обсуждение справочника CLSID

на вот тебе вебальту))

по ссылке не дает, зараза
 

Вложения

  • 190526d1350148006-export.rar
    14.7 KB · Просмотры: 6
Последнее редактирование:
а ты уверен, что эти CLSID создаёт именно она ?
а разве не видно?

пример:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0470D7FF-135D-3F24-B8D4-9D0FE702E9A0}\InprocServer32\1.1.0.0\Assembly = WebAltaSearch, Version=1.1.0.0, Culture=neutral, PublicKeyToken=cae29f257fecba88

для сравнения два разных результата поиска вебальты у разных юзеров

вот еще мой (неполный)
 

Вложения

  • Desktop.rar
    19 KB · Просмотры: 2
У меня все равно такое чувство, что данные CLSID делает система по случайному принципу, поскольку единственное что в них общее это:

Маркер открытого ключа PublicKeyToken=cae29f257fecba88

Делал 2 теста в песочнице, кроме вот таких же результатов - ничего не было
 
Имхо, в шапку надо добавлять только то что точно знаем, а не по догадкам, что это скорей всего от этого. А также если этот ключ постоянный, а не генерируется случаем образом .... а так я тоже могу ещё пару тясяч ключей вебальты накинуть ;).

ЗЫ, шапку закрепить надо.

Добавлено через 1 минуту 56 секунд
и имхо лучше в шапку в первую очередь добавлять те ключи, которые встречаются в логах.
 
У меня все равно такое чувство, что данные CLSID делает система по случайному принципу
имхо все зависит от регистрации:
Регистрация:
1. Установка предполагает копирование на диск испольняемого файла (типовое расширение - DLL и OCX)
2.1 регистрацию может сделать процесс, дропнувший файл
2.2 регистрацию может сделать сам файл - при момощи механизма, запускаемого утилитой regsvr32
 
Оттуда же:

Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя. Это особенно опасно, если не видно имя исполняемого файла (при удалении файла с диска ссылка на него в реестре то никуда не пропадет. Если в логе нет имени файла - то это или глюк утилиты, или глюк в реестре, или еще что-то)
 
Тогда и это стоит добавить...
1. При удалении файла AVZ делает попытку найти все ссылающиеся на него CLSID. Все найденное удаляется, причем сслыки все удаленные CLSID по возможности вычищаются
2. CLSID без исполняемого файла - просто запись в реестре, опасности не несет
 
тут речь идёт о справочнике CLSID, так что и удаляться если что будут CLSID. Например в моём списке нелегала
{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} Поиск WebAlta mscoree.dll
ключ нелегален, а файл легален. Так что удалять надо только ключ. В цитате
Severnyj ключевое
Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя
Так что если мы хотим сделать такой сборник информация должна быть тщательно проверена по разным источникам.

Добавлено через 4 минуты 50 секунд
CLSID с переменными значениями
формулировка некорректна, надо бы другую придумать.
 
так что и удаляться если что будут CLSID
regist, уйми свои ручки, не надо ничего удалять, это для общего развития))))
все зависит от регистрации
если одни и те же clsid в разных системах приписаны одним и тем же файлам, это вряд ли ключ сгенерирован случайно
 
Легал
{0063bf63-bfff-4b8f-9d26-4267df7f17dd}
{06849e9f-c8d7-4d59-b87d-784b7d6be0b3}
{08825191-c3c7-44e9-8ca6-07ab521fa8f2}
{09900de8-1dca-443f-9243-26ff581438af}
{0e1230f8-ea50-42a9-983c-d22abc2eed3c}
{17965926-b1c0-4302-a699-ff6345ea3148}
{18df081c-e8ad-4283-a596-fa578c2ebdc3}
{1f460357-8a94-4d71-9ca3-aa4acf32ed8e}
{22bf413b-c6d2-4d91-82a9-a0f997ba588c}
{2670000a-7350-4f3c-8081-5663ee0c6c49}
{32f66a26-7614-11d4-bd11-00104bd3f987}
{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}
{4248fe82-7fcb-46ac-b270-339f08212110}
{438755c2-a8ba-11d1-b96b-00a0c90312e1}
{53707962-6f74-2d53-2644-206d7942484f}
{5499bcb1-5641-4a4c-9f75-462d4d8d0da0}
{59273ab4-e7d3-40f9-a1a8-6fa9cca1862c}
{5cbe3b7c-1e47-477e-a7dd-396db0476e29}
{6ebf7485-159f-4bff-a14f-b9e3aac4465b}
{724d43a9-0d85-11d4-9908-00400523e39a}
{72853161-30c5-4d22-b7f9-0bbc1d38a37e}
{7558b7e5-7b26-4201-bedb-00d5ff534523}
{8984b388-a5bb-4df7-b274-77b879e179db}
{898ea8c8-e7ff-479b-8935-aec46303b9e5}
{8c7461ef-2b13-11d2-be35-3078302c2030}
{8dae90ad-4583-4977-9dd4-4360f7a45c74}
{8dcb7100-df86-4384-8842-8fa844297b3f}
{9030d464-4c02-4abf-8ecc-5164760863c6}
{91397d20-1446-11d4-8af4-0040ca1127b6}
{91774881-d725-4e58-b298-07617b9b86a8}
{92780b25-18cc-41c8-b9be-3c9c571a8263}
{95289393-33ea-4f8d-b952-483415b9c955}
{9961627e-4059-41b4-8e0e-a7d6b3854adf}
{9b43b7b1-bf56-4708-81d2-332d708b0dd9}
{9bfba68e-e21b-458e-ae12-fe85e903d2c1}
{9cfaccb6-2f3f-4177-94ea-0d2b72d384c1}
{a55f9c95-2bb1-4ea2-bc77-dfaab78832ce}
{aa58ed58-01dd-4d91-8333-cf10577473f7}
{aaa288ba-9a4c-45b0-95d7-94d524869db5}
{ae805869-2e5c-4ed4-8f7b-f1f7851a4497}
{af69de43-7d58-4638-b6fa-ce66b5ad205d}
{b4f3a835-0e21-4959-ba22-42b3008e02ff}
{b5a7f190-dda6-4420-b3ba-52453494e6cd}
{c672f4ab-780b-45c0-baec-91f455c86f8d}
{ccf151d8-d089-449f-a5a4-d9909053f20f}
{dbc80044-a445-435b-bc74-9c25c1c588a9}
{e2e2dd38-d088-4134-82b7-f2ba38496583}
{e33cf602-d945-461a-83f0-819f76a199f8}
{e59eb121-f339-4851-a3ba-fe49c35617c2}
{e6fb5e20-de35-11cf-9c87-00aa005127ed}
{e7e6f031-17ce-4c07-bc86-eabfe594f69c}
{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}
{fb5f1910-f110-11d2-bb9e-00c04f795683}
{fcbccb87-9224-4b8d-b117-f56d924beb18}
{ffc8b962-9b40-4dff-9458-1830c7dd7f5d}

откуда инфа?
некоторые значения неоднозначны.
если со своего компа,проверь что покажет эта прога Посмотреть вложение CLSID Dump.rar
 
не надо ничего удалять, это для общего развития))))
Сашка, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка в поисках информации и если она будет неверна, то удалить легал.
если одни и те же clsid в разных системах приписаны одним и тем же файлам
у тебя уже есть большая статистика с систем с заражённых вебальтой и не заражённой её ? Если нет, то статистика может быть искажена, приводил пример (к сожалению пост затёрли) возьмём этот CLSID 0E1230F8-EA50-42A9-983C-D22ABC2EED3B на компе заражённом вебальтой он попадёт в твой список и ты заявишь, что это от неё. А в нормальном справочнике, который проверил по сотням компов информация будет намного более полной и справедливой http://www.systemlookup.com/lists.php?list=1&type=clsid&search=0E1230F8-EA50-42A9-983C-D22ABC2EED3B в итоге вывод иногда он может быть и легален. Поэтому надо указывать в шапке, кто может использовать этот ключ и какой исполняемый файл.
 
regist, как представляешь это?
перечень вариантов?

Добавлено через 1 минуту 24 секунды
может такие вносить в ту категорию,которая является с плавающими вариантами?
 
Сашка, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка
ну тогда, как говорится, сам дурак и будет))
большая статистика с систем с заражённых вебальтой
большая - это сколько?
ну я кагбэ не статистическое бюро)))) а если хочешь заморочиться - я тебе надергаю результатов поиска вебальты AVZ - сиди, сравнивай.

несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.

что ты предлагаешь то?

Добавлено через 2 минуты 46 секунд
с плавающими вариантами?
это если известно как минимум 2 варианта.

вообще тема это необьятная, может быть, имеет смысл выписывать только легал.

а то вдруг кому неть в голову придет начать составлять список хэшей всех известных файлов... и не только))))
 
Назад
Сверху Снизу