Форум программистов, компьютерный форум, киберфорум
Наши страницы
Batch (CMD/BAT)
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.76/34: Рейтинг темы: голосов - 34, средняя оценка - 4.76
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
1

Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

10.01.2013, 15:41. Просмотров 6251. Ответов 12

Открытый некоммерческий проект W i L D [Вайлд] - WinLock Defender


Основная цель проекта: автоматическое возобновление доступа к системе после заражения вирусами семейства WinLocker (SMS-трояны, вымогатели).
Периодический* контроль целостности реестра и резервное копирование подконтрольных системных файлов, которые могут быть заменены версией WinLock-а.


Основные принципы работы:
- *контроль целостности и восстановление основных системных файлов, реестровых ключей в момент загрузки и завершения работы системы;
- если компьютер заблокирован - просто однократно нажмите кнопку "Питание" на системном корпусе
- пассивный режим: нет постоянной нагрузки на процессор и память; быстрый сканер запускается только 2 раза за время работы системы;
- защита от новых нежелательных программ в автозагрузке: пользователю выдается запрос на удаление;
- работа утилиты не заметна для пользователя и отображается только в случае обнаружения признаков заражения, чтобы уведомить о выполненном лечении;
- защита основной загрузочной записи (MBR, GPT), Hosts, загрузчика ОС;
- это дополнение к общей безопасности не конфликтует с другими защитами и не является заменой антивирусу;
- утилита бесплатна.

У меня уже есть антивирус!!! Какая выгода от использования WinLock Defender?
- Наша утилита не использует базы детектирования, и может защитить ПК от новых версий WinLock-ов, которые еще не опознаёт Антивирус.

Актуальная версия: в разработке. Отдельные компоненты для тестов в WinXP - Win7 можно скачать здесь (v. 0.3 alpha)
Полный архив разработчика (v. 0.2 alpha). здесь


Берем в проект еще тестеров и программеров на C++/Batch/VBScript/JScript, спецов по администрированию ОС.



Что будет в следующей версии


- Персональный дизайн
- 64-битная версия службы RecIt
- автозапуск утилиты перед входом и после входа пользователя в систему;
- автозапуск по завершению работы системы;
- Защита ключей WinLogon правами доступа;
- Создание защиты для приоритетной ветки реестра HKCU.

Дальнейшие обсуждения алгоритмов: WiLD: Алгоритм работы ■ (основное обсуждение) ■



Ссылки на составные части проекта

Алгоритм (обсуждение): WiLD: Алгоритм работы ■ (основное обсуждение) ■ Алгоритм работы ■ (основное обсуждение) ■

Утилиты и части основного кода: здесь

Модули:

- Реестр
WiLD: Сканирование реестра* WiLD: Сканирование реестра*

- Хеш-суммы, SFC, Hosts
WiLD: SFC и хеш-сумма. Проверка системных файлов* WiLD: SFC. Проверка системных файлов*
SFC - статья: http://safezone.cc/forum/showthread.php?t=18934
WiLD: Защита файла Hosts*

- Вспомогательные
WiLD: Отправка файла на проверку в VirusTotal* WiLD: Отправка файла на проверку в VirusTotal*
WiLD: Очистка временных файлов* WiLD: Очистка временных файлов*
WiLD: Порядок поиска исполняемых файлов* WiLD: Порядок поиска исполняемых файлов*

- Автозапуск/Блокировка завершения работы
WiLD: Автозапуск при входе в систему, завершении работы (и ее отмена)* WiLD: Автозапуск при входе в систему, завершении работы (и ее отмена)*
Как запустить скрипт по событию завершения работы системы с повышенными правами Как запустить скрипт по событию завершения работы системы с повышенными правами
Запрет на выключение и перезагрузку компьютера!

- Основная загрузочная запись (MBR, GPT)
WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией* WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией*



Об утилите:

Совместимость: Windows XP SP2, 2003 Server, Vista, 2008 Server, 7, 8, 2012 Server (x32 и x64 разрядные)

Способ запуска: Автозапуск единоразово:
- при входе в систему (до логина и после)
- при завершении работы системы
- вручную - в течении 20 сек. при нажатии пользователем F9 во время входа в систему.

Авторский коллектив: Koza Nozdri, Dragokas, sov44, FraidZZ, Убежденный
Благодарности: Croessmah, simplix, Charles Kludge, NickoTin, Iska, gora, amel27

Распространение FreeWare with CopyRights

Статус проекта:
Запущен: 14.05.2013
Дата обновления основного кода: 26.08.2013
Версия основного кода: 0.3 alpha x32, x64
Версия службы RecIt 1.0.0.53 x32
Завершенность проекта (%): 35%


Ответственные за проект:

Koza Nozdri - Координация проекта, код Batch, алгоритм, beta-тестирование (в лаборатории)
Dragokas - Код Batch, VBScript, C++, обобщение кода, алгоритм, beta-тестирование (на различных ОС)
sov44 - Код Batch, вспомогательные утилиты, алгоритм
FraidZZ - Код Batch, C++, алгоритм
Убежденный - C++, алгоритм, beta-тестирование (в реальных условиях)




Для разработчиков:

Активные задания:

Создание дампа MBR, привязки к S/N ЖД и его восстановление.
+ определение, что это не GPT.
Остальные - в папках полного архива проекта (см. выше).


Работа над модулями и функциями
(перечень актуализируется)

Главные модули:

1. Сравнение с эталоном и исправление неверных записей в системном реестре (80%) Не добавлен HKCU
2. Сканирование реестра позиций автозапуска на схожие значения ключей и удаление с подтверждением (VBScript) (0%)
3. Сканирование системного диска позиций автозапуска на наличие приложений, соответствующих фейковым значениям ключей реестра и удаление с подтверждением (Batch) (0%)
4. Проверка целостности некоторых системных файлов и их замена в случае обнаружения проблем (Batch) (95%) Затестить подмену файлов. Исключить важные процессы.
5. Проверка Сохранение дампа и контроль за основной загрузочной записью (вспомогательные утилиты, Batch, C++) (30%)
6. Восстановление системных настроек и очистка временных файлов (Batch) (90%)
7. Создание службы для запуска утилиты в другом контексте безопасности, обеспечения автозапуска (90%) Разработка 64-бит + Autorun on Shutdown


Функции:

Автозапуск, служба, драйвера
Получение информации о версии системы :GetSystemVersion (Batch) Dragokas, Koza Nozdri (100%)
Автозапуск до входа в систему и после (100%) (C++) Убежденный (+ добавить Group Policy)
Отмена выключения/перезагрузки компьютера. (C++) Убежденный + Group Policy (50%)
Служба RecIt (C++) (100%) Убежденный

Хеш, целостность сис. файлов
Сравнение бекапа системных файлов из архива с файлами в системе. Dragokas (100%) FC
База чистых файлов и хеши (Batch + MD5 хеши для утилиты fsum) sov44, simplix (100%)
Архивация/разархивация с паролем, контроль целостности эталонов Dragokas (0%)
Контроль целостности и замена системных файлов через SFC (Batch) Koza Nozdri (70%) - нужен анализатор (парсер) результатов лога.
Блокировка записи в Hosts (C++) (30%) Убежденный

Реестр
Безопасное чтение ключа реестра с возвратом кода ошибки (Batch) Dragokas (100%)
Безопасная запись ключа реестра с возвратом кода ошибки (Batch) Dragokas (100%)
Проверка ключей WinLogon, бекап, перезапись с протоколированием (Batch) Koza Nozdri, Dragokas, FraidZZ (100%) Добавить HKCU
Повышение безопасности подзащитных ключей (Batch) Dragokas (30%)
Рекурсивный поиск в реестре (VBSciprt) Dragokas (0%) (обсудить целесообразность)

Привилегии
Повышение прав :CheckPrivileges (Batch + VBScript/JScript) Dragokas (100%) (C++)(100%) C++ Затестить код проверки прав

Интерфейс:
Меню VBScript Dragokas (100%)
Хранение настроек (ini-файл) Dragokas, Убежденный (30%)

Очистка системы, настройки на Default
Очистка временных файлов (Batch) sov44 (100%) - не включен в скрипт, нужен анализ батника
Проверка не заблокирован ли реестр, диспетчер и консоль. (Batch) Koza Nozdri (100%)

Действия при обнаружении угрозы
Отправка файлов на VirusTotal Koza Nozdri (100%) Нужно включить в утилиту.

MBR, GPT
MBR, GPT: проверка на модификацию и исправление (вспомогательные утилиты, Batch, C++) Dragokas, Убежденный (30%)
Реверс-инжиниринг NickoTin

Поиск посторонних процессов и источника угрозы
Process Kill Убежденный
Детект источника Top-most окон и процессов, со схожим поведением (C++) Dragokas, Croessmah (70%)
Реверс-инжиниринг Charles Kludge

Самозащита
Повышение безопасности службы RecIt и создаваемых нею объектов (C++) Убежденный (90%)
Повышение безопасности файлов проекта (Batch) Dragokas (30%)


Не по теме:


Миниатюры

Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)


12
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
10.01.2013, 15:41
Ответы с готовыми решениями:

WiLD: Основной код и вспомогательные утилиты
Составная тема проекта WiLD: http://www.cyberforum.ru/cmd-bat/thread866656.html...

ATI Tray Tools 1.2.6.955 - новая версия утилиты для разгона видеокарт семейства Radeon
Выпущена обновленная версия небольшой утилиты ATI Tray Tools. Программа...

Создание утилиты dir
Всем привет. Задание заключается в том что нужно создать утилиту dir, что бы на...

Создание своей утилиты аналога grep
Помогите написать прогу для своей утилиты, чтоб работала как утилита grep,...

Поиск в условиях противодействия
Определить самое выигрышное состояние, в которое можно перевести агента за K...

12
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
10.01.2013, 15:41  [ТС] 2
// TODO. Основные направление работ по утилите. Тестирование. Планирование будущих компонентов.

- Сканирование реестра
Кликните здесь для просмотра всего текста

1) не увидел записи в лог
2) не увидел поиска фейков в HKCU
3) запятая\слэш будут игнорироваться?
Добавить/изменить функционал согласно алгоритма в этом посте: WiLD: Сканирование реестра*

Для Win XP усилить безопасность, модифицируя запись реестра, добавлением полного пути к файлу logonui.exe


Сверка хешей
Кликните здесь для просмотра всего текста

Сверка архива хешей с файлами в чистых образах систем (только Explorer.exe, userinit.exe. Для OS < Vista файл logonui.exe).
Найти условия, при которых хеши различаются (влияние системных обновлений, учесть Service Pack, локализации системы, разрядность)


- Автозагрузка
Кликните здесь для просмотра всего текста

Проверить автозапуск в условиях отключенной службы групповых политик (исходник для теста только в ЛС).
Проверить процедуру прерывания завершения работы системы.

Будущие компоненты:
Перехват API-функции завершения работы системы.


Вспомогательные компоненты
Детект окон

Разработка утилиты детекта перекрывающих окон (C++) -> определение имени процесса, в т.ч. родительского -> расположения файла.
Черновой вариант кода готов, нужна доработка.
Код прототипа исходника перекрывающего окна (для тестирования работы утилиты) - можно в ЛС.


MBR

Детект сигнатур вируса в загрузочном секторе, модификаций MBR, ее бекап при первой настройке, последующее побайтовое сравнение бекапа и вывод предупреждения.
Предварительно - используем утилиту TDSSKILLER:
поддерживает ключ -silent (тихий режим)
ключи -qmbr -qboot (резервирование MBR и загрузочных записей в карантин)
ключ -qpath <папка> - задает расположение папки с карантином.

Альтернативы (или дополнения - нужно решить целесообразность)

avg_rem_bootkit_all_1_824.exe

(поддерживает ключ -silent. Нашел опытным путем. Справки нет. Нужно спросить на оффсайте или исследовать бинари.)
Описание ключей:
Формирование лога Спасибо Pokornyz (форум avg.com)
Bash
1
avg_rem_bootkit_all_1_824.exe -silent -log name_of_file.txt
Другие: Спасибо: NickoTin
-boot
-silent
-noheal
-postlogon
-nomemtest
-nomemcheck
-bootkit_remover


Bitdefender_Bootkit_Removal_Tool_32-bit_and_64-bit.exe (GUI-шная, врядли подойдет, разве что с API надстройкой внешнего управления)

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer (консольная) - у меня в логе пишет ошибку error reading MBR (надо разбираться)

aswMBR.exe - от AVAST-а. (GUI-шная). Не тестил. Возможно поддерживает ключи.

MbrScan.exe от eric_71

еще утиль на www.geekstogo.com. Позже более подробно опишу.


- Доступные ресурсы

Кликните здесь для просмотра всего текста

Виртуальная машина VMWARE с о.системами:
  • Win 2000 Pro
  • Win 2003 Server
  • Win XP x32, x64, ru, en.
  • Win Vista x32, x64, ru, en
  • Win 7 x32, x64, ru, en
  • Win 2008 Server
  • Win 8 x32, x64
  • Win 2012 Server

Виртуальная машина Oracle VirtualBox с о.системами:
  • Win 7 x32 ru.

Можно заюзать Bosch.

Тестовая лаборатория для Release-версии.


Исходник первой версии на Batch - для истории :)

Текущая версия Batch - в песочнице: http://ideone.com/pNciG1 (уже не актуально)

Отписываемся в ЛС, у кого какие изменения по одному из направлений работ.
3
Kиpилл
Особый статус
Эксперт WindowsВирусоборец
8298 / 1649 / 78
Регистрация: 15.04.2011
Сообщений: 5,399
31.05.2013, 08:33 3
Dragokas, я на виртуалке мбр локеры юзал, нормально ось себя чувствует, убил немало виртуалок.
Тестить тоже берусь.

Скрипт автоматом будем запускать при попытке выключить/перезагрузить комп отсюда:
Bash
1
%systemroot%\system32\GroupPolicy\Machine\Scripts\scripts.ini
С параметрами:
Код
[Shutdown]
0CmdLine=путь\скрипт.бат
0Parameters=параметры
0
ScrollLock
01.06.2013, 13:26
  #4

Не по теме:

блин, я и не знал, что тут такие дела творятся :) респект вам, парни!

1
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
11.08.2013, 02:50  [ТС] 5
Список технических заданий:

Высокий приоритет:

1) Сверка хешей системных файлов. Подробности здесь
Язык реализации: Batch + внешние утилиты

Средний приоритет

2) Написать скрипт автоматизированной упаковки и распаковки бинарных файлов в ресурсы Batch-файла
по методу Somebody. Обсуждение здесь: Встраивание ресурсов в бат-файл
Язык реализации: Batch

3) Написать скрипт резервного копирования образа MBR всех логических дисков с последующей их сверкой при каждом новом запуске скрипта.
Используем утилиту TDSSKILLER. Для сверки файлов достаточно встроенной команды FC.
Если найдены различия в образах, предложить пользователю запустить TDSSKILLER в режиме полной проверки.

Команда для Backup-a:
Bash
TDSSKILLER -silent -qmbr -qboot -qpath "Папка для карантина"
Осуждение здесь: WiLD: MBR, GPT - обнаружение модификации и перезапись Backup версией*
Язык реализации: Batch

Низкий приоритет:

4) Написать утилиту внешнего управления программой PhrozenSoft VirusTotal Uploader.
Функции:
а) автоматический выбор файла для загрузки.
б) получение информации о результатах проверки.
Описание программы здесь
Язык реализации: C++ или Visual Basic

5) Написать детектор перекрывающих окон.
Прототип окна, имеющего базовые характеристики, свойственные окнам вирусов WinLocker доступен через ЛС ко мне.
Детектор будет запускаться перед входом в систему в начальной и завершающей стадии работы скрипта.
В случае срабатывания, определяется имя (ProcessID) и его родительского процесса. Все они должны завершаться по цепочке с последующим перемещением EXE-файла в карантин.
Язык реализации: C++
1
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
23.08.2013, 03:30  [ТС] 6
Представляю публично архив проекта WiLD:

Ссылка на яндекс.диск: http://yadi.sk/d/-lXuhJ8e8Dnzc
Зеркало: http://Dragokas.16mb.com/Forum/Dl/_WiLD.rar

В архиве собраны ключевые моменты обсуждений из всех веток тем.
Также дополнительные задания.
Множество вспомогательных утилит, MBR дамперы, анализ процессов, окон,
спец. редактор скрытых ключей, анализ изменений в реестре.
Описания алгоритмов.
Наброски скриптов.
Части кода на C++.
Начала работ по дополнениям к SFC.

Внутренняя структура архива

H:.
├───C++
│ ├───Find_Process_By_File_Name
│ ├───Find_TopMost_Window
│ │ ├───Debug
│ │ └───Find_TopMost_Window
│ │ └───Debug
│ ├───hotKey
│ │ ├───Debug
│ │ └───hotKey
│ │ └───Debug
│ ├───NtQueryInfo(List_Processes)
│ │ ├───Debug
│ │ ├───ipch
│ │ │ └───ntqueryinfo-baa6aa2c
│ │ └───NtQueryInfo
│ │ └───Debug
│ ├───Process_List_psapi.h
│ │ ├───ConsoleApplication7
│ │ │ └───Debug
│ │ ├───Debug
│ │ └───ipch
│ │ ├───consoleapplication7-56127ea7
│ │ └───consoleapplication7-9eaca41a
│ ├───TopWindow_Close
│ │ ├───Debug
│ │ └───TopWindow_Close
│ │ └───Debug
│ ├───Virus_Prototype
│ └───Не работает
├───CMD_Tools
│ ├───SysInternals
│ ├───Меню
│ └───Процессы
├───Core + алгоритм
│ ├───Algorithm
│ │ └───Security
│ └───bin
├───MBR
│ ├───Avast aswMBR
│ ├───AVG rem bootkit
│ ├───Bitdefender_Bootkit_Removal_Tool_32-bit_and_64-bit_
│ ├───Dimio HDHacker (MBR backup)
│ ├───GMER mbr
│ ├───Kaspersky TDSSKiller
│ │ ├───2.8.17.0
│ │ ├───2.8.18.0
│ │ └───Symantec TDSS Fix Tool
│ ├───MBR Backup
│ ├───MBR Regenerator
│ ├───MBRCheck by ad13 (GeeksToGo.com)
│ ├───MbrScan by Eric_71
│ ├───testdisk-6.14-WIP.win
│ │ └───Tool
│ │ ├───63
│ │ ├───jni
│ │ └───plugins
│ │ ├───BartPE
│ │ │ └───SCRIPTS
│ │ └───WinBuilder
│ └───Раскидать
│ └───Terabyte Software
├───SFC
│ ├───Mount ISO
│ │ └───MS Virtual CD-ROM Control Panel
│ ├───SFC Check by Koza Nozdri
│ └───SFC for WiLD
├───System Files and Hash Check
│ ├───SYSFILES_3.2
│ │ ├───Vista
│ │ │ ├───x64
│ │ │ └───x86
│ │ ├───Win7
│ │ │ ├───x64
│ │ │ └───x86
│ │ ├───Win8
│ │ │ ├───x64
│ │ │ └───x86
│ │ └───WinXP
│ └───Версия системы
├───VirusTotal
├───Автозапуск
│ └───Служба
├───Очистка системы
├───Реестр
│ ├───SubInACL
│ └───Tools
│ ├───NtRegEdit71
│ ├───reg-shot_2.1.0.17
│ ├───REGSHOT_1.7
│ └───Smarty.Uninstaller.2012.3.0.1.RUS
└───Упаковка, распаковка ресурсов
├───VBProj_Pack_to_CAB
│ ├───1.0
│ └───1.2
└───VHD



Обсуждение здесь: WiLD: Алгоритм работы ■ (основное обсуждение) ■
3
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
24.08.2013, 21:58  [ТС] 7
Общие советы по удалению баннера с рабочего стола.
Обзор схожих программ.


http://rusprogram.3dn.ru/forum/2-4-2
0
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
25.08.2013, 00:43  [ТС] 8
Про алгоритм контроля целостности системных файлов, в частности Hosts:

Цитата Сообщение от Koza Nozdri
как должно выглядеть сохранение эталона?
первый запуск - набор скриптов по созданию шаблонов,снимков с системы и файлов.
последующие запуски-обращение к основному телу скрипта сверяющихся с эталоном,а в случае различий запрос на удаление строк в соответствии с эталоном либо опять создание измененного эталона при отказе от замены.
В дальнейшем сверяется только хеш.
0
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
26.08.2013, 20:54  [ТС] 9
Состояние работ по проекту:

25.08.2013
Убежденный написал самостоятельную службу RecIt:

Описание

Цитата Сообщение от Убежденный
RecIt 1.0.0.53.
----------------

RecIt (от Recover It, "восстанови это") - небольшая системная утилита,
предназначенная для борьбы с СМС-троянами, винлокерами и другими вредоносными
программами, блокирующими доступ к рабочему столу.

Пользоваться RecIt очень просто - установите ее на компьютер, после чего при
каждом включении, при входе в систему, будет на несколько секунд появляться
приглашение запустить программу восстановления. Программа восстановления
переносит пользователя на специальный защищенный рабочий стол с командной строкой.
Из этой командной строки можно запускать любые программы и выполнять действия
по обслуживанию системы, например вносить записи в реестр и завершать процессы.

Важной особенностью является возможность запускать командную строку не только от
имени стандартного пользователя и администратора, но и от имени системы.

При закрытии командной строки пользователь возвращается на обычный рабочий стол.

В целях безопасности приглашение появляется только при входе в систему пользователя,
входящего в группу "Администраторы". Это предохраняет администраторские учетные
записи от доступа со стороны менее привелегированных пользователей, а также
помогает изолировать процессы защищенного рабочего стола от процессов, созданных
вредоносной программой.

Программа совместима со всеми версиями Windows от Windows XP SP2 до Windows 8.1,
включая серверные и 64-битные редакции.


Желающие могут протестировать демо-версию службы из этого поста (установка через WiLD_install.cmd).

26.08.2013
Dragokas >
Основной код: создан установщик, который собирает системные файлы:

Список системных файлов
cmd.exe
cscript.exe
csrss.exe
ctfmon.exe
explorer.exe
Locator.exe
LogonUI.exe
lsass.exe
ntsd.exe
rundll32.exe
services.exe
smss.exe
svchost.exe
taskman.exe
taskmgr.exe
userinit.exe
wscript.exe
wuauclt.exe
ntldr
hosts


в папку Orig (эталонные файлы), записывает их MD5-сумму (в дальнейшем MD5 не используется. См. обсуждение).

WiLD_Start.cmd - пока запускаем вручную. Это только демо.

Функционал:

- Побайтовая сверка целостности системных файлов в сравнении с эталоном
---> в случае различий, запрос у пользователя на замену.
---> Если да, находим процессы в системе, запущенные от имени модифицированного EXE, завершаем,
переименовываем, перемещаем в карантин, восстанавливаем из эталона.
- Проверка значений ключей реестра в ветке WinLogon
- Резервное копирование заменяемых системных файлов и ключей реестра.
- Протоколирование всех действий.
- Восстановление блокировки командной строки, редактора реестра.

До релиз-версии уже скоро. Решил поспешить обрадовать всех.

Листинги исходников:

WiLD_Install.cmd


Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
@echo off
SetLocal EnableExtensions EnableDelayedExpansion
 
;;; Title WinLock Defencer Installation Tool
 
:: Переход в каталог скрипта
cd /D "%~dp0"
 
:: Проверка версии ОС
call bin\GetSystemVersion "OSVer" "Core" "Build" "Family" "EnvironCore"
 
;;; echo --------------------------------------
;;; echo WinLock Defencer Installation Tool %EnvironCore%
;;; echo --------------------------------------& echo.
 
;;; Echo %OSVer% %Core% %Build%& Echo.
 
Set log=log\inst.log
 
:: Защита от запуска скрипта в 64-битной системе от имени 32-битного приложения
if "%Core%"=="x64" if "%EnvironCore%" NEQ "x64" (
  ;;; Echo This script cannot be run in x32 mode.& pause& Exit /B
)
 
:: Затребую повышенные права
if "%Family%"=="Vista" (
  sfc /?|>nul find /i "/scannow"|| (
    start "" /min cscript.exe //nologo "%~dp0bin\Invoke_UAC.js" "%~f0"& Exit
))
 
echo %Date% %Time% - Installation started>> "%log%"
echo %OSVer% %Core% %Build%>> "%log%"
echo Working path = %cd%>> "%log%"
 
:: Устанавливаю службу RecIT
>NUL sc query RecIt_Service
if %errorlevel% equ 1060 for %%? in ("RecIt\RecIt*.msi") do start "" "%%?"
 
::Удаляю старые бекапы
del /F /A /Q /S orig\*.*
 
echo.
echo Creating Backup
echo ---------------
 
for %%? in (
  explorer.exe
  taskman.exe
) do if exist "%windir%\%%?" call :backup_sysfile "%windir%\%%?" "orig\other"
 
for %%? in (
  cmd.exe
  cscript.exe
  csrss.exe
  ctfmon.exe
  explorer.exe
  Locator.exe
  LogonUI.exe
  lsass.exe
  ntsd.exe
  rundll32.exe
  services.exe
  smss.exe
  svchost.exe
  taskman.exe
  taskmgr.exe
  userinit.exe
  wscript.exe
  wuauclt.exe
) do (
  if exist "%windir%\system32\%%?" call :backup_sysfile "%windir%\system32\%%?" "orig\system32"
  if exist "%windir%\syswow64\%%?" call :backup_sysfile "%windir%\syswow64\%%?" "orig\syswow64"
)
 
if exist "%SystemDrive%\ntldr" call :backup_sysfile "%SystemDrive%\ntldr" "orig\other"
if exist "%windir%\system32\drivers\etc\hosts" call :backup_sysfile "%windir%\system32\drivers\etc\hosts" "orig\other"
 
echo %Date% %Time% - Installation compeleted>> "%log%"
echo --------------------------------------->> "%log%"
pause
Exit /B
 
:: Копирование файла в папку с бекапами (orig)
:: Запись в файл-лист оригинального расположения и бекапа, MD5 хеш-суммы.
:backup_sysfile
  1>nul copy "%~1" "%~2\*"
  if not errorlevel 1 (
    for /f "delims=- " %%? in ('bin\fsum -md5 -d"%~2" "%~nx1" 2^>NUL') do set CheckSum=%%?
    echo "%~1"*"%~2\%~nx1"*"!CheckSum!">> orig\safe_list.txt
    echo !CheckSum! ^*%~1>> orig\checksum.md5
    echo Success: %~1
  ) else (
    echo FAIL: %~1
    echo Error %errorlevel%: Can't copy "%~1" into "%~2" >> "%log%"
  )
exit /B

WiLD_Start.cmd


Bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
:: ======================================================================
:: Комплексная утилита противодействия вирусам семейства WinLocker (WiLD)
:: ======================================================================
:: Авторы:  Koza Nozdri, Dragokas, sov44, FraidZZ, Убежденный
::
 
@echo off
SetLocal EnableExtensions EnabledelayedExpansion
::mode con cols=150 lines=40
 
Set WiLDVer=0.3 beta
Set log=log\WiLD.log
 
;;; title WinLock Defence Utility ver. %WiLDVer%
 
:: Переход в каталог скрипта
cd /D "%~dp0"
 
:: Проверка версии ОС
Call bin\GetSystemVersion "OSVer" "Core" "Build" "Family" "EnvironCore"
 
;;; echo ------------------------------------------
;;; echo/    WinLock Defencer %EnvironCore% ver. %WiLDVer%
;;; echo ------------------------------------------& echo.
 
;;; Echo %OSVer% %Core% %Build%
;;; Echo.
 
:: Защита от запуска скрипта в 64-битной системе от имени 32-битного приложения
if "%Core%"=="x64" if "%EnvironCore%" NEQ "x64" (
  ;;; Echo This script cannot be run in x32 mode.& pause& Exit /B
)
 
if "%Family%"=="Vista" Call :CheckPrivileges
 
;;; Echo.
;;; Echo Scanning for registry keys...
 
:: Stady 1
:: Сравнение с эталоном и исправление неверных записей в системном реестре
:: Stady 1.1
set param1.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param1.name=shell
set param1.value=Explorer.exe
set param1.valueType=default
 
Call :CheckNReplace_RegValue "%param1.key%" "%param1.name%" "%param1.value%" "%param1.valueType%"
 
:: Stady 1.2
set param2.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param2.name=userinit
set param2.value=C:\WINDOWS\system32\userinit.exe,
set param2.valueType=default
 
Call :CheckNReplace_RegValue "%param2.key%" "%param2.name%" "%param2.value%" "%param2.valueType%"
 
:: Stady 1.3 - только для семейства NT
set param3.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param3.name=UIHost
set param3.value=logonui.exe
set param3.valueType=default
 
if "%Family%"=="NT" (
  Call :CheckNReplace_RegValue "%param3.key%" "%param3.name%" "%param3.value%" "default"
)
 
:: // TODO. Дописать случай, когда ключ реестра может быть удален.
:: Нужна таблица соответствий типа ключа с версиями ОС.
 
:: Stady 2.1
:: Сканирование реестра на схожие значения ключей и удаление с подтверждением
 
:: Stady 2.2
:: Сканирование системного диска на приложения, соответствующие фейковым значениям ключей и удаление с подтверждением
 
:: Stady 3
:: Проверка целостности некоторых системных файлов и их замена в случае обнаружения проблем
 
pause
 
;;; echo.
;;; echo Scanning for system files integrity...
::sfc /Scanfile="%windir%\system32\userinit.exe"
::sfc /Scanfile="%windir%\explorer.exe"
::if "%Family%"=="NT" sfc /Scanfile="%windir%\system32\logonui.exe"
 
:: Реализация через хеш-суммы (временно не используется. Варианты FSUM и CertUtil не подходят)
 
:: Реализация побайтовым сравнением FC
:: %%~A - файл в системе
:: %%~B - файл-эталон
For /F "tokens=1,2 delims=*" %%A in (orig\safe_list.txt) do (
 
  rem Сравниваем системный файл с эталоном
 
  >NUL FC /B "%%~A" "%%~B" || (
    ;;; echo ERROR: %%~A
 
    rem Если в папке бекапа пропал файл. Хм.
 
    if not exist "%%~B" (
      ;;; echo ERROR: Backup file %%~B is not exists.
      ;;; echo %date% %time% ERROR: Backup file %%~B is not exists.>> "%log%"
      if exist "%%~A" copy "%%~A" "%%~B"
    ) else (
 
      rem Если файлы различаются, запрос у пользователя на замену
 
      if not Defined Interactive call :Get_Interactive_Mode
      set ch=Y
      ;;; set /p "ch=Do you want to recover this file? (Y/N) > "
      if /i "!ch!"=="Y" (
 
        rem Убиваем процесс с именем этого файла
 
        tasklist /FI "imagename eq %%~nxA" 2>nul | find /i "%%~nxA" && taskkill /F /T /IM "%%~nxA"
        echo tasklist /FI "imagename eq %%~nxA" 2^>nul ^| find /i "%%~nxA" ^&^& taskkill /F /T /IM "%%~nxA">> "%log%"
 
        rem Изменяем имя у поврежденного системного файла (если он существует)
        rem Способ подходит для файлов с открытыми дескрипторами
 
        if not exist "%%~A" (
          ;;; echo WARNING: System file not exist - %%~A
          ;;; echo WARNING: System file not exist - %%~A>> "%log%"
        ) else (
          ren "%%~A" "%%~nA_Backup%%~xA" 2>NUL
          ;;; if not errorlevel 1 (
          ;;;   echo Success: System File "%%~A" renamed.
          ;;;   echo Success: System File "%%~A" renamed.>> "%log%"
          ;;; ) else (
          ;;;   echo FAIL: System File "%%~A" renamed.
          ;;;   echo FAIL: System File "%%~A" renamed.>> "%log%"
          ;;; )
 
          rem Перемещаем поврежденный системный файл в каратин с текущей датой
 
          md "%%~dpB\Carantine\%date%" 2>NUL
          move "%%~dpA\%%~nA_Backup%%~xA" "%%~dpB\Carantine\%date%\" 2>NUL
          ;;; if not errorlevel 1 (
          ;;;   echo Success: System File "%%~A" moved.
          ;;;   echo Success: System File "%%~A" moved.>> "%log%"
          ;;; ) else (
          ;;;   echo FAIL: System File "%%~A" moved.
          ;;;   echo FAIL: System File "%%~A" moved.>> "%log%"
          ;;; )
        )
 
        rem Восстанавливаем файл из бекапа
 
        copy /Y "%%~B" "%%~A"
 
        rem Заносим в лог результат замены
 
        ;;; if not errorlevel 1 (
        ;;;   echo Success: %%~B --^> %%~A
        ;;;   echo %date% %time% Success: %%~B --^> %%~A>> "%log%"
        ;;; ) else (
        ;;;   echo FAIL: %%~B --^> %%~A
        ;;;   echo %date% %time% FAIL: %%~B --^> %%~A>> "%log%"          
        ;;; )
 
))))
 
echo.
 
:: Если был переход в интерактивный режим, а значит были признаки заражения - переходим к очистке системы
:: Stady 4
:: 
:: Расблокировка командной строки, редактора реестра
if Defined Interactive call :Unlock_SysUtils
 
pause
goto :eof
 
 
:Unlock_SysUtils
:: Расблокировка командной строки
  2>NUL REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
  2>NUL REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
  Echo Y|>nul REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /t REG_DWORD /d 0 /f
  Echo Y|>nul REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /t REG_DWORD /d 0 /f
 
:: Расблокировка редактора реестра
  2>NUL REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f 
  2>NUL REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f 
  Echo Y|>nul REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegedit /t REG_DWORD /d 0 /f 
  Echo Y|>nul REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegedit /t REG_DWORD /d 0 /f
Exit /B
 
 
:CheckNReplace_RegValue
  :: %1.вх-Ключ реестра                  ... например: HKCU\Console
  :: %2.вх-Имя параметра                 ... например: FaceName
  :: %3.вх-Правильное значение параметра ... например: Lucida Console
  :: Тип ключа - береться текущий, такой как при чтении реестрового ключа
  SetLocal
  ;;; Echo.
  call :Reg_Read "%~1" "%~2" "_value" "Read_value.type"
 
  rem Если ошибка чтения ключа - выходим сразу
 
  if %errorlevel% neq 0 Exit /B
 
  ::Проверяем соответствие значения
  if /i "%_value%" neq "%~3" (
    ;;; echo DAMAGED = %_value% in %~1 "%~2"
    set _needReplace=true
  ) else (
    ;;; echo Okay - %~1 "%~2"
  )
 
  ::Проверяем соответствие типа параметра
  if /i "%~4" neq "default" (
    if /i "%Read_value.type%" neq "%~4" (
      ;;; echo WRONG type = %Read_value.type% - %~1 "%~2"
      set _needReplace=true
    )
    set _value.trueType=%~4
  )  else (
    set _value.trueType=%Read_value.type%
  )
 
  ::Переписываем ключ, сделав бекап
  if Defined _needReplace (
    if not Defined Interactive call :Get_Interactive_Mode
    ;;; Echo.
    ;;; Echo ===^> ReWriting...
    ;;; Echo Registry key backup --^> %~dp0\orig\reg\carantine\%date%\%~2.reg
 
    rem Резервное копирование старого ключа
    md "orig\reg\carantine\%date%" 2>NUL
    REG EXPORT "%~1" "orig\reg\carantine\%date%\Logon.reg"
 
    rem Замена правильным значением
 
    Call :Reg_Write "%~1" "%~2" "%_value.trueType%" "%~3"
    if !errorlevel!==0 echo New Value was set: %~3
  )
  EndLocal
Exit /B
 
 
:Reg_Read
:: Функция безопасного чтения ключа реестра с обработкой кода ошибки
  :: %1-вх.Ключ
  :: %2-вх.Имя параметра
  :: %3-исх.Переменная для хранения значения
  :: %4-исх.(опционально)-Переменная для хранения типа параметра
  Reg.exe query "%~1" /v "%~2" 1>nul
  if %errorlevel% neq 0 (
    ;;; echo Error Code %errorlevel%: Reg_Read %~1 "%~2"
    set %~3=& if "%~4" neq "" set %~4=
    Exit /B %errorlevel%
  )
  For /f "tokens=2*" %%a In ('Reg.exe query "%~1" /v "%~2"^|Find "%~2"') do set "%~3=%%~b"& if "%~4" neq "" set "%~4=%%~a"
Exit /B 0
 
 
:Reg_Write
:: Функция безопасной записи ключа реестра с обработкой кода ошибки
  :: %1-вх.Ключ
  :: %2-вх.Имя параметра
  :: %3-вх.Тип параметра { REG_SZ, REG_BINARY, REG_DWORD, REG_QWORD, REG_MULTI_SZ, REG_EXPAND_SZ }
  :: %4-вх.Значение
  Echo Y|>nul reg.exe add "%~1" /v "%~2" /t "%~3" /d "%~4" /f
(if %errorlevel%==0 (Exit /B 0) else (echo Error Code %errorlevel%: Reg_Write %~1 "%~2"& Exit /B %errorlevel%))
 
 
:CheckPrivileges
:: Проверка, запущена ли утилита с повышенными правами
  sfc /?|>nul find /i "/scannow"|| (
    start "" /min cscript.exe //nologo "%~dp0bin\Invoke_UAC.js" "%~f0"& Exit
)
Exit /B
 
:Get_Interactive_Mode
  set Interactive=true
  ::Start "" bin\RecIt_Switch.exe
Exit /B


Обсуждаем здесь: WiLD: Алгоритм работы ■ (основное обсуждение) ■
1
Вложения
Тип файла: rar WiLD_Core.rar (261.3 Кб, 81 просмотров)
Kиpилл
Особый статус
Эксперт WindowsВирусоборец
8298 / 1649 / 78
Регистрация: 15.04.2011
Сообщений: 5,399
26.08.2013, 21:05 10
Цитата Сообщение от Dragokas Посмотреть сообщение
До релиз-версии уже скоро.
Потом предстоит серьезное тестирование,под прицелом у спецов вирусобоцев.
0
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
29.08.2013, 13:12  [ТС] 11
На правах рекламы (Just for Fun)
3
Миниатюры
Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)  
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
31.08.2013, 13:23  [ТС] 12
На счет блокировки Hosts на запись в полуавтоматическом режиме:

Цитата Сообщение от Koza Nozdri
Цитата Сообщение от Dragokas Посмотреть сообщение
Какая вероятность, что юзеру кровь из носу потребуется доступ к интернету в процессе лечения?
высокая
Цитата Сообщение от Dragokas Посмотреть сообщение
основные сайты ассоциации заблокированы. Резервного компа под рукой нет. Да и c live-CD проблемы.
Служба от Убежденного должна стартовать даже в диагностическом запуске.
Суть в том что запускаются лишь минимальное кол-во процессов для страта системы,тогда у утилиты есть шанс реабилитироваться.
Если все совсем плохо-остается собирать логи скриптом и бегом на другой комп с флэшкой к хэлперам.
имеет ли смысл прикручивать что нибудь типа авз для сбора логов?
это уже за пределом утилиты

пы.сы.

Не по теме:

для вин выше виста есть решение:
интеграция в среду winpe ...но это уже фантастика для утилиты -антилокера с опцией защиты мбр.
как установка произойдет-непонятно...
а если реально фантастики охота - это то о чем я давно думаю но пока не могу (нэ по зубам) - это создание собственного набора глаголов и копии рестра с полной виртуализацией.
При определенных условиях link реестра будут загружены вместе с прфилем с "резервного" реестра.

0
Dragokas
Эксперт WindowsАвтор FAQ
17016 / 7073 / 856
Регистрация: 25.12.2011
Сообщений: 10,894
Записей в блоге: 16
22.09.2013, 02:23  [ТС] 13
Рекомендации антивирусных компаний по повышению безопасности системы и о способах лечения WinLock-а

Wiki.
Классификация Trojan.Winlock

Dr.Web:
Разблокировка Trojan.Winlock
Альтернативные способы разблокировки Windows + обзор Dr.Web Live CD. (файл CHM в аттаче).
Если CHM не открывется, заходим в свойства файла -> кнопка "Разблокировать".

Kaspersky:
Как удалить баннер блокера-вымогателя с Рабочего стола?
Способы борьбы с программами-вымогателями класса Trojan-Ransom
Утилита Kaspersky WindowsUnlocker для борьбы с программами-вымогателями
Защита от Trojan-Ransom (WinLock) при помощи Контроля программ в в продукте Лаборатории Касперского

ESET:
Разблокировка Windows, если вирус просит отправить смс
ESET LiveCD

Другие ресурсы:
Обзор Trojan.MBRlock
Обсуждение рецептов против sms-вымогателя
Самостоятельное лечение компьютера с помощью спец утилит (AVZ, UVS...)
Удаляем Trojan.WinLock с помощью WinPE Live CD + uVS
Защита от WinLock с помощью специально настроенных файрволов.

Смежные проекты и утилиты профиликтики системы:

AntiSMS


https://antisms.com/

AntiSMS - эффективная программа для быстрого автоматического лечения блокировщиков и троянов

Загрузочный диск AntiSMS предназначен для автоматического лечения программ-вымогателей, блокировщиков и троянов Trojan.Winlock, которые блокируют ОС Windows, требуя от пользователя отправки СМС для разблокировки системы. Позволяет даже неопытным пользователям разблокировать Windows в случае заражения системы блокировщиками (программы-вымогатели, рекламные и порно-баннеры) или троянами Trojan.Winlock. При запуске компьютера с загрузочного диска программа AntiSMS автоматически выполняет все необходимые действия для лечения зараженной системы. В ручном режиме доступен Редактор реестра Windows.
  • Программа работает с любым количеством винчестеров, систем и пользователей, x86 и x64 от WinXP и выше.
  • Удаляются файлы autorun.inf в корне каждого логического диска, если они существуют.
  • В профилях пользователей удаляются исполняемые файлы из тех папок, где их быть не должно.
  • Полностью очищаются системные и пользовательские временные папки.
  • Все нестандартные записи в файле hosts будут закомментированы.
  • Автозапуск на всех устройствах кроме дисковода будет отключен.
  • Критически важные места реестра (вроде Shell и Userinit) будут восстановлены.
  • Все временные ключи автозапуска (вроде RunOnce и RunOnceEx) будут очищены.
  • Все отладчики системных процессов в Image File Execution Options будут удалены.
  • Все ограничения (Policies) пользователей и системы будут удалены.
  • В политике ограниченного использования программ будет выставлен неограниченный уровень.
  • Все неподписанные службы будут отключены, можно восстановить через msconfig после загрузки системы.
  • Все неподписанные файлы из автозагрузки реестра будут отключены, можно восстановить через msconfig.
  • Отключаются неподписанные файлы в папках автозагрузки, можно восстановить через msconfig.
  • Неподписанные назначенные задания переименовываются в *.bak, чтобы можно было восстановить.
  • Возможно восстановление параметров сети из рабочей системы после их нарушения троянами.
  • Восстанавливаются параметры запуска исполняемых файлов.
  • Из автозагрузки реестра и папок автозапуска убираются скрипты, можно восстановить через msconfig.
  • В Windows 7 для msconfig также добавляется время отключения элементов автозагрузки и служб.
  • Для Windows XP x86 восстанавливаются настройки загрузки в безопасном режиме.
  • Для WinXP x86, Vista x86-x64 и Win7-8 x86-x64 восстанавливаются основные системные файлы, если они не подписаны.
  • Вылечиваются все известные MBR-блокировщики, резервная копия заражённого сектора сохраняется в папке Backup.
  • Реализовано сохранение нестандартного MBR, это позволит быстрее лечить неизвестные трояны.
  • Реализована более глубокая чистка системы от вредоносных действий троянов.
  • В папках автозапуска также обрабатываются ярлыки, неподписанные можно восстановить через msconfig.
  • Правильно распознаются все разделы, независимо от того, как перемешались их буквы в WinPE.
  • Загрузочный диск поддерживает exFAT и содержит новейшие драйвера контроллеров.
  • Правильно обрабатывается параметр AppInit_DLLs, из него убираются только неподписанные библиотеки.
  • Резервные копии файлов и логи работы программы сохраняются в папке %Temp%\AntiSMS.
  • Поддерживается база проверенных файлов программы Universal Virus Sniffer.
  • Проверяются сервисные библиотеки служб, неподписанные драйвера заносятся в лог, но не отключаются.
  • Убираются статические маршруты и создаётся reg-файл для их восстановления из рабочей системы.
  • Папка с отчётом и бекапом архивируется по пути %WinDir%\AntiSMS, чтобы их мог проверить антивирусный эксперт.
  • В загрузочном диске на основе Windows XP добавлена поддержка GPT-разделов.
  • Добавлен загрузочный диск на основе Windows 8 от Xemom1 для новых компьютеров, необходимый минимум - 512 МБ ОЗУ.
  • Добавлено постоянное хранилище проекта AntiSMS на BitTorrent Sync: B6PDBVN7VRALFJD2DSEHJGOQWWJBXYJCJ



Winlock Closer


http://winlock-closer.com/

Основной функционал программы:
- Закрытие окна трояна-блокировщика
- Завершение процесса трояна-блокировщика
- Удаление трояна из системной автозагрузки
- Разблокировка диспетчера задач
- Разблокировка редактора реестра
- Восстановление ключа загрузки проводника (Shell)
- Восстановление ключей загрузки операционной системы (Winlogon)
- Восстановление параметров загрузки в безопасном режиме (Safe Mode)
- Интеллектуальный анализ защищенности системы
- Система ежедневных актуальных советов по защите компьютера


TDSSKiller


http://support.kaspersky.ru/5350

Rootkit (руткит) — программа или набор программ для скрытия следов присутствия злоумышленника или вредоносной программы в системе.

В ОС Windows под руткитом принято подразумевать программу, которая внедряется в систему и перехватывает системные функции (Windows API). Перехват и модификация низкоуровневых API-функций, в первую очередь, позволяет такой программе достаточно качественно маскировать свое присутствие в системе. Кроме того, как правило, руткит может маскировать присутствие в системе любых описанных в его конфигурации процессов, каталогов и файлов на диске, ключей в реестре. Многие руткиты устанавливают в систему свои драйверы и службы (они также являются "невидимыми").

Для борьбы с руткитами специалистами Лаборатории Касперского была разработана утилита TDSSKiller.


Quick Killer

http://forum.oszone.net/thread-221666.html

Quick Killer - это оболочка для консольных утилит Лаборатории Касперского. Предназначена для автоматизиации запуска консольных утилит Касперского с необходимыми параметрами. Включает в себя возможность работать с шестью консольными утилитами:

1. Kido Killer
2. Kates Killer
3. Sality Killer
4. Virut Killer
5. Zbot Killer
6. XpajKiller
7. TDSS Killer

В новой версии каждый пользователь сам может добавлять свои понравившиеся утилиты, ключи их запуска и любое произвольное их количество.


ERD Commander


Описание утилит из комплекта ERD Commander 6.0, 6.5., 7.0

ERD Commander - это набор программ, работающих в среде WindowsPE. WinPE позволяет выполнить загрузку системы со съемного носителя, что дает возможность запустить компьютер даже в случае тотального повреждения файлов существующей на диске ОС, жизненно необходимых для ее старта. Являясь «почти настоящей» 32-битовой Windows, WinPE обеспечивает полный доступ к NTFS-томам, системному реестру, параметрам настройки и драйверам. Стандартный оконный интерфейс ERD Commander, сходный с привычным Рабочим столом, позволяет легко и эффективно использовать предлагаемые им инструменты.

RansomHide


http://mbty2010.narod.ru/Index.html

Микроскопическая, но при этом мегаполезная программа для тех, у кого по той или иной причине на компьютер попал и этот самый компьютер заблокировал вирус, выдающий себя за фальшивую активацию Windows. Программа является сборником кодов, которые надо ввести в соответствующее окно, чтобы эту самую блокировку снять - а дальше либо поставить антивирус и почистить компьютер, либо любым другим способом удалить вредоносную программу. Ведет поиск по номеру SMS и требуемым к отправке текстом.


FixAfterVirus


http://fixaftervirus.com/

Даная программа предназначена для восстановления настроек системы поврежденных в результате заражения компьютера вирусами или иных действий. Поддерживаются следующие системы: Windows 2000, Windows XP, Windows Vista, Windows 7.

Позволяет восстановить:

Запуск системы в безопасном режиме,
Запуск диспетчера задач,
Запуск редактора реестра,
Запуск программ,
Открытие дисков,
Показ скрытых файлов,
Проводник - оболочка по умолчанию,
UserInit - приложение для входа в систему,
Файл Hosts,
Отключенные элементы интерфейса ОС,
Восстановить стек TCP/IP (обнуляются IP адреса),
Очистить список отладчиков процессов,
Отключить автозапуск на всех дисках,
Сброс настроек Internet Explorer,
Очистка папки временных файлов.
Очистка AppInit_DLL.


Razblocker


http://www.razblocker.narod.ru/

Разблокер - это программа, которая поможет вам легко и быстро
избавиться от последствий после вирусов.

Вот стандартные возможности:

Разблокировать редактор реестра
Разблокировать диспетчер задач
Разблокировать командную строку
Разблокировать свойства экрана
Разблокировать "Свойства папки"
Разблокировать панель управления
Показывать расширения файлов
Показывать скрытые файлы
Показывать скрытые системные файлы


Помимо этого Разблокер может:

Запустить командную строку
Запустить диспетчер задач
Запустить редактор реестра
Запустить Настройку системы
Запустить Групповую политику
Разблокировать и показать все диски
Показать пользователей в диспетчере задач
Удалить autorun.inf из корня всех дисков
Убрать запрет на запуск программ
Удалить сообщение перед входом в систему


2IP StartGuard


http://2ip.ru/soft/startguard/

2IP StartGuard следит за реестром Windows и как только что-то или кто-то изъявит желание прописать себя в автозагрузку, она сработает и предупредит вас об этом.
И тут уж вам решать. Если вы устанавливаете какую-то нужную вам программу, например ICQ, то стоит разрешить ей прописать себя в автозагрузку, ну а если вы просто бороздите просторы всемирной сети интернет и тут вдруг получаете такое сообщение, то стоит серьезно задуматься, разрешать ли неизвестно чему прописываться в автозагрузку вашего компьютера или нет.

2IP StartGuard имеет размер 490 кБ. После установки на компьютер нигде и никак не проявляет себя, пока не обнаружит попытку какой-либо программы прописать себя в автозагрузку.


ABS - Анти Блокировочная Система


http://abs-security.clan.su/load/abs..._2_4_0/1-1-0-1

ABS - утилита для мониторинга изменений в файловой системе и реестре вашего компьютера, бесплатный аналог ADinf32. Используется как дополнение к антивирусным программам.

Что может программа:

- Обнаружит подмену explorer.exe
- Обнаружит подмену Userinit (Часто подменяют СМС блокираторы вымогающие СМС оплату)
- Способна контролировать запуск скриптов VBS и JS (многие черви работают через эти скрипты)
- Обнаружит подмену программы для открытия EXE файлов
- Обнаружит лишние файлы в C:\WINDOWS
- Обнаружит лишние файлы в C:\WINDOWS\system32
- Обнаружит лишние файлы в C:\WINDOWS\Tasks
- Обнаружит лишние файлы в C:\Documents and Settings\All users\Главное меню\Программы\Автозагрузка\
- Обнаружит лишние файлы в C:\Documents and Settings\Текущий пользователь\Главное меню\Программы\Автозагрузка\
- Обнаружит изменение в файле hosts
- Мониторинг системного реестра ~100 параметров
- Содержит много инструментов для отлавливания всех видов вирусов
- Удалить лишние процессы
- Защитить от появления autorun.inf вирусов на флешке путём создания неудаляемой папки AUTORUN.INF
- Поможет найти код разблокировки СМС баннера
- Поможет запустить редактор реестра если он запрещён и не только...(способна снять все блокировки системы).

В программе 4 уровня защиты:
-низкий (убивает процессы расширенного списка процессов по желанию)
-средний (отключает автозапуск с реестра, убивает процессы кроме основных по желанию )
-подозрительный (отключает автозапуск с реестра, оповещает при обнаружении новых файлов в system32 с предложением выянить какие именно файлы добавились и что с ними сделать, убивает процессы кроме основных по желанию )
-параноидальный (отключает автозапуск с реестра, убивает процессы остутствующие в расширенном списке довереных процессов каждые 2 минуты, оповещает при обнаружении новых файлов в system32 с предложением выяснить какие именно файлы добавились и что с ними сделать)

Использовать ABS нужно крайне внимательно. Если вы точно не знаете, к чему приведет то или иное действие, лучше не совершайте его.

Внимание! Программа не работает на 64 битных версиях Windows.


Sandboxie

http://www.sandboxie.com/

Программа позволяет повысить уровень безопасности, и прежде всего при интернет-серфинге.
Sandboxie позволяет запускать браузер или другую программу так, что любые изменения, связанные с использованием этой программы, сохранялись в ограниченной среде (т.н "песочнице"), которую позже можно будет целиком удалить.
В результате такого принципа работы Sandboxie можно быстро удалить любые изменения - например, связанные с активностью в Интернете (изменения закладок, домашней страницы, реестра и т.п.). Кроме этого, в случае, если какие-либо файлы были загружены внутри сессии "песочницы", то они будет удален при ее очистке.
Sandboxie работает из системной области уведомлений (трей); для ее активации достаточно запустить нужную программу через иконку Sandboxie, находящуюся в трее.
Sandboxie является программой практически бесплатной - большинство из ее функций будет работать сколь угодно долго без оплаты лицензии.
Платная функция - автоматическое перемещение файлов в песочницу.


Приведенные инструкции ни в коем случае не являются призывом к действию.
Даже если Вы являетесь продвинутым пользователем и Ваш компьютер был заражен вирусом WinLock
самое время обратится за помощью в профессиональном лечении.

Часть материала взята с: http://rusprogram.3dn.ru/forum/2-4-2
11
Вложения
Тип файла: rar Winlock3278_CHM_system_repair_(Dr.Web).rar (2.53 Мб, 24 просмотров)
Тип файла: rar Лечение при SMS-Locker.rar (3.33 Мб, 25 просмотров)
22.09.2013, 02:23
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
22.09.2013, 02:23

Winlocker
Доброй ночи. Сегодня подхватил винлокер, причем даже на два харда......

После удаления WinLocker
Доброго времени суток! Прошу помощи после удаления блокировщика. Проводник не...

Удаление баннера Winlocker
Как удалить баннер Winlock Внимание! Все действия вы делаете на свой страх и...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
13
Закрытая тема Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru