Antisms 8.2

Эффективная программа для быстрого автоматического лечения блокировщиков и троянов

Метки:
  1. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    Пользователь simplix разместил новый ресурс:

    AntiSMS - Эффективная программа для быстрого автоматического лечения блокировщиков и троянов

    Узнать больше об этом ресурсе...
     
    Последнее редактирование модератором: 11 окт 2013
    Drink, Kиpилл, E100 и 24 другим нравится это.
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Логирование уже добавил?
     
  3. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    akoK, Это запланировано на следующую версию (упоминал в переписке).
     
    E100 нравится это.
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Хорошо.
     
  5. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    simplix, а как выбирается система которую надо (и будет) лечить программа?, если установлено несколько ОС. И учитывается ли легитимный софт?
     
    Последнее редактирование: 4 мар 2012
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.432
    Симпатии:
    13.941
    Не совсем понял зачем запускать из под не поддерживаемой системы.

    [​IMG]
     
  7. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    glax24, Вылечиваются все системы на всех винчестерах, которые будут подключены к компьютеру. Легитимный софт определяется по принципу наличия или отсутствия цифровой подписи, если её нигде нет - в msconfig снимается галочка с соответствующей службы или программы автозапуска. Как действовать после загрузки системы - описано в шапке, в зависимости от квалификации пользователя.
     
  8. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Если меня на одном винчестере установлено 2 ОС. И одна из них заражена, программа будет проверять 2 ОС зачем? Может сделать выбор ОС, какую лечить, как это сделано в UVS.
     
  9. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    akoK, В рабочей системе применяются штатные утилиты (netsh, route) для восстановления работоспособности сети.

    glax24, Полная автоматизация - главная фишка программы. Пользователь вообще не обязан знать, как называется его папка с системой. Случаи бывают разные, к примеру настраиваете вы дедушке компьютер, чтобы просто общаться по скайпу и лазить по интернету, и когда никого рядом нет - он хватает трояна. Какой там UVS с выбором папки... А так настроили нужную очерёдность загрузки, оставили диск - и красота. Делать как в UVS или делать клон UVS мне нет смысла, его тоже никто не отменял и для опытного пользователя это тоже незаменимый инструмент. Если вы относите себя к опытным пользователям и располагаете временем для лечения системы - пользуйтесь UVS, не вижу проблемы. Также можно закинуть AntiSMS на свой любимый WinPE, в котором уже содержатся масса утилит, с которыми вы привыкли работать, и пользоваться той или иной программой по ситуации. Если же запустите AntiSMS случайно - выполнить msconfig -> Обычный запуск -> ОК не составит труда. В любом случае хуже точно не станет, в программе всё продумано.
     
    Последнее редактирование: 4 мар 2012
  10. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    С одной стороны это фишка (для неопытных пользователей), с другой её минус (для опытных пользователей).
    Может тогда добавить 2 режима работы, полной автоматизации и не полной.

    О должен хотя бы стремится к этому.

    Вы думаете что он сможет запустить вашу программу и вылечить компьютер, дедушка как не умел пользоваться этими инструментами, так он и не будет, ему проще позвать кого нибудь.
    А опытным пользователям все же надо знать что сделала программа и предоставить выбор действий например по замене файлов(это думаю появится скоро) и очистке hosts, а то потом возвращай значения которые исправила программа и т.п.
    Не совсем правильно обрабатывает параметр AppInit_DLLs.
    На зараженном компьютере в параметре AppInit_DLLs=C:\WINDOWS\system32\nnzntqa.dll
    nnzntqa.dll - Trojan-Ransom.Win32.Cidox.gen (по ЛК)
    Программа его пропустила.
    После его удаления я вручную прописал туда путь к другому Winlock.
    Программа его также успешно пропутисла.
    [​IMG] [​IMG] [​IMG]
    Вопрос:
    Есть ли в программе трансляции имен дисков?
    Если восстанавливаемая система установлена на диск, например на D:. При загрузки с LiveCD этот системный диск определился под другой буквой отличной от D:.Какая буква запишется в параметр Userinit при его восстановление?
    А теперь пожелания.
    1. Все таки добавить интерфейс.
    2. Все удаляемые файла скопировать в папку например Qurantine.
    3. Делать backup разделов реестра где происходили изменения.
    4. 2 режима работы полный автоматизации и ручной.
     
    12 пользователям это понравилось.
  11. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    glax24, Спасибо за тщательный анализ!

    Вот это интересно, особенно первый скриншот. Если остался реестр той машины и оба файла nnzntqa.dll и calc.exe - пришлите всё для анализа, а то не могу повторить ошибку.

    По второму скриншоту. AntiSMS не снимает галки с тех программ, которые не были найдены по указанным путям, чтобы не удалить ничего лишнего (ведь файл может быть без полного пути, тогда анализируется Path исследуемой системы). В программе есть логическое сопоставление букв дисков, поэтому в Userinit будет записано правильное значение не зависимо от подключенной буквы раздела в WinPE, но на всякий случай если файл не существует, то и не проверяется. На скриншоте галки стоят на тех файлах, потому что удаление исполняемых файлов в профилях пользователей происходит раньше обработки автозагрузки, но они удалены и не опасны. Остальные две галки - ctfmon и VistaDrv - были сняты из-за отсутствия подписи. VistaDrv понятно почему, а вот в ctfmon видимо были модифицированы ресурсы для украшения. Вообще ctfmon после загрузочного диска из шапки должен был быть восстановлен, однако галка снята потому, что обработка автозагрузки происходит до восстановления системных файлов (видимо порядок я поменяю). Узнать, пройдёт ли файл проверку в AntiSMS, можно заранее - с помощью AVZ -> Сервис -> Проверить подлинность файла по каталогу безопасности Microsoft.

    По третьему скриншоту. Насчёт AppInit_DLLs хотелось бы видеть реестр и файлы, а параметры в Image File Execution Options не удаляются, удаляются только отладчики этих процессов (ключ Debugger).

    Бекапы реестра и файлов, а также логи запланированы на следующие версии. Разработка происходит в свободное от работы время, которого не так много, так что придётся подождать. Насчёт интерфейса - всё же я настаиваю на использовании утилит, уже ставших стандартами - UVS и AVZ. Ведь ничто не мешает записать их вместе с AntiSMS на один диск и пользоваться по ситуации. У меня нет в планах создания интерфейса, который станет запутывать малоопытных пользователей, отнимать много времени для его разработки и в конце концов станет похожим по функциональности на UVS и AVZ. Если в AntiSMS и появятся какие-то настройки в будущем, то они будут сделаны так, чтобы не нарушать концепцию автоматической работы, - например ini-файл рядом с основным, в котором опытный пользователь заранее настроит некоторые параметры под свои задачи, например: сохранять или не сохранять бекапы, куда сохранять, автоматически архивировать отчёт или нет, и т. д.
     
    1 человеку нравится это.
  12. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    Куда отправить семплы? Отправил ссылку в ЛС.
     
    Последнее редактирование: 6 мар 2012
    1 человеку нравится это.
  13. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    glax24, Спасибо, ошибка найдена и программа обновлена.
     
  14. glax24
    Оффлайн

    glax24 Разработчик

    Сообщения:
    2.000
    Симпатии:
    1.450
    simplix,
    загрузился сегодня с диска HirensBootCD, в нем есть miniXP, но программа в нем не запустилась в чем причина?
    [​IMG]

    1. При отсутствие файлов в WinPE и WinXP. Почему не восстанавливаются файлы из dllcache, с учет того что они там нормальные?
    2. При наличие WinXP. Почему не восстанавливаются файлы в dllcache, если они подменены?
    Проверял только на файлах userinit.exe и taskmgr.exe.
     
  15. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    AntiSMS обновлена до версии 1.6. Добавлено лечение MBRLock.19, этот троян удаляет таблицу разделов, поэтому резервная копия заражённого сектора помещается во временную папку.

    Смотрите тут. В следующей версии поменяю алгоритм, который будет работать везде.

    Восстанавливать файлы из dllcache просто не вижу необходимости, когда они в сумме весят всего 3 МБ. В версии 1.6 эти файлы лежат в корне диска в папке Files, теперь совсем не сложно скопировать их на любой диск. А в dllcache не восстанавливаются потому, что те файлы не влияют на загрузку и работу системы, ведь перед программой стоит задача не полностью вылечить компьютер, а разблокировать его для проверки антивирусом, который проверит и dllcache, и все остальные файлы.
     
    Последнее редактирование: 8 мар 2012
    1 человеку нравится это.
  16. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    Новая версия 1.7 - добавлено лечение MBRLock.17 всех модификаций, а также WinPE теперь везде определяется корректно.
     
    1 человеку нравится это.
  17. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    А те, где в результате нескольких перезаражений теряется оригинальный MBR, тоже лечится исправно?
     
  18. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    thyrex, Чтобы ответить на этот вопрос как минимум нужен дроппер. Ведь мы не знаем, по какому алгоритму бекапится оригинальный сектор - если в случайный свободный сектор (0-63), то таких очень много, а если в любой случайный с затиранием содержимого - оригинальный не потеряется. В любом случае перед восстановлением проверяется сигнатура сектора и в худшем случае утилита просто не запишет оригинальный сектор на место. Как вариант - могу сделать затирание нулями бекапа оригинального сектора после восстановления.
     
    Последнее редактирование: 9 мар 2012
  19. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.463
    Симпатии:
    3.095
    В любой случайный записывается. Попадался дамп, где раз шесть был записан код блокировщика, а оригинальный MBR безвозвратно потерялся :)
     
  20. simplix
    Оффлайн

    simplix Разработчик

    Сообщения:
    36
    Симпатии:
    159
    thyrex, Это понятно, что в случайный, но вот с какими условиями - без дроппера сказать наверняка нельзя. Если он записывается только в свободные сектора, а при обнаружении занятого ищет другой свободный - место закончится не скоро. А если он видит занятый и просто пропускает создание бекапа - тогда здесь любая утилита не восстановит сектор в первоначальное состояние, только фиксить MBR и восстанавливать таблицу разделов сторонними утилитами.
     

Поделиться этой страницей