AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Projekte Unerwünschte Dateien bei Virusaktivität überwachen/löschen

Unerwünschte Dateien bei Virusaktivität überwachen/löschen

Ein Thema von Go2EITS · begonnen am 19. Aug 2006 · letzter Beitrag vom 17. Sep 2006
Antwort Antwort
Seite 3 von 3     123
Go2EITS
Registriert seit: 25. Jun 2006
Hier mein erstes Open-Source Programm. Es ist keine Bananensoftware! (Reift beim Anwender!) In der DP habe ich viel dazugelernt. Hier ein Programm, dass aus der Not heraus in der Praxis entstanden ist, und so manchen aus der Klemme helfen kann. Source ist größtenteils auskommentiert.

Watch2006 1.0 ist nun da! Mo,11.09.2006
Watch2006 1.0 - Freeware -
Es ist die verbesserte Version von Watch 0.6 (Open Source).


Watch 0.6 online: Mo, 18.8.2006 18.30 Uhr
- Kleine Verbesserungen
- Design zur Version 0.4 wesentlich verbessert.
- Neue Screenshots
- Sourcecode und Exe zum Sofortprobieren dabei.

Bedienung
Button: Liste akt. :Aktualisiert die Liste
Button: Liste edit. :editieren der Liste
Button: Search :Erweitert die Ansicht mit der Suchfunktion
Button: Alerts :Anzeige ein- bzw. ausklappen.
Button: ON :Überwachung der Anzeige ein/aus
Klick auf Minimize rogramm ins Systray verstecken
Klick aus Systray rogramm wird wieder angezeigt
Klick auf X rogramm wird beendet
Button Exit :Ohne Worte

Datei zu Liste hinzufügen:
Benutzer kann Datei auswählen und zur Liste hinzufügen.
Alternativ kann dabei die Datei gelöscht werden.

Suchfunktion: Mit der Suchfunktion kann man eine Datei auf einer gesamtem Platte suchen.
Sternchen sind nicht erlaubt. Es muss der vollständige Name angegeben werden: z. B. Notepad.exe
Gefundene Dateien kann man in die Überwachungsliste übernehmen.

Benötigte Bibliotheken:
CoolTrayIcon http://subsimple.com/delphi.asp
EButton: http://www.delphipraxis.net/internal...ct.php?t=85812

Packer: 7zip
Link: www.7-zip.org/de/

Allgemein:
Design ganz einfach gehalten, Programm kann in Systray gelegt werden, Liste kann individuell bearbeitet werden. Relativ kleiner Code. Überwachung im Hintergrund resourcenschonend alle 30 Sekunden.

Das Problem:
Auf meinem System befand sich eine sehr hartnäckige Datei: C:\winnt\kernel32.ime die einen Virus beinhaltete, die sich trotz LöschenOnReboot nicht beseitigen ließ. Ich habe kurzerhand das System aus einer Image wieder hergestellt und mein Programm Watch 0.1 heute morgen programmiert und installiert, um zu sehen, wann die Datei kernel32.ime auftaucht, wenn ich meine diversen Programme einspiele.

Dabei kam mir die Idee, dass Ihr auch unerwünschte Dateien habt, die Ihr natürlich erst entdeckt, wenn es zu spät ist. Ein DirWatcher hat den Nachteil, alle Änderungen anzuzeigen - in meinem Tool könnt Ihr ganz leicht über den Button LISTE in der Watch.ini die Datei mit dem Pfad angeben und die Datei wird gemeldet, wenn sie angelegt wird. Auf Knopfdruck wird die Datei gelöscht und wenn dies nicht möglich ist, beim Reboot gelöscht. Wenn die Datei wieder angelegt wird, z. B. über einen verstecken Service, so ist der Verursacher wohl über ein Tool von www.sysinternals.com zu finden. Hier der Link zu dem excellenten FileMonitor: Filemonitor Den Verursacher kam man in der Watch.ini einzutragen.

Die Lösung:
  • Eintragen der unerwünschten Datei (vorerst) mit Path in einfache Textliste
  • Überwachen der kritischen Dateien in der Textliste
  • Sofortiges Löschen bei Erstellen der Datei
  • Löschen bei Reboot des Systems (wenn normales Löschen nicht möglich ist)
  • Sourcecode für Änderungen dabei

Notepad.exe dient uns als Dummy, die auf C:\ kopiert werden kann. Die unter C:\Winnt oder (XP) c:\windows befindliche Notepad.exe bleibt natürlich unangetastet.

Schreibt Eure unerwünschten Files hier rein, ich kopiere, je nach meiner Zeit, die Strings in die Watch.ini. Auf weitere konstuktive Verbesserungsvorschläge bin ich schon gespannt!

ToDo:
(Wenn Interesse am Programm Euerseits besteht

- Viele Neuerungen sind nun in´der 0.6er Version
- Änderungen von Dateien überwachen, ob diese verändert wurden (Code eingeschleust?).
- Möglichkeit Filemonitor von Sysinternals.com einbinden zu lassen.
CU!
Go2EITS
Miniaturansicht angehängter Grafiken
aktion2_114.png   aktion__853.png   snap_451.png  
Angehängte Dateien
Dateityp: 7z watch_0.6_381.7z (191,9 KB, 61x aufgerufen)
 
delphis spassbremse
 
#21
  Alt 17. Sep 2006, 14:13
also ich weiß nicht, ob das so ne gute alternative ist...

wenn ich auf windows nen virus hab dann boote ich in linux und
reinige den kram mit Antivir für linux und
sowas wie adware se für linux^^

MFG
  Mit Zitat antworten Zitat
Go2EITS

 
Delphi 7 Personal
 
#22
  Alt 17. Sep 2006, 17:22
@ delphis spassbremse
Klar machst Du das. Oder nimmst Bart PE oder Kaspersky. (Hat neuerdings klammheimlich erst ab der Version 7 eine Möglichkeit mit einer RettungCD integriert, die aber gut funktioniert)
Mein Prog dient nur zur Ergänzung, nicht als Ersatz.

Die nächste Version hat auch ein "Deepclean", die auch Viren beseitigt, die bisher nicht erkannt wurden und sich z. B. in Temps tummeln. Prüfe gerade auch den Dllcache, ob sich da auch Viren einnisten können. Evtl. wird auch das Windir überwacht, und gemeldet wenn neue Dateien erstellt oder modifiziert werden. Viele Wege führen nach Rom.
Die neue Version, siehe Link oben, prüft auf das Vorhandensein verdächtiger Files und bietet auch ein Löschen von "gesperrten Dateien" an.
  Mit Zitat antworten Zitat
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 00:40 Uhr.
Powered by vBulletin® Copyright ©2000 - 2021, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2021 by Daniel R. Wolf