Antisms [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

simplix

Новый пользователь
Сообщения
37
Реакции
159
Пользователь simplix разместил новый ресурс:

AntiSMS - Эффективная программа для быстрого автоматического лечения блокировщиков и троянов

Назначение
Загрузочный диск AntiSMS предназначен для автоматического лечения компьютера от программ-вымогателей, блокировщиков и троянов Trojan.Winlock, которые блокируют ОС Windows, требуя от пользователя отправки СМС для разблокировки системы.

Позволяет даже неопытным пользователям разблокировать Windows за 5 минут и совершенно бесплатно. При запуске компьютера с загрузочного диска программа AntiSMS автоматически выполняет все необходимые действия для лечения заражённой системы.

Инструкция
  1. Загрузите компьютер с диска и щёлкните значок AntiSMS на рабочем столе. Вирус уже вылечен!
  2. Извлеките диск или флешку из компьютера, перезагрузитесь в свою рабочую систему и выполните быструю проверку системы антивирусом.
  3. Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов.
  4. Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Узнать больше об этом ресурсе...
 
Последнее редактирование модератором:
Логирование уже добавил?
 
akoK, Это запланировано на следующую версию (упоминал в переписке).
 
  • Like
Реакции: E100
Хорошо.
 
simplix, а как выбирается система которую надо (и будет) лечить программа?, если установлено несколько ОС. И учитывается ли легитимный софт?
 
Последнее редактирование:
Не совсем понял зачем запускать из под не поддерживаемой системы.
 
glax24, Вылечиваются все системы на всех винчестерах, которые будут подключены к компьютеру. Легитимный софт определяется по принципу наличия или отсутствия цифровой подписи, если её нигде нет - в msconfig снимается галочка с соответствующей службы или программы автозапуска. Как действовать после загрузки системы - описано в шапке, в зависимости от квалификации пользователя.
 
Вылечиваются все системы на всех винчестерах
Если меня на одном винчестере установлено 2 ОС. И одна из них заражена, программа будет проверять 2 ОС зачем? Может сделать выбор ОС, какую лечить, как это сделано в UVS.
 
akoK, В рабочей системе применяются штатные утилиты (netsh, route) для восстановления работоспособности сети.

glax24, Полная автоматизация - главная фишка программы. Пользователь вообще не обязан знать, как называется его папка с системой. Случаи бывают разные, к примеру настраиваете вы дедушке компьютер, чтобы просто общаться по скайпу и лазить по интернету, и когда никого рядом нет - он хватает трояна. Какой там UVS с выбором папки... А так настроили нужную очерёдность загрузки, оставили диск - и красота. Делать как в UVS или делать клон UVS мне нет смысла, его тоже никто не отменял и для опытного пользователя это тоже незаменимый инструмент. Если вы относите себя к опытным пользователям и располагаете временем для лечения системы - пользуйтесь UVS, не вижу проблемы. Также можно закинуть AntiSMS на свой любимый WinPE, в котором уже содержатся масса утилит, с которыми вы привыкли работать, и пользоваться той или иной программой по ситуации. Если же запустите AntiSMS случайно - выполнить msconfig -> Обычный запуск -> ОК не составит труда. В любом случае хуже точно не станет, в программе всё продумано.
 
Последнее редактирование:
Полная автоматизация - главная фишка программы.
С одной стороны это фишка (для неопытных пользователей), с другой её минус (для опытных пользователей).
Может тогда добавить 2 режима работы, полной автоматизации и не полной.

Пользователь вообще не обязан знать
О должен хотя бы стремится к этому.

к примеру настраиваете вы дедушке компьютер, чтобы просто общаться по скайпу и лазить по интернету, и когда никого рядом нет - он хватает трояна.
Вы думаете что он сможет запустить вашу программу и вылечить компьютер, дедушка как не умел пользоваться этими инструментами, так он и не будет, ему проще позвать кого нибудь.
А опытным пользователям все же надо знать что сделала программа и предоставить выбор действий например по замене файлов(это думаю появится скоро) и очистке hosts, а то потом возвращай значения которые исправила программа и т.п.
Правильно обрабатывается параметр AppInit_DLLs - из множества параметров убираются только неподписанные.
Не совсем правильно обрабатывает параметр AppInit_DLLs.
На зараженном компьютере в параметре AppInit_DLLs=C:\WINDOWS\system32\nnzntqa.dll
nnzntqa.dll - Trojan-Ransom.Win32.Cidox.gen (по ЛК)
Программа его пропустила.
После его удаления я вручную прописал туда путь к другому Winlock.
Программа его также успешно пропутисла.

Вопрос:
Есть ли в программе трансляции имен дисков?
Если восстанавливаемая система установлена на диск, например на D:. При загрузки с LiveCD этот системный диск определился под другой буквой отличной от D:.Какая буква запишется в параметр Userinit при его восстановление?
А теперь пожелания.
1. Все таки добавить интерфейс.
2. Все удаляемые файла скопировать в папку например Qurantine.
3. Делать backup разделов реестра где происходили изменения.
4. 2 режима работы полный автоматизации и ручной.
 
Последнее редактирование модератором:
glax24, Спасибо за тщательный анализ!

На зараженном компьютере в параметре AppInit_DLLs=C:\WINDOWS\system32\nnzntqa.dll
nnzntqa.dll - Trojan-Ransom.Win32.Cidox.gen (по ЛК)
Программа его пропустила.
После его удаления я вручную прописал туда путь к другому Winlock.
Программа его также успешно пропутисла.
Вот это интересно, особенно первый скриншот. Если остался реестр той машины и оба файла nnzntqa.dll и calc.exe - пришлите всё для анализа, а то не могу повторить ошибку.

По второму скриншоту. AntiSMS не снимает галки с тех программ, которые не были найдены по указанным путям, чтобы не удалить ничего лишнего (ведь файл может быть без полного пути, тогда анализируется Path исследуемой системы). В программе есть логическое сопоставление букв дисков, поэтому в Userinit будет записано правильное значение не зависимо от подключенной буквы раздела в WinPE, но на всякий случай если файл не существует, то и не проверяется. На скриншоте галки стоят на тех файлах, потому что удаление исполняемых файлов в профилях пользователей происходит раньше обработки автозагрузки, но они удалены и не опасны. Остальные две галки - ctfmon и VistaDrv - были сняты из-за отсутствия подписи. VistaDrv понятно почему, а вот в ctfmon видимо были модифицированы ресурсы для украшения. Вообще ctfmon после загрузочного диска из шапки должен был быть восстановлен, однако галка снята потому, что обработка автозагрузки происходит до восстановления системных файлов (видимо порядок я поменяю). Узнать, пройдёт ли файл проверку в AntiSMS, можно заранее - с помощью AVZ -> Сервис -> Проверить подлинность файла по каталогу безопасности Microsoft.

По третьему скриншоту. Насчёт AppInit_DLLs хотелось бы видеть реестр и файлы, а параметры в Image File Execution Options не удаляются, удаляются только отладчики этих процессов (ключ Debugger).

Бекапы реестра и файлов, а также логи запланированы на следующие версии. Разработка происходит в свободное от работы время, которого не так много, так что придётся подождать. Насчёт интерфейса - всё же я настаиваю на использовании утилит, уже ставших стандартами - UVS и AVZ. Ведь ничто не мешает записать их вместе с AntiSMS на один диск и пользоваться по ситуации. У меня нет в планах создания интерфейса, который станет запутывать малоопытных пользователей, отнимать много времени для его разработки и в конце концов станет похожим по функциональности на UVS и AVZ. Если в AntiSMS и появятся какие-то настройки в будущем, то они будут сделаны так, чтобы не нарушать концепцию автоматической работы, - например ini-файл рядом с основным, в котором опытный пользователь заранее настроит некоторые параметры под свои задачи, например: сохранять или не сохранять бекапы, куда сохранять, автоматически архивировать отчёт или нет, и т. д.
 
glax24, Спасибо, ошибка найдена и программа обновлена.
 
simplix,
загрузился сегодня с диска HirensBootCD, в нем есть miniXP, но программа в нем не запустилась в чем причина?


Для Windows XP x86 и Windows 7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны. Эти файлы есть на загрузочном диске, однако если AntiSMS будет использоваться в другом WinPE и диск с WinXP будет вставлен, то файлы будут взяты оттуда (только для Windows XP).
1. При отсутствие файлов в WinPE и WinXP. Почему не восстанавливаются файлы из dllcache, с учет того что они там нормальные?
2. При наличие WinXP. Почему не восстанавливаются файлы в dllcache, если они подменены?
Проверял только на файлах userinit.exe и taskmgr.exe.
 
Последнее редактирование модератором:
AntiSMS обновлена до версии 1.6. Добавлено лечение MBRLock.19, этот троян удаляет таблицу разделов, поэтому резервная копия заражённого сектора помещается во временную папку.

загрузился сегодня с диска HirensBootCD, в нем есть miniXP, но программа в нем не запустилась в чем причина?
Смотрите тут. В следующей версии поменяю алгоритм, который будет работать везде.

Восстанавливать файлы из dllcache просто не вижу необходимости, когда они в сумме весят всего 3 МБ. В версии 1.6 эти файлы лежат в корне диска в папке Files, теперь совсем не сложно скопировать их на любой диск. А в dllcache не восстанавливаются потому, что те файлы не влияют на загрузку и работу системы, ведь перед программой стоит задача не полностью вылечить компьютер, а разблокировать его для проверки антивирусом, который проверит и dllcache, и все остальные файлы.
 
Последнее редактирование:
Новая версия 1.7 - добавлено лечение MBRLock.17 всех модификаций, а также WinPE теперь везде определяется корректно.
 
thyrex, Чтобы ответить на этот вопрос как минимум нужен дроппер. Ведь мы не знаем, по какому алгоритму бекапится оригинальный сектор - если в случайный свободный сектор (0-63), то таких очень много, а если в любой случайный с затиранием содержимого - оригинальный не потеряется. В любом случае перед восстановлением проверяется сигнатура сектора и в худшем случае утилита просто не запишет оригинальный сектор на место. Как вариант - могу сделать затирание нулями бекапа оригинального сектора после восстановления.
 
Последнее редактирование:
если в любой случайный с затиранием содержимого - оригинальный не потеряется.
В любой случайный записывается. Попадался дамп, где раз шесть был записан код блокировщика, а оригинальный MBR безвозвратно потерялся :)
 
thyrex, Это понятно, что в случайный, но вот с какими условиями - без дроппера сказать наверняка нельзя. Если он записывается только в свободные сектора, а при обнаружении занятого ищет другой свободный - место закончится не скоро. А если он видит занятый и просто пропускает создание бекапа - тогда здесь любая утилита не восстановит сектор в первоначальное состояние, только фиксить MBR и восстанавливать таблицу разделов сторонними утилитами.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу