->

вторник, 19 июля 2011 г.

«Антивинлокер». Испытание в бою.

На просторах интернета попалась мне программа, заявленная как решение проблемы баннеров блокирующих рабочий стол (http://www.antiwinlocker.ru/).

Мне показалось, что имеет смысл рассмотреть программу внимательнее и опробовать ее в боевых условиях.
Вот что у меня получилось...
Установка программы проста до невозможности. Сама программа весит чрезвычайно мало и, в общем то, будет практически не заметна в современной системе.
Главная форма программы показывает состояние защитной системы,
а также позволяет запускать или останавливать сервис, который, собственно, и отлавливает баннеры.
Здесь же, на главной форме, расположено краткое описание метода борьбы с баннерами:
"одно нажатие [WIN]+F12 - простой запуск утилиты,
два нажатия [WIN]+F12 - запуск в режиме удаления.
три нажатия [WIN]+F12 - запуск с завершением всех процессов."
Естественно, первым делом я залез в настройки программы. Переход в окно настроек производится нажатием соответствующей кнопки «Настройки» в нижней части главной формы.
На данной стадии я порекомендовал бы установить галочки на всех доступных позициях (если у Вас они не установлены), потому что такой вариант настроек даст программе возможность максимально защитить Ваш компьютер от баннера.

В следующем окне производится настройка защиты от блокировки сайтов. Здесь я все оставил по умолчанию.

Следующий шаг – настройка защиты оболочки. То есть, того самого explorer-a, к которому так любят цепляться вирусы.
Здесь указываются значения ключей в реестре, которые, как правило, "заражаются" вирусами-блокерами, а также отображается (и настраивается) работа "административных инструментов": taskmanager, regedit, cmd (командная строка). Предусмотрена опция автоматического восстановления параметров, в случае их изменения вирусом.

Вообще, если у Вас система установлена без каких то изворотов, то есть на диск С в стандартную папку Windows без применения политик, то имеет смысл установить настройки «По умолчанию».
Следующим шагом можно просмотреть параметры автозагрузки в своей системе. Программа формирует список из записей реестра. При желании список загружаемых программ и сервисов может быть отредактирован. Редактирование списка производится бесплатной утилитой Autoruns от Марка Русиновича (sysinternals.com)

Следующий шаг для тех, кто желает, чтобы программа работала на его персональном компьютере постоянно, обновлялась и т.д., а именно – лицензирование программы. Я благополучно пропустил этот шаг, поскольку не собираюсь без испытаний прописывать программу на постоянное место жительства на своем компьютере.
После проведения всех манипуляций по настройке программы необходимо перезагрузить компьютер, чтобы сервис начал нормально работать и защищать Ваш компьютер.
После перезагрузки в трее уютно устроился значок работающей программы.
Но не ждать же манны небесной от всемирной сети. Когда там у меня появится внезапный вирус?! Поэтому я решил распотрошить архив проверенных временем и этим блогом вирусов, чтобы проверить работу программы.

1. Для проверки был запущен знаменитый вирус «22CC6C32.exe» (как лечить).
Результаты как минимум замечательны! Баннер после открытия исчезал с экрана сам, без каких либо действий с моей стороны. Прямо чудо какое-то.

Но, увы! Userinit.exe по факту оказался подмененым на вирусный файл, и стандартный userinit.exe переименован в 03014D3F.exe, то есть вирус отработал в своем режиме и после перезагрузки баннер будет запущен вновь. То есть, в данном случае программа Антивинлокер помогает разблокировать компьютер, но от необходимости лечить компьютер от вируса он не избавляет.

2. Вторым для проверки был запущен баннер «9b88.exe» (как лечить).
Автоматически баннер не закрылся, пришлось вызвать «Убийцу баннеров» при помощи двойного нажатия на комбинацию клавиши [WIN]+F12.
При нажатии клавиш появилось окно следующего вида (поверх баннера!!!):
Здесь можно увидеть путь к файлу вируса, разблокировать для запуска диспетчер задач, редактор реестра и оболочку (explorer.exe), завершить процесс вируса и удалить его.
Что собственно я и сделал. На этом баннер был побежден.

3. Третий баннер, "1437714529.exe", все таки заблокировал мне компьютер (как лечить).
Увы, никакой «антивинлокер» не смог помочь против этого злодея. Комп просто виснет и только счетчик мотает время.

Выводы.
Генеральный вывод только один - пока ни одна программа не заменит голову в борьбе с баннерами-блокерами. :)

Плюсами данной программы можно назвать следующие моменты:
• Программа разблокировала два из трех имеющиеся у меня в коллекции баннеров.
• Программа проста в настройке (вариант «по умолчанию» вполне работоспособен).
• Программа значительно упрощает лечение вируса, поскольку нет нужды в перезагрузке компьютера, загрузке с внешнего носителя и т.д. и позволяет отследить нахождение файла вируса.

Минусами данной программы можно назвать следующие моменты:
• Для успешной защиты от баннеров программа должна быть установлена заранее и лицензирована, иначе ее срок действия всего 30 дней. Все таки хочется порой халявы… Использовать программу при лечении уже заразившихся компьютеров не получится. Ну да собственно на этот вариант событий проект антивинлокер предлагает свой вариант livecd.
• Программа не является антивирусом и не исправляет подмену вирусом системных файлов (а было бы неплохо предусмотреть такую возможность).


Использовать ее или нет – это пусть решает каждый для себя сам.



P.S. На сайте проекта  на конец июля анонсируется выход программы Антивинлокер 2. Поживем, увидим, пощупаем...