Дата: Понедельник, 16.04.2012, 12:10 | Сообщение # 1
Admin
Группа: Администраторы
Сообщений: 16064
Статус:
AntiSMS - это программа для лечения заблокированных SMS-троянами компьютеров. Довольно часто попадаются компьютеры, заблокированные SMS-троянами. И в подавляющем большинстве случаев лечение тривиальное, поэтому в программе все автоматизировано. Это не значит, что лечение лёгкое, но программа успешно справляется со своей задачей. Если вы работаете в сервисном центре или настраиваете компьютеры клиентам - утилита будет сильно экономить время...
Возможности программы:
• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше. • Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют. • В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно. • Полностью очищаются системные и пользовательские временные папки. • Все нестандартные записи в файле hosts будут закомментированы. • Автозапуск на всех устройствах кроме дисковода будет отключен. • Критически важные места реестра (вроде Shell и Userinit) будут восстановлены. • Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены. • Все отладчики системных процессов в Image File Execution Options будут удалены. • Все ограничения (Policies) пользователей и системы будут удалены. • В политике ограниченного использования программ будет выставлен неограниченный уровень. • Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы. • Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig. • Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig. • Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить. • Возможно восстановление параметров сети из рабочей системы после их нарушения троянами. • Восстанавливаются параметры запуска исполняемых файлов. • Из автозагрузки реестра убираются vbs-скрипты, можно восстановить через msconfig. • В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб. • Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме. • Для Windows XP x86 и Windows 7 x86-x64 восстанавливаются основные системные файлы, - если они не подписаны. Эти файлы есть на загрузочном диске, однако если AntiSMS будет - использоваться в другом WinPE и диск с WinXP будет вставлен, то файлы будут взяты оттуда (только для Windows XP). • Вылечиваются все известные MBR-блокировщики. Резервная копия заражённого сектора - сохраняется в корне раздела с системой и во временной папке под именами MbrLockX.bak, где X - номер вылеченного винчестера. • Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны. • Реализована более глубокая чистка системы от вредоносных действий троянов.
Если вы опытный пользователь: • После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом. • Запустите msconfig и визуально проверьте элементы автозагрузки и служб, - при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.
Если вы неопытный пользователь: • Скачайте образ загрузочного диска и запишите его на диск или флешку. • Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе. • Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом. • Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. - Этим вы включите всю автозагрузку обратно, но уже без троянов. - Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; - в таком случае запустите AntiSMS повторно и не выполняйте этот пункт. • Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.
Важно: Утилита работает только из Windows PE, так как лечение вредоносных программ в рабочей системе часто малоэффективно или невозможно. После использования утилиты и перезагрузки в рабочую систему нужно обязательно сделать проверку компьютера антивирусом со свежими базами.
Изменения в версии 8.3 от 07.02.2016 При запуске проверяется наличие новой версии и с согласия пользователя обновляется. Реализована модульная загрузка новой версии, поэтому обновление происходит быстрее. Теперь обновление программы возможно и в WinXP благодаря переходу на wget. Добавлена поддержка некоторых сборок с нестандартной конфигурацией. В WinXP также возможна интеграция при наличии записанного на диск AntiSMS.iso. Обновлён Downloader и более автоматизированы некоторые автоматические сценарии. Добавлена поддержка разблокировки дисков, зашифрованных через BitLocker. К восстанавливаемым файлам добавлен dnsapi.dll, а сами файлы обновлены. Дополнен чёрный список сертификатов для лечения Adware и другие исправления.
інше цікаво. наскільки коректно прога відновлює MBR. відновити mbr можна і DOSовським фдиском? це проходить з "хрюшою", 7 доводиться ще відновлювати. за прогу дякую. при нагоді - обкатаю. бажання мінімальне стартонуть вірус, і героїчно його вивести.
Заберу к себе в Ямал=)). У нас 2 чел'а -из-за незнания мер удаления баннера-переставляли системку=))...Вродь образы Акрониса -rylezz ??? Или нет...??
Отдельное СПАСИБО!!! хочу выразить CORE-2 =))))) P.S. Стишок сложился : "Много времени, ума, плюс терпения, труда - но зато твоя система не загнётся никогда !".
Дата: Воскресенье, 20.05.2012, 13:36 | Сообщение # 5
Бакалавр
Группа: Старожилы
Сообщений: 295
Статус:
Одни "спасибо", и ни одного толкового ответа. На вопрос пользователя SFM о том, восстанавливает ли эта программка таблицу MBR на диске, тоже тишина. Если кто то уже пользовался этой программой, неужели трудно написать пару строчек? Sergey
Дата: Воскресенье, 20.05.2012, 20:44 | Сообщение # 7
Бакалавр
Группа: Старожилы
Сообщений: 259
Статус:
Quote (vitim333)
Одни "спасибо", и ни одного толкового ответа. На вопрос пользователя SFM о том, восстанавливает ли эта программка таблицу MBR на диске, тоже тишина. Если кто то уже пользовался этой программой, неужели трудно написать пару строчек?
ніхто не пробував. юзай мій досвід. якщо давня версія проги фдиск ідеально, 7 після нього лається, але якщо попросить вона на 100% відновиться. є нова модефікафія вірусу вимагає 800грн. невідомо як відреагує. я не знаю моя це помилка чи користувача *підозрюю він спробував не знести вірус а акронісом перезалить. *загинули всі диски, і мені довилось спец софтом спасать документи фотки. якщо заюзаю - відпишусь
не устанавливается..пишет что отсутствует связущее расширение.
Прошу прощения, слов было слишком много, смайликами - короче. Если просто - никуда устанавливать и не надо. Если чуть сложнее - запишите образ на болванку и загружайте комп с нее. Халява нам и даром не нужна!
KaktusTV, Записал на флешку..как было рекомендовано..с флешки попробовал запустить, и ни чего не вышло. не так давно а именно 3 дня назад поймал этот самый троян смс, поэтому и заинтересован в этой программе,ладно...попробую ещё раз. - Не грузите меня, я не сухогруз. Я танкер, наливайте...
А! Другое дело! Ну, с флешки могут быть проблемы, есть свои тонкости. С диска - все проще гораздо. На RW - и полный вперед! Халява нам и даром не нужна!
Это MBR-locker, изменяет 0 загрузочный сектор, текст прописывает в районе 30 сектора. AntiSMS и была создана для борьбы с этой бякой, и ещё ей подобных. Пробовал как то на виртуалке, справилась, не с этим, но его подобием. Лишь текст немного другой и сумма другая. Вот из возможностей пункты с сайта simplix forum.
Это есть и в шапке. Про тень не могу ничего сказать,не пробовал, эксперементирую на виртуалке, там более точней результаты.
Эксперимент на виртуалке и живой системе, это две принципиальные разницы. Что такое виртуалка? Это тот же контейнер который не даёт полного представления о том, как реально поведёт себя BIOS, система и железо при данном прямом зловредном воздействии на него. Это тоже самое, что экспериментировать например с программой-порташкой, а не с инсталлятором...
P.S. Alecs962- это я написал не для того чтоб затеять бестолковый спор, а просто ради истины, которая для меня- всегда дороже. А за ответ, ОГРОМНОЕ СПАСИБО.
Эксперимент на виртуалке и живой системе, это две принципиальные разницы.
Совершенно верно. Но по сравнению с тенью она более приближённа к реальной.
Цитата (asssa)
Это тот же контейнер который не даёт полного представления о том, как реально поведёт себя BIOS, система и железо при данном прямом зловредном воздействии на него.
На реальной испытывать не стал, не было смысла. Потому что эта программа восстанавливает загрузочный сектор стандартным значением (точно так же может восстановить и загрузочный диск с дистрибутивом нужной Wind). На реальной системе и виртуалке MBR абсолютно одинаков (если обе ХР, или обе 7-ки и т.д), различие лишь в таблице разделов. А вот дальше убрать в системе довески баннера и изменения сделаны им - зависит от наличия базы на то или иное изменение. То есть - вирусописатели знают об AntiSMS и естественно совершенствуют "свой продукт", приходится совершенствовать и программу. Это бесконечные догонялки. Поэтому даже протестируй я тот локкер на реальной ОС, не гарантирую успех от например локкера на Вашем скрине. Одно я знаю, MBR восстановится, можно просканировать сканерами для верности с LiveCD со свежими базами и система запустится, хоть покоцаная, но запустится. Дальше дело рук. Не все делают бэкап, многие понятия об этом не имеют. Эта программа поможет им в большинстве случаев, сервис нынче дорог.
Цитата (asssa)
не для того чтоб затеять бестолковый спор, а просто ради истины, которая для меня- всегда дороже.
Для этого и есть форум, без диспутов - это мёртвый форум.
Добавлено (11.07.2013, 20:05) --------------------------------------------- Добавить хотелось ещё. Важно восстановить MBR потому, что многие начинают переустанавливать систему с форматированием и переустановив, увидят опять тот же баннер. Форматирование и переустановка не затрагивают 0 сектор. Он перезаписывается только при переразбивке диска, то есть нужно удалить раздел (обычно С:\) и потом создать его заново.
Вы меня не поняли. Я про то, что раз нет 100% результата, а его изначально не может быть по причине разных условий для эксперимента (виртуальная и живая), и потому что борьба с вирусами это изначальная гонка (в начале вирус, потом противоядие) Вы занимаетесь, просто- самообманом. Зачем, лично мне не понятно. Я привык доверять только тому, что даёт 100% гарантию. Например Shadow Defender который за моё 6-ти летнее экстримальное использование без антивируса компа, ни разу меня не подвёл. Тоже самое и с Acronis-сом.
P.S. Забыл добавить. Про то что надо удалить раздел, я не знал. Спасибо за полезную инфу. Тогда у меня вопрос: А если загрузиться с LiveCD с Windows XP и запустив с флэшки программу HDD Low Level Format Tool для низкоуровнего форматирования, форматнуть диск C- это поможет удалить баннер, чтоб раздел не трогать???
Я тоже не для "выпендрежа"-где же "водится" эта фигня? Куда нужно залесть, чтобы "поймать" такое? Думаю в ближайшее время отключу всю защиту и попробую "порыбачить". Хоть узнаю что это и откуда и как "лечится". Я знаю, что ничего не знаю, но многие не знают и этого. Сократ
Вы занимаетесь, просто- самообманом. Зачем, лично мне не понятно
Чисто для познания.
Цитата (asssa)
А если загрузиться с LiveCD с Windows XP и запустив с флэшки программу HDD Low Level Format Tool для низкоуровнего форматирования, форматнуть диск C- это поможет удалить баннер, чтоб раздел не трогать???
А разве у неё есть форматировать раздел? Там кажется только диск целиком. Можно, но если ОС стоит на физическом диске, один диск один раздел. Но зачем тогда делать двойную работу, цитирую из описания программы: "После низкоуровневого форматирования необходимо произвести разметку диска. Низкоуровневое форматирование удаляет все и навсегда!"
Цитата (zabi18)
Думаю в ближайшее время отключу всю защиту и попробую "порыбачить". Хоть узнаю что это и откуда и как "лечится".
Рыбачить нужно на порно сайтах, там в основном и ловят. Если серьёзно то на сайте разработчика этой программы иногда выкладывают для тестов.
Alecs962, спасибо! Вполне серьезно-обязательно попробую. Вот именно SMS-вымогатели еще ни разу не попадались, конечно, я знаю что это такое, но вот в действительности не доводилось встречаться.P.S. Как технарь с "высоким" образованием с 1990, не могу пройти мимо и не вставить свои пять копеек по поводу низкоуровневого форматирования. В одном из своих комментов я пытался довести до "широкой общественности" о том, что это такое и что оно делает. Попытка была неудачной, но, на 100 % поддерживаю Ваши слова о том,
Цитата (Alecs962)
Низкоуровневое форматирование удаляет все и навсегда
Просто нужно реально понимать суть этого процесса . Мне посчастливилось собственными руками и мозгами видеть и чувствовать этот процесс. Удачи всем. Я знаю, что ничего не знаю, но многие не знают и этого. Сократ
А разве у неё есть форматировать раздел? Там кажется только диск целиком.
Да, чёта я и правда- тормазнул. Совсем забыл, что форматируется только диск- целиком. Просто уже давно не форматировал по причине отсутствия проблем...
P.S. Alecs962- спасибо за ответ. Вопросов больше нет. Удачи, Вам!
asssa, удачи и Вам! Заинтересовало сможет ли подобный Locker обойти контейнер тени и перезаписать MBR. Появится баннер на горизонте попробую обязательно.
Заинтересовало сможет ли подобный Locker обойти контейнер тени и перезаписать MBR.
На одном из сообов у меня возник жаркий спор на счёт Shadow Defender с одним любителем экспериментировать с вирусами- антивирусами. Он уже собрал приличную коллекцию самых злейших вирусов и предложил мне угробить систему одним из них. Я его скачал, запустил, смотрю и правда чё-то не то с системой стало: мышь и клава не работают и ОС явно заклинило... Я конечно сразу "наложил в штаны" , нажал кнопку Reset и уже на нормальной Винде написал ему ответ: Что Твой вирус, полное- фуфло! И спор сразу прекратился...
P.S. Позднее он уже и сам экспериментровал с вирусом который прописывается в BIOS используя Shadow Defender. Результат: Shadow Defender- справился со своей работой...
С оными версиями,которые сохраняют свое свойство и после перезагрузки наверное надо пробовать.
asssa! А ведь если вирус пропишется-залезет в микросхему,на которой записан БИОС,которая на материнке,то ведь ничего не запустится вообще первично! А вообще не знаю и никогда вообще не переустанавливала БИОС....боюсь одна,а "твердого плеча" в искусном для этого дела практика рядом нет.....а вообще говорят дело пары минут....и чтобы в это время не погас свет.
Wondershare Time Freeze то же! Вот видео, в начале видео - запуск с защитой, во второй части - без неё. Видео снято с виртуалки, проверил на живой системе.
Цитата (Arlette)
А ведь если вирус пропишется-залезет в микросхему,на которой записан БИОС
Эта тема обсуждалась здесь. Этот bios-вирус заражает определённую прошивку флеш биоса. То есть, идёт конкретная привязка к прошивке и железу. Ну если проще, то он заразит только такую же конфигурацию компьютера, на которой написан. Так что боятся нечего, в сети почти нет таких случаев заражения. Вирус существует,но попасть на него очень мизерный шанс.
Добавлено (13.07.2013, 04:16) --------------------------------------------- Алёна, если у Вас флеш-bios, посмотрите включена ли защита. Если без флеш памяти, его никто ни когда не перезапишет.
Защита Flash-памяти BIOS Flash BIOS Protection (Функция Flash защиты данных) Опции: BIOS Flash Protection, BIOS ROM Protect BIOS Sector Protection, Flash BIOS Protection Flash Protection, SuperBIOS Protect Позволяет защитить Flash-память с BIOS от перезаписи. Включение этой опции позволяет не беспокоиться о случайной перезаписи кода BIOS по невнимательности или в результате злонамеренных действий (к примеру, вируса).
На одном из сообов у меня возник жаркий спор на счёт Shadow Defender с одним любителем экспериментировать с вирусами- антивирусами. Он уже собрал приличную коллекцию самых злейших вирусов и предложил мне угробить систему одним из них. Я его скачал, запустил, смотрю и правда чё-то не то с системой стало: мышь и клава не работают и ОС явно заклинило... Я конечно сразу "наложил в штаны" , нажал кнопку Reset и уже на нормальной Винде написал ему ответ: Что Твой вирус, полное- фуфло! И спор сразу прекратился... P.S. Позднее он уже и сам экспериментровал с вирусом который прописывается в BIOS используя Shadow Defender. Результат: Shadow Defender- справился со своей работой...
Это я написал для того, чтоб сказать, что есть выскочки-горлапаны привыкшие отрицать всё и сразу даже если они изначально не правы! Которые не попробывав и даже не зная про такую программу, сразу говорят что она- дерьмо! Как говорится: Книгу он не читал, но она ему не понравилась... Терпеть не могу таких. Чем не современная так называемая несистемная оппозиция? Не дай бог если к власти такие придут...
P.S. Wondershare Time Freeze мне сразу, ещё в процессе установки своими геморройными настройками не понравился. Проще и лучше чем Shadow Defender я найти не смог, хотя пробывал и другие программы для "заморозки" системы. Мне от подобных программ и надо только одно, чтоб Винду сохраняла. Всё. Другие опции мне совершенно не нужны.
інше цікаво. наскільки коректно прога відновлює MBR. відновити mbr можна і DOSовським фдиском? це проходить з "хрюшою", 7 доводиться ще відновлювати. за прогу дякую. при нагоді - обкатаю. бажання мінімальне стартонуть вірус, і героїчно його вивести.
...беру для работы....... 
андроид заблокировался