Создание комплексной утилиты противодействия вирусам семейства WinLocker (WiLD)

@echo off
SetLocal EnableExtensions EnableDelayedExpansion
 
;;; Title WinLock Defencer Installation Tool
 
:: Переход в каталог скрипта
cd /D "%~dp0"
 
:: Проверка версии ОС
call bin\GetSystemVersion "OSVer" "Core" "Build" "Family" "EnvironCore"
 
;;; echo --------------------------------------
;;; echo WinLock Defencer Installation Tool %EnvironCore%
;;; echo --------------------------------------& echo.
 
;;; Echo %OSVer% %Core% %Build%& Echo.
 
Set log=log\inst.log
 
:: Защита от запуска скрипта в 64-битной системе от имени 32-битного приложения
if "%Core%"=="x64" if "%EnvironCore%" NEQ "x64" (
  ;;; Echo This script cannot be run in x32 mode.& pause& Exit /B
)
 
:: Затребую повышенные права
if "%Family%"=="Vista" (
  sfc /?|>nul find /i "/scannow"|| (
    start "" /min cscript.exe //nologo "%~dp0bin\Invoke_UAC.js" "%~f0"& Exit
))
 
echo %Date% %Time% - Installation started>> "%log%"
echo %OSVer% %Core% %Build%>> "%log%"
echo Working path = %cd%>> "%log%"
 
:: Устанавливаю службу RecIT
>NUL sc query RecIt_Service
if %errorlevel% equ 1060 for %%? in ("RecIt\RecIt*.msi") do start "" "%%?"
 
::Удаляю старые бекапы
del /F /A /Q /S orig\*.*
 
echo.
echo Creating Backup
echo ---------------
 
for %%? in (
  explorer.exe
  taskman.exe
) do if exist "%windir%\%%?" call :backup_sysfile "%windir%\%%?" "orig\other"
 
for %%? in (
  cmd.exe
  cscript.exe
  csrss.exe
  ctfmon.exe
  explorer.exe
  Locator.exe
  LogonUI.exe
  lsass.exe
  ntsd.exe
  rundll32.exe
  services.exe
  smss.exe
  svchost.exe
  taskman.exe
  taskmgr.exe
  userinit.exe
  wscript.exe
  wuauclt.exe
) do (
  if exist "%windir%\system32\%%?" call :backup_sysfile "%windir%\system32\%%?" "orig\system32"
  if exist "%windir%\syswow64\%%?" call :backup_sysfile "%windir%\syswow64\%%?" "orig\syswow64"
)
 
if exist "%SystemDrive%\ntldr" call :backup_sysfile "%SystemDrive%\ntldr" "orig\other"
if exist "%windir%\system32\drivers\etc\hosts" call :backup_sysfile "%windir%\system32\drivers\etc\hosts" "orig\other"
 
echo %Date% %Time% - Installation compeleted>> "%log%"
echo --------------------------------------->> "%log%"
pause
Exit /B
 
:: Копирование файла в папку с бекапами (orig)
:: Запись в файл-лист оригинального расположения и бекапа, MD5 хеш-суммы.
:backup_sysfile
  1>nul copy "%~1" "%~2\*"
  if not errorlevel 1 (
    for /f "delims=- " %%? in ('bin\fsum -md5 -d"%~2" "%~nx1" 2^>NUL') do set CheckSum=%%?
    echo "%~1"*"%~2\%~nx1"*"!CheckSum!">> orig\safe_list.txt
    echo !CheckSum! ^*%~1>> orig\checksum.md5
    echo Success: %~1
  ) else (
    echo FAIL: %~1
    echo Error %errorlevel%: Can't copy "%~1" into "%~2" >> "%log%"
  )
exit /B

:: ======================================================================
:: Комплексная утилита противодействия вирусам семейства WinLocker (WiLD)
:: ======================================================================
:: Авторы:  Koza Nozdri, Dragokas, sov44, FraidZZ, Убежденный
::
 
@echo off
SetLocal EnableExtensions EnabledelayedExpansion
::mode con cols=150 lines=40
 
Set WiLDVer=0.3 beta
Set log=log\WiLD.log
 
;;; title WinLock Defence Utility ver. %WiLDVer%
 
:: Переход в каталог скрипта
cd /D "%~dp0"
 
:: Проверка версии ОС
Call bin\GetSystemVersion "OSVer" "Core" "Build" "Family" "EnvironCore"
 
;;; echo ------------------------------------------
;;; echo/    WinLock Defencer %EnvironCore% ver. %WiLDVer%
;;; echo ------------------------------------------& echo.
 
;;; Echo %OSVer% %Core% %Build%
;;; Echo.
 
:: Защита от запуска скрипта в 64-битной системе от имени 32-битного приложения
if "%Core%"=="x64" if "%EnvironCore%" NEQ "x64" (
  ;;; Echo This script cannot be run in x32 mode.& pause& Exit /B
)
 
if "%Family%"=="Vista" Call :CheckPrivileges
 
;;; Echo.
;;; Echo Scanning for registry keys...
 
:: Stady 1
:: Сравнение с эталоном и исправление неверных записей в системном реестре
:: Stady 1.1
set param1.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param1.name=shell
set param1.value=Explorer.exe
set param1.valueType=default
 
Call :CheckNReplace_RegValue "%param1.key%" "%param1.name%" "%param1.value%" "%param1.valueType%"
 
:: Stady 1.2
set param2.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param2.name=userinit
set param2.value=C:\WINDOWS\system32\userinit.exe,
set param2.valueType=default
 
Call :CheckNReplace_RegValue "%param2.key%" "%param2.name%" "%param2.value%" "%param2.valueType%"
 
:: Stady 1.3 - только для семейства NT
set param3.key=HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
set param3.name=UIHost
set param3.value=logonui.exe
set param3.valueType=default
 
if "%Family%"=="NT" (
  Call :CheckNReplace_RegValue "%param3.key%" "%param3.name%" "%param3.value%" "default"
)
 
:: // TODO. Дописать случай, когда ключ реестра может быть удален.
:: Нужна таблица соответствий типа ключа с версиями ОС.
 
:: Stady 2.1
:: Сканирование реестра на схожие значения ключей и удаление с подтверждением
 
:: Stady 2.2
:: Сканирование системного диска на приложения, соответствующие фейковым значениям ключей и удаление с подтверждением
 
:: Stady 3
:: Проверка целостности некоторых системных файлов и их замена в случае обнаружения проблем
 
pause
 
;;; echo.
;;; echo Scanning for system files integrity...
::sfc /Scanfile="%windir%\system32\userinit.exe"
::sfc /Scanfile="%windir%\explorer.exe"
::if "%Family%"=="NT" sfc /Scanfile="%windir%\system32\logonui.exe"
 
:: Реализация через хеш-суммы (временно не используется. Варианты FSUM и CertUtil не подходят)
 
:: Реализация побайтовым сравнением FC
:: %%~A - файл в системе
:: %%~B - файл-эталон
For /F "tokens=1,2 delims=*" %%A in (orig\safe_list.txt) do (
 
  rem Сравниваем системный файл с эталоном
 
  >NUL FC /B "%%~A" "%%~B" || (
    ;;; echo ERROR: %%~A
 
    rem Если в папке бекапа пропал файл. Хм.
 
    if not exist "%%~B" (
      ;;; echo ERROR: Backup file %%~B is not exists.
      ;;; echo %date% %time% ERROR: Backup file %%~B is not exists.>> "%log%"
      if exist "%%~A" copy "%%~A" "%%~B"
    ) else (
 
      rem Если файлы различаются, запрос у пользователя на замену
 
      if not Defined Interactive call :Get_Interactive_Mode
      set ch=Y
      ;;; set /p "ch=Do you want to recover this file? (Y/N) > "
      if /i "!ch!"=="Y" (
 
        rem Убиваем процесс с именем этого файла
 
        tasklist /FI "imagename eq %%~nxA" 2>nul | find /i "%%~nxA" && taskkill /F /T /IM "%%~nxA"
        echo tasklist /FI "imagename eq %%~nxA" 2^>nul ^| find /i "%%~nxA" ^&^& taskkill /F /T /IM "%%~nxA">> "%log%"
 
        rem Изменяем имя у поврежденного системного файла (если он существует)
        rem Способ подходит для файлов с открытыми дескрипторами
 
        if not exist "%%~A" (
          ;;; echo WARNING: System file not exist - %%~A
          ;;; echo WARNING: System file not exist - %%~A>> "%log%"
        ) else (
          ren "%%~A" "%%~nA_Backup%%~xA" 2>NUL
          ;;; if not errorlevel 1 (
          ;;;   echo Success: System File "%%~A" renamed.
          ;;;   echo Success: System File "%%~A" renamed.>> "%log%"
          ;;; ) else (
          ;;;   echo FAIL: System File "%%~A" renamed.
          ;;;   echo FAIL: System File "%%~A" renamed.>> "%log%"
          ;;; )
 
          rem Перемещаем поврежденный системный файл в каратин с текущей датой
 
          md "%%~dpB\Carantine\%date%" 2>NUL
          move "%%~dpA\%%~nA_Backup%%~xA" "%%~dpB\Carantine\%date%\" 2>NUL
          ;;; if not errorlevel 1 (
          ;;;   echo Success: System File "%%~A" moved.
          ;;;   echo Success: System File "%%~A" moved.>> "%log%"
          ;;; ) else (
          ;;;   echo FAIL: System File "%%~A" moved.
          ;;;   echo FAIL: System File "%%~A" moved.>> "%log%"
          ;;; )
        )
 
        rem Восстанавливаем файл из бекапа
 
        copy /Y "%%~B" "%%~A"
 
        rem Заносим в лог результат замены
 
        ;;; if not errorlevel 1 (
        ;;;   echo Success: %%~B --^> %%~A
        ;;;   echo %date% %time% Success: %%~B --^> %%~A>> "%log%"
        ;;; ) else (
        ;;;   echo FAIL: %%~B --^> %%~A
        ;;;   echo %date% %time% FAIL: %%~B --^> %%~A>> "%log%"          
        ;;; )
 
))))
 
echo.
 
:: Если был переход в интерактивный режим, а значит были признаки заражения - переходим к очистке системы
:: Stady 4
:: 
:: Расблокировка командной строки, редактора реестра
if Defined Interactive call :Unlock_SysUtils
 
pause
goto :eof
 
 
:Unlock_SysUtils
:: Расблокировка командной строки
  2>NUL REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
  2>NUL REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableCMD /f
  Echo Y|>nul REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /t REG_DWORD /d 0 /f
  Echo Y|>nul REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableCMD /t REG_DWORD /d 0 /f
 
:: Расблокировка редактора реестра
  2>NUL REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f 
  2>NUL REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /f 
  Echo Y|>nul REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegedit /t REG_DWORD /d 0 /f 
  Echo Y|>nul REG ADD HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v DisableRegedit /t REG_DWORD /d 0 /f
Exit /B
 
 
:CheckNReplace_RegValue
  :: %1.вх-Ключ реестра                  ... например: HKCU\Console
  :: %2.вх-Имя параметра                 ... например: FaceName
  :: %3.вх-Правильное значение параметра ... например: Lucida Console
  :: Тип ключа - береться текущий, такой как при чтении реестрового ключа
  SetLocal
  ;;; Echo.
  call :Reg_Read "%~1" "%~2" "_value" "Read_value.type"
 
  rem Если ошибка чтения ключа - выходим сразу
 
  if %errorlevel% neq 0 Exit /B
 
  ::Проверяем соответствие значения
  if /i "%_value%" neq "%~3" (
    ;;; echo DAMAGED = %_value% in %~1 "%~2"
    set _needReplace=true
  ) else (
    ;;; echo Okay - %~1 "%~2"
  )
 
  ::Проверяем соответствие типа параметра
  if /i "%~4" neq "default" (
    if /i "%Read_value.type%" neq "%~4" (
      ;;; echo WRONG type = %Read_value.type% - %~1 "%~2"
      set _needReplace=true
    )
    set _value.trueType=%~4
  )  else (
    set _value.trueType=%Read_value.type%
  )
 
  ::Переписываем ключ, сделав бекап
  if Defined _needReplace (
    if not Defined Interactive call :Get_Interactive_Mode
    ;;; Echo.
    ;;; Echo ===^> ReWriting...
    ;;; Echo Registry key backup --^> %~dp0\orig\reg\carantine\%date%\%~2.reg
 
    rem Резервное копирование старого ключа
    md "orig\reg\carantine\%date%" 2>NUL
    REG EXPORT "%~1" "orig\reg\carantine\%date%\Logon.reg"
 
    rem Замена правильным значением
 
    Call :Reg_Write "%~1" "%~2" "%_value.trueType%" "%~3"
    if !errorlevel!==0 echo New Value was set: %~3
  )
  EndLocal
Exit /B
 
 
:Reg_Read
:: Функция безопасного чтения ключа реестра с обработкой кода ошибки
  :: %1-вх.Ключ
  :: %2-вх.Имя параметра
  :: %3-исх.Переменная для хранения значения
  :: %4-исх.(опционально)-Переменная для хранения типа параметра
  Reg.exe query "%~1" /v "%~2" 1>nul
  if %errorlevel% neq 0 (
    ;;; echo Error Code %errorlevel%: Reg_Read %~1 "%~2"
    set %~3=& if "%~4" neq "" set %~4=
    Exit /B %errorlevel%
  )
  For /f "tokens=2*" %%a In ('Reg.exe query "%~1" /v "%~2"^|Find "%~2"') do set "%~3=%%~b"& if "%~4" neq "" set "%~4=%%~a"
Exit /B 0
 
 
:Reg_Write
:: Функция безопасной записи ключа реестра с обработкой кода ошибки
  :: %1-вх.Ключ
  :: %2-вх.Имя параметра
  :: %3-вх.Тип параметра { REG_SZ, REG_BINARY, REG_DWORD, REG_QWORD, REG_MULTI_SZ, REG_EXPAND_SZ }
  :: %4-вх.Значение
  Echo Y|>nul reg.exe add "%~1" /v "%~2" /t "%~3" /d "%~4" /f
(if %errorlevel%==0 (Exit /B 0) else (echo Error Code %errorlevel%: Reg_Write %~1 "%~2"& Exit /B %errorlevel%))
 
 
:CheckPrivileges
:: Проверка, запущена ли утилита с повышенными правами
  sfc /?|>nul find /i "/scannow"|| (
    start "" /min cscript.exe //nologo "%~dp0bin\Invoke_UAC.js" "%~f0"& Exit
)
Exit /B
 
:Get_Interactive_Mode
  set Interactive=true
  ::Start "" bin\RecIt_Switch.exe
Exit /B