно бессмысленно. Если он у вас остался - закачайте на rghost.ru с паролем virus.
Спасибо за программу, знакомый принес бук HP с баннером. Камперский секьюрити грузиться с флешки отказался. Нашел сборку софта, с Вашей программой, загрузился с LiveCD и вот пишу уже с этого ноут бука. После проверки, программа написала, что изменена таблица MBR. Вот, передаю на анализ файлы из папки Temp.
Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Отредактировано Vitokhv (13.07.2012 07:19:52)
simplix
естественно сейчас я не найду готового семпла, но прецеденты имели место быть.
как в случае подмены explorer и userinit
При проверке вашей утилитой показало что существует нестандартный MBR. Вот ссылка на него Скрытый текст (раскрыть): rghost.ru/39192101
Отредактировано Rawtang (13.07.2012 18:00:03)
Vitokhv сообщает:
Подскажите куда ведет этот путь:
HKLM\ymbdjwbxa\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Этот путь ведет прямиком к експлореру. Проще говоря, нужно изменить в строковом параметре значение на explorer.exe
Новая версия AntiSMS 2.5
Пополнена база известных загрузочных секторов.
Добавлено лечение ещё одной модификации MBRLock.17.
Сообщения теперь отображаются в Unicode - русский язык видно на любой системе, в том числе на английском Hiren's BootCD.
Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.
simplix
огромное спасибо за новую версию.отчень нужная вещь в нынешнее время.
total commander можно добавить в antisms.iso?
simplix сообщает:
Изменения в паре с uVS:
1. Файл MAIN должен быть не в одном каталоге с AntiSMS.exe, а в каталоге SHA. То есть при совместной работе uVS и AntiSMS, главный файл AntiSMS.exe должен быть в каталоге uVS, рядом со start.exe.
2. Добавлена поддержка пользовательской базы хэшей uVS, в том числе определённая параметром Sha1Name в settings.ini. Таким образом, если в uVS нажать правой клавишей по файлу и "Добавить хэш файла в базу проверенных", то AntiSMS тоже будет считать этот файл безопасным.
Вот про это не понял.. Симпликс,это нужно когда используется антисмс как отдельная программа на другом лив-сд? Не совсем понятно,и сложно для понимания простым обывателям..
Насчёт Тотал Коммандера - поддержу идею! было бы не плохо,если бы он был в сборке.
место он занимает на много, а пользы over9000