Visual basic real time scanner

Status
Niet open voor verdere reacties.
codGmer

codGmer

Gebruiker
Lid geworden
8 mei 2010
Berichten
649
Hallo,

Ik ben bezig met het maken van een Real time scanner voor de infectie: Switch.Dialer

het geinfecteerde bestand heet: adservernow.exe

De real time scanner detecteerd het bestand adservernow.exe (gemaakt via visual basic en gerenamed) niet, maar wel een ander exe bestand in system32 bijv alg.exe. Hier is de code

Code: 
If My.Computer.FileSystem.FileExists("C:\Windows\System32\adservernow.exe") Then
            MsgBox("Switch.dialer gevonden.")
            Timer1.Stop()
        Else

        End If

Ik vraag me af waarom hij de alg.exe wel detecteert en bij de adservernow.exe niet,

heeft het te maken met dat ik het zelf heb gemaakt?
 
Heeft absoluut te maken het zelf aanmaken van het bestand. Dat gebeurd namelijk niet. Je kan vanuit een VB.NET/C# applicatie niet zomaar even naar de System32 map schrijven, tenzij je administrator rechten hebt en het programma uitvoert als administrator.

Probeer het bestand "adservernow.exe" eens op je bureaublad aan te maken, en daarna handmatig te slepen naar je System32 map.
Daarna even de check doen (je programma runnen) en het werkt, hier wel tenminste :)
 
Kan je misschien wat van je code laten zien? Zegmaar je project (zijn dat iets van 20 regels?;))

Want hier werkt het gewoon prima hoor =)
 
Code: 
Public Class Form2

    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Label2.ForeColor = Color.Green
        Label2.Text = "Actief"
        Timer1.Start()

    End Sub

    Private Sub Button2_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button2.Click
        Label2.ForeColor = Color.Red
        Label2.Text = "Niet actief"

        Timer1.Stop()
    End Sub

    Private Sub Form2_Load(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles MyBase.Load

    End Sub

    Private Sub Timer1_Tick(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Timer1.Tick
        If My.Computer.FileSystem.FileExists("C:\Windows\System32\emakesv.exe") Then
            MsgBox("Switch.dialer gevonden.")
            Timer1.Stop()
        Else

        End If
        If My.Computer.FileSystem.FileExists("C:\Program Files\eMakeSV\Portal\portal.html") Then
            MsgBox("Switch.dialer gevonden.")
            Timer1.Stop()
        Else

        End If
        If My.Computer.FileSystem.FileExists("C:\Windows\System32\adservernow.exe") Then
            MsgBox("Switch.dialer gevonden.")
            Timer1.Stop()
        Else

        End If
    End Sub

    Private Sub Button3_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button3.Click
        Me.Hide()
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ContextMenuStrip = ContextMenuStrip1
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.Visible = True
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ShowBalloonTip(0)
    End Sub

    Private Sub NotifyIcon1_MouseClick(ByVal sender As System.Object, ByVal e As System.Windows.Forms.MouseEventArgs) Handles NotifyIcon1.MouseClick
        NotifyIcon1.ContextMenuStrip = ContextMenuStrip1
    End Sub

    Private Sub NotifyIcon1_BalloonTipClicked(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles NotifyIcon1.BalloonTipClicked
        NotifyIcon1.Visible = False
        Me.Show()
    End Sub

    Private Sub NotifyIcon1_MouseDoubleClick(ByVal sender As System.Object, ByVal e As System.Windows.Forms.MouseEventArgs) Handles NotifyIcon1.MouseDoubleClick

    End Sub

    Private Sub SluitenToolStripMenuItem_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles SluitenToolStripMenuItem.Click
        Application.Exit()
    End Sub

    Private Sub OpenenToolStripMenuItem_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles OpenenToolStripMenuItem.Click
        Me.Show()
    End Sub
End Class
 
Dit soort dingen moet je gewoon aan proffesionele antivirus programma's overlaten en niet zelf mee gaan klooien.
 
Ik ben in opleiding bij Hijackthis.nl/forum, en ik probeer een tool te maken om de Dialer te verwijderen, mijn fix is goedgekeurd alleen het werkt nog niet in visual basic.
 
Laatst bewerkt door een moderator:
Probeer deze code eens:

PHP: 
Public Class Form2

    Private Sub Button1_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button1.Click
        Label2.ForeColor = Color.Green
        Label2.Text = "Actief"
        Timer1.Start()
    End Sub

    Private Sub Button2_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button2.Click
        Label2.ForeColor = Color.Red
        Label2.Text = "Niet actief"
        Timer1.Stop()
    End Sub

    Private Sub Timer1_Tick(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Timer1.Tick
        If GEV("C:\Windows\System32\emakesv.exe") Or GEV("C:\Program Files\eMakeSV\Portal\portal.html") _
        Or GEV("C:\Windows\System32\adservernow.exe") Then
            MsgBox("Switch.dialer gevonden.")
            Timer1.Stop()
        End If
    End Sub

    Private Function GEV(ByVal Pad) As Boolean
        If IO.File.Exists(Pad) Then
            Return True
        Else : Return False
        End If
    End Function

    Private Sub Button3_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles Button3.Click
        Me.Hide()
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ContextMenuStrip = ContextMenuStrip1
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.Visible = True
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ShowBalloonTip(0)
        NotifyIcon1.ShowBalloonTip(0)
    End Sub

    Private Sub NotifyIcon1_MouseClick(ByVal sender As System.Object, ByVal e As System.Windows.Forms.MouseEventArgs) Handles NotifyIcon1.MouseClick
        NotifyIcon1.ContextMenuStrip = ContextMenuStrip1
    End Sub

    Private Sub NotifyIcon1_BalloonTipClicked(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles NotifyIcon1.BalloonTipClicked
        NotifyIcon1.Visible = False
        Me.Show()
    End Sub

    Private Sub SluitenToolStripMenuItem_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles SluitenToolStripMenuItem.Click
        Application.Exit()
    End Sub

    Private Sub OpenenToolStripMenuItem_Click(ByVal sender As System.Object, ByVal e As System.EventArgs) Handles OpenenToolStripMenuItem.Click
        Me.Show()
    End Sub
End Class
 
Volgens mij doe ik iets verkeerd.

Ik heb een voorbeeld bestand in visual basic gebuild met de naam adservernow.exe naar het bureaublad en toen gesleept naar de system32 folder, maar met de real time scanner detecteert hij nog steeds niks.
 
Werkt hier prima met de volgende code:

PHP: 
        If IO.File.Exists("C:\Windows\System32\adservernow.exe") Then
            Timer1.Stop()
            MessageBox.Show("oooo****tt je hebt een virus :P")
        End If

Timer properties:

Enabled = True
Interval = 1000

Dat is alles, hier een video om te laten zien dat het werkt :)

2Z6vL.gif
 
Ik heb precies hetzelfde gedaan wat je in de gif deed maar het werkt maar niet.
 
Wat is het nut hiervan? Als 'adservernow.exe' bestaat in de System32 is er een virus?

@CaptainBri: Hoe neem je die .GIF plaatjes op? Dat zou ik graag willen weten. :D
 
Pfft! Dat programma gebruik ik nota bene zelf! Ik heb 't gevonden, bedankt! :d

@CodGmer: Kun je je hele project eens uploaden?
 
nee? want de timer moet pas aangaan als je op start hebt geduwt dus als je op start duwt gaat timer1 aan met de code timer1.start
en bij de stop knop timer1.stop
 
Laatst bewerkt door een moderator:
Wat je kan doen, is even overal breakpoints neerzetten (die rooie rondjes), want ik vermoed dat je code niet uitgevoerd word. Probeer dan even erdoorheen te stappen, kijken wanneer er iets fout gaat.
 
Wil je zo'n breakpoint neerzetten, druk dan links van dat witte lijntje:

N9lH4.png


Dan komt er zo'n bolletje te staan:

QOHmc.png


Dan het project runnen, en wanneer hij ineens stopt, ga je naar de plaats waar hij stopt, en kan je alle gegevens van de variabelen etc zien:

Uu2JA.png


Gebruik F10 om verder te gaan in de code ;)
 
Status
Niet open voor verdere reacties.
                    Steun ons                    

Nieuwste berichten

Terug
Bovenaan Onderaan