Antisms [Deleted]

Статус
В этой теме нельзя размещать новые ответы.
Новая версия 1.8:
Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
Реализована более глубокая чистка системы от вредоносных действий троянов.
 
Severnyj, В 1.8 это учтено - если в параметре UIHost находится ссылка на неподписанный файл, то она меняется на стандартную. А убрать пароль можно соответствующими утилитами, которые обычно есть на сборках (в том числе моей, пункты 7-8). Причём судя по описанию трояна он удаляется после первого входа в систему, поэтому удалится пунктом 7 в мультизагрузке даже без AntiSMS.
 
Здравствуйте!
Для того, чтобы проверить работоспособность вашей программы я сегодня специально заразил виртуальную машину. Этот баннер прописывает себя в автозагрузку, но Anti-SMS не помог вылечить заразу, после перезагрузки снова вышел баннер. Выкладываю тело вируса. Пароль на архив с вирусом: virus
Хотелось бы узнать почему Anti-SMS не справился с задачей. В реестре отчетливо видно, что баннер в автозагрузке
 
Последнее редактирование:
hoper, Видимо вы забыли прикрепить файл. Присылайте его любым удобным способом, например ссылкой в личное сообщение.
 
thyrex, Спасибо, разобрались.
hoper написал(а):
С причиной разобрался: я сначала запускал вирус из общей папки виртуальной машины, и в результате Anti-SMS не смог обнаружить зловреда, а когда я скопировал вредоноса в корень системного диска и запустил его, Anti-SMS смог убрать баннер.
 
Для того, чтобы проверить работоспособность вашей программы я сегодня специально заразил виртуальную машину. Этот баннер прописывает себя в автозагрузку, но Anti-SMS не помог вылечить заразу, после перезагрузки снова вышел баннер.
Аналогично
 
Последнее редактирование модератором:
simplix, как пожелание, добавьте версию программы в заголовок информационных сообщений.
 
glax24, Пришлите пожалуйста мне в ПМ этот троян, иначе я не смогу проверить его работу.
 
simplix, все тоже самое.

Попробуте запустите винлок, с не системного диска. Если запускать с системного то он удаляется, если с другого диска то остается.
 
Последнее редактирование модератором:
glax24, Пробовал по-всякому, даже с пути на скриншоте - лечится без проблем. Попробуйте повторить это на виртуальной машине, если получится - присылайте её.
 
Последнее редактирование:
В системе диск с которого запускается винлок E:, под винпе D:
Если смотреть через regedit то путь начинается с E:
А если смотреть через Autoruns то путь начинается с D:
 
Последнее редактирование модератором:
Вышла новая версия 2.0
При проверке следующие ключи и параметры не проверяются
1. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System - DisableRegedit
2. HKCR\regedit\shell\open\command
3. HKCR\cmdfile\shell\open\command
 
glax24, Спасибо. Указанный ключ DisableRegedit система никак не использует. По ветке regedit\shell\open\command пока не нашёл никакой информации, как именно она используется. Обработку cmdfile добавлю в следующей версии.
 
По ветке regedit\shell\open\command пока не нашёл никакой информации, как именно она используется
4. Чтобы утилита Редактор реестра могла запускаться, в Реестре в разделе[HKEY_CLASSES_ROOT\regedit\shell\open\command] значение строкового параметра по умолчанию должно быть –regedit.exe "%1"

Чтобы информацию из reg-файлов можно было добавлять в Реестр, в разделе[HKEY_CLASSES_ROOT\regfile\shell\open\command] значение строкового параметра по умолчанию должно быть –regedit.exe "%1"
инфо
 
glax24, Эту информацию я видел, но смоделировать ситуацию, чтобы ключ regedit\shell\open\command на что-то влиял, пока не получилось. Так что пока информация ложная.
 
Последнее редактирование:
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу