Antisms [Deleted]

Статус
В этой теме нельзя размещать новые ответы.

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
Новая версия 1.8:
Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
Реализована более глубокая чистка системы от вредоносных действий троянов.
 

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
Severnyj, В 1.8 это учтено - если в параметре UIHost находится ссылка на неподписанный файл, то она меняется на стандартную. А убрать пароль можно соответствующими утилитами, которые обычно есть на сборках (в том числе моей, пункты 7-8). Причём судя по описанию трояна он удаляется после первого входа в систему, поэтому удалится пунктом 7 в мультизагрузке даже без AntiSMS.
 

hoper

Активный пользователь
Сообщения
359
Реакции
43
Баллы
328
Здравствуйте!
Для того, чтобы проверить работоспособность вашей программы я сегодня специально заразил виртуальную машину. Этот баннер прописывает себя в автозагрузку, но Anti-SMS не помог вылечить заразу, после перезагрузки снова вышел баннер. Выкладываю тело вируса. Пароль на архив с вирусом: virus
Хотелось бы узнать почему Anti-SMS не справился с задачей. В реестре отчетливо видно, что баннер в автозагрузке
 
Последнее редактирование:

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
hoper, Видимо вы забыли прикрепить файл. Присылайте его любым удобным способом, например ссылкой в личное сообщение.
 

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
thyrex, Спасибо, разобрались.
hoper написал(а):
С причиной разобрался: я сначала запускал вирус из общей папки виртуальной машины, и в результате Anti-SMS не смог обнаружить зловреда, а когда я скопировал вредоноса в корень системного диска и запустил его, Anti-SMS смог убрать баннер.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
Для того, чтобы проверить работоспособность вашей программы я сегодня специально заразил виртуальную машину. Этот баннер прописывает себя в автозагрузку, но Anti-SMS не помог вылечить заразу, после перезагрузки снова вышел баннер.
Аналогично
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
simplix, как пожелание, добавьте версию программы в заголовок информационных сообщений.
 

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
glax24, Пришлите пожалуйста мне в ПМ этот троян, иначе я не смогу проверить его работу.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
simplix, все тоже самое.

Попробуте запустите винлок, с не системного диска. Если запускать с системного то он удаляется, если с другого диска то остается.
 
Последнее редактирование:

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
glax24, Пробовал по-всякому, даже с пути на скриншоте - лечится без проблем. Попробуйте повторить это на виртуальной машине, если получится - присылайте её.
 
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558




В системе диск с которого запускается винлок E:, под винпе D:
Если смотреть через regedit то путь начинается с E:
А если смотреть через Autoruns то путь начинается с D:
 
Последнее редактирование:

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
Вышла новая версия 2.0
При проверке следующие ключи и параметры не проверяются
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - DisableRegedit
2. HKCR\regedit\shell\open\command
3. HKCR\cmdfile\shell\open\command
 

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
glax24, Спасибо. Указанный ключ DisableRegedit система никак не использует. По ветке regedit\shell\open\command пока не нашёл никакой информации, как именно она используется. Обработку cmdfile добавлю в следующей версии.
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,491
Баллы
558
По ветке regedit\shell\open\command пока не нашёл никакой информации, как именно она используется
4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе[HKEY_CLASSES_ROOT\regedit\shell\open\command] значение строкового параметра по умолчанию должно быть –regedit.exe "%1"

Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе[HKEY_CLASSES_ROOT\regfile\shell\open\command] значение строкового параметра по умолчанию должно быть –regedit.exe "%1"
инфо
 

simplix

Активный пользователь
Сообщения
37
Реакции
159
Баллы
338
glax24, Эту информацию я видел, но смоделировать ситуацию, чтобы ключ regedit\shell\open\command на что-то влиял, пока не получилось. Так что пока информация ложная.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.

Similar Threads

Сверху Снизу