Pull to refresh

AntiSMS — быстрое и эффективное лечение блокировщиков

Information Security
Приветствую, друзья!

Все мы наслышаны и троянах-блокировщиках, которые останавливают работу компьютера до получения денежного перевода своим создателям, как правило посредством SMS или оплатой через терминал. Более опытные пользователи никогда их не ловят, а вот их родственники, знакомые и клиенты — часто и регулярно.

Хочу представить вам маленькую программу, которая призвана решить проблему блокировщиков, и более того — делает это в полностью автоматическом режиме. По моему мнению диск или загрузочная флешка с такой программой должна быть абсолютно у каждого человека, ведь у жителей интернета вероятность подхватить баннер-блокировщик есть всегда, а опытные пользователи смогут помочь своим ближним вылечить компьютер всего за пять минут.

Особенно утилита поможет сисадминам и инженерам, занимающимся настройкой клиентских компьютеров. Когда заблокированные компьютеры приносят пачками, быстрое лечение будет экономить вам массу времени и сил. Следуя лёгкой инструкции вы сможете эффективно убрать любой блокировщик, параллельно исправив массу неисправностей в операционной системе.

О программе


Программа называется AntiSMS и в честь выпуска версии 2.1 создан этот топик. На данный момент в ней реализованы все основные идеи, поэтому смело рекомендую её к использованию в боях.

Основные принципы создания утилиты


  • Работает только из WinPE. В этом режиме трояны не могут помешать лечению системы.
  • Полностью бесплатна для любых целей. Нет никаких ограничений на использование.
  • Автоматическая работа. Ею сможет воспользоваться человек, впервые увидевший компьютер.
  • Безопасность. Множество проверок гарантируют, что утилита не навредит железному другу.
  • Скорость и размер. Она действительно очень маленькая и быстрая!

Загрузить программу


Основная страница программы — antisms.simplix.info


Отдельная программа для использования в своём WinPE
(рекомендуется опытным пользователям)
Скачать: AntiSMS 2.1 (130 КБ)
Зеркала: rghost, mediafire


Готовый загрузочный диск с программой
(рекомендуется неопытным пользователям)
Скачать: Загрузочный диск 2.1 (30 МБ)
Зеркала: rghost, mediafire


Утилита для записи загрузочного диска на флешку
Скачать: AntiSMS USB Installer 1.2 (338 КБ)
Зеркала: rghost, mediafire

Примечание

Если вы будете использовать программу в своём WinPE, скопируйте полезные дополнения для восстановления системных файлов и исключения некоторых проверенных файлов.

Инструкция по использованию


Если вы опытный пользователь:
  1. После запуска AntiSMS и перезагрузки в рабочую систему выполните быструю проверку антивирусом.
  2. Запустите msconfig и визуально проверьте элементы автозагрузки и служб, при необходимости включите те из них, которые безопасны, но были отключены из-за отсутствия цифровой подписи.

Если вы неопытный пользователь:
  1. Скачайте образ загрузочного диска и запишите его на диск или флешку.
  2. Загрузитесь с этого диска и запустите значок AntiSMS на рабочем столе.
  3. Перезагрузитесь в рабочую систему и выполните быструю проверку антивирусом.
  4. Нажмите Пуск -> Выполнить -> msconfig -> Обычный запуск -> ОК. Этим вы включите всю автозагрузку обратно, но уже без троянов. Если после перезагрузки снова возникают проблемы, значит антивирус пока не определяет этот троян; в таком случае запустите AntiSMS повторно и не выполняйте этот пункт.
  5. Если интернет после вируса не работает — запустите AntiSMS в рабочей системе и выполните сброс настроек сети.

Возможности программы


  • Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
  • Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
  • В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
  • Полностью очищаются системные и пользовательские временные папки.
  • Все нестандартные записи в файле hosts будут закомментированы.
  • Автозапуск на всех устройствах кроме дисковода будет отключен.
  • Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
  • Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
  • Все отладчики системных процессов в Image File Execution Options будут удалены.
  • Все ограничения (Policies) пользователей и системы будут удалены.
  • В политике ограниченного использования программ будет выставлен неограниченный уровень.
  • Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
  • Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
  • Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
  • Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
  • Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
  • Восстанавливаются параметры запуска исполняемых файлов.
  • Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
  • В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
  • Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
  • Для WinXP x86, Vista x86-x64 и Win7 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
  • Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
  • Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
  • Реализована более глубокая чистка системы от вредоносных действий троянов.
  • В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
  • Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
  • Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
  • Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
  • Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
  • Поддерживается база проверенных файлов программы Universal Virus Sniffer.

Заключение


Программа уже три месяца активно используется множеством пользователей, однако нет предела совершенству и конструктивная критика только приветствуется. Не все пожелания могут быть учтены, так как у меня есть своё видение развития утилиты, да и многое упирается в свободное время. И всё же программа доросла до такого уровня, на котором реализовано множество инновационных идей, и превратилась в комбайн по уничтожению блокировщиков. Конечно, трояны лучше не хватать, но раз уж поймали — пусть его лечение будет быстрым и приятным. Всем удачи!



Текст подготовил автор программы simplix, но его без объяснения причин не пропустили в песочницу. Мне программа нравится, поэтому публикую по своему желанию и всю ответственность беру на себя.
UPD: Добрый SLY_G поделился инвайтом и теперь автор AntiSMS с нами.
Tags:AntiSMSWinlockлечение вирусов
Hubs: Information Security
Total votes 76: ↑67 and ↓9+58
Views3.8K