acronis Posted May 16, 2010 Report Share Posted May 16, 2010 (edited) Microsoft are o mare problema deja si niciun antivirus nu poate contracara urmatoarea problema, decat daca este special instruit sa verifice locatia din registry ..desi ma indoiesc ca va fi usor iata cum blocam spre exemplu legitimul Notepad din windows, de la a se mai lansa, indiferent de unde il vom apela el nu se va mai executa, pentru asta am creat un fisier .reg cu urmatorul continut, pentru blocarea oricaruiproces, serviciu, aplicatii...Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]"Debugger"="svchost.exe" antidotul:Windows Registry Editor Version 5.00[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe] am descoperit asta studiind in mediul virtual comportamentul unei infectii...am urmarit ce modifica in registry, este ceva care poate face foarte mult rau...se pot bloca procese esentiale, antivirusi si de ce nu chiar virusi...orice !apasand ctrl+alt+del poti vedea la procese numele infectiei dar cautand, descoperi ca ea nu exista fizic pe hard...ci se creeaza doar in ram ca proces secundar al unui alt proces, eventual unul legitim sa a unui fisier temporar, cei care au luptat cu infectiile stiu ce zic...insa daca folosesti metoda de mai sus si instruiesti registry apoi restartezi , acel proces nu se mai incarca...aveti insa grija sa nu cumva sa fie totusi un proces vital din windows care este simulat de infectie si pe care daca il blocati in locatia amintita...nu mai porneste nici calcul eventual...trebuie sa stiti in mare denumirile fisierelor esentiale din windowsDACA VRETI SA EXERSATI CREATI-VA OBLIGATORIU SI ANTIDOTUL CA NOTEPAD NU VA MAI FUNCTIONA, EVENTUAL FOLOSITI ALT EDITOR DACA NU AVETI ANTIDOTUL GATA CREAT Edited May 16, 2010 by acronis Quote Link to comment Share on other sites More sharing options...
Guest catalinkm Posted May 16, 2010 Report Share Posted May 16, 2010 Malware Bite's Antimalware la o scanare a gasit asta:Date din Registru Infectate:HKEY_CLASSES_ROOT\scrfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: ("%1" /S) -> Quarantined and deleted successfully.HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (NOTEPAD.EXE %1) Good: (regedit.exe "%1") -> Quarantined and deleted successfully.O fi avand legatura cu ce ai scris tu mai sus? Quote Link to comment Share on other sites More sharing options...
loki Posted May 16, 2010 Report Share Posted May 16, 2010 daca wormul isi schimba numele ...Nu stiu, daca ai un fisier pe care nu-l poti inchide poate ar fi util sa ii bagi o intrare in registri.O alta metoda de blocare ca sa nu te incurci cu registri este: dupa ce reusesti sa stergi fisierul creezi un folder cu acelasi nume si extensie. Wormul nu se va mai scrie.Procesele secundare ale altor procese le gasesti si pe hard, nu numai in memorie. Daca ai patit ceva in care ai tras concluzia ca exista doar in memorie inseamna ca ai avut un virus, nu un worm. Quote Link to comment Share on other sites More sharing options...
acronis Posted May 16, 2010 Author Report Share Posted May 16, 2010 daca wormul isi schimba numele ...Nu stiu, daca ai un fisier pe care nu-l poti inchide poate ar fi util sa ii bagi o intrare in registri.O alta metoda de blocare ca sa nu te incurci cu registri este: dupa ce reusesti sa stergi fisierul creezi un folder cu acelasi nume si extensie. Wormul nu se va mai scrie.Procesele secundare ale altor procese le gasesti si pe hard, nu numai in memorie. Daca ai patit ceva in care ai tras concluzia ca exista doar in memorie inseamna ca ai avut un virus, nu un worm.da e adevarat cu schimbatul numelui...tocmai de aceea un soft antivirus numit "dr. web" am observat ca face random generation name la executabilul principal...ca sa evite blocarea lansarii sale tot asta e metoda prin care imi protejez usb stickurile... am remarcat smekeria de la un softulet : "autorun remover" pentru ca exista o specificitate a infectiilor pentru mediile de stocare USB...prin care se urmareste a se exploata portabilitatea lor in sensul propagarii pr toate sistemele in care ai putea sa-l intepi... baietii folosesc "autorun.inf" cu trimitere catre troianul de executat ca sa automatizeze executia sa...dar daca creezi tu pe usb fisierul denumit autorun.inf si-l faci read only, system, hidden...ai scapat de majoritatea infectiilor de usb, ca nu pot exista 2 fisiere cu exact acelasi nume si aceeasi terminatie , mai sunt si metode de blocare a siteurilor... in fisierul hosts sau direct in registry Quote Link to comment Share on other sites More sharing options...
