Fomarkin
15-02-2010, 19:01
Все "разблокираторы" и "генераторы номеров" хороши, но чтоб их запустить надо еще попасть в систему.
Написал простенький скрипт для защиты реестра от запуска Winlock.
Может кому поможет:
Opt ('TrayIconHide', 1)
#Include <date.au3>
$today = _NowDate()
$htime = _NowTime()
Func checkit ()
$val = RegRead ($section, $key)
if $val <> $def then
$i+=1
$logfile = FileOpen ($today&'.txt', 1)
If $logfile = -1 Then
MsgBox(0, "Ошибка", "Невозможно открыть файл.")
EndIf
FileWriteLine ($logfile, $htime&"- Изменен "&$i&" параметр"&@CRLF)
FileWriteLine ($logfile, $section&@CRLF)
FileWriteLine ($logfile, "стандартный ключ: "&$key&'='&$def&@CRLF)
FileWriteLine ($logfile, "измененый ключ: "&$key&'='&$val&@CRLF)
FileClose ($logfile)
RegWrite ($section, $key, $parreg,$def )
return ($i)
EndIf
EndFunc
$exscript = 0
Do
Sleep (5000)
$section ='HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
$i =0
$parreg = "REG_SZ"
$key ='Shell'
$def ='Explorer.exe'
checkit ()
$key ='System'
$def =''
checkit ()
$key = 'Userinit'
$def = @SystemDir&'\userinit.exe,'
checkit ()
$section = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'
$key = 'AppInit_DLLs'
$def = ''
checkit ()
if $i > 0 then
$alarm = "Неизвестной программой были изменено: " & $i & @CRLF & "Значений реестра, проверь систему!"
MsgBox ( 262160, "Внимание !!", $alarm, 30 )
ShellExecute($today&'.txt', "", @ScriptDir, "open")
Sleep (2000)
if FileExists ( "HijackThis.exe" ) then
Run ("HijackThis.exe")
EndIf
$exscript = 1
EndIf
Until $exscript = 1
Пояснять тут вроде нечего, параметры можно добавить (если появятся другие пути запуска)
Можно скомпилироать екзешник и добавить ярлык в автозагрузку (лучше установить как службу, меньше будет подтормаживать систему, хоть и некритично, он занимает всего 6 мб в свопе). Скрипт только препятствует загрузке WinLock при входе в Windows, он не удаляет вирус, только записывает измененые значения в лог. Обработка ошибок не предусмотрена, для запуска HijackThis файл должен лежать
в папке с екзешником.
Написал простенький скрипт для защиты реестра от запуска Winlock.
Может кому поможет:
Opt ('TrayIconHide', 1)
#Include <date.au3>
$today = _NowDate()
$htime = _NowTime()
Func checkit ()
$val = RegRead ($section, $key)
if $val <> $def then
$i+=1
$logfile = FileOpen ($today&'.txt', 1)
If $logfile = -1 Then
MsgBox(0, "Ошибка", "Невозможно открыть файл.")
EndIf
FileWriteLine ($logfile, $htime&"- Изменен "&$i&" параметр"&@CRLF)
FileWriteLine ($logfile, $section&@CRLF)
FileWriteLine ($logfile, "стандартный ключ: "&$key&'='&$def&@CRLF)
FileWriteLine ($logfile, "измененый ключ: "&$key&'='&$val&@CRLF)
FileClose ($logfile)
RegWrite ($section, $key, $parreg,$def )
return ($i)
EndIf
EndFunc
$exscript = 0
Do
Sleep (5000)
$section ='HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
$i =0
$parreg = "REG_SZ"
$key ='Shell'
$def ='Explorer.exe'
checkit ()
$key ='System'
$def =''
checkit ()
$key = 'Userinit'
$def = @SystemDir&'\userinit.exe,'
checkit ()
$section = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'
$key = 'AppInit_DLLs'
$def = ''
checkit ()
if $i > 0 then
$alarm = "Неизвестной программой были изменено: " & $i & @CRLF & "Значений реестра, проверь систему!"
MsgBox ( 262160, "Внимание !!", $alarm, 30 )
ShellExecute($today&'.txt', "", @ScriptDir, "open")
Sleep (2000)
if FileExists ( "HijackThis.exe" ) then
Run ("HijackThis.exe")
EndIf
$exscript = 1
EndIf
Until $exscript = 1
Пояснять тут вроде нечего, параметры можно добавить (если появятся другие пути запуска)
Можно скомпилироать екзешник и добавить ярлык в автозагрузку (лучше установить как службу, меньше будет подтормаживать систему, хоть и некритично, он занимает всего 6 мб в свопе). Скрипт только препятствует загрузке WinLock при входе в Windows, он не удаляет вирус, только записывает измененые значения в лог. Обработка ошибок не предусмотрена, для запуска HijackThis файл должен лежать
в папке с екзешником.