| |
| |
|
| - Seite 1 - |
|
Gary12345 | Hallo,
ich möchte gerne einen BKA Remover basteln. Der basiert auf einem sehr leichtem Testcode, der nich läuft. Wenn der Testcode laufen würde, wäre der Rest nur noch Frauensache. 
Vll eine kleine Einführung in Sachen BKA und Trojaner:
Seit langem schwebt im gefährlichem Internet ein sogenannter BKA Trojaner rum. Dieser erpresst die Leute mit Geld, damit diese wieder "entsperrt" werden können (nach Bezahlung). Nun - meistens geht dieser BKA Trojaner nach dem gleichen Prinzip. Er nistet sich im explorer ein (also tauscht die echt explorer.exe mit der Schaddatei aus. Nun ermittelt meine Idee nicht nur den BKA Trojaner sondern auch andere Trojaner (nur Ransomware).
Nun habe ich mir gedacht, die bekanntesten Schaddateien für solche Trojaner in ein eindimensionales Array zu packen (sprich eine Liste).
Ich will diese Liste dann mit Fileexist abfragen, ob diese Dateien auch vorhanden sind.
BKA Remover
Window 0,0 - 500,500
WindowTitle "BKA Remover"
WindowStyle 64
Def @GetUserNameA(2) !"Advapi32.dll", "GetUserNameA"
Def &CSIDL_COMMON_APPDATA $23
Declare Button1%, Button2%,Button3%,Button4%,Button5%,Dateien$
'Prozeduren
Proc GetSpecialDir
Parameters csidl&
Declare Result$
Result$ = Space$(256)
If External("Shell32", "SHGetSpecialFolderPathA", 0, Addr(Result$), csidl&, 0)
Return Trim$(Result$)
EndIf
Return ""
EndProc
Proc GetUserName
Declare Buffer#, Size&, User$
Size& = 255
Dim Buffer#, 256
GetUserNameA(Buffer#, Addr(Size&))
User$ = String$(Buffer#, 0)
Dispose Buffer#
Return User$
EndProc
Dateien$ = Create("List", 1)
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvf0rsf.js")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WvF0RsF.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.js")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\dsgsdgdsgdsgw.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\ctfmon.lnk")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\Anwendungsdaten\wvf0rsf.js")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\Anwendungsdaten\WvF0RsF.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\Anwendungsdaten\dsgsdgdsgdsgw.js")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\Anwendungsdaten\dsgsdgdsgdsgw.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\Startmenü\Programme\Autostart\ctfmon.lnk")
AddString(Dateien$, "C:\ProgramData\dsgsdgdsgdsgw.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\wgsdgsdgdsgsd.exe")
AddString(Dateien$, "C:\Dokumente und Einstellungen\"+GetUserName()+"\wgsdgsdgdsgsd.exe")
AddString(Dateien$, "C:\ProgramData\RWvESYd.js")
AddString(Dateien$, "C:\Users\All Users\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk")
AddString(Dateien$, "C:\Users\"+GetUserName()+"\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk")
AddString(Dateien$, "C:\ProgramData\RWvESYd.pad")
AddString(Dateien$, "C:\ProgramData\dsgsdgdsgdsgw.pad")
AddString(Dateien$, "C:\ProgramData\dsgsdgdsgdsgw.js ")
AddString(Dateien$, "C:\Users\All Users\wgsdgsdgdsgsd.exe")
AddString(Dateien$, "C:\Users\"+GetUserName()+"\wgsdgsdgdsgsd.exe")
AddString(Dateien$, "C:\ProgramData\K5wtzba.js")
AddString(Dateien$, "C:\ProgramData\K5wtzba.reg")
AddString(Dateien$, "C:\ProgramData\K5wtzba.bat")
AddString(Dateien$, "C:\ProgramData\K5wtzba.pad")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.pad ")
AddString(Dateien$, "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\0tbpw.js ")
'Hauptfenster
Button1% = Create("Button",%HWND,"Scan",150,50,200,50)
Create("Tooltip",%HWND,Button1%,"Einen Scan nach Trojanern ausführen")
Button2% = Create("Button",%HWND,"Updaten",150,100,200,50)
Create("Tooltip",%HWND,Button2%,"Das Programm updaten")
Button3% = Create("Button",%HWND,"Andere Remover suchen",150,150,200,50)
Create("Tooltip",%HWND,Button3%,"Nach dergleichen Tools suchen")
Button4% = Create("Button",%HWND,"Spende,Kontakt und Sonstiges",150,200,200,50)
Create("Tooltip",%HWND,Button4%,"Spende machen, mit mir Kontakt aufnehmen oder sonstige Aktionen")
Button5% = Create("Button",%HWND,"Beenden",150,250,200,50)
Create("Tooltip",%HWND,Button5%,"Das jeweilige Programm beenden")
PopUp "&Programm"
AppendMenu 101, "Scan"
AppendMenu 102, "Updaten"
AppendMenu 103, "Andere Remover suchen"
AppendMenu 104, "Spende, Kontakt und Sonstiges"
Separator
AppendMenu 105, "Beenden"
While 1
WaitInput
If clicked(Button1%)
If FileExists(Dateien$)
Print Dateien$
EndIf
EndIf
EndWhile
Die Schleife ist nur so zu Testzwecken gemacht, müsste dann noch zu Whileloop gemacht werden.
Ich habe schon einen Tipp bekommen, der mir aber nicht logisch erschien:
- Ich soll irgendwas mit InsertString machen. Natürlich lies ich mir die Hilfe durch:
"Die Zeile S wird an der Position N2 in die Liste des Controls N1 eingefügt. Diese Funktion macht natürlich nur Sinn bei einer unsortierten Controls. Hat N2 den Wert -1 wird die Zeile am Ende angehängt."
Und das will ich eben nicht. Ich will nur Dateien in eine Lieste einfügen in beliebiger Reihenfolge.
Wie ihr testen könnt, dass das Programm geht:
Erstellt doch ein Textdokument, speichert es unter einer Malwaredatei in den richtigen Ordner ab und schaut ob der Remover das erkennt.
Bisher fehlen mir jegliche Ideen, warum das Programm nich geht.
Was geplant ist für das Programm:
Ich würde noch einen Autostartlister einbauen. (Habe da auch Includes). So könnte man auch gefährliche Einträge löschen.
Liebe Grüße |
|
| |
| |
| |
|
|
| |
| |
| - Seite 2 - |
|
Gary12345 | Jo wäre besser so - bitte ändern in malwareboard 
OK dann nehm ich WinSCP |
|
| |
| |
| |
|
|
 | Ok, gib mir 5 Minuten.
Bei WinSCP darauf achten das Protokoll auf FTP statt SFTP zu stellen. |
|
| |
| |
| |
|
|
| Ok, hast wieder Post. Die "falsche" malewareboard.xprofan.com habe ich entfernt.
Danke Roland für den Hinweis. 
RGH (23.01.13)
Ähem
Hähähäh!  |
|
| |
| |
| |
|
|
Gary12345 | | OK Danke |
|
| |
| |
| |
|
|
Gary12345 | Letzte Frage:
1. Die ganzen Dateinamen soll ich in ein Textdokument schreiben und nich mehr?
Z.B.
test1.exe
test2.exe
So das Programm löscht jetzt Dateien und kann sie finden -> Ist ja super so  |
|
| |
| |
| |
|
|
| | Ja klar, einfach untereinander schreiben. |
|
| |
| |
| |
|
| |
| |
| - Seite 3 - |
|
|
Gary12345 | | Dann wars das für heute |
|
| |
| |
| |
|
|
| Bin gespannt auf Dein Tool.  |
|
| |
| |
| |
|
|
Gary12345 | | Ich hätte mir nie denken können, dass so ein wichtiges Tool in 70 Zeilen zu schreiben ist. (Ohne Buttons). |
|
| |
| |
| |
|
|
| Klare Stärke von XProfan.
Und wenn man bedenkt das es in quasi 4 Minuten geschrieben ist...
Wenn Du es darauf anlegst... es ginge auch mit ~30 Zeilen. |
|
| |
| |
| |
|
|
Gary12345 | | Nö muss nich sein. Dann wirds sicher unübersichtlich, hab ich recht? Jetzt muss ich nur noch recherchieren um Malwaredateien. |
|
| |
| |
| |
|
|
E.T. | Vlt. mal in die Liste von AddBlock schauen,da stehen sehr hilfreiche Info's dazu  |
|
| |
| XProfan X2Grüße aus Sachsen... Mario  WinXP, Win7 (64 Bit),Win8(.1),Win10, Win 11, Profan 6 - X4, XPSE, und 'nen schwarzes, blinkendes Dingens, wo ich das alles reinschütte... | 24.01.2013 ▲ |
|
| |
|
(263)
Deutsch
English
Français
Español
Italia