Как известно файлы шифрования самоуничтожаются, чтобы уничтожить ключ шифрования.
современные вымогатели-шифровщики содержат в себе только открытый ключ. он позволяет только шифровать информацию и никак не помогает при расшифровке.
тут лучший инструмент - это резервное копирование информации.
Защита для WIN 7, в данном видео я рассмотрю защиту от Локера.
http://rghost.ru/53226071 - обзор защиты!!!
Драйвер для борьбы с блокировщиками OC Windows 7 и порнобаннерами
За основу взят драйвер Антивируса Dr.Web version 8, который работает сам по себе! Драйвер версий выше, мной не рассматривается, так как начиная с версии 8.10 если не ошибаюсь, данные которые указываеюся Драйверу для их защиты идут уже в HEX значениях, что затрудняет работы с ними.
Защита прекрасно работает с любыми Антивирусами, файрволами и так далее.. кроме Dr.Web выше 8 версии.
Поддерживаемые системы: Windows 7
::::::::::::::::::::::::::::::::::::::::::::::::
Коротко о том что же Блочик и защищает Драйвер)
Защита ключей Run, RunOnce, RunOnceEx, папка пользователя StartUp на добавления в нее данных, отключен полностью Автозапуск
::: Данная функция Блокирует и Отключает Автозапуск, да же если у вас уже были данные в автозапуске, они не запустятся.
Защита MBR от изменения
Теперь всегда показана Вкладка -Безопасность +Блокировка на ее отключения
Всегда показываются Скрытые,Системные файлы и папки +Блокировка на их отключения
::: Большой плюс в том, что Вирус не может отключить нам Скрытие файлов и папок
Msconfig отключен элемент Автозагрузки +Блокировка на его включения
Защита оболочки от изменения Winlogon (Shell,Userinit,TaskMan,GinaDll)
Запрет создания ключа Windows\load
Запрет на создания данных в ветви Policies
::: Плюс в том что нет возможности заблокировать Командную строку, Диспетчер задач, Реестр и многое другое
Запрет подмены любого образа
Защита файла Hosts
Защита системных файлов и папок...________________________________________________________________________________________________________________
http://rghost.ru/53005827 -Драйвер для борьбы со всеми видами блокирующих банеров, с порно-баннерами в том числе, вирусов. Полная русская версия, только для Windows 7 (32 bit)
Обнаружен нестандарт MBR. Опубликуйте файлы вида driveX.bin на форуме для диагностики... что это подскажите?
vasya
выложите этот файл на ф/обменник , ссылку сюда
Вот те файлы из B/Temp
http://rghost.ru/53361697
Вторая версия утилиты для сброса паролей пользователей тут. Добавлено резервное копирование SAM-файлов, причём SAM_bak1 создаётся только один раз, а SAM_bak2 - при каждом запуске утилиты, таким образом будет и первая, и самые свежие резервные копии, если пароли сбрасываются или устанавливаются пользователями в произвольном порядке.
Спасибо всем за тестирование.
vasya
Ваш винчестер сначала был заражён MBR-блокировщиком, а затем какая-то программа (не AntiSMS) затёрла почти весь MBR, что сделало невозможным анализ этого заражения. Если это системный диск и в WinPE видно разделы - просто создайте новый MBR под свою систему.
Спасибо за ПассРесет, что удивило на вирустотал ни одного срабатывания (0/50) - идеально. Я в смысле на флешке можно в защищённую машину вставлять и антивирус не удалит.
Ну они считают, что это passchanger или ещё как-то там пишут и расценивают как несанкционированный доступ, некоторые просто предупреждают, некоторые особо злые сразу под нож. Заранее же не угадаешь какие настройки у антивиря.
Вон прога Windows 7 Logon Background Changer на старую версию никто не ругался (условно 1.3.х), вышла новая ~ 1.5.x половина антивирей завопила. Ахтунг, Алярма! Ну думаю хрен его знает, может автор подзаработать захотел опомнился и впихнул в новую версию чего "нужного". Пользуюсь старой. А прошло с год или уже больше, сейчас проверяю - все уже молчат, не вякают. Антивирусы - проги тёмные.
Вторая версия утилиты для сброса паролей пользователей - вроде все Ок. Sam вернул - пароль вернулся.
simplix
Будет ли отдельная тема для программы? И когда можно ее советовать к юзанию по прямой ссылке?
Отредактировано art9 (26.03.2014 19:30:42)
viprus
Вообще-то в программе нет ничего вредоносного, иначе по той же логике самым опасным инструментом является консоль, в которой можно удалить все данные.
art9
Тема вряд ли, для ChkDskGui и других мелких тоже ведь не создавалась. Просто добавлю её на диски с AntiSMS, а прямая ссылка всегда будет здесь.
simplix
Лично для меня (как потребителя), лучше бы для каждой утилиты была своя тема - пусть она болтается где-то за горизонтом. Вдруг появится какой-то вопрос - включил поиск по названию и понятно где писАть.
simplix
Вопрос: планируете ли выпуск диска AntiSMS c мультизагрузкой как было с WinXP? Удобные инструменты там имеются....
happywanderer
ты про windows xp simplix + win pe simplix + hiren boot?
simplix
исходники PassReset можете опубликовать?
g0dl1ke сообщает:
happywanderer
ты про windows xp simplix + win pe simplix + hiren boot?
Да,...+GoldMemory
Отредактировано happywanderer (27.03.2014 20:48:17)
Восстановлен ключ Userinit, убрана запись C:\Windows\SysWOW64\userinit.exe,
Вроде это законно было?
art9
Как-нибудь позже надо будет создать темы для всех утилит, а то бывает есть полезная штука, а люди и не знают. Когда появится время поработаю в этом направлении.
happywanderer
Не планируется, так как на мультизагрузочном диске хоть и полезные, но платные программы.
ya.vosya
Нет, но вы можете предложить какую-нибудь идею, если она ещё не реализована.
убрана запись C:\Windows\SysWOW64\userinit.exe
Должно быть System32, а не SysWOW64.
simplix
Это легальные записи, для x64
================================ <<< Winlogon >>> ================================ [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=C:\Windows\system32\userinit.exe, [(Дата=21.11.2010 Время=07:24:28 Размер=30 Кб) [8A23A8204DDD0FC3B2E6C30B67A845C6]] "Shell"=explorer.exe [C:\Windows\explorer.exe (Дата=25.02.2011 Время=10:19:30 Размер=2804.5 Кб) [332FEAB1435662FC6C672E25BEB37BE3]] [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=userinit.exe [C:\Windows\SysWOW64\userinit.exe (Дата=21.11.2010 Время=07:23:55 Размер=26 Кб) [9FCF19DFE8E2D11B0D0855A389D4DBE6]] "Shell"=explorer.exe [C:\Windows\SysWOW64\explorer.exe (Дата=25.02.2011 Время=09:30:54 Размер=2555 Кб) [8B88EBBB05A0E56B7DCC708498C02B3E]]
Отредактировано glax24 (28.03.2014 19:02:23)
glax24
Есть разница между
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=userinit.exe
и
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"=C:\Windows\SysWOW64\userinit.exe
В данном случае в SysWOW64 однозначно нелегальный файл, так как 32-битный процесс увидел бы эту папку как System32.
Допустим, на компьютере несколько учетных записей, в одной ограниченной учетной записи прописана программа в автозапуск:
Ключ: Clipdiary Файл: clipdiary-portable.exe Значение: c:\soft\progi\clipdiary_portable\clipdiary-portable.exe --portable HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Путь: C:\Soft\progi\clipdiary_portable\clipdiary-portable.exe
АнтиСМС отключила ее из автозапуска.
Согласно инструкции АнтиСМС, нужно запустить msconfig и включить ее обратно, если эта программа законна.
Но при запуске msconfig требуются права админа, а при запуске msconfig от админа, она не показывает автозапуск определенного ограниченного пользователя.
Или я чего-то не понимаю?
simplix
Разницы нет
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"=userinit.exe
Если запись в ветки для 32 битных приложений (Wow6432Node) то искать их надо в соответствующих папках, в данном случае это C:\Windows\SysWOW64\
glax24
Запустите 32-битный Total Commander и сравните папки System32 и SysWOW64. Для 32-битных программ папки SysWOW64 не существует, они видят её как System32.