========================================================= === === === RogueKiller Changelog === === === ========================================================= ------------ - by tigzy - ------------ V7.4.5 18/05/2012 ================= - Intégration librairie ntreg - Ajout patterns pour blacklist (GENDARMERIE) ch8l0.exe p0j99p.exe spoolsrv.exe FSnapshot_x86.exe BSI.bund.exe GboxService.exe InfoServices_a.exe ksprskylabs1.exe V7.4.4 08/05/2012 ================= - Détection de Xpaj (bootkit) - Ajout de patterns de détection GENDARMERIE ms.exe #{1}.#{12+}.exe wpbt#{1}.dl{2} hnszs#{1}.exe ms*****.bat ram_reserver64.exe itunes_service#{2}.exe syncservicex86.exe EPUhelpers.exe DNS_Servicex86.exe kitre#{1}.exe V7.4.3 04/05/2012 ================= - Mise en place des patterns pour détection des processus, clés RUN, SHELL, Startup - Correction d'un bug dans le module HiveReader - Optimisations de code - TrueSight : Securisation du code V7.4.2 03/05/2012 ================= - Correction d'un bug dans le module HiveReader V7.4.1 02/05/2012 ================= - Whitelist E_FATIHJL.EXE - Ajout du pattern GEMA - Ajout du pattern GENDARMERIE - Correction d'un bug dans le module readMBR - Correction d'un bug dans le module SSDT V7.4.0 01/05/2012 ================= - Correction d'un bug dans le module debug - Ajout du module ExceptionHandler => gestion automatique des plantages (en partie). Quand un crash survient, une fenêtre s'ouvre et propose à l'utilisateur de l'envoyer automatiquement. - Window BL Data Recovery (FakeHDD) - Support des langues: Allemand V7.3.4 27/04/2012 ================= - Ajout du module SigCheck, permettant la recherche de signatures dans les fichiers binaires. => Recherche de signatures dans les processus - Correction d'un bug dans le module readMBR (réorganisation de la priorité des signatures) - Correctifs dans les resources de langue. V7.3.3 22/04/2012 ================= - Prise en compte de la valeur Start_TrackProgs (Programmes récents menu démarrer) - Correction d'un bug dans le module HiveReader - Modification des ACLs avant vérification des clé RUN (bug virus Gendarmerie) - Support des langues: Grec Portugais V7.3.2 20/03/2012 ================= - [13/04/2012] Correction de bugs - [03/04/2012] Window BL SMART HDD - [23/03/2012] Ajout lien vers Security Shield (blog) - [22/03/2012] Module Debug - Second ajout - [22/03/2012] Module statistique => Activation de plusieurs langages. - [21/03/2012] Ajout progressBar (permet de savoir si un scan est en cours) - [21/03/2012] Activation des styles visual - [21/03/2012] Module Debug - Premier ajout - [21/03/2012] Correction d'un bug - [21/03/2012] Window Blacklist System Shield Security Shield - Correction d'un bug dans le module startup - Ajout de la surveillance du dossier "Common Startup" - TrueSight v0.5 : Optimisations de code - MAJ langue Czech / Slovak - Ajout checkbox "AntiRootkit" qui désactive les fonctionnalités du module TrueSight V7.3.1 10/03/2012 ================= - Correction d'un bug dans le module faked - Ajout d'une checkbox pour désactiver le module faked (le scan prend du temps) - Whitelist Skype.exe FixCamera.exe firefox.exe plugin-container.exe - Driver WL Crypto.sys /*SafeNet*/ mfehidk.sys /*McAfee*/ wpsdrvnt.sys /*Symantec*/ V7.3.0 08/03/2012 ================= - TrueSight v0.4 - Possibilité de fixer les hooks inline. - TrueSight : Détection des hooks IRP (Major et Inline) sur un driver donné -> Atapi.sys - Possibilité de fixer les hooks IRP inline (peut générer un BSOD dans certains cas, cette fonction reste à améliorer. A utiliser uniquement en dernier recours). - Ajout d'un messagebox demandant confirmation si aucune suppression n'a été effectuée - TrueSight : Bypass des fonctions du driver pour Windows 8 (pas compatible pour le moment) - TrueSight : Optimisations de code - Detection de Windows 8 - Correction d'un bug dans le module HiveReader (valeur / clés avec accents) - Ajout d'un module de détection des fichiers FAKED (expérimental) -> Appliqué sur sys32/drivers - Correction d'un bug dans le module SHELL - Correction d'un bug dans le module STARTUP - Correction d'un bug dans le module WEB - Module Startup : Possibilité de voir les dossiers de toutes les sessions (au lieu de la courante) - Surveillance de la clé HKCU\...\Advanced : Start_ShowRun V7.2.1 29/02/2012 ================= - TrueSight v0.3 - Detection des hooks inline (fonctions SSDT seulement) - Correction d'un bug dans le module HiveReader - Driver WL avipbb.sys /*Avira*/ avkmgr.sys /*Avira*/ - Window BL Smart Fortress 2012 Windows Shield Tool Windows PRO Scanner Windows Basic Antivirus Windows Stability Guard Windows Firewall Constructor V7.2.0 27/02/2012 ================= - Ajout d'une option FixMBR dans l'onglet MBR. Cette option devient disponible si une infection MBR est trouvée. - Possibilité de fixer le bootstrap MBR avec un MBR standard (XP, Vista ,Seven) - Ajout d'un module de lecture directe des ruches => détection clés / valeurs cachées de l'API - détection MBR Toshiba - détection MBR Lenovo - détection MBR Standard - détection MBR KIWI Image system - Whitelist Spotify.exe jusched.exe (global) - Window BL Windows Functionality Checker Windows Smart Warden Home Malware Cleaner Windows Smart Partner Antivirus Protection Windows Telemetry Center Windows Perfomance Catalyst Strong Malware Defender V7.1.0 15/02/2012 ================= - Passage du code en logique UNICODE (au lieu de ANSI) - Correction de bugs - Ajout du support des langues: Czech Slovak - Mise à jour des détections MBR whistler/sinowal - détection MBR myBIOS - Détection des MBR floodés par NOP - Blacklist window Security Scanner Internet Security Internet Security 2012 - Rogue ProgFile \\PCSpeed Service\\ \\everyclear\\ - Blacklist gema.exe V7.0.4 08/02/2012 ================= - Ajout d'une checkbox pour désactiver le scan MBR (choix utilisateur) - Correction d'un bug d'affichage faisant disparaitre les boutons dans certaines basses résolutions d'écran V7.0.3 06/02/2012 ================= - Modification du module LL2 => moins d'erreur d'accès, notemment sur les OS x64 - Correction d'un bug dans le workflow des modes secondaires - Blacklist InetAccelerator.exe (Gendarmerie2) V7.0.2 30/01/2012 ================= - Correction de bugs d'affichages (retours à la ligne en trop) dans l'édition du rapport - Correction dans le module MBR => taille des partitions actualisé (1ko = 1024 octets) - Whitelist adawarebp.exe DropBox.exe - Rogue ProgFiles \\BoanCatch\\ \\pcupgrade\\ \\best-pc\\ \\PCMaster Antispyware\\ \\InfoSeven\\ \\comdoumi\\ - Ajout pattern Rogue.ViusDoctor, Rogue.Zaxar - Window BL Antivirus Smart Protection Malware Protection Center V7.0.1 28/01/2012 ================= - Correction d'un bug dans le module MBR => Type de partitions actualisés - Correction d'un bug dans le module MBR => Calcul des tailles de partition actualisé - Passage à 5 PhysicalDrive Max - Ajout du nom des disques physiques V7.0.0 26/01/2012 ================= - Passage en mode GUI V6.2.4 12/01/2012 ================= [24/01/2012] - Ajout de clés Advance: Start_ShowMyDocs Start_ShowRecentDocs Start_ShowUser Start_ShowMyPics Start_ShowMyGames Start_ShowMyMusic Start_ShowControlPanel Start_ShowDownloads Start_ShowVideos Start_ShowHelp Start_ShowPrinters Start_ShowSetProgramAccessAndDefaults [23/01/2012] - Correction d'un bug dans le module MBR [23/01/2012] - Correction d'un bug dans le module TASKS [23/01/2012] - Window BL : Smart Protection 2012 [16/01/2012] - Prise en charge des dlls lancées depuis un raccourci startup (virus Gendarmerie) [16/01/2012] - Correction d'un bug dans le module checkPath - Ajout HKEY_USERS\\Software\\Classes\\pezfile\\shell\\open\\command - Ajout HKEY_USERS\\Software\\Classes\\.exe\\shell\\open\\command - Ajout HKEY_USERS\\Software\\Classes\\exefile\\shell\\open\\command - Correction d'un bug dans le module de sauvegarde REG - Ajout de l'option a : WhyIGotInfected? => ouverture de la page de WIGI - Ouverture de liens vers les manips du blogspot en fonction de l'infection detectée (ZeroAccess, FakeRean) V6.2.3 09/01/2012 ================= - Whitelist smad.exe - Whitelist Dll BatInfEx.dll BatLogEx.dll - Driver Whitelist hookcentre.sys /*Gdata*/ - Window Blacklist System Check - Rogue ProgFiles \\InfoSafe\\ \\CleanerCom\\ \\MicroVaccine\\ \\PC-Spider\\ \\CYAK\\ \\PcVirusDoctor\\ \\VDoctor Professional\\ \\CheckSpeed\\ V6.2.2 31/12/2011 ================= - Detection MBR Code TestDisk - Detection MBR Code HP tatoué - Detection MBR Code Whistler - Distinction entre Vista / 7 MBR Code - Detection MBR Code Linux - Correction d'un bug dans le module de backup REG V6.2.1 28/12/2011 ================= - Detection MBR codes XP et Vista/7 - Detection MBR codes MaxSS / TDL4 / PiHar - Modification du module MBR (prise en compte de plusieurs PhysicalDrive) - Whitelist DLL %sys32%/LogiLDA.dll panda_url_filtering.dll nsMouselib.dll msconf.dll - Whitelist B2CNotiAgent.exe HpSAUpgrade.exe HPSFUpdater.exe panda_url_filtering.exe MpSigStub.exe dplaysvr.exe realplayerent_config.exe - rogue ProgFiles \\info-manager\\ - Window BL Security Monitor V6.2.0 12/12/2011 ================= - Ajout d'un module de détection des screensavers : HKEY_CURRENT_USER\\Control Panel\\Desktop : SCRNSAVE.EXE - Mise à jour du pattern ZeroAccess (détection du FS $NtUninstallKB / consrv.dll) - Ajout de mot-clés d'importance dans les rapports (redirection des logs au niveau du serveur PHP) - Ajout du pattern statistique Root.MBR - Ajout check du MBR (LL2) + activation du module - Dump des MBR trouvés dans la quarantaine - Modification de la fin du script => possibilité de garder le notepad ouvert - Correction de bugs - Rogue ProgFiles \\datasave\\ \\sweeperlab\\ \\virussecurity\\ \\ProtectCop\\ \\HomeBoan\\ \\SmartSafer\\ - Whitelist pccntupd.exe pull.exe RapportService.exe HWDeviceService.exe windir\v0330mon.exe - Driver Whitelist uphcleanhlp.sys /*WinXP (?)*/ FireTDI.sys /*Mac Afee*/ fslx.sys /*Symantec*/ savonaccesscontrol.sys /*Sophos*/ ShldDrv.sys /*Panda*/ bdrsDrv.sys /*BitDefender*/ - WhitelistDLL rooksbas.dll - Blacklist %sys32/sysrunc.exe V6.1.12 02/12/2011 ================= - Ajout check du MBR (User / LL1) --> désactivé pour tests - Ajout pattern Rogue.AntiSpy-AH - Window Blacklist XP Antispyware 2012 XP Antivirus 2012 XP Security 2012 XP Antispyware 2012 XP Home Security 2012 XP Internet Security 2012 Vista Antispyware 2012 Vista Antivirus 2012 Vista Security 2012 Vista Home Security 2012 Vista Internet Security 2012 Win 7 Antispyware 2012 Win 7 Antivirus 2012 Win 7 Security 2012 Win 7 Home Security 2012 Win 7 Internet Security 2012 V6.1.11 30/11/2011 ================= - Ajout d'un module de chargement direct du driver (plus efficace) - désactivation du module "LOCKED" - Window Blacklist BlueFlare Antivirus Wolfram Antivirus OpenCloud Security Malware Protection Spyware Protection Cloud Protection Guard Online AV Guard Online Cloud AV 2012 - Rogue ProgFiles \\NDoctorCom\\ \\perfectcare\\ \\privacyup\\ \\PowerPC\\ \\CleanCatch\\ - blacklist Cloud AV 2012v121.exe V6.1.10 18/11/2011 ================= - Ajout d'un module de récupération des données des précédents scans (PREVRUN) - Rogue ProgFiles sweeperlab VirusSecurity - Blacklist AV Protection 2011v121.exe - Window Blacklist AV Protection 2011 V6.1.9 16/11/2011 ================= - Ajout d'un module de vérification des fenêtres windows ouvertes - Ajout d'un module de résidu des process (pour registre) - Correction de bugs - Window Blacklist System Fix Privacy Protection AV Security 2012 System Restore System Security 2011 AV Protection Online Security Sphere 2012 - Driver WL pxrts.sys /*PrevX real time scanner*/ guard.sys /*AVG 7*/ - Whitelist %windows%\wanmpsvc.exe %windows%\*snpstd$ %windows%\sttray.exe %windows\lclock.exe %windows\ATKKBService.exe MessageCheck.exe %windows\UpdReg.EXE uUACTokenSvc.exe GameXNGO.exe - Whitelist DLL LC.dll npSkypeChromePlugin.dll - Whitelist DNS 4.2.2.$ V6.1.8 14/11/2011 ================= - Ajout Pattern: PrivacyProtection - Correction de bugs - Ajout clé : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced : Start_ShowMyComputer - Ajout clé : HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced : Start_ShowSearch - Whitelist netsession_win.exe SetWallpaper.cmd TUAutoReactivator32.exe %windows%\VM_STI.EXE %windows%\ZSSnp211.EXE %windows%\Domino.EXE FacebookUpdate.exe googletalkplugin.exe %windows%\SiSUSBrg.exe lsnfier.exe %windows%\Imgtask.exe mediaget.exe %windows%\AutoKMS.exe %windows%\mixer.exe - Driver WL SandBox.sys /*Sandboxy*/ RapportPG.sys /*Trusteer (Report)*/ sbaphd.sys /*Sunbelt*/ PavProc.sys /*Panda antivirus*/ PavSRK.sys /*Panda antivirus*/ - Dll WL KeyboardOnlineTray.dll mcdvd_32.dll - Blacklist AV Security 2012v121.exe V6.1.7 05/11/2011 ================= - Amélioration du module statistique (Patterns ZeroAccess, Fake HDD, Rogue ProgFiles) - Correction de bugs - Ajout d'un module de gestion de la reflection du registre (x64) - amélioration du backup en .reg (prend en charge les clés au lieu des valeurs seulement) - Rogue ProgFile \\PatchUp_Plus\\ \\NVirusKorea\\ \\ProtectCode\\ \\CoreScan\\ \\AntiAvoid\\ \\IPRIVACY\\ \\ProtectKeep\\ \\AnyCop\\ \\windowpc\\ - Whitelist arservice.exe supprimé kmservice.exe (crack pour Office 2010) - Whitelist DLL IadHide5.dll V6.1.6 01/11/2011 ================= - Ajout d'un module statistique (connexion base de donnée SLT) - DNS whitelist: 8.8.4.$ - Correction de bugs - Whitelist : windows\BCMSMMSG.exe windows\*snp2***.exe windows\stsystra.exe windows\qmc.exe windows\cthelper.exe windows\ALCXMNTR.EXE sys32\ANIWConnService.exe sys32\PSDrvCheck.exe rnupgagent.exe googletalk.exe E_FATICDL.EXE - Drivers WL: OADriver.sys /*Online armor*/ sp_rsdrv2.sys /*Spyware terminator*/ cmdguard.sys /*Comodo IS*/ SYMEVENT.SYS /*Symantec*/ SASKUTIL.SYS /*SUPER Antispyware*/ PSINProc.sys /*Panda Security*/ - Whitelist DLL migrate.dll OIExt.dll BthAuthenticationTime.dll NativeHelpNotifier.dll V6.1.5 29/10/2011 ================= - Ajout d'un module de vérification en ligne du numéro de versio - Ajout d'un module d'envoi automatique des rapports à l'adresse du développeur (pour amélioration de l'outil) - Drivers WL: fshs.sys /*F-Secure Orange AV*/ - Rogue ProgFiles \\boankorea\\ \\FastScan\\ V6.1.4 22/10/2011 ================= - Rogue ProgFiles \\VirusScan\\ \\pcspeedup\\ - Drivers WL: ehdrv.sys /*ESET Helper Driver*/ - Whitelist AVGIDSMonitor.exe - Ajustement de la détection dans le module RANDOMNAME V6.1.3 14/10/2011 ================= - TrueSight v0.2 - Correction de bugs - Réarrangement du code - Ajout backup des suppressions registre en .reg - Ajout d'un module de détection des noms aléatoires - Blacklist sys32\lvvm.exe crss.exe (Cloud Protection) - Rogue ProgFiles \\realcleaner\\ V6.1.2 07/10/2011 ================= - Drivers WL: PCTCore.sys /*PCTools*/ bdselfpr.sys /*Bitdefender*/ - Kill des processus vérouillés - WellKnown processes audiodg.exe - Rogue ProgFiles \\vaccinecom\\ \\PCPlusSecurity\\ - WellKnown WL sys32\ctfmon.exe sys32\lsm.exe sys32\SearchIndexer.exe sys32\sppsvc.exe sys32\SearchProtocolHost.exe sys32\SearchFilterHost.exe sys32\mctadmin.exe sys32\dllhost.exe sys32\alg.exe sys32\wscntfy.exe sys32\notepad.exe sys32\wuauclt.exe sys32\userinit.exe sys32\msdtc.exe windows\agrsmmsg.exe - Whitelist dll nvsysrot.dll V6.X.X XX/XX/XXXX (Version repousée) ================= - Module de suppression de clés (recursif) par appel direct - chargement du driver en mode BOOT antagoniste si bloqué - Detection de clés de registres cachées du SCM - Ajout chemin sensible %sysroot% pour processus - Ajout d'un module de detection des noms long -processus et clés- (Guard Online / OpenCloud / ...) V6.1.1 28/09/2011 ================= - Correction d'un bug dans le chargement / déchargement du driver - Supprimé messages debug - TrueSight v0.1 - Ajout driver Whitelist avec masque - Ajout blacklistPath dans recherche des services - Drivers WL: unknown /*Unknown*/ vsdatant.sys /*ZoneAlarm*/ procguard.sys /*ProcGuard*/ aswSP.sys /*Avast*/ aswSnx.sys /*Avast*/ PCTAppEvent.sys /*PCToolsFirewallPlus*/ sp**.sys /*Daemon tools*/ AVGIDSShim.Sys /*AVG*/ - Rogues progFiles \\HelpPrivacy\\ \\InfoBoan\\ \\windowsliveprotect\\ \\DrBoan\\ \\Privacyi\\ \\Micropop\\ - Service Blacklist MPopService V6.1.0 22/09/2011 ================= - Récupération des vrais adresses de la SSDT - Ajout option 7 (restauration de la SSDT par index) : OPTION CACHEE car dangereuse. A utiliser sur demande d'un helper - module TrueSight : Restauration SSDT - module TrueSight : Kill par appel direct aux APIs NT (DrvNtTerminate) V6.0.0 21/09/2011 ================= - Ajout d'un driver embarqué dans les ressources - Chargement du driver TrueSight (x86 seulement) - Recherche des Hooks SSDT - Recherche des Hooks Shadow SSDT V5.3.5 21/09/2011 ================= - WhitelistDLL LVPrcInj01.dll - Whitelist kmservice.exe - Rogues ProgFiles \\BoanCop\\ \\cleancert\\ \\VIHunter\\ V5.3.4 30/08/2011 ================= - Correction d'un bug dans la detection de la whitelist (masque) - Ajout module de restauration des icones du bureau (SHELL) - Ajout module de restauration de la barre des tâches (SHELL) - Ajout d'un mutex pour empêcher le lancement de plusieurs instances - Rogues ProgFiles \\PrivacyBoho\\ \\SafePrivacy\\ \\BoanClear\\ - Whitelist BR040286.exe V5.3.3 18/08/2011 ================= - Ajout d'un module de détection de fichiers / dossiers particuliers - Blacklist Particular: %Appdata%\Adobe\shed %Appdata%\Adobe\plugs - Dll Whitelist rpchrome$ MSVC^71.dll - Rogue ProgFile \\errordoctor\\ - GUID {19090308-636D-4E9B-A1CE-A647B6F794BF} //Wolfram antivirus V5.3.2 18/08/2011 ================= - Meilleure prise en charge du x64 --> Ajout des variables d'env SysWow64 / Program Files (x86) --> Ajout de la restauration de Program Files (x86) dans le mode 6 - Optimisation de code - WellKnownProcess: varEnv.syswow64\\svchost.exe - Whitelist: nclaunch.exe V5.3.1 06/08/2011 ================= - Ajout d'un module de surveillance des clés manquantes - Ajout des clés manquantes: HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command" => default : "%1" %* - Rogue ProgFile: \\PrivacyCode\\ \\InfoGuard\\ \\DefenseVirus\\ \\PatchUp_Plus\\ - Whitelist dll: btmshell.dll mkil.dll V5.3.0 01/08/2011 ================= - Detection des détournements des noms système - Le programme est maintenant capable de tuer un process de 6 manières différentes Celà permet de contourner les protections de pas mal de malwares - Service Blacklist: wxpdrivers srvsysdriver32 srvbtcclient srviecheck - Rogue progFiles \\MacroVirus\\ \\DualVaccine\\ \\CodeScan\\ V5.2.9 31/07/2011 ================= - Service Blacklist: Windows_Update - Dll Whitelist MSVCP71.dll - Whitelist alcwzrd.exe PLFset^.exe V5.2.8 23/07/2011 ================= - Ajout vérification des .exe dans dossier démarrage - Dll Whitelist Dropbox$ PLFSet.dll -Whitelist vsnp2uvc.exe - Rogue progFiles \\Clear2PC\\ \\PCMedic\\ \\boanking\\ - ajout BlackList \startupFolder\csrss.exe V5.2.7 30/06/2011 ================= - Correction de bugs (RegCloseKey) - Correction de bugs provoquant un écran noir après passge de OTL (au reboot) V5.2.6 23/06/2011 ================= - Ajout de la surveillance de la ligne: HKEY_CLASSES_ROOT\.exe => default V5.2.5 23/06/2011 ================= Correction de bugs majeurs faisant planter l'appli V5.2.4 22/06/2011 ================= Rogue ProgFiles: -\\privacyalpha\\ -\\basicprivacy\\ -\\MicroPC\\ -Whitelist Bginfo.exe PLFsetL.exe - Ajout suppression ACL pour les clés Shell V5.2.3 16/06/2011 ================= - Blacklist %ProgramFiles%\csrss.exe %ProgramFiles\conhost.exe - Service blacklist QTUpdate - Rogue ProgFiles -\\Milestone Antivirus\\ V5.2.2 05/06/2011 ================= - Ajout d'infos sur les lecteurs pour le mode 6 - Correction de bugs faisant planter les modes 6/1/2 V5.2.1 02/06/2011 ================= - Correction de bugs faisant planter le module Task Scheduler 2.0 - Raports sur le bureau quelque soit le repertoire de lancement de l'application V5.2.0 01/06/2011 ================= - Blacklist service cdfss wcscd - Prise en charge des clés Software\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer\\Run HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\ShellServiceObjectDelayLoad HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\SharedTaskScheduler HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats - Vérification et kill des DLL malicieuses chargées sous explorer.exe - Ajout du kill des dll explorer.exe dans les résidues - Ajout d'un module d'exploration des GUID (Si un GUID est connu, on retrouve le chemin de la DLL malicieuse et on l'ajoute à la BlackList dynamique) - Prise en charge du dossier Common Startup V5.1.9 29/05/2011 ================= - Rogue ProgFile: \\vaccineu\\ - Affichage des icones User / Poste de travail / Corbeille sur le bureau Hijack : WarnOnHTTPSToHTTPRedirect - Whitelist soundman.exe - Blacklist wuaucldt.exe V5.1.8 27/05/2011 ================= - Correction de bugs dans le mode 6 - Ajout des librairies dans la mode 6 V5.1.7 26/05/2011 ================= - Correction de bugs dans le mode 6 - Whitelist: mhotkey.exe mmkeybd.exe dit.exe LxrAutorun.exe sw2#.exe Screenpresso.exe V5.1.6 21/05/2011 ================= - Rogue ProgFile \\\Error Fix\\ - Whitelist OEM0#Mon.exe vVx#000.exe V5.1.5 20/05/2011 ================= - Correction d'un bug majeur du mode 6 - Whitelist RtHDVCpl.exe V5.1.4 16/05/2011 ================= - Prise en charge de la sauvegarde effectuée par Windows Recovery (Option 6) - Whitelist: RtHDVCpl.exe googlecrashhandler.exe megakeyupdater.exe zHotkey.exe ASScrProlog.exe ASScrPro.exe V5.1.3 13/05/2011 ================= - Ajout de chemins dans les repertoires sensibles: %SystemDrive% / Windows %System Drive% / Documents and settings / - Policy: HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\Explorer -> NoDesktop - Rogues PF: \\Ifkpr\\ \\AntiDefend\\ - WhiteList: vVX1000.exe regedit.exe V5.1.2 13/05/2011 ================= - Correction d'un bug dans le module rundll32 - Rogue progFile \\selfprivacy\\ \\PrivacyKey\\ V5.1.1 05/05/2011 ================= - Correction de bugs faisant planter le module Task Scheduler 2.0 - Correction d'un bug de fausse détection dans le module RUNDLL32 (RUN) -> reporté dans 4.3.12 V5.1.0 02/05/2011 ================= - Prise en charge du Task Scheduler 2.0 (Vista / Seven) - Rogue progFile \\PrivacyView\\ V5.0.0 30/04/2011 ================= - Migration d'IDE V4.3.12 30/04/2011 ================== - Ajout ACCESS_DENIED dans rapports - Ajout date péremption de l'exécutable, avec message d'avertissement si > 3 jours - Whitelist RockMeltUpdate.exe V4.3.11 25/04/2011 ================== - Grosses optimisations (Rapidité du scan x4) - Whitelist OctoshapeClient.exe - Rogue progFile \\PC2Safe\\ V4.3.10 24/04/2011 ================= - Rogue progFile \\Boan119\\ \\VaccineCore\\ \\Antivirus Clean 2011\\ - Ajout clé : FIREFOX.EXE\\shell\\safemode\\command - Ajout whitelist: ereg.$ (Dragon naturally speaking) - Correction bug module Shell - Whitelist DNS: 62.251.229.237 - Blacklist sys32\\windupdt\\winupdate.exe - Whitelist: Rsystems Support.exe - DllWhitelist: bthprops.cpl -WellKnownProcess: dwm.exe wininit.exe V4.3.9 16/04/2011 ================= - DllWhitelist: "csnp2uvc.dll" "gcswf32.dll" "rpchromebrowserrecordhelper.dll" - Ajout whitelist: OrangeInside.exe - Rogue progFile \\Error Repair Professional\\ - Correction bug module WhitelistDLL - Ajout de la date de la version - Ajout d'un mode (0) pour quitter. Le programme se relance automatiquement à la fin. Il convient donc de choisir le mode 0 pour fermer le programme V4.3.8 09/04/2011 ================= - Ajout d'un module de reconnaissance de processes connus (explorer.exe, etc..) - Optimisations - Ajout d'un module de reconnaissance des dlls chargées en 04 sous rundll32 - Rogue progFile \\HomeClean\\ \\BoanSupport\\ - DllWhitelist: "oobefldr.dll" "nvsvc.dll" "NvCpl.dll" "NvMcTray.dll" "nview.dll" "srclient.dll" "dr25svc.dll" "cmicnfg.dll" "ksrun.dll" "sbavmon.dll" "dlbttime.dll" "ftutil2.dll" "nvclock.dll" "nvhotkey.dll" "nvmctray.dll" "p17.dll" "spirun.dll" "p17rune.dll" "ptipbmf.dll" "ulutil2.dll" "sispower.dll" "wf2kcpl.dll" "zsscheduler.dll" "apphelp.dll" "advpack.dll" "sti_ci.dll" "ASTSVCC.dll" "LXBUtime.dll" "p0**0pin.dll" - Purge rogues ProgFile - Correction bugs (Language anglais, kill svchost.exe) - Ajout module de restauration des paramètres du centre de sécurité - Ajout whitelist: clavier.exe V4.3.7 04/04/2011 ================= - Ajout d'un module de reconnaissance MD5 pour les process, les dll et les clés RUN - MD5 Blacklist: 2eb8bf9d3fad4cb9e26a1ae184a65816 //AntivirusPlus "random.dll" V4.3.6 29/03/2011 ================= - AJout module Association de fichiers StartMenuInternet (Firefox, IE, Opera) - Rogue Program files \\ADSTOP\\ \\SystemDefender\\ - DNS Whitelist 90.0.0.38 V4.3.5 29/03/2011 ================= - Ajout du disque local système dans l'option 6 - Ajout du repertoire CurrentUser dans l'option 6 - Amélioration de l'algorithme, gain de rapidité (option 6) - Ajout des modules de surveillance UAC: "ConsentPromptBehaviorAdmin" , "ConsentPromptBehaviorUser" , "EnableLUA" - Ajout de module de réparation du fond d'écran. - Rogue Program files \\vaccinescan\\ - Whitelist DNS 199.243.213.* (Canada) V4.3.4 26/03/2011 ================= - Ajout des removable devices dans l'option 6, sauf lecteur disquette. - Ajout des repertoires Ma musique, Mes videos, Mes images - Correction bug sur la récupération des chemins Mes videos. V4.3.3 24/03/2011 ================= - Ajout module de vérification de l'activation de la restauration système - Modification du système WL/BL => Ajout de plusieurs chemins possible - Ajout des disques locaux (Sauf système) pour le mode 6. - DNS Whitelist 86.64.145.145 (NEUF) 84.103.237.145 (NEUF) - Whitelist Dropbox.exe LBubble Dock.exe V4.3.2 16/03/2011 ================= - Ajout d'un module pour neutraliser les liens dans les rapports (fichiers Hosts principalement) - Correction d'un bug générant des FPs dans le module de services - Rogue PF \\ProPrivacy\\ \\antiguard\\ - Whitelist rockmeltcrashhandler.exe rockmelt.exe - WhitelistDNS 195.235.96.90 (DNS Espagnol) 195.235.113.3 (DNS Espagnol) V4.3.1 14/03/2011 ================= - Ajout d'un module pour la restauration des fichiers passés en "caché" par le rogue Windows diagnostic (option 6) - Ajout whitelist: IMVUQualityAgent.exe - Suppression du checkPath pour les services (trop de FPs) V4.3.0 10/03/2011 ================= - Refonte des Whitelist/Blacklist, ajout de chemins (permet de dire qu'un fichier est blacklisté sauf dans un certain repertoire, etc...) - Correction d'un bug causant des problèmes d'affichage dans le module de langue englais V4.2.1 09/03/2011 ================= - Correction d'un bug faisant planter le module de langue - Prise en charge Quarantaine pour les modules RUN/Services/Tasks/Startup Folder/Residus - Ajout Whitelist: isuspm.exe (Install Shield Update manager) V4.2.0 07/03/2011 ================= - Modification du système de rapports: Les rapports ne s'ajoutent plus au fichier RKreport.txt, mais à des fichiers distincts à chaque lancement, nommé suivant la norme: RKreport[NUMERO].txt Le récapitulatif de tous les fichiers disponibles s'affiche à la fin du rapport. - Whitelist DNS: 81.253.149.$ V4.1.1 07/03/2011 ================= - Correction d'un bug dans la detection des chemins de fichiers, entraînant la non détection de certaines clés de registre avec espaces. - Ajout rogue program files: \\ZeroVaccine\\ V4.1.0 04/03/2011 ================= - Correction de bugs - Ajout d'une traduction Français/Anglais selon la langue du PC V4.0.1 28/02/2011 ================= - Correction de bugs (refonte du systeme de parsing des clés de registre) - Ajout de surveillance des clés RunOnce, RunServices, RunOnceEx, RunServiceOnce pour toutes les sessions. Des rogues comme System tool peuvent maintenant être supprimés depuis une session saine. - Rogue Program files: \\pcvaccine\\ V4.0.0 23/02/2011 ================= - Refonte du moteur avec passage du C au C++ - Modification de l'affichage des rapports, plus d'infos. - Ajout blacklist sdra64.exe - Rogue program files \\specialguard\\ V3.10.3 21/02/2011 ================== - Ajout des modules de surveillance Associations de fichiers: HKEY_LOCAL_MACHINE\Software\\Classes\\pezfile\\shell\\open\\command HKEY_LOCAL_MACHINE\Software\\Classes\\.exe\\shell\\open\\command HKEY_LOCAL_MACHINE\Software\\Classes\\exefile\\shell\\open\\command HKEY_CURRENT_USER\Software\\Classes\\exefile\\shell\\open\\command - Ajout blacklist eksplorasi.exe V3.10.2 17/02/2011 ================== - Ajout d'une mise en quarantaine pour les process tués (pas encore pour les DLL et les résidus) La quarantaine se trouve à la racine de l'exécutable (RK_Quarantine) et comprends: * Les fichiers au format -> Nom_de_lexe.exe.vir * un fichier texte (QuarantineReport.txt) comprenant le récapitulatif par date des suppression, ainsi que les chemins d'origine. Demander ce rapport en cas de faux positif pour restaurer (à la main) les fichiers déplacés par erreur. - Ajout module HKEY_USERS (clé Winlogon/Windows) pour surveiller les clés Shell et Load des autres sessions du PC - Ajout surveillance proxy sur HKLM - Ajout Association fichiers EXE: HKEY_CLASSES_ROOT\\exefile\\shell\\open\\command - Rogue Program Files \\McAVG\\ \\AVGT\\ V3.10.1 16/02/2011 ================== - Ajout module HKEY_USERS (clé RUN) pour surveiller les clés RUN d'autres sessions. - Correction bug CheckPath - Ajout surveillance du chemin des fichiers Services - Ajout surveillance clé ProxyEnable (Module Proxy) - Rogue Program Files \\PrivacyHidden\\ \\SafeCare\\ V3.10.0 11/02/2011 ================== - Ajout module de détection rootkits (sommaire) => BruteForce PIDs + vérification Blacklist / WhiteList - Ajout ouverture UAC au lancement (pour mode admin) - Réorganisation DNS Blackist => Comparaison par masque - Rogues program files "\\eoRezo\\" "\\homevaccine\\" "\\smartscan\\" V3.9.0 01/02/2011 ================= - Migration des modules Proxy et DNS dans des options distinctes. (options 4 et 5) - Ajout BlackList: printer.exe (EasySpywareCleaner) ctfmona.exe (EasySpywareCleaner) xpupdate.exe (EasySpywareCleaner) - Rogue Program Files: \\EasySpywareCleaner\\ - Correction Bug sur module Shell, qui empêchait la detection des clés "Load" V3.8.5 31/01/2011 ================= - Ajout module de reconnaissance du mode de démarrage (Normal, Mode sans échec avec / sans prise en charge réseau) - Ajout reconnaissance du nom de la session courante - Ajout DNS WhiteList: "74.118.212.1","74.118.212.2", "192.168.10.1", "15.243.128.51","15.243.160.51", "193.95.75.10","193.95.75.13" - Rogue Program Files: \\MyPCCheck\\ - Ajout WhiteList: autologin.exe V3.8.4 29/01/2011 ================= - Ajout module de reconnaissance des DNS malicieux - Ajout WhiteList DNS: http://www.commentcamarche.net/faq/1496-serveurs-dns-des-principaux-fai - 74.118.212.1,74.118.212.2,192.168.10.1,156.154.70.22,156.154.71.22 - Ajout Whtelist little transparency.exe SmpSys.exe - Changement Icone V3.8.3 27/01/2011 ================= - Ajout module de détection de lancement automatique de raccourcis dans le dossier Startup (C:\Documents and Settings\\Menu Démarrer\Programmes\Démarrage) - Ajout rogues program files: \\liveboan\\ \\security119\\ \\PrivacyInfo\\ \\MegaVaccine\\ \\WebVaccine\\ \\Smart Security\\ V3.8.2 27/01/2011 ================= - Correction de bugs - Ajout rogues program files: \\PC Security 2011\\ \\Best Spyware Scanner\\ \\AVP2009\\ \\RegGenie\\ - Ajout WhiteList e_s$$**$.exe (Epson Driver) V3.8.1 20/01/2011 ================= - Modification de code - Correction de bugs V3.8.0 19/01/2011 ================= -Ajout module de détection des rogues dans program files -Modif module DLL pour détection chemin sensibles/program files -Ajout blacklist: avsubengine.exe (VaccineClean) uninst_$ (Rogue.multiple) -Ajout rogues program files: \\VaccineClean\\ \\easyvaccine\\ \\PCoptimizer 2010\\ \\PrivacyRight\\ \\wisevaccine\\ \\privacyguard 2010\\ \\v2accine2010\\ \\NewVC\\ \\ddosclean\\ \\vaccineprogram\\ \\SpyCare\\ \\pcclearplus\\ \\CleanV\\ \\uservaccine\\ \\powercare\\ \\protect_one\\ \\QScan\\ \\ScanZero\\ \\searchguard\\ \\safetyboan\\ \\BestBoan\\ \\DataProtect\\ \\????????????\\ \\adsafer\\ \\AntiProtect\\ \\cleanscan\\ \\New2Clean\\ \\IDBoan\\ \\Scan119\\ \\????????\\ \\Vkiller\\ \\infosecret\\ \\VaccineLab\\ \\RegistryClever\\ \\VaccineData\\ \\infohold\\ \\Internetvaccine\\ \\keycop\\ \\k-security\\ \\eClean3.0\\ \\RealVaccine\\ V3.7.4 13/01/2011 ================= - Modification module HOSTS -> affichage des 20 premières lignes seulement (simplifie la lecture du rapport) - Modification du module de detection du type d'user - Ajout whitelist: Smax4.exe V3.7.3 09/01/2011 ================= - Modification du module HOSTS (Ajout d'un fixACL et d'un fixAttributes, qui permettent la modif du fichier) - Correction d'un bug générant des faux positifs dans le module HijackInitDLL V3.7.2 08/01/2011 ================= - Ajout module de surveillance des AppInitDLL (chargement de dll au démarrage de windows dans explorer) - Renseignement du mode de lancement de l'appli (Admin - NOT Admin) - Ajout blacklist SM***.exe SM****.exe SM****_$.exe V3.7.1 07/01/2011 ================= - Correction d'un bug créant des faux positifs dans le module de masque - Modification du module "inkillable" => meilleurs résultats, surtout sous Vista/seven - Ajout blacklist: sw2#.exe Fullremove.exe -Service Blacklist sst# V3.7.0 05/01/2011 ================= - Ajout module de detection Hijack WBEM (famille Antivirus 2010) V3.6.1 28/12/2010 ================= - Ajout blacklist: *****_##$.exe (Internet Security suite) V3.6.0 28/12/2010 ================= - Ajout d'un module de surveillance du fichier HOSTS - Ajout d'un mode permettant de restaurer un HOSTS sain V3.5.2 27/12/2010 ================= - Ajout de la surveillance de la ligne HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\Windows -> Load - Ajout Blacklist: !^!^!#####.exe (System tool) V3.5.1 18/12/2010 ================= - Correction d'un bug empêchant la suppression de clés de registre possédant +2 niveaux de sous-clés V3.5.0 13/12/2010 ================= - Modification du module de modif des ACLs, prise en charge de Vista / Seven (Merci à Egwene et Eric_71) V3.4.0 11/12/2010 ================= - Ajout d'un module pour rendre le process inkillable! :) (du moins hormis l'utilisateur, et les applis ayant SE_DEBUG) V3.3.0 11/12/2010 ================= - Ajout d'un module de suppression des LEGACY (Ne marche que sous XP pour le moment) - Ajout d'un module de modification des ACL, avec resatauration après le scan/modif des clés (merci à Egwene) - Correction d'un bug de détection des chemins sensibles (Appli~1 = Appdata) V3.2.1 01/12/2010 ================= - Correction d'un bug qui faisait planter le module running services - service blacklist: vbma**** (Antivirus Action) V3.2.0 20/11/2010 ================= - Modification et activation du module des taches planifiées. Basé sur la blacklist, et les résidus en mémoire. V3.1.0 20/11/2010 ================= - Ajout de module de scan 04 RunServices RunOnceEx - Blacklist windowstmsystem.exe microsoftspeech.exe mbamzlib.exe sshnas$ Zludo*.exe Zjuje*.exe - Service SSHNAS V3.0.1 14/11/2010 ================= - Ajout de service Blacklist Follower - Ajout de clés Blacklist netc.exe nnmmnnsys.exe V3.0.0 14/11/2010 ================= - Hijack Policies NoFolderOptions - Correction d'un bug qui faisait planter le module de recherche RUN V2.9.0 14/11/2010 ================= - Ajout d'un module de Shell Spawning (Hijack du lancement des .Exe) pezfile .exe V2.8.0 13/11/2010 ================= - Ajout de module de détection des Hijack Policies DisableTaskMgr DisableRegistryTools DisableCMD V2.7.1 12/11/2010 ================= - Correction d'un bug faisant planter le module IFEO (débordement de tableau) V2.7.0 11/11/2010 ================= - Ajout module proxy Firefox V2.6.0 05/11/2010 ================= - Ajout module de reconnaissance des dll chargées sous rundll32 - Ajout module de kill des dll trouvées dans les résidus - Services Blacklist: kxtoykoc (smart defragmenter) jvfrhmo (think point) V2.5.0 05/11/2010 ================= - Ajout module Image File Execution Options - Ajout module taches planifiées (à completer) V2.4.0 05/11/2010 ================= - Ajout description dans les propriétés. V2.4.0 30/10/2010 ================= - Ajout d'un module de scan des résidue (process dont la clé de registre à été supprimée, mais qui n'ont pas été tués, car seul la valeur de la clé de registre permet de les identifier) - Ajout Date/Heure dans le rapport - Correction d'un faux positif sur les noms de fichier contenant "temp" V2.3.1 30/10/2010 ================= - Ajout recherche Blacklist pour les valeurs de registre - BlackList: MK**.exe (Antimalware Doctor) MK***.exe (Antimalware Doctor) uPc+MV$.exe (Antimalware Doctor) - WhiteList: Chrome.exe (se lance dans Appdata) - Ouverture automatique du rapport à la fin - Message invitant à passer le mode 2 si des infections ont été trouvées dans le registre V2.3.0 22/10/2010 ================= - refonte du module de scan svchost (élévation des privilèges) -> plus besoin des taskkill et tasklist - Ajout d'un module de scan des services en cours d'exécution (autres que svchost) V2.2.0 21/10/2010 ================= - Ajout currentcontrolset003 - remaniement du code V2.1.0 20/10/2010 ================= - Ajout d'un module de comparaison gérant les masques - Ajout de rogue SM***_****.exe (Smart Engine) V2.0.0 20/10/2010 ================= - Ajout d'un module de scan des services svchost -> on tue le service si celui ci est suspect Ce module ne fonctionne pas nativement sous XP home. il faut télécharger 2 exécutables et les placer à la racine de RogueKiller V1.8.0 19/10/2010 ================= - Ajout d'un module de scan des services (CurrentControlSet, ControlSet001, 002) - Ajout de services à la liste noire: userinit (Antivirus 2010) V1.7.1 19/10/2010 ================= - Ajout de quelques process en WhiteList flux.exe RtkBtMnt.exe GoogleUpdate.exe V1.7.0 18/10/2010 ================= - Ajout d'un module de suppression des proxy V1.6.0 18/10/2010 ================= - refonte de la recherche de processus. -> Purge des Blacklist / WhiteList -> Scan basé sur l'emplacement du process en priorité pour une plus grande rapidité - Ajouté le repertoire "Bureau/Desktop" comme dossier sensible - Ajouté chemin des fichiers tués (Sauf security Tools) dans le rapport V1.5.0 18/10/2010 ================= - Ajout d'un scan de la clé Shell rogue Thinkpoint pris en charge BlackList Hotfix.exe Desktop Security 2010.exe WhiteList: GoogleUpdate.exe chrome.exe GoogleCrashHandler.exe flux.exe Ati2evxx.exe spoolsv.exe V1.4.0 14/10/2010 ================= - Ajout d'un choix de mode pour le registre mode scan: ne supprime pas les clés de registre trouvées mode remove: supprime les clés de registre trouvées Cela permet de voir d'éventuels faux positifs et rassurer les personnes qui ne veulent pas toucher au registre, et seulement tuer le processus infectieux V1.3.0 14/10/2010 ================= - Ramaniement du code, optimisations. Arrangement modulaire V1.2.0 12/10/2010 ================= - Amélioration du module de détection des clés RUN/RUNONCE infectieuse détection des fichiers / chemin de manière plus précise moins de faux positifs, ciblage plus facile. - Passage en "Append" du fichier RKreport.txt (au lieu de w+) ce qui permet de ne pas écraser les rapports précédents en cas de multiples exécutions à la suite (le rapport est donc une superposition anté-chronologique des différents rapports) V1.1.2 10/10/2010 ================= - Ajout détection OS et affichage dans le rapport Desktop Security 2010.exe flash_player_installer.exe Whitelist: rundll32.exe V1.1.1 08/10/2010 ================= avp32.exe (Peak Protection) user.exe (Peak Protection) system.exe (Peak Protection) svc.exe load.exe (Antivirus studio 2010) securitycenter.exe (Antivirus studio 2010) securityhelper.exe (Antivirus studio 2010) AntiVirus Studio 2010.exe (Antivirus studio 2010) V1.1.0 04/10/2010 ================= - Ajout d'un module de suppression des clés RUN/RUNONCE en fonction de la liste noire/liste blanche et des filtres dossiers habituels - Optimisations - Ajout d'un icone programme - Ajout de quelques process Koobface: ld15.exe ld16.exe andy133.exe V1.0.3 01/10/2010 ================= - Ajout d'un module tuant les applications tournant sous "\Application Data\" ou un de ses sous-dossiers - Ajout d'un module tuant les applications tournant sous "\Temp\" ou un de ses sous-dossiers V1.0.2 01/10/2010 ================= - Passage en priorité Haute au démarrage du processus (plus grande part CPU pour le scan, donc moins de chances de se faire killer) V1.0.1 01/10/2010 ================= - Ajout d'une whitelist minimaliste pour accélérer la recherche [System Process] System smss.exe csrss.exe wininit.exe winlogon.exe services.exe lsass.exe lsm.exe svchost.exe dwm.exe explorer.exe ctfmon.exe dllhost.exe alg.exe conhost.exe taskhost.exe sched.exe Locator.exe jusched.exe V1.0 30/09/2010 =============== - Rogue Security Tools module de détection des noms composés uniquement de chiffres - Ajout de rogues plus anciens: ccagent.exe (Control center) ccmain.exe richtx64.exe (Data Protection) asr64_ldm.exe (Dr Guard) diskperfxp.exe (User Protection) davclnt.exe (Digital Protection) avp.exe digprot.exe datprot.exe (Data Protection) ave.exe - Changelog SmitfraudFix jusqu'à November 06, 2008 winupdate.exe AVR09.exe msa.exe ld09.exe mediacodec.exe pp10.exe SYSDLL.exe SYS32DLL.exe DL32.exe pcdefender.exe svchost_32.exe asasa.exe syst.exe msctrl.exe msavsc.exe msscan.exe msiemon.exe msfw.exe msctrl.exe msavsc.exe msscan.exe msiemon.exe msfw.exe setup2.exe AntivirusXP.exe ld03.exe pp06.exe userload.exe rs32net.exe renus2008.exe sysrc32.exe svchostw.exe ld01.exe ld02.exe pp2.exe dll32.exe winagent.exe systeminit.exe sysguard.exe avrlabs.exe AnvTrgr.exe msiconf.exe VirTrigger.exe VirusTriggerBin.exe svhost.exe reged.exe spoolsystem.exe syscert.exe sysexplorer.exe wsc32x.exe