Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

Salut a tous,

 

voici un petit Reg qui va ajouter l'extention .Zeb

identique a celle de .exe dans le registre.

 

Ainsi le jour ou un malware modifie vos extentions il vous pourrez renomer les applications dont vous aurez besoin pour desinfecter votre machine!

 

Attention ce fichier reg n'est valide que pour Windows XP et necessite une adaptation pour les version anterieurs!

 

Apercu:

ZebExtention.png

 

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.Zeb]
@="Zebfile"
"Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT\.exe\PersistentHandler]
@="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOT\Zebfile]
@="Application"
"EditFlags"=hex:38,07,00,00
"TileInfo"="prop:FileDescription;Company;FileVersion"
"InfoTip"="prop:FileDescription;Company;FileVersion;Create;Size"

[HKEY_CLASSES_ROOT\Zebfile\DefaultIcon]
@="%1"

[HKEY_CLASSES_ROOT\Zebfile\shell]

[HKEY_CLASSES_ROOT\Zebfile\shell\open]
"EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOT\Zebfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\Zebfile\shell\runas]

[HKEY_CLASSES_ROOT\Zebfile\shell\runas\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\Zebfile\shellex]

[HKEY_CLASSES_ROOT\Zebfile\shellex\DropHandler]
@="{86C86720-42A0-1069-A2E8-08002B30309D}"

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers]

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers\PifProps]
@="{86F19A00-42A0-1069-A2E9-08002B30309D}"

[HKEY_CLASSES_ROOT\Zebfile\shellex\PropertySheetHandlers\ShimLayer Property Page]
@="{513D916F-2A8E-4F51-AEAB-0CBC76FB1AF8}"

 

++

Posté(e)

ça a l'air intéressant;

cependant, si le malware infecte les exécutables comme c'est/ça va être la mode, ça changera quoi? Le fichier .exe infecté renommé en .zeb contiendra toujours le code du malware non?

Posté(e)

Salut Greywolf,

 

Cette "astuce" sert a proteger ses extentions par ses executables...

 

On voit tres souvents des malwares qui modifient l'extention .exe, .com , bat , reg, .vbs etc...

 

Cette astuce permet de ne pas se retrouver complement demuni dans ces cas la...

 

++

Invité tesgaz
Posté(e)

Salut seb,

 

le problème !

c'est qui si l'extension reg est affecté, comment faire pour mettre en place l'astuce ?

Posté(e)

et si le malware fait fi de l'extension et regarde si le fichier est au format PE? (oui, je sais je suis chiant avec mes questions)

  • 7 mois après...
Posté(e)

Houla !! je lits ce fil bien tard, mais quelle atroce bidouille inutile :P

lorsqu'un des nombreux trojan ou virus (les deux catégories le font) bloquent les exe bat com etc...

il ne peuvent agir que sur les

shell ==> OPEN , mais pas sur les

shell ==> install car c'est exactement par ce shell qu'il se réinstalent :P

alors les amis pourquoi vous fatiguer ??

vos exe bat com etc ... sont bloqués ? vous ne pouvez donc même plus alncer regedit ?

 

Alors prenez ce INF si simple que vous le comprendrez facilement ...

 

gardez le sous la main et appelez le par exemple mon_reparateur_exe.inf :P

 

Alors quand vous en avez besoin un clic droit dessus et choisissez installer

aucun message ne vous sera renvoyé, normal !

Rebootez de suite et hop ça remarchera !!

 

[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0


 

Par correction j'ais gardé la signature du céateur de cet outil !!!

A+

Posté(e)

lol! reflechis avant de parler ca vaudra mieux pour tout le monde!

 

il ne peuvent agir que sur les

shell ==> OPEN , mais pas sur les

shell ==> install car c'est exactement par ce shell qu'il se réinstalent

Erf tu te rends compte de ce que tu raconte ? ou bien tu as fais un copier coller ?

 

Si on vire l'extension .inf ou il est ton shell instal ?

 

Ici c'est un petit reg qui doit etre executé sur une machine saine en prévention, ainsi si l'extension .exe et ou les autres sont corrompues par un malware ou simplement par le disfonctionnement de Windows ou d'un programme, un simple renommer de l'executable permettra de le lancer.

 

Pour terminer, "l'astuce" de l'inf est connue, fais des recherches sur le forum tu verra qu'elle a deja ete donnees plusieurs fois...

 

En esperant que la prochaine fois que tu aura envie de partager tes connaissances tu seras un peu plus modeste et diplomate!

 

++

Rejoindre la conversation

Vous publiez en tant qu’invité. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...