Anti-WINLOCK

http://winlock.ucoz.com/_nw/0/48523757.jpg

Anti-WINLOCK for WinXP - основное назначение программы - это защита компьютера от заражения так называемыми троянскими программами (вирусами) Winlock. Особенности программы - защита от trojan.winlock, защита режима безопасной загрузки (автоматическое восстановление режима безопасной загрузки ), разблокировка реестра, антивирусных сайтов и диспетчера задач

Сайт поддержки (http://winlock.ucoz.com/)


Текущая версия программы:

* 1.0.3.7

Системные требования:
* Windows XP

*Особая благодарность Drongo за помощь :)

Загрузка:

с офсайта Anti-WINLOCK-XP.rar (http://winlock.ucoz.com/Anti-WINLOCK-XP.exe)

с сайта oszone.net

Как работать с утилитой

1. на чистом компе установлена эта утилита
2. появилось окно вируса
3 Нажимаем кнопку "повер" на системнике ... компьютер выключиться
4. включаем компьютер в нормальном режиме
4.1 окно исчезло - все хорошо... обновляем свой антивирь и т.д. ...
4.2 окно не исчезло - нажимаем опять "повер" - и грузимся в безопаснике - далее стандартные действия по чистке автозагрузки в реестре - только если он заблокирован нужно будет запустить графическую оболочку утилиты для разблокировки

т/о участия пользователя требуется только в 2-х случаях - для 4.2 и удаления последствий 4.1

Использование графической оболочки (окна) нужно только при устранении блокировки реестра, сайтов антивирусов, диспетчера задач в остальных случаях ни чего запускать не нужно

sexi_65, Если сможете обязательно добавьте два пункта:

1. Восстановить значение ключа Userinit
2. Восстановить значение ключа Shell

Винлокеры любят туда прописываться.

эти ключи автоматически восстанавливаются, как в принципе и режим безопасной загрузки (добавил на всякий случай)
разблокировку реестра и диспетчера задач - на автомат не ставил - на случай блокировки реальным администратором (а то думаю он спасибо не скажет)

sexi_65,
дело то наверно хорошее, возникает один вопрос и его зададут многие...
локеры
1-загораживают весь рабочий стол
2-не на всём столе, но не дают вывести другое приложение на передний план
3-локеры изначально блокируют безопасник

чем поможет ваша утиль в этом случае?
как её запускать то? (нажать кнопку "выполнить")

ispolin, согласен, логичный вопрос.
Тут, ИМХО, потребуется ставить своему окну атрибут AlwaysOnTop, автоматически снимая его с любых окон в системе и не позволяя им снова его на себя поставить. Опять же, для вредителей, закрывающих другие окна, нужен режим а-ля мониторинг в AVZ, при котором окно программы можно закрыть только встроенной функцией.
Где-то так.

ShaddyR,
я не слишком силён в програмировании, но у локеров стоит видимо стоит атрибут "поверх всех", для данной утили нужен атрибут "совсем поверх всех" :)
и далее, что толку разблокировать реестр, д. задач, безопасник....
тельце то гадёныша сидит и управляет\просматривает нужными параметрами в реестре
есть у меня колекция прошлых локеров, могу дать автору тузлы для проверки работоспособности своей программы

ispolin,
после перезагрузки 2 пути
а) если окно с вирусом не появилось - утилита сработала
б) окно появилось с вирусом не появилось - соответственно вирь прописан в автозагрузки и что бы защитить себя он блокирует безопасник - утилита разблокирует его ... без вмешательства пользователя

таким образом в реале это выглядит так:
1. на чистом компе установлена эта утилита
2. появилось окно вируса
3 Нажимаем кнопку "повер" на системнике ...
4. включаем компьютер в норальном режиме
4.1 окно исчезло - все хорошо... обновляем свой антивирь и т.д.
4.2 окно не исчезло - нажимаем опять "повер" - и грузимся в безопаснике - далее стандартные действия по чистке автозагрузки в реестре - только если он заблокирован нужно будет запустить графическую оболочку утилиты для разблокировки

т/о участия пользователя требуется только в 2-х случаях - для 4.2 и удаления последствий 4.1



отвечу на ваши пункты
1. если вирь не загрузился - кто будет загораживать
2. аналогично
3. утилита сама восстанавливает (её не нужно запускать)


чем поможет ваша утиль в этом случае?
как её запускать то? (нажать кнопку "выполнить")
- ответил выше
- по факту - просто установить ... далее участие пользователя нужно в пунктах 4.1 и 4.2


ShaddyR,
AlwaysOnTop - стоит ... правда смысла в ней особого нет ... так как ... пользователь запустит графический интерфейс уже когда вирус не активен - только для устранения последствий

ispolin,
1. поверх всех - ответ тот же что и для ShaddyR
2. отправь плиз в личку локеры (в запароленном архиве)

sexi_65, ага. То бишь программа постоянно запущена? Еще один монитор активности? Сие не есть гуд, я думал о варианте а-ля CureIt от Dr.WEB - запустил и изгнал.
Или я где чего проглядел?
Каким образом программа восстанавливает список автозагрузки? Запоминается при нормальном шатдауне и восстанавливается при старте? Можно приоткрыть завесу тайны над алгоритмом спасения от зловредов?

ShaddyR,
это не монитор ... и не аналог CureIt'a ... только маленькая часть запущена... активных действий нет до определенных условий
это программа восстанавливает записи винлогена и безопасник (на случай если вирь прописан в автозагрузке, а не винлогоне)
т/о образом она помогает загрузиться в ОС ... а там дело техники ... если вирь был прописан винлогене то он полностью не активен... если в автозагрузке то придется ручками удалить запись или восстановление системы использовать...

Каким образом программа восстанавливает список автозагрузки? Запоминается при нормальном шатдауне и восстанавливается при старте? Можно приоткрыть завесу тайны над алгоритмом спасения от зловредов?

- выше ответил
- не понял вопроса - если про те которые у вас - то ничего ... ибо смысла нет так делать ... если прописан там зверь то она и его бы восстанавливала ...
- в принципе уже и открыл

sexi_65,
материал в пм
присоединяюсь к Можно приоткрыть завесу тайны над алгоритмом спасения от зловредов? »

утиль мониторит автозагрузку?
если я сам после установки вашей тузлы что то добавил в автозагрузку..похерит?
или каким то неведомым способом поймёт что это НЕ вирус...

хатим подробностей :tongue:

пока писал вы уже ответили, но главное, даже при условии автоправки винлогон и шела
тело то осталось и кто поручиться, что он в очередной раз после перезагрузки не стартанёт? и при условии, что локер свежий и АВ его ещё незнает
как искать то?
может сделать что то типа лога, утиль восстановила реестр и записала в логе что было и где поправлено
таким образом, мы хоть тельце можем отправить вендорам для исследования

sexi_65, а если инициализация идет посредством библиотек? И как к подобной деятельности программы отнесется собсно антивирус? Чай, эт мы знаем, что программа полезная, а действия - весьма подозрительные)

тело то осталось и кто поручиться, что он в очередной раз после перезагрузки не стартанёт? и при условии, что локер свежий и АВ его ещё незнает
как искать то?
может сделать что то типа лога, утиль восстановила реестр и записала в логе что было и где поправлено
таким образом, мы хоть тельце можем отправить вендорам для исследования »
тел то есть но оно не активно ... только чуть место займет... и то до того как в базах АВ появиться
с логом тоже думал (только типа отката на случай заражения ... но в реализации довольно трудоемко) в принципе можно... есть некоторые аспекты, продумать нужно ... сейчас особо времени нет ...

ShaddyR, нормально должен отнестись ... если каким-то чудом сигнатуры совпадут тогда и думать буду что делать...

Drongo, спасибо за поддержку


в следующих предположительно будет (зависит от времени):
- как предложил ispolin, логирование
- в оболочку добавить возможность просмотра/редактирования основных ключей загрузки
- отключение всех процессов кроме основных

если каким-то чудом сигнатуры совпадут тогда и думать буду что делать... »
я не о том. В коде вряд ли сигнатуры вирусные будут обнаружены. Но программа будет работать с важными ключами реестра - многие системы проактивной защиты могут среагировать на это неадекватно.

ShaddyR, знаю ... нод и реагировал ... пришлось обойти... при возникновении конфликтов с другими буду как-нибудь выходить из ситуации

Здравствуйте, уважаемые коллеги.

Прошу прощения, если вопрос, который мне хотелось бы поднять, уже где-то обсуждался - мне это обнаружить не удалось. Если это было - прошу закрыть или стереть эту тему.

Так вот. Сейчас есть очень много всякой заразы, прописывающейся в автозапуск в самых разных участках реестра. Мне неоднократно приходилось попадать в ситуации, когда я, имея под рукой только BartPE с удалённым редактором реестра, вручную выискивал и правил ветки реестра заражённого компа. Этих мест в реестре предостаточно. Одно из мест в реестре описано в прикреплённой теме.
http://forum.oszone.net/thread-148188.html

Сегодня благодаря сообщению в этой теме мне довелось отыскать новый винлок, не распознанный каспером и DrWeb. Я процитирую кусок этого сообщения.
""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим ""
Информация предоставлена пользователем Vitac_Black,
Однако после его удаления удалось выяснить, что он прописался ещё и в другом месте реестра - в параметре Userinit той же ветки. Нормальное его значение - C:\Windows\System32\userinit.exe,

Так вот. Моё предложение - если это возможно технически, собрать в одном сообщении если не все, то хотя бы почти все возможные места прописывания троянцев в реестре с указанием нормальных значений изменённых параметров. Это может очень помочь многим коллегам, занимающимся лечением компов.

С уважением,
Сергей Любезный

Любезный, Автозагрузка в Windows 7 (http://www.infosecurity.ru/cgi-bin/mart/arts.pl?a=090906) и Autoruns скачайте.

""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим "" »
Тока вчера удалял точно такую же заразу, так же были прописаны два ключа реестра Shell и UserInit только путь для запуска был C:\Users\Имя пользователя\AppData\Local\Temporary Internet Files\<Временный каталог>\vip_porno_27452.avi.exe
Сколько раз говоришь не работайте под Админом, так все равно не слушают, а в результате еще и денег умудрились отправить.

Ещё можно обнаружить WinLock в параметре AppInit_Dlls, который находится в веткеHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

Сегодня благодаря сообщению в этой теме мне довелось отыскать новый винлок, не распознанный каспером и DrWeb. »
и что в нем нового? они все прописывают себя в эту ветку В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Shell или в userinit.

Коллеги, спасибо за участие.
Итак, на текущий момент наш список мест поиска заразы выглядит так.
1. Каталоги автозагрузки - общие и пользовательские. Особенно тщательно следует проверять ярлыки автозапуска, чтобы убедиться - они открывают нужную программу.

2. Реестр:

Локальная автозагрузка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Пользовательская автозагрузка (в ней бывает относительно редко):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В них смотрим содержимое на предмет подозрительных файлов.

Раздел инициализации и входа в систему:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Вот основные места в этом разделе:
1. Параметр: Shell
В норме: Explorer.exe
2. Параметр: Userinit
В норме: {Windir}\System32\userinit.exe,
3. Параметр: AppInit_Dlls
В норме такой параметр отсутствует.

Раздел работы с exe-файлами:
HKEY_CLASSES_ROOT\exefile\shell
Его подразделы open\command и runas\command в норме имеют значения:
"%1" %*
(между закрывающей кавычкой и % - пробел)

Статью про автозапуск пока прочёл не до конца, потому список буду дополнять. Коллеги, прошу вас тоже дополнять.

они все прописывают себя в эту ветку В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Shell или в userinit.

:) Не все. Знаю по опыту.