|
Unerwünschte Dateien bei Virusaktivität überwachen/löschen
Liste der Anhänge anzeigen (Anzahl: 4)
Hier mein erstes Open-Source Programm. Es ist keine Bananensoftware! (Reift beim Anwender!) :) In der DP habe ich viel dazugelernt. Hier ein Programm, dass aus der Not heraus in der Praxis entstanden ist, und so manchen aus der Klemme helfen kann. Source ist größtenteils auskommentiert.
Watch2006 1.0 ist nun da! Mo,11.09.2006  Watch2006 1.0 - Freeware - Es ist die verbesserte Version von Watch 0.6 (Open Source). Watch 0.6 online: Mo, 18.8.2006 18.30 Uhr - Kleine Verbesserungen - Design zur Version 0.4 wesentlich verbessert. - Neue Screenshots - Sourcecode und Exe zum Sofortprobieren dabei. Bedienung Button: Liste akt. :Aktualisiert die Liste Button: Liste edit. :editieren der Liste Button: Search :Erweitert die Ansicht mit der Suchfunktion Button: Alerts :Anzeige ein- bzw. ausklappen. Button: ON :Überwachung der Anzeige ein/aus Klick auf Minimize :Programm ins Systray verstecken Klick aus Systray :Programm wird wieder angezeigt Klick auf X :Programm wird beendet Button Exit :Ohne Worte Datei zu Liste hinzufügen: Benutzer kann Datei auswählen und zur Liste hinzufügen. Alternativ kann dabei die Datei gelöscht werden. Suchfunktion: Mit der Suchfunktion kann man eine Datei auf einer gesamtem Platte suchen. Sternchen sind nicht erlaubt. Es muss der vollständige Name angegeben werden: z. B. Notepad.exe Gefundene Dateien kann man in die Überwachungsliste übernehmen. Benötigte Bibliotheken: CoolTrayIcon http://subsimple.com/delphi.aspEButton: http://www.delphipraxis.net/internal...ct.php?t=85812Packer: 7zip Link: www.7-zip.org/de/ Allgemein: Design ganz einfach gehalten, Programm kann in Systray gelegt werden, Liste kann individuell bearbeitet werden. Relativ kleiner Code. Überwachung im Hintergrund resourcenschonend alle 30 Sekunden. Das Problem: Auf meinem System befand sich eine sehr hartnäckige Datei: C:\winnt\kernel32.ime die einen Virus beinhaltete, die sich trotz LöschenOnReboot nicht beseitigen ließ. Ich habe kurzerhand das System aus einer Image wieder hergestellt und mein Programm Watch 0.1 heute morgen programmiert und installiert, um zu sehen, wann die Datei kernel32.ime auftaucht, wenn ich meine diversen Programme einspiele. Dabei kam mir die Idee, dass Ihr auch unerwünschte Dateien habt, die Ihr natürlich erst entdeckt, wenn es zu spät ist. Ein DirWatcher hat den Nachteil, alle Änderungen anzuzeigen - in meinem Tool könnt Ihr ganz leicht über den Button LISTE in der Watch.ini die Datei mit dem Pfad angeben und die Datei wird gemeldet, wenn sie angelegt wird. Auf Knopfdruck wird die Datei gelöscht und wenn dies nicht möglich ist, beim Reboot gelöscht. Wenn die Datei wieder angelegt wird, z. B. über einen verstecken Service, so ist der Verursacher wohl über ein Tool von www.sysinternals.com zu finden. Hier der Link zu dem excellenten FileMonitor: Filemonitor Den Verursacher kam man in der Watch.ini einzutragen. Die Lösung:
Notepad.exe dient uns als Dummy, die auf C:\ kopiert werden kann. Die unter C:\Winnt oder (XP) c:\windows befindliche Notepad.exe bleibt natürlich unangetastet. Schreibt Eure unerwünschten Files hier rein, ich kopiere, je nach meiner Zeit, die Strings in die Watch.ini. Auf weitere konstuktive Verbesserungsvorschläge bin ich schon gespannt! ToDo: (Wenn Interesse am Programm Euerseits besteht:) - Viele Neuerungen sind nun in´der 0.6er Version - Änderungen von Dateien überwachen, ob diese verändert wurden (Code eingeschleust?). - Möglichkeit Filemonitor von Sysinternals.com einbinden zu lassen. CU! Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Watch 0.2 ist Online:
Änderungen: Datei zu Liste hinzufügen: Benutzer kann Datei auswählen und zur Liste hinzufügen. Alternativ kann dabei die Datei gelöscht werden. Neuer Screenshot Bitte mal ausprobieren! Beste Grüße Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Zitat:
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Balu der Bär
Du hast Recht, Balu. Es ist eine Notlösung. Meine Anfrage in der DP nach dem Parent (Handle und Programmname) einer geöffneten Datei blieb offen. Der Virenscanner aber hatte versagt: Er fand zwar die Datei, aber nicht den Verursacher. Die Virescanner konnten den Virus nicht löschen, auch nicht über "DeleteOnNextBoot". Also neues Image am PC eingespielt. Dann will ich sehen, wann die Datei/en angelegt werden und ob mein Reinigungsprozess erfolgreich war. Dazu läuft das Programm im Vorder- bzw. Hintergrund. Bisher ist der Virus nicht mehr aufgetaucht. Den Verurascher konnte ich nicht mehr lokalisieren. Ich brauche aber nicht permanent in das Verzeichnis sehen, ob die Datei z. B. kernel32.ime angelegt worden ist. Mein Programm meldet es mir und eine Zuordung auch unter Zuhilfenahme von Prozessexplorer (sysinternals.com) auf den Verursacher ist dann leichter möglich. Diesen Tage ich zum Löschen ein, wenn es keine SystemDatei ist. Es gäbe da noch weitere, m. E. nach, sinnvolle Optionen. Siehe ToDo. Aber das Feedback/der Bedarf für dieses Programm scheint erst da zu sein, wenn man vor dem Problem steht. Aber für Erweiterungen steht ja der Source Code jedermann offen. :) Zu: Sofortiges Löschen der Datei: Falls dies nicht klappt, wird versucht die Datei beim Booten zu löschen. Ein entsprechender Aufruf wird erstellt. Best Grüße Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Da der "Verursacher" nicht ausfindig gemacht und "vernichtet" werden kann würde ich empfehlen Windows neu aufusetzen und vorher die Platte neu zu formatieren, wer weiß was da sonst noch alles bei dir haust. ;)
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Balu der Bär.
Mit einem neuen Image bist Du auch schon auf der sicheren Seite. Damit fahre ich seit Jahren gut und schnell. Da kommt ein sauberes System ohne gleich alle Windowsupdates neu einspielen zu müssen, in max. 10 Min. auf die Platte. Der Verursacher ist wohl ein "Emule Prog" :zwinker: Siehe Dir Snapshot an: Spart Zeit und Nerven. (Nein, ich bin mit dem nicht befreundet! Aber Super Tool! www.drivesnapshot.de)CU! :hi: Go2EITS Nachtrag! Unglaublich! Einer probiert es aus. Uhhi. Zwei! Ob wir von denen je wieder etwas im Board hören? Ohne ein funktionierendes System wird es kaum möglich sein. :-D (Selbstironie...) @Alle: Am besten sieht man die "Wirkung" des Programmes mit unserem Dummy Notepad.exe: Diese Datei steht in der Liste mit C:\notepad.exe Damit wird alle 30 Sekunden nachgesehen, ob diese Datei vorhanden ist. Nun kommt der Button "Copy Notepad to C:" ins Spiel: Einfach mal drücken und die Datei, wenn sie im üblichen Verzeichnis steht, wird nach C:\notepad kopiert. Nun kommt die Aktion, die allen Dateien Zugute kommt: C:\notepad.exe wird nach spätestens 30 Sek. gemeldet. Man kann die Datei löschen: Löschen-Button betätigen. Nun wird die Datei gelöscht, bzw. wenn es nicht klappt, wird beim Reboot versucht zu löschen. |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Neue Version online:
Watch 0.3 Geändert: BeepOn/OFF in ON/OFF: Überwachung ein/aus. Neue Suchfunktion: Mit der Suchfunktion kann man eine Datei auf einer gesamtem Platte suchen. Sternchen sind nicht erlaubt. Es muss der vollständige Name angegeben werden: z. B. Notepad.exe Gefundene Dateien kann man in die Überwachungsliste übernehmen. Viel Vergnügen! :) Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Ich weiß immer noch nicht wozu ich das Programm brauche, wenn ich den Namen der Datei wissen muss, die ich überwachen will. Ich kenn zu mindest nicht alle Namen von Dateien, die eventuell unerwünscht wären auf meinem System. Dazu habe ich einen Virenscanner, der mir sagt, wenn eine Datei verdächtig ist.
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Luckie
Angenommen: Du hast einen Virus entdeckt. Der Virenscanner löscht die Datei nicht, bzw. bei Neustart ist dieser wieder vorhanden, wenn Du es überhaupt merkst. Dafür ist das Programm da: Du hast eine infizierte Datei gelöscht und möchtest wissen, wann sie wieder auftaucht. Das Mistding (Sorry) z.B. kernel32.ime tauchte immer wieder auf und war mit einem Virenprogramm nicht zu beseiteigen. Also her mit meinem Programm und Eintrag in die Überwachungsliste a) via Hand in die Watch.ini und den Path\Dateiname eingetragen. b) Über den Filerequester einlesen oder c) Suchen und eintragen lassen. So. Nun wird die Liste alle 30 Sek. durchlaufen. Du kannst Programme installieren, surfen, etc. Sobald aber die kernel32.ime erstellt wird, wird dies Dir gemeldet. Du hast Die Wahl: Löschen oder nicht löschen. Bei der Option Löschen wird versucht zu löschen. Klappt es nicht, wird ONREBOOT gelöscht. Idealerweise sucht Du den ParentThread mit dem Prozessexplorer von sysinternals und schießt den ab. Natürlich trägst Du ihn in die Liste ein um zu beobachten, ob er wieder auftritt. Dies ist, so denke ich eine sinnvolle Alternative zu Format C: und Co. oder neuem Image. Also kurz: -Gezielte Überwachung, wenn die Files angelegt werden. -Meldung an Benutzer -Option zum Löschen/DeleteOnReboot (gefährlich, wenn Systemdateien gelöscht werden) -Neueintrag -Suchfunktion -und zum Üben den Dummy Notepad.exe Noch etwas: Du nimmt die Watch0.3.exe und watch.ini auf einen anderen Netzwerkrechner und siehst mal nach, was da so los ist. Beste Grüße! :hi: GoEITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Ich halte es für keine Alternative. Anstatt an den Symptomen rumzufuschen, sollte man die Ursache beheben.
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Luckie
Mein Tool setzt da an, wo die kommerziellen Tools nicht weiterhelfen. Oder, wenn über eine Boot-CD, die befallene Datei beseitigt wurde, trage ich die Datei in die Liste, damit ich weiß: System wirklich clean. Das habe ich schon sinngemäß beantwortet: Zitat:
Und wenn jeder solche Dateien hier eintragen würde, die auf Virentätigkeit oder Rootkits schließen würde, hätte mein Prog Sinn. Da es keiner macht, hat es wohl nur für mich einen (Lehr)-Wert. Beste Grüße Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
OK. Wenn du meinst.
Ich habe die Sourcen nicht gesehen, aber nutzt du einen Timer? Das geht auch ressourcenschonender, in dem man das Verzeichnis auf Änderungen überwacht: [dp]verzeichnis überwachen[/dp]. |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Lukie
Du hast recht. Aber alle 30 Sekunden 1-10 Dateien nachsehen ist mit einem Timer resourcenschonend. Für die Zwecke sollte es reichen. Die Verzeichnisüberwachung steht aber in meinem ToDo. :warn: (In Delphi2005 ist sogar eine Unit zur Verzeichnisüberwachung dabei.) |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Polling ist nie ressourcenschonender. Gehst du alle fünf Minuten an die Tür und guckst, ob dein Besuch schon da ist? Oder läst du dich durch die Türglocke benachrichtigen?
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@Luckie
Wenn mehr Leute das Programm verwenden, dann füge ich die Verzeichnisüberwachung ein, vorher nicht. Die vorgesehene Aufgabe erfüllt es derweil, auch wenn es den Ansprüchen unter Euch Profis (dafür habe ich Verständis) nicht ganz gerecht wird. Das Programm ist Open Source. Du darfst es frei verwenden, ändern oder ergänzen oder sogar kommerziell nutzen. Beste Grüße! :hi: Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Watch 0.4 online: Mo, 22.8.2006, 13.15 Uhr
Neues Design dank Cherry http://www.delphipraxis.net/internal...ct.php?t=85812 |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Watch Version 0.5 nun erstellt. Mo, 22.08.2006, 16.00 h
- Verbessertes Design - 2 neue Buttons zum "Aufklappen" der Form. - "Große Ansicht" wenn ein verdächtiges File gefunden wurde. - "Bug" mit Timer gelöst. Einfach einmal Notepad.exe nach C:\ kopieren und sehen was passiert! :gruebel: Programm zum Download siehe Seite 1, erster Beitrag. Die Endversion kommt diese oder nächste Woche. |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
So eine Std. hatte ich noch zum Überarbeiten. Oben die neueste Version Watch 0.6
Geht das Programm eigentlich auch unter XP? Screenshot wäre nett! So, bist zum nächsten Update. :coder2: CU! Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Mach noch n XPManifest rein dann hast du ueberall wenn der User es moechte den XP Look!
|
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
Liste der Anhänge anzeigen (Anzahl: 2)
@Mackhack
Das Update kommt in Kürze in Form eines Freeware Programmes namens Watch2006, dass kurz vor der Fertigstellung ist. Damit kann man verdächtige Files aufspüren. Und es verwendet kein Polling mehr. :) Das Manifest für XP ist dann drin. Unten zwei Screenshots vom neuen Programm, dass zum Wochenende wohl erscheint. Auf der ersten Seite diese Threads befindet sich die Opensource Version mit der .exe um das Programm selbst zu erweitern. Viel Vergnügen. Go2EITS |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
also ich weiß nicht, ob das so ne gute alternative ist...
wenn ich auf windows nen virus hab dann boote ich in linux und reinige den kram mit Antivir für linux und sowas wie adware se für linux^^ MFG |
Re: Unerwünschte Dateien bei Virusaktivität überwachen/lösch
@ delphis spassbremse
Klar machst Du das. Oder nimmst Bart PE oder Kaspersky. (Hat neuerdings klammheimlich erst ab der Version 7 eine Möglichkeit mit einer RettungCD integriert, die aber gut funktioniert) Mein Prog dient nur zur Ergänzung, nicht als Ersatz. Die nächste Version hat auch ein "Deepclean", die auch Viren beseitigt, die bisher nicht erkannt wurden und sich z. B. in Temps tummeln. Prüfe gerade auch den Dllcache, ob sich da auch Viren einnisten können. Evtl. wird auch das Windir überwacht, und gemeldet wenn neue Dateien erstellt oder modifiziert werden. Viele Wege führen nach Rom. Die neue Version, siehe Link oben, prüft auf das Vorhandensein verdächtiger Files und bietet auch ein Löschen von "gesperrten Dateien" an. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:51 Uhr. |
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz