Jump to content
acronis

infectie care poate devasta sistemele PC

Recommended Posts

Posted (edited)

Microsoft are o mare problema deja si niciun antivirus nu poate contracara urmatoarea problema, decat daca este special instruit sa verifice locatia din registry ..desi ma indoiesc ca va fi usor iata cum blocam spre exemplu legitimul Notepad din windows, de la a se mai lansa, indiferent de unde il vom apela el nu se va mai executa, pentru asta am creat un fisier .reg cu urmatorul continut, pentru blocarea oricaruiproces, serviciu, aplicatii...

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
"Debugger"="svchost.exe"

antidotul:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]

am descoperit asta studiind in mediul virtual comportamentul unei infectii...am urmarit ce modifica in registry, este ceva care poate face foarte mult rau...se pot bloca procese esentiale, antivirusi si de ce nu chiar virusi...orice !apasand ctrl+alt+del poti vedea la procese numele infectiei dar cautand, descoperi ca ea nu exista fizic pe hard...ci se creeaza doar in ram ca proces secundar al unui alt proces, eventual unul legitim sa a unui fisier temporar, cei care au luptat cu infectiile stiu ce zic...insa daca folosesti metoda de mai sus si instruiesti registry apoi restartezi , acel proces nu se mai incarca...aveti insa grija sa nu cumva sa fie totusi un proces vital din windows care este simulat de infectie si pe care daca il blocati in locatia amintita...nu mai porneste nici calcul eventual...trebuie sa stiti in mare denumirile fisierelor esentiale din windows

DACA VRETI SA EXERSATI CREATI-VA OBLIGATORIU SI ANTIDOTUL :) CA NOTEPAD NU VA MAI FUNCTIONA, EVENTUAL FOLOSITI ALT EDITOR DACA NU AVETI ANTIDOTUL GATA CREAT :rolleyes:

Edited by acronis
Guest catalinkm
Posted

Malware Bite's Antimalware la o scanare a gasit asta:

Date din Registru Infectate:

HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

O fi avand legatura cu ce ai scris tu mai sus?

Posted

daca wormul isi schimba numele ...

Nu stiu, daca ai un fisier pe care nu-l poti inchide poate ar fi util sa ii bagi o intrare in registri.

O alta metoda de blocare ca sa nu te incurci cu registri este: dupa ce reusesti sa stergi fisierul creezi un folder cu acelasi nume si extensie. Wormul nu se va mai scrie.

Procesele secundare ale altor procese le gasesti si pe hard, nu numai in memorie. Daca ai patit ceva in care ai tras concluzia ca exista doar in memorie inseamna ca ai avut un virus, nu un worm.

Posted
daca wormul isi schimba numele ...

Nu stiu, daca ai un fisier pe care nu-l poti inchide poate ar fi util sa ii bagi o intrare in registri.

O alta metoda de blocare ca sa nu te incurci cu registri este: dupa ce reusesti sa stergi fisierul creezi un folder cu acelasi nume si extensie. Wormul nu se va mai scrie.

Procesele secundare ale altor procese le gasesti si pe hard, nu numai in memorie. Daca ai patit ceva in care ai tras concluzia ca exista doar in memorie inseamna ca ai avut un virus, nu un worm.

da e adevarat cu schimbatul numelui...tocmai de aceea un soft antivirus numit "dr. web" am observat ca face random generation name la executabilul principal...ca sa evite blocarea lansarii sale

tot asta e metoda prin care imi protejez usb stickurile... am remarcat smekeria de la un softulet : "autorun remover" pentru ca exista o specificitate a infectiilor pentru mediile de stocare USB...prin care se urmareste a se exploata portabilitatea lor in sensul propagarii pr toate sistemele in care ai putea sa-l intepi... baietii folosesc "autorun.inf" cu trimitere catre troianul de executat ca sa automatizeze executia sa...dar daca creezi tu pe usb fisierul denumit autorun.inf si-l faci read only, system, hidden...ai scapat de majoritatea infectiilor de usb, ca nu pot exista 2 fisiere cu exact acelasi nume si aceeasi terminatie , mai sunt si metode de blocare a siteurilor... in fisierul hosts sau direct in registry :rolleyes:

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...