давно интресуюсь как работает программа, она подгружает ключи с помощью Reg Load? изменяет и выгружает? или загружает своими методами?*
art9
А "всегда попадаются" "экземпляры" готовые пофлудить и "пи..кой померятся" о "крутости" антиФиря.
Так "прискакал" тут один "блокиратор" ссыль на вирустотал https://www.virustotal.com/file/d594518 … 343036001/ , но поскольку я привык "ручками поковыряться", то прогу не пользовал ссыль http://rghost.ru/39366374 пароль 111 Да и "владельцам вебины (если верить вирустоталу), срочно "стучать" в техпотдержку.
Kipovec
Спасибо за трояна. это винлок,насколько я понял? файл скачал,но он имеет атрибут "скрытый" . пришлось переделывать его в "видимый" зачем скрытым его сделали? пошлю его в тех поддержку Аутпоста,у них в базе его нету вроде..
Отредактировано Алекс (23.07.2012 13:51:11)
Алекс
Скорее всего никто ему атрибут скрытый не ставил, он такой и был. Используйте файловые менеджеры такие как TC или FAR, в них чтобы скрытые файлы были видны не надо ничего переделывать, а достаточно нажать одну кнопку.
glax24
Ну так я отписался,что из скрытого сделал видимый. как раз через тотал коммандер и делал его. Не думаю,что он был скрытым изначально.. Зачем злоумышленникам делать его скрытым?! им ведь надо что бы юзер скачал его себе на комп и запустил его.. а если он скрытый,то никто его и не увидит даже..
Алекс сообщает:
glax24
Не думаю,что он был скрытым изначально.. Зачем злоумышленникам делать его скрытым?!
Изначально нет, но после запуска и копирования файл делается скрытым, а сам файл который запускали иногда самоуничтожается.
Пожелание по готовому загрузочному диску с программой
Уважаемый автор! Неплохо было бы добавить прогрессбар на этапе запуска системы.
Не сразу понятно - грузится WinPE или висит
Программа очень нужная.
Уважаемый Симпликс! Прошу обратить особое внимание на вот этого винлока,присланного Kipovec - http://rghost.ru/39366374 . Это действительно интересный и опасный экземпляр..
Только что проводил эксперименты с ним на своей ОС - XP Sp 3. Запустил его,он заблокировал винду,запустил Антисмс 2.4 ,она вроде как пролечила всё,написала "всё хорошо". Ребут,вроде всё запустилось и работает. Захожу в msconfig ,обычный запуск,снова ребут. Загрузка ОС и опаньки - этот самый винлок опять висит во весь экран,винда заблокирована!
Не знаю,может в версии 2.5 эта проблема уже решена,пока не пробовал её,но в 2.4 этот винлок не поддаётся лечению..
Алекс
1. А вы перед включением автозапуска обратно проверили компьютер анти вирусным сканером?
2. Вы обратили внимание, что в мануале пишется про ваш случай? Запустите ещё раз Антисмс и мсконфиг не трогайте.
Так что Антисмс всё сделала правильно
Алекс
наверняка этот блокировщик прописывается в автозагрузке. соответственно после успешного отключения его антисмсом вы опять его включаете:
Алекс сообщает:
Захожу в msconfig ,обычный запуск...
т.е. необходимо самому просмотреть где нет "галочек" в mscofig->автозагрузка - одна из них и запускает блокировщик
Алекс
В таких случаях, я, принципиально не меняю ни имени, ни атрибутов файла. Как "вынуто" из системы, так и выложено (разве что, в архив под пароль).
weldance сообщает:
наверняка этот блокировщик прописывается в автозагрузке.
Этот локер прописывается только в автозагрузку.
art9, weldance
Подобный случай только был с этим винлоком. до этого экспериментировал с другими 4-мя винлоками, и Антисмс успешно с ними справлялась.. то бишь- я делал всё то же самое ,что и описано в предыдущем посте, и повторно блокировщики не появлялись.. Хотя и они все тоже прописываются в автозагрузку..
Насчёт проверки антивирусом - этот винлок не фигурирует в базах большинства антивирусов! Посмотрите на VirusTotal, у меня Агнитум Аутпост , отправил им файл на анализ,что бы добавили в базу его.
Отредактировано Алекс (24.07.2012 08:14:43)
Алексэто обычный Локер, ничего особенного в нем нет
Алекс
Ну тот может заменял системный файл или прописывал себя в подозрительной папке, которую Антисмс очищает. А этот , может, пишет себя в неподозрительную папку и в автозапуск прописывается обычным способом. Если почитать мануал, то становится все понятно.
Что касается проверки антивирусным сканером, то если так написано в мануале, значит так и нужно делать без самодеятельности.
Отредактировано art9 (24.07.2012 08:48:41)
glax24 сообщает:
Алексэто обычный Локер, ничего особенного в нем нет
но остальные-то тоже обычные,и прописываются в автозагрузку все они. Но с остальными подобных проблем не возникало. Это единственный случай на моей практике ,когда после msconfig-обычный запуск , локер опять активируется. Поэтому и прошу Simplix*a обратить на него внимание..
Очень важный, обязательный пункт инструкции (как для опытных, так и для юзеров), для полного лечения системы:
После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
Я приучил себя всегда смотреть лог-файл AntiSMS и сохранять на флешку папку Temp. Поэтому, давно заметил, что утилита не только чистит систему от мусора, но и выполняет удаление конкретных небезопасных файлов.
Вырезка из конкретного лог-файла (раскрыть):
Файл E:\Users\Админ\AppData\Roaming\taskhost.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe не подписан и его автозагрузка отключена, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\83.exe признан небезопасным и удалён, создана резервная копия
Файл E:\Users\Админ\AppData\Roaming\taskhost.exe признан небезопасным и удалён, создана резервная копия
Если Алексу до этого случая всё "нормально" проходило без проверки антивирусом, то это говорит о большой эффективности утилиты AntiSMS. Только, без лечения антивирусом, очень большая вероятность, что файл блокировщика, трояна так и останется лежать на винте.
Что-бы закончить на этом, напомню:
simplix сообщает:
....уже лечатся большинство блокировщиков (не утверждаю, что 100%, хотя о случаях неуспешного лечения никто не сообщал), поэтому нужны баннеры не все подряд, а только те, с которыми AntiSMS не справится. По моей оценке таких будет крайне мало, так как сейчас лечится любой, даже случайно взятый блокировщик. Если вы встретите новый бронированный вариант - присылайте любым доступным способом....
Что касается простого баннера с автозагрузкой, не нужно делать поспешных выводов, чтобы так глобально рассуждать.
По поводу работы AntiSMS: Файл C:\Documents and Settings\Virlab\Рабочий стол\1jfuweif.exe не подписан и его автозагрузка отключена, создана резервная копия
ссылка на тему о действиях баннера
Sergikaz сообщает:
После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
Ну,это и ежу понятно - что копия файла блокировщика остаётся где-то на жёстком диске,после работы утилиты Антисмс, и что нужно потом включать антивирь и чистить/лечить систему.. Но в данном случае,повторюсь - этого винлока нету в базах большинства антивирусных продуктов,то бишь- лечить и чистить дальше не предоставляется возможным. Во время более ранних экспериментов,которые проходили обычно так- работа Антисмс,ребут,msconfig-обычный запуск и снова ребут ,я включал потом как обычно свой антивирь на полную проверку ОС,он находил в системе остатки винлока и удалял их. Обычно они остаются в папке System Volume Information,кстати.
Кстати,что-то Симпликса не видать.. У него отпуск может?
---------------
Vitokhv
Хотел узнать- как Вы делаете подобные скриншоты? - http://megaimg.ru/show2.php?id=5975&pic=336566 винда же блокируется,никаких действий совершать то низя.. Поделитесь секретом ещё хотелось бы узнать -как делаются подобные скриншоты в БИОСе?
Отредактировано Алекс (24.07.2012 12:25:21)
Сколько по времени (минимум-максимум) может отрабатывать программа процедуру лечения? У меня уже в районе полчаса шурудит.
У меня от 10 до 30 секунд примерно. Полчаса - это явный перебор.
Обращение к диску идет?
Лампочка Hdd моргает редко. Раз в 5-8 секунд.
Алекс
Локер запускается в VirtualBox или VMWare и делается скриншот, вот и весь секрет.
Подтверждаю: траблы с винтом. Виктория нашла дефекты.