Virussen die excutables blokkeren. - Privacy en beveiliging

donderdag 25 september 2008 20:39

Acties:

Wils voor wat ieder

Topicstarter

Als ik weer eens vervuilde computers onder mijn handen krijgt probeer ik deze altijd in zo kort mogelijke tijd clean te krijgen. Mijn eigen manier daarvoor is alleen portable programma's te gebruiken. Ik doe het als volgt. Eerst sluit ik met ProcessExplorer elk process af wat niet perse nodig is om de computer te laten draaien (zowel virussen als van windows en/ of virusscanners). Uiteraard starten agressieve virussen zichzelf weer op of staan er niet bij maar met de gemiddelde pc is het meteen een stuk beter werken. Dan draai ik ComboFix, start opnieuw op en maak ik de pc schoon tot het ComboFix logje 'clean' is. Soms scan ik nog eens met een super scanner als DrWebCureit (welke veel meer vind dat alle reguliere grote scanners - test namelijk regelmatig aparte virussen op jotti of totalvirusscan waar ik zie dat ook ESET, Kapersky, McAfee, Norton en Norman het regelmatig laten afweten). Daarna laat ik de oude systeemherstelpunten verwijderen en draai Portable CCleaner. Nu mijn vraag (eigenlijk twee).

Wat als er een virus is dat programma's als Combofix, HiJackThis en ProcessExplorer weigert op te starten (en die komt ik tegenwoordig steeds vaker tegen), alle mooie tootljes doen het dan opeens niet meer verder wel alles. Hoe kan je dat omzeilen? Mijn tweede vraag is er misschien een snellere manier dan wat ik hierboven zeg of betere programma's?

donderdag 25 september 2008 20:44

Acties:

jealma

Jesus is Lord!

Snelste manier is een nieuwe installatie. En als je het goed wilt doen installeer je Linux, heb je nooit meer last van virussen.

Serieuzer antwoord: Ik vertrouw een installatie eigenlijk niet meer als er ooit virussen op hebben gezeten. Tenzei het een heel piepklein probleempje was, doe ik altijd een reinstall of een restore van een image.

Avalon, Fireflight, Gaither, Point of Grace, Third Day
C2D E6400 @ 3GHz - Zalman CNPS8000 - GA-P35-DS3 - Corsair 2GB ram - Asus 9400GT - OCZ Vertex 30GB
Archlinux 64-bit + Awesome

donderdag 25 september 2008 20:44

Acties:

frickY

Wat ik het meest zie is dat de *.exe extensie wordt gerelateerd aan het virus, welke op zijn beurt de exe weer uitvoert, of niet. Bij deze methode start het virus dus elke keer opnieuw op wanneer je een *.exe probeert te starten.

Zie de volgende registersleutel;

HKEY_CLASSES_ROOT\exefile\shell\open\command\

Deze dient de volgende waar te hebben;

"%1" %*

Je ziet hier echter ook wel eens

"virusnaam.com" %1 %*

En varianten daar op.
Dit op voorwaarde dat de Default waarde van HKEY_CLASSES_ROOT\.exe "exefile" is.

[ Voor 7% gewijzigd door frickY op 25-09-2008 20:46 ]

donderdag 25 september 2008 20:45

Acties:

YellowOnline

BEATI PAVPERES SPIRITV

Als de machine er té erg aan toe is dan 'ontsmet' ik ze eerst via een andere PC of vanuit linux met een bootcd. De Cd van Bitdefender, bijvoorbeeld, is bootable als linux livecd mét antivirus. Zo kan je in één klap zowel antivirussen vanuit linux en manueel bestanden vermijden, zonder dat je zelf last hebt van de virussen of zelfs maar last van op enigerlei wijze beschermde bestanden (write protected, in use enz.). Eens de PC weer min of meer naar behoren werkt onder het normale OS (lees: windows) kan je daar je tools veilig loslaten om de restjes op te kuisen.

PS. Het voorbeeld dat ik gaf met Bitdefender had vroeger wel als nadeel dat het enkel onder FAT32 ging en niet onder NTFS. Intussen is NTFS echter goed ondersteund in linuxwereld dus misschien bestaat dat probleem nu niet meer.

donderdag 25 september 2008 22:00

Acties:

Verwijderd

Ken de cd van Bitdefender verder niet, maar weet zeker dat de Rescue cd van F-Secure geen enkel probleem met NTFS heeft, http://www.f-secure.com/linux-weblog/2008/06/
Werkt erg simpel en doeltreffend.

vrijdag 26 september 2008 11:12

Acties:

Malarky

Wils voor wat ieder

Topicstarter

@jealma
Uiteraard blijft reinstallatie altijd een optie, wat niet altijd de snelste hoeft te zijn. Natuurlijk kun je ook weer backuppen maar veel instellingen van programma's ben je kwijt. Ik weet wel dat je met allerlei registry settings en ini files een hoop instellingen van programma's kan overnemen naar de nieuwe installatie maar dan ben je ook je tijdwinst weer kwijt. Uiteraard heb ik voor mijn eigen pc wel een backup met een image van mijn installatie schijf zodat ik weer snel terug ben, maar andere hebben dat vaak niet. Daarom voormij liever eerst het met tooltjes proberen.

@frickY
Maar hoe kan het dan dat alleen .exe tooltjes die je nodig hebt om je pc op te schonen geblokkeerd worden en alle andere programma's (zijn natuurlijk ook .exe's - zowel al geinstalleerde als portable) het wel gewoon doen. Dat kan naar mijn idee niet de algemene .exe regel in het register zijn. Want dan zou er geen onderscheid zijn. Wat is het dan wel?

@YellowOnline en zomaar: In boot cd's heb ik nog wel vertrouwen. Maargoed de cd's die jullie noemen hebben geloof ik complete virusscanners aan boord en daar ga ik nu juist liever niet mee aan de slag (kost teveel tijd) BartPE's cd is ook zo een hele aardige maar daar zit dan geen combofix of hijackthis in. Hiren's BootCD is dat ongeveer de enige die heeft wat ik wil?

vrijdag 26 september 2008 11:17

Acties:

SinergyX

____(>^^(>0o)>____

In meeste gevallen die ik heb gehad van de bekende AV2008, een nieuw account aanmaken leek bij velen al enorm veel te schelen en kon ik diverse programma's (fixers) wel opstarten.

Verder heb ik op USB stick een complete reg-output van de extentie koppeling (shell uit mn hoofd?), die ik dan volledig laat importeren om soms 'tijdelijk' dingen snel te kunnen fixen.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

vrijdag 26 september 2008 17:39

Acties:

Malarky

Wils voor wat ieder

Topicstarter

@SinergyX: Dat van dat account aanmaken die onthoud ik, klinkt goed. Zou je misschien die reg-out nar mij kunnen mailen (zie profiel)? Alvast bedankt.