[iskander-k]

Цитата Fomarkin:

Пояснять тут вроде нечего, »

Если поподробнее пояснили - было бы лучше.
А если бы - собрали бы самостоятельную утилитку с автозапуском при запуске компа - было бы хорошо. клиенту не объяснишь на пальцах по инету как ему запустить этот скрипт.

[Drongo]

Цитата Fomarkin:

Можно скомпилироать екзешник и добавить ярлык в автозагрузку »

Можно, конечно. Все поголовно прогеры и разбираются во всех языках программирования и у всех есть необходимые компиляторы. Поправьте меня если я не правильно понял.
Здесь идёт проверка ветки

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

И ключей. Верно?

Код:

Shell
Userinit
AppInit_DLLs

Если значение этих ключей отличается от обычного, то вывести информацию в лог сколько ключей изменено.

Это вроде константных данных, с которыми мы сравниваем изменения. Так?

Код:

...
$section ='HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'
$i =0
$parreg = "REG_SZ"
$key ='Shell'
$def ='Explorer.exe'
checkit ()
$key ='System'
$def =''
checkit ()
$key = 'Userinit'
$def = @SystemDir&'\userinit.exe,'
checkit ()
$section = 'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows'
$key = 'AppInit_DLLs'
$def = ''
checkit ()
...

Fomarkin, Желательно как минимум, откоментировать каждую строку.

[thyrex]

+ к Drongo

Не вижу смысла в этой проверке

Код:

AppInit_DLLs = ''

Очень часто можно встретить в этом параметре запись от Касперского. Да и vksaver туда лезет. Их явно не отнесешь к Winlocker'ам

[Drongo]

Цитата thyrex:

Очень часто можно встретить в этом параметре запись от Касперского. Да и vksaver туда лезет. »

Да, а также DLL'ки фаерволов, Outpost и т.д. Поэтому при таком раскладе скрипт перепишет легальное и существующее значение для AppInit_DLLs.

[Fomarkin]

Sleep таймаут между проверками (5 сек.)
$parreg = Параметр ключа
$section = Раздел реестра для проверки
$key = Проверяемый ключ
$def = значение по дефолту
checkit () функция проверки, записи в лог и востановления на дефолт.
Скрипт дан для примера
Нужна ли проверка AppInit_DLLs, Вам решать, можно посмотреть http://www.z-oleg.com/secur/virlist/vir1158.php
Параметры можно поставить, такие какие стоят у Вас на компьютере. Поэтому и выложил скрипт, а не скомпилированный файл. Свои параметры могут быть не только у AppInit_DLLs, но и по моему у Shell вроде бы Aston туда себя прописывает (хотя могу и ошибаться).

Цитата Drongo:

и у всех есть необходимые компиляторы. »

AutoIt бесплатен и есть подробная справка на русском, достаточно открыть соответствующую ветку форума