как убрать баннер с экрана компьютера
(Trojan.Winlock или Windows - компьютер заблокирован, требует: отправьте SMS)
(Trojan.Winlock или Windows - компьютер заблокирован, требует: отправьте SMS)
Внимание всем, статья периодически обновляется, если вы были здесь месяц назад имеет смысл пересмотреть её ещё раз. Подходит как для Windows XP, так и для Windows 7 (основные ключи в реестре те же)
__________________________________________________________Для тех кому просто надо побыстрее разблокировать свой компьютер рекомендуется новая очень перспективная программа, появившаяся в марте 2012 года - AntiSMS В настоящее время она доступна в финальной редакции версии 6.3 Справляется со всеми известными на сегодняшний день блокерами, в том числе изменяющими Главную загрузочную запись (MBR)
(Новая версия 7.1 от 4 января 2015г:
• Реализовано управление правами доступа для лечения особо сложных вирусов.
• Ускорено сканирование системы и уменьшено требование к свободному месту.
• Оптимизирована 64-разрядная версия.
и др
Обновлена база хэшей.
Добавлена поддержка Windows 8.
Значительно увеличена эффективность.
Пополнена база известных загрузочных секторов.
Скачивать Sysfile.bin теперь не требуется база хешей перенесена в сам установщик)
Вам следует:
1. Скачать утилиту AntiSMS.exe на флешку.
2. Загрузиться с любого LiveCD (полезные ссылки см. ниже) и запустить её на заражённом компьютере.
Либо
1 Скачать и записать на CD-R (или RW) образ AntiSMS.iso, загрузиться с него на заражённой машине и провести лечение.
Подробнее в конце статьи или на сайте автора:
simplix forum
__________________________________________________________
Те же, кто любит понимать, что происходит в компьютере, и контролировать все процессы своими руками, могут читать дальше.
Итак, быстрая разблокировка:
http://virusinfo.info/deblocker/
https://www.drweb.com/xperf/unlocker/(новая версия сервиса от 29.11.2011г)
цитата: "Пользователь может воспользоваться как поиском по номеру телефона/кошелька платежной системы, который указан на баннере блокировщика, так и поиском по изображению баннера.
При нажатии на скриншот картинка увеличивается до полного размера, что позволяет сверить ее с троянцем, заблокировавшим ПК.
При нажатии на имя троянца открывается страница с его описанием.
При нажатии на код разблокировки открывается окно со связанными с ним кошельками/телефонами. Отметим, что «исходники» отдельной модификации Trojan.Winlock могут одновременно использоваться большим числом злоумышленников, каждый из которых указывает на баннере свой номер телефона/кошелька. При этом коды разблокировки во всех случаях могут быть одинаковы." Пояснения здесь.
К сожалению вариантов, к которым действительно есть код последнее время становится всё меньше. Авторов заботит лишь получение денег, а механизм разблокирование системы они в коде вируса просто не предусматривают - чего зря париться?.
http://support.kaspersky.ru/viruses/deblocker
Кроме того: Удаляем информер в броузере!!!
http://golden-b.ru/?p=306 - для Explorer
http://golden-b.ru/?p=371 - для Opera
http://golden-b.ru/?p=487 - для Mozilla Firefox
Итак можно, если повезёт, подобрать код к вашему случаю. Предупреждение пропадёт, но файлы вируса на компе останутся и не факт, что снова не попросят СМС.
Я предпочитаю всё делать руками. Поэтому если кому интересно всё сделать самому,
(Выглядит для неспециалиста конечно страшно, но... Глаза боятся, руки делают! Поэтому приступим!):
Вам понадобится Live CD, Windows PE или что-то подобное, имеющее в мультизагрузке
ERD Commander, или сам диск ERD Commander 2005 или 2008, коротко говоря загрузочный диск с урезанной операционной системой, через которую можно исправить реестр заражённой оси. (Найти и скачать можно бесплатно на торент-трекерах, вот парочка
ННМ-Клуб или Рутрекер
(На NNM-Club заходить лучше с Оперы в турбо режиме, у некоторых помогает сменить в настройках Подключения по локальной сети в свойствах протокола TCP/IP параметры DNS на 8.8.8.8 и 8.8.4.4 (это DNS Яндекса) Это связано с блокированием правоохринителями этого треккера)
Я лично рекомендую вот этот Chip XP 2014 Final DVD (далее - Рекомендованный диск) у него самый быстрый LiveCD, загрузка до рабочего стола меньше чем за минуту и в составе имеется всё что нам нужно. Даже AntiSMS, правда не самый последний - 6.3, но вполне рабочий.
Он же здесь. Или же просто поищите по торрентам по его Контрольной сумме:
MD5: DB0A50136568B9ADBA70FB0EF6747B39
Загружаемся с него, выбираем в меню RusLive Mini от NIKZZZZa - предпоследний пункт над Перезагрузкой. Дожидаемся появления рабочего стола и запускаем с него Total Commander. Чистим под ноль все временные папки:
C:\Temp\
C:\Windows\Temp\
C:\Documents and Settings\любая папка\Local Settings\Temporary Internet Files
C:\Documents and Settings\любая папка\Local Settings\Temp\
Затем самое интересное, запускаем Пуск - Программы (Ext) - System - ERD Commander - ERD Root - и
указываем здесь на папку С:\WINDOWS\ (имеется в в иду, что в ней установленная ваша родная заражённая винда и мы подключаемся к её реестру) - ОК, затем (сразу без перезагрузки) снова запускаем Пуск - Программы (Ext) - System - ERD Commander - RegEdit
(В обновлённых версиях пути могут быть другие, например Пуск - Программы (Ext) - System Tools - ERD Commander - "Выбор каталога Windows" и, затем - RegEdit )
Главное:
В реестре находим раздел (в левой половине "проводника")
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows,
(Это означает, что в левой панели мы находим "папку" под именем HKEY_LOCAL_MACHINE и щёлкаем левой кнопкой мыши по плюсику (треугольничку) слева от неё, В выпавшем при этом вниз новом списке находим "папку" SOFTWARE и раскрываем её таким же образом, далее открываем остальные вложенные папки с именами Microsoft, Windows NT, CurrentVersion и Windows)
Ключ (тот, что в правой половине "проводника") AppInit_DLLs должен быть пустым. Двойной щелчок по ключу AppInit_DLLs, в нижней строке открывшегося окна редактирования удаляем всё (исключение - Касперский проставляет туда свои библиотеки для проверки запускаемых файлов в реальном времени, и последнее время vksaver - сюда пишется, ну это уже вам решать нужен или нет). Остальные ключи в этом разделе не трогаем.
Следующий раздел:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
Здесь последнюю папку Winlogon, мы не раскрываем плюсиком слева от неё, просто щёлкаем прямо по ней. Смотрим правое окно.
Двойной щелчок по ключу Shell и в открывшемся окне редактирования параметра должно быть только: Explorer.exe.
Ключ Taskman (если он есть) должен быть пустой.
Двойной щелчок по ключу UIHost, и в открывшемся окне редактирования параметра удалить всё, чтобы осталось ТОЛЬКО следующее: logonui.exe
Двойной щелчок по ключу Userinit, и в открывшемся окне редактирования параметра удалить запись о вирусе так чтобы осталось ТОЛЬКО следующее (с запятой в конце):
C:\WINDOWS\system32\userinit.exe,
Не должно быть ключей типа userint (найдите отличия с userinit) или TaskXXXX (ХХХХ может меняться). Если есть удаляйте.
Кстати если где-то здесь или далее были прописаны пути к другим файлам соответственно именно это ваш зловред и есть, и его надо найти в указанном месте и удалить (например что-то типа
C:\Windows\system32\sdra64.exe,
C:\Windows\Temp\as.exe или
C:\Documents and Settings\All Users\Application Data\0.734619748fg5Sd.avi)
Далее, в разделах:
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
(где ХХХХХ - предпоследний в разделе, без Classes на конце)
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_USERS\S-1-5-ХХХХХ\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run_Hidden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
здесь смотрите так же незнакомые файлы в автозапуске вида 321.exe, 39991.exe, 0.42739562436482541.avi, xxx-video.exe, ab.exe, ms.exe и т. д.
Вот типичные свежие примеры отслеженные по подозрительному месту размещения и названию файлов:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows подключ run (по умолчанию отсутствует).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
Не должно быть ключа userinit.exe. Листаем весь этот раздел и находим подключи Debugger с определенными запускаемыми файлами. Последний (Your Image File Name Here without a path) не считать - он безвреден, существует в винде изначально).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer Если тут существует подраздел Run с прописанным экзешником - то это скорее всего вирус. В оригинальном варианте такого подраздела этого ключа в реестре не существует.
от YikxX
__________________________________________________________________________
Добавление от 29.08.2011 года.
Появилась новая разновидновсть зловреда. Его окно загружается после рабочего стола, на котором мелькают ярлыки. Выглядит - на чёрном экране красный и белый текст, прячется здесь:
HKEY_USERS\S-1-5-ХХХХ\Software\Microsoft\Windows\CurrentVersion\Run
где \S-1-5-ХХХХ\ - предпоследняя ветка в кусте HKEY_USERS, ниже неё должна быть ветка S-1-5-ХХХХ_Classes
То есть в автозагрузке текущего пользователя, в виде экзешника с именем например R66.exe, debian.exe или подругому, может лежать в папке C:\WINDOWS\TEMP, со временем создания/изменения совпадающим с датой заражения. Лечение обычное - находим подозрительный ключ, проверяем время создания файла, убедившись удаляем сам файл и ключ реестра. При необходимости откатываем систему на пару дней назад (см Если!!!!).
__________________________________________________________________________
Это основные действия, для окончательного "вылизывания" Параметр HKey_Current_User\Software\Microsoft\Windows\CurrentVersion\Run - ищите не нужные или подозрительные строки и удаляйте.
Если!!!!
В последнее время троянцы поумнели и могут восстанавливаться после такой чистки
(прописываются хитрее в других пока неизвестных ветках), в этом случае в ERD Commander выбираем не RegEdit, а SystemRestore. То есть мы заменяем испорченный в неизвестных нам местах реестр на чистый из ранее созданной контрольной точки восстановления. Если вирусом не была отключена служба Восстановления системы (при этом к сожалению стираются предыдущие контрольные точки восстановления, содержащие чистый реестр и эта процедура будет невозможна), то запускается встроенная служба восстановления. Жмём Roll back, Выбираем точку с реестром сохранённым за 2 - 3 дня до печального события, применяем, ОК и система загружается с чистым вариантом реестра.
Ещё один важный момент. В последнее время появились зловреды модифицирующие userinit.exe Целесообразно иметь его чистый вариант для замены (например на флешке), если откат системы не срабатывает. Ещё это видно, если время создания\изменения этого файла не 2008 год и совпадает с датой заражения. Можно вытянуть (Распаковывается в Total Commander: кнопка Извлечь или Распаковать с нарисованным жёлтым кубиком) его из имеющегося под рукой дистрибутива (Рекомендованного диска) XP по адресу: Х:\I386\userinit.ex_ . Распаковывается в Total Commander, заменяет повреждённый. Кроме того, стоит запастись файлом taskmgr.exe по совету уважаемого Eastoop (в дистрибутиве по адресу X:\I386\taskmgr.ex_) он тоже заменяется.
Таким, например, является новый баннер - тематика как правило обвинение в просмотре и хранении видео про педофилию
Вирус - 22CC6C32.exe Находится как правило здесь - C:\Documents and Settings\All Users\Application Data\
Ключ реестра Userinit в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon не меняет, поскольку заменяет собой сам файл userinit.exe и иногда taskmgr.exe
Сначала вам нужно будет удалить файлы
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
C:\Documents and Settings\All Users\Application Data\22CC6C32.exe (посмотрите здесь другие подозрительные файлы, совпадающие по времени и дате создания/изменения их тоже удалите)
C:\Windows\System32\03014D3F.exe (если есть или другой подозрительный = совпадающий по времени создания)
Потом исправить ключ реестра
Код HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ должен быть таким:
Shell="Explorer.exe"
Положить оригинальные виндовые файлы с установочного диска в
C:\Windows\System32\dllcache\taskmgr.exe
C:\Windows\System32\dllcache\userinit.exe
C:\Windows\System32\taskmgr.exe
C:\Windows\System32\userinit.exe
Взять их (если используете Рекомендованный диск) можно по адресу: Х:\I386\userinit.ex_ и Х:\I386\taskmgr.ex_, распаковав из cab-архива на своё место через Тотал командер например. В других LiveCD, на которых имеется возможность установки самой Windows XP, они обычно лежат здесь же.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Раньше было удобно брать заготовленный заранее свежий CureIt! от DrWeb и сделать полную проверку жёсткого диска заражённой машины не выходя из загруженного LiveCD. Теперь к сожалению режим работы этой утилиты поменялся (не работает из под LiveCD) и запускается она только из-под "живой" операционной системы. Поэтому перезагружаемся в неё и прогоняем CureIt! от DrWeb лучше в Безопасном режиме, либо пользуемся штатным обновлённым антивирусом,
а так же утилитами avz4 и Malwarebytes-Antimalware. Обратите внимание на последнее окно в процессе установки. Теперь она предлагает месяц бесплатного активного обслуживания (верхний чекбокс с уже установленной галочкой). Я рекомендую от него отказываться. Программа достаточно функциональна в режиме ручного периодического сканирования, а дополнительная программа висящая в процессах (в автозагрузке) постоянно, даже если она не будет конфликтовать со штатным антивирусом, на мой взгляд - лишнее. Успех в 100% по личному опыту.
Добавление:
Кроме того появился новый тип вируса. Окно с требованием денег появляется ДО загрузки Windows в DOS. На черном экране в верху окна текст (жёлтый иногда красный), ниже на 5-6 строчек приглашение Enter code (красное или оранжевое):
Кодов разблокировки нет. Антивирусное сканирование и все выше перечисленные мероприятия безуспешны. Вирус подменяет системный файл C:\ntldr. Поэтому окно с требованием появляется до загрузки винды, дата последнего изменения системного файла будет соответствовать дате и времени заражения Необходимо заменить этот файл на "здоровый" из любого дистрибутива Windows XP (например Рекомендованного диска, лежит, как и файл NTdetect.com здесь: X:\I386\). Так же проверьте все файлы изменённые в это время на компьютере, возможно они так же потребуют замены.
Недавно блокерописаки добрались-таки до загрузочной области жёсткого диска. Неоднократно удалял подобный "загрузчик" через Консоль восстановления командами fixmbr и fixboot C:
Поясню: Загружаетесь с Рекомендованного диска - в меню 4-ая строка Стандартная установка Chip XP (Консоль восстановления) или с любого оригинального дистрибутива Windows XP Prof SP3 (или со сборки в составе которой есть возможность установки в режиме обновления системы), то есть запустить Консоль восстановления системы
Запускаете. После этапа копирования установочных файлов в оперативную память, установщик сканирует жёсткие диски на предмет имеющейся там уже копии Windows. Найдя её, он предлагает выбор - затереть копию или нажав R запустить её восстановление. Нажимаем R. Попадаем в Консоль восстановления, чёрный экран и после 4 секунд ожидания читаем вопрос в какую копию следует выполнить вход. Обычно указывается одна (под номером 1). Набираем единицу и жмём Enter. (Если в винде прописан пароль, то его тоже попросят ввести, если пароля нет, ничего не вводим и жмём Enter)
Получаем командную строку с приглашением DOS вида
С:\WINDOWS\>_
В ней для информации можно набрать команду help и воспользоваться русскоязычной справкой. Или сразу набираем fixmbr - Enter (На Windows 7 это команда bootrec.exe /fixmbr), соглашаемся с предупреждениями Y - Enter. Читаем сообщение об успешных изменениях, затем fixboot C: - Enter. Набираем в строке exit для выхода и перезагружаемся в восстановленную винду.
При этом Консоль заменяет нестандартную Главную загрузочную запись у жёсткого диска на стандартную для Windows XP.
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
В интернете имеется проект Antiwinlocker.ru, который в настоящий момент обновился до версии 3.0.0 (Новая версия от 11.04.2014). Я лично эту программу не рекомендую, хотя последнюю версию не пробовал.
перейти по ссылке
Бесплатно. Есть пояснения.
_____________________________________________________________
Март 2012. Появилась новая, очень перспективная, программа для автоматического лечения от винлоков - AntiSMS.
Её автор уважаемый simplix.
Программа существует в нескольких вариантах (прямые ссылки с сайта разработчика):
- Отдельная программа для использования (запуска) через WinPE от автора или любого LiveCD - рекомендуется опытным пользователям.
- Готовый образ для записи загрузочного диска - рекомендуется неопытным пользователям. Есть Загрузочный диск на основе Windows 8
Сайт автора
Сайт программы
Если вы неопытный пользователь:
1) Скачайте образ загрузочного диска и запишите его на диск или флешку.
2) Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
3) Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
4) Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
5) Если интернет после вируса не работает - запустите AntiSMS в рабочей системе и выполните сброс настроек сети.
Если вы опытный пользователь:
1) После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
2) Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.
Можно ещё вот так:
- Качаем Загрузочный диск (50 МБ) и в ту же папку AntiSMS USB Installer (450 КБ)
- Вставляем флешку (Внимание! Флешка будет отформатирована и все данные с неё будут удалены)
- Запускаем AntiSMSusb.exe и жмём "Старт"
Загружаемся с полученной флешки и запускаем на Рабочем столе WinPE AntiSMS.
Программа прежде всего интересна тем, что кроме распространённых вариантов, успешно справляется с самым сложным на сегодняшний день видом блокировщиков - теми, которые модифицируют Главную загрузочную запись (MBR). При этом она не заменяет её на стандартную (такое действие при особо изощрённых зловредах может сделать данные на жёстком диске недоступными), а именно восстанавливает её до состояния, которое было перед заражением.
Особенностью программы является так же то, что она способна восстановить оригинальные версии системных файлов (userinit и так далее), которые модифицируют известные на сегодняшний день зловреды. Поддерживаются системы WinXP x86, Win7 x86-x64, Vista x86-x64, Win8 x86-x64.
Данная функция работает при использовании загрузочного диска записанного из образа AntiSMS.iso. В случае использования утилиты AntiSMS.exe ранее для возможности такого восстановления было необходимо извлечь из образа AntiSMS.iso файл файл SysFiles.exe и положить его в ту же папку из которой запускается AntiSMS.exe. Для последней версии это не актуально, вся необходимая информация уже содержится внутри утилиты.
Главная задача программы - разблокировать систему и дать ей возможность загрузиться. Это означает, что после её работы всё ещё необходимо завершающая очистка и "уборка следов". То есть будут полезны проверка реестра и автозагрузки (см статью выше). По опыту автора-разработчика AntiSMS, на сегодняшний день не найдены варианты блокировщиков, с которыми программа не справилась бы.(Утверждение действительно по состоянию на 01.04.2014г)
Возможности программы (версия 6.3 подробно):
• Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-8.1 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
• Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.
Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.
Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.
Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.
• Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
• В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
• Полностью очищаются системные и пользовательские временные папки.
• Все нестандартные записи в файле hosts будут закомментированы.
• Автозапуск на всех устройствах кроме дисковода будет отключен.
• Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
• Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
• Все отладчики системных процессов в Image File Execution Options будут удалены.
• Все ограничения (Policies) пользователей и системы будут удалены.
• В политике ограниченного использования программ будет выставлен неограниченный уровень.
• Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
• Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
• Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
• Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
• Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
• Восстанавливаются параметры запуска исполняемых файлов.
• Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
• В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
• Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
• Для WinXP x86, Vista x86-x64 и Win7-8.1 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
• Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
• Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
• Реализована более глубокая чистка системы от вредоносных действий троянов.
• В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
• Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
• Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
• Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
• Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
• Поддерживается база проверенных файлов программы Universal Virus Sniffer.
• Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
• Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
• Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
• В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
• Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
• Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ
• AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
• Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
Версия 6.0 от 03.05.2014
Ядро программы полностью переведено на юникод.
Реализована возможность работы в 64-битной среде восстановления.
AntiSMS можно интегрировать в загрузочное меню Win7 и выше.
Обновлены системные файлы с учётом Win8.1 Update1.
В настройках IE убирается галочка прокси-сервера.
Для Win8 и выше включается стандартное загрузочное меню, доступное по F8.
Файлы DriveX.bin копируются в правильную папку и архивируются.
Исправлен путь к элементам автозапуска в логе.
Добавлено сообщение в логе о нестандартном MBR.
Файл хэшей включен в состав программы, но использование внешнего тоже допускается.
Поддерживаются ключи: /ipreset для сброса сети и /recovery для интеграции.
Версия 6.0.1 от 06.05.2014
Пользователь будет предупреждён, если в образе восстановления уже встроена другая программа.
Версия 6.1 от 12.05.2014
Добавлена поддержка интеграции на системах UEFI.
В меню Пуск -> AntiSMS добавлена программа для прямой загрузки среды восстановления.
Версия 6.2 от 01.06.2014
Переписан алгоритм лечения MBR-блокировщиков, увеличена скорость и надёжность.
Добавлена чистка hosts при сбросе настроек сети из рабочей системы.
Оптимизирована работа 64-битной версии.
Исправлены мелкие неточности.
Обновлена база хэшей.
Версия 6.3 от 20.06.2014
Добавлена проверка файла заставки (скринсейвера).
Добавлена проверка всех путей в разделе App Paths.
Обновлена база хэшей.
Утилита так же уже встроена в WinPE (входит в состав Мультизагрузки) последней версии сборки Windows XP SP3 от автора, выложена на трекерах под названием simplix editionhttp://nnm-club.me/forum/viewtopic.php?t=118104 Последняя финальная версия диска от 20.02.2013 года, соответственно и AntiSMS в нём не самая последняя.
_______________________________________________________________
Необязательное дополнение:
В конце.
Заходим в папку по адресу C:\WINDOWS\system32\drivers\etc находим и открываем файл hosts в блокноте. Удаляем в нём ВСЕ строчки НЕ начинающиеся со знака # КРОМЕ строки:
127.0.0.1 localhost
Если её нет добавляем. ВНИМАНИЕ! Если сбоку есть ползунок прокрутки, опускаем его вниз до конца, "чужие строчки" бывают спрятаны внизу файла после большого промежутка. Бывают написаны белым шрифтом и видны только при выделении всего текста в файле. Бывает файл не поддаётся коррекции или выглядит абсолютно нормальным но дело именно в нём, тогда имеет смысл создать одноимённый файл в другой папке с одной строкой внутри
127.0.0.1 localhost
и заменить им старый файл.
Реестр секция HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes Должен быть один ключ "По умолчанию" - "Значение не присвоено"
Все остальные ключи здесь выделить и удалить. Это место часто используется для закрытия возможности выхода на антивирусные сайты (да и любые другие, например в контакте или одноклассники), сюда прописываются прямые 12-значные адреса IP
В апреле 2013 года появилась новая угроза. Симптомы заражения: блокировка электронной почты, соцсетей и других сайтов, требование отправить sms на короткий номер и переадресация на фишинговые (поддельные) сайты. При анализе через avz Файл - "Исследование системы" в сомнительных процессах появляется файл rpcss.dll, размещённый в C:\Windows\system32\ подлинность электронной подписи которого проверить не удаётся. Причём дата изменения/создания у файла подозрений не вызывает. Хотя заражение происходит именно путём подмены этого файла на поддельный.
Лечение:
Создайте контрольную точку восстановления системы.
В безопасном режиме переименуйте файл в rpcss.bak, затем скопируйте в эту папку оригинальную версию этого файла, соответствующую вашей операционной системе и перезагрузитесь. Проверьте исправление функций. Удалите файл rpcss.bak. Если в безопасном режиме возникают проблемы, проведите все манипуляции, загрузившись с LiveCD или WinPE, или из Среды восстановления Windows Vista\7. Чистый файл можно взять с аналогичной оси на не заражённой машине приятеля/знакомого или скачать здесь:
Windows XP SP3
Windows 7 х86
Windows 7 x64
источник:
http://rlu.ru/uXK
Во второй половине 2013 года "стали модными" блокеры не прописывающиеся в реестре. Их находят в папке Автозагрузки:
C:\Documents and Settings\Имя пользователя\Главное меню\Программы\Автозагрузка
В системной папке пользователя:
C:\Documents and Settings\Имя пользователя
и во временной папке оси:
C:\WINDOWS\Temp
и меют вид - pol_pedofil.bat, 411596.exe или jfgetmn.exe
Лечится удалением этих файлов.
На 30 октября по данным virustotal.com определяются 17-ю из 47 антивирусных программ (DrWeb не определяет)
Средства снижающее вероятность заражения
(Источник: перейти по ссылке)
Данный метод является дополнительной профилактической преградой против зловредов данного типа. Причем метод очень прост и по заявлениям автора эффективен.
Запускаем редактор реестра: Выполнить (Win+R) -> regedit -> Ok
Идем HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
На разделе Winlogon жмем правую кнопку мыши -> Разрешения -> У всех групп кроме "SYSTEM" и "СОЗДАТЕЛЬ-ВЛАДЕЛЕЦ" убираем птичку "Полный доступ" оставляем только чтение. Жамкаем Применить и Ок.
Все от большинства баннеров и блокировщиков мы защитились.
Если ловим баннер то, просто перезагружаем компьютер, и зловреда нет.
Актуально для Windows начиная с 2000.
В Vista и 7ке при грамотной настойке Контроля учетных записей не требуется.
Но, конечно, будет гораздо эффективней, если работать в инете без прав администратора.
---
NB!
Новости для пользователей антивирусом Касперского. На сайте компании есть инструкция, в которой изложен порядок действий, необходимый для организации контроля антивирусом за ключевыми ветками реестра. Предполагается, что этот механизм поможет, по крайней мере при некоторых вариантах Винлоков, предотвратить заражение.
Страница с инструкцией.
В подписи к посту ошибка - пост редактировался последний раз в мае-июне 2014 года, инфа актуальная.
