# обсуждение справочника CLSID



## Ботан

Эта тема была перенесена из раздела FAQ по Microsoft Windows.

Перенес: Koza Nozdri

*Краткий справочник по CLSID*


----------



## regist

Koza Nozdri написал(а):


> записи clsid о вредоносном ПО


их переписывать бесполезно, так как их очень много. Лучше укажи ссылку на сайты наподобие этого http://www.systemlookup.com/ (очень большая и хорошая база, правда она давно не обновляется).




Спойлер: список зловредных



Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll
10618412-C528-C784-C056-C164D1F7C501
1A16EC86-94A1-47D5-A725-49F5970E335D
20618412-C528-C784-C056-C164D1F7C502
28ABC5C0-4FCB-11CF-AAX5-81CX1C635612
2A698452-C5D8-C584-C256-C264C987C5A2
35671234-7890-ABCD-CDEF-567801237653
37A924AF-1A5F-CF21-AB1D-1D5CF82A8A73
4A698102-5904-AFD0-20DF-CD1A65829CA4
50940F85-F015-14F1-A05F-F69858AC6D05
52023698-6984-8541-9654-698745012525
528DF602-9541-A985-210A-984A698C6F25
55694105-5108-9405-3695-954187462155
5ISBK7YJ-SF3J-C6B6-1KCE-7R34423HWA44
638E9359-625E-4E8A-AA5B-824654C3239B
6B830884-20E3-4AB6-B672-2629F0F72071
7319A1F1-9410-9654-3201-345FFA349137
7A041F13-A111-12A3-B0CF-F99818AA68A7
7C8D1401-A58D-A81C-CD24-A5915C4517C7
7FD45A54-9875-698F-E56E-65102358FDF7
80AF1289-F140-A140-D012-C1458759FC08
88888888-8888-8888-8888-888888888888
AA59145F-315D-BC23-AC1F-145DF81A34AA
B629FF4F-ACDB-5C90-A098-FACB3456A26B
B98CBF3C-FDFE-7CBA-EAC8-B9DB607DCC6A
F1E59DF7-D7FC-4ED6-BC1D-D13BE02FE6C5
FF0FE70F-B832-42F1-BAFF-247753B5E452
L0TLUV47-SOHF-AFV1-3615-3D3LT5OPS2LO
{24311111-1111-1121-1111-111191113457} - Trojan-Downloader.Win32.Mediket.au


----------



## Кирилл

*regist*, на этих ресурсах инфа часто отсутствует так как ты верно заметил что базы сто лет не обновлялись.
Бывает ищешь что нибудь а нету этого.
и пройдет не так много времени и инфа станет актуальной и ее будет много.
кстати ты не подписал кому принадлежат указанные ключи)

_Добавлено через 13 минут 6 секунд_
инфу внесу вечером


----------



## regist

Koza Nozdri написал(а):


> кстати ты не подписал кому принадлежат указанные ключи)


*Koza Nozdri*, список составлялся для личных целей немного для другого (и уже был у меня сохранён в таком виде). Все ключи кроме вебальты ты можешь найти на выше указанном ресурсе и посмотреть кому они принадлежат.


----------



## shestale

Koza Nozdri написал(а):


> записи clsid о вредоносном ПО принимаются...


что такое clsid? ... имхо не вижу смысл собирать их от зловредов?
Я для их проверки использую этот ресурс.., это проверка второго в списке от *regist*.


----------



## regist

Koza Nozdri написал(а):


> и пройдет не так много времени и инфа станет актуальной и ее будет много.


думаю лучше спрятать под спойлер и наверно сделать два спойлера: список легальных и список "нелегалов".


----------



## Кирилл

хм,хм...
есть еще мнения что тема не нужна?
а то пока времени на нее не так много затрачено стоит подумать над ее необходимостью.


----------



## regist

Вот ещё легальные



Спойлер



764BF0E1-F219-11ce-972D-00AA00A14F56 - Расширения оболочки для сжатия файлов
{853FE2B1-B769-11d0-9C4E-00C04FB6C6FA} - Контекстное меню шифрования
{00E7B358-F65B-4dcf-83DF-CD026B94BFD4} - Autoplay for SlideShow{7A9D77BD-5403-11d2-8785-2E0420524153} - Учетные записи пользователей
{FAC3CBF6-8697-43d0-BAB9-DCD1FCE19D75} - IE User Assist
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - Расширение CPL панорамирования дисплея
{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - надо поискать отчего именно, но это легал.{8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - Related to macromedia.com
8DAE90AD-4583-4977-9DD4-4360F7A45C74 - Download Master


----------



## shestale

Koza Nozdri написал(а):


> есть еще мнения что тема не нужна?


имел ввиду только зловредные CLSID.


----------



## Кирилл

ладно,пообщаемся-потом зачищу.
я когда искал кое какие ключики по клсид,то зачастую просто не находил этих данных,а например указанные вами сайта по запрлсу типа справочник клсидклсид и т.д.
эти сайты че та не всплывают первыми в запросах,а базу можно поддерживать актуальной просто заглядывая в раздел лечения.
времени у меня есть-сам себя небось не оштрафую.
так что мне кажется если правильно задать тэги то просмотры будут,и скорее всего нормальным объемом.
мож я не прав-говорите,общаться надо ,иначе пустой труд получится.


----------



## Кирилл

*regist*, я об этом думал,но с идентификаторами будет немного иначе,там я хочу разобрать их полностью по косточкам,с рассмотрением зависимостей.
на многих форумах вижу что люди вроде как из тырнета дергают инфу,а кроме копира ничего не происходит-тема должна раскрывать все вопросы,возникающие при ее использовании,а знания от нее должны легко приживаться в голове.
правда,так получается не всегда)))
вообще у меня задумок очень много и разделы как вы их видите это далеко не конечный вариант,со временем все будет меняться и будет интересно.

_Добавлено через 46 секунд_


FreddikMerfi написал(а):


> В тему про CLSID. Как и что именно изменить в реестре, что бы пропала панель задачь и меню пуск, не просто скрылось, а пропало полностью.


Миша,в личке.


----------



## regist

*Koza Nozdri*, а как ты добавишь в свою базу этот CLSID _{0E1230F8-EA50-42A9-983C-D22ABC2EED3B}_
кликни по нему, чтобы увидеть чему он может принадлежать. Это я к тому, что всё это очень тщательно проверять прежде чем заносить в базу.


----------



## Кирилл

утром открыл вкладку кто на форуме-8 гостей смотрят,так что норм все.
Кто хочет тот пусть пишет дальше,тему зачищу в пятницу или субботу,заодно допроверю данные в теме ключи.
кстати оказывается что есть и такие которые могут принадлежать как малварям так и легитимам,решение надо будет принимать по ситуации.
это будет третья категория.
итого:
легитим
малварь
переменная принадлежность


----------



## Alex1983

Легал


Спойлер



{0063bf63-bfff-4b8f-9d26-4267df7f17dd}
{06849e9f-c8d7-4d59-b87d-784b7d6be0b3}
{08825191-c3c7-44e9-8ca6-07ab521fa8f2}
{09900de8-1dca-443f-9243-26ff581438af}
{0e1230f8-ea50-42a9-983c-d22abc2eed3c}
{17965926-b1c0-4302-a699-ff6345ea3148}
{18df081c-e8ad-4283-a596-fa578c2ebdc3}
{1f460357-8a94-4d71-9ca3-aa4acf32ed8e}
{22bf413b-c6d2-4d91-82a9-a0f997ba588c}
{2670000a-7350-4f3c-8081-5663ee0c6c49}
{32f66a26-7614-11d4-bd11-00104bd3f987}
{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}
{4248fe82-7fcb-46ac-b270-339f08212110}
{438755c2-a8ba-11d1-b96b-00a0c90312e1}
{53707962-6f74-2d53-2644-206d7942484f}
{5499bcb1-5641-4a4c-9f75-462d4d8d0da0}
{59273ab4-e7d3-40f9-a1a8-6fa9cca1862c}
{5cbe3b7c-1e47-477e-a7dd-396db0476e29}
{6ebf7485-159f-4bff-a14f-b9e3aac4465b}
{724d43a9-0d85-11d4-9908-00400523e39a}
{72853161-30c5-4d22-b7f9-0bbc1d38a37e}
{7558b7e5-7b26-4201-bedb-00d5ff534523}
{8984b388-a5bb-4df7-b274-77b879e179db}
{898ea8c8-e7ff-479b-8935-aec46303b9e5}
{8c7461ef-2b13-11d2-be35-3078302c2030}
{8dae90ad-4583-4977-9dd4-4360f7a45c74}
{8dcb7100-df86-4384-8842-8fa844297b3f}
{9030d464-4c02-4abf-8ecc-5164760863c6}
{91397d20-1446-11d4-8af4-0040ca1127b6}
{91774881-d725-4e58-b298-07617b9b86a8}
{92780b25-18cc-41c8-b9be-3c9c571a8263}
{95289393-33ea-4f8d-b952-483415b9c955}
{9961627e-4059-41b4-8e0e-a7d6b3854adf}
{9b43b7b1-bf56-4708-81d2-332d708b0dd9}
{9bfba68e-e21b-458e-ae12-fe85e903d2c1}
{9cfaccb6-2f3f-4177-94ea-0d2b72d384c1}
{a55f9c95-2bb1-4ea2-bc77-dfaab78832ce}
{aa58ed58-01dd-4d91-8333-cf10577473f7}
{aaa288ba-9a4c-45b0-95d7-94d524869db5}
{ae805869-2e5c-4ed4-8f7b-f1f7851a4497}
{af69de43-7d58-4638-b6fa-ce66b5ad205d}
{b4f3a835-0e21-4959-ba22-42b3008e02ff}
{b5a7f190-dda6-4420-b3ba-52453494e6cd}
{c672f4ab-780b-45c0-baec-91f455c86f8d}
{ccf151d8-d089-449f-a5a4-d9909053f20f}
{dbc80044-a445-435b-bc74-9c25c1c588a9}
{e2e2dd38-d088-4134-82b7-f2ba38496583}
{e33cf602-d945-461a-83f0-819f76a199f8}
{e59eb121-f339-4851-a3ba-fe49c35617c2}
{e6fb5e20-de35-11cf-9c87-00aa005127ed}
{e7e6f031-17ce-4c07-bc86-eabfe594f69c}
{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}
{fb5f1910-f110-11d2-bb9e-00c04f795683}
{fcbccb87-9224-4b8d-b117-f56d924beb18}
{ffc8b962-9b40-4dff-9458-1830c7dd7f5d}


----------



## Кирилл

ну под спойлер прятать с одной стороны надо что бы что бы место сэкономить,а с другой стороны в поисковики тогда ключ не попадет.
а по поводу тех ключей что не конкретны-мне кажется просто стоит указать что решение надо принимать исходя из ситуации,так как код может быть сгенерирован как малварями разных видов так и легальным софтом,нет смысла описывать десятки вариантов.
итого три сообщения с таблицами ключей.


----------



## regist

Koza Nozdri написал(а):


> ну под спойлер прятать с одной стороны надо что бы что бы место сэкономить,а с другой стороны в поисковики тогда ключ не попадет.


это точно знаешь ? по идее, что должно мешать поисковику проиндексировать то что под спойлером ? Гости могут смотреть содержимое спойлера, поисковые боты обычно имееют те же права что и гости (если только их не поместить в отдельную группу) так что по идее всё должно проиндексироваться.



Koza Nozdri написал(а):


> а по поводу тех ключей что не конкретны


тут возможны три варианта:
1)Несколько программ могут использовать этот CLSID но в любом случае он легален.
2) Несколько программ могут использовать этот CLSID но в любом случае он нелегален.
3) Несколько программ могут использовать этот CLSID решение надо принимать по ситуации.

В таких спорных случаях информация о том кому принадлежит этот ключ тоже бывает очень полезна.



> спасибо за участие,вашу инфу принял,если есть мысли-пишите...


посты удалены, в шапку инфа не добавлена ... 

может стоило сначала обновить шапку, а потом чистить ? Не видно какие CLSID уже указали для пополнения шапки, а какие ещё нет. Да и ссылка на сайт для проверки может пригодилась бы ещё кому.

_Добавлено через 3 часа 8 минут 32 секунды_
сейчас подумал, что наверно ещё лучше указывать какой исполняеммый файл к нему относится, так в спорных случаях будет видно, что если файл А - это вредонос, а если файл Б - это легитим. Тоесть запись в таблице должна выглядеть примерно так (может только столбцы в другом порядке)




Код:



__
__
__



skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
soloresinternetrusengnum - {1B7043A7-84E1-443A-804F-20A75728892C} - C:\PROGRA~1\SOLO9R~1\SoloRes.dll


__

заодно и эти два ключика в базу добавь 

_Добавлено через 4 минуты 8 секунд_


Koza Nozdri написал(а):


> (Для поиска воспользуйтесь клавишей F3)


как-то криво ищет браузер Opera. Надёжней указать *CTRL + F*.


----------



## Кирилл

*regist*, все верно,я че то не подумал что жругим тоже надо смотреть что добавляли,амне не смотря на удаленные посты все прекрсано видно,щас работаю попозже вынесу в список что бы вам тоже видно было.
ну насчет обработки поисковиками споилеров...хэзэ надо у админов спросить наверное.
Или наверняка известно?
проверил-поисковики видят текст в спойлере,но не отображают и видимо не видят главного-заголовок спойлера


----------



## regist

Koza Nozdri написал(а):


> амне не смотря на удаленные посты все прекрсано видно


кхе, кхе... вот возьмёт *akok* почистит ночью или рано утром мягко удалённые посты и сотрёт их жёстко и _все что нажито непосильным трудом… Портсигар золотой отечественный, магнитофон заграничный, пиджак замшевый… три штуки…_ всё пропало ...

+ там в удалённых потерялся ещё один мой список легитима.

_Добавлено через 2 минуты 59 секунд_


Koza Nozdri написал(а):


> проверил-поисковики видят текст в спойлере,но не отображают и видимо не видят главного-заголовок спойлера


что значит не отображают ? главное, чтоб проиндексировали, а потом человек придёт сюда развернёт спойлер и всё увидит.
ЗЫ, а поисковики не видят *Hide*, а это совсем другое и на этом сайте нет.


----------



## Сашка

так это. открывай regedit и начинай выписывать подряд - через год закончишь.


----------



## Кирилл

*Сашка*, я для етого утилиту замутил,скоро пробовать буду.
так что год не потребуется.

_Добавлено через 5 часов 5 минут 29 секунд_


Сашка написал(а):


> открывай regedit и начинай выписывать подряд - через год закончишь.


На экспорт в текст ушло 2 минуты,на то что бы проставить слэш таблицы еще 2.
итого 4 минуты+80 ключей)))
все что было на семерке я внес в список.


----------



## Сашка

на вот тебе вебальту)) 

по ссылке не дает, зараза


----------



## Sandor

Архив поврежден


----------



## Сашка

из этого поста - http://www.cyberforum.ru/post3557326.html файл export.rar


----------



## Sandor

да, не мало)


----------



## regist

Сашка написал(а):


> на вот тебе вебальту))


а ты уверен, что эти CLSID создаёт именно она ?


----------



## Сашка

regist написал(а):


> а ты уверен, что эти CLSID создаёт именно она ?


а разве не видно?

пример:


> HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0470D7FF-135D-3F24-B8D4-9D0FE702E9A0}\InprocServer32\1.1.0.0\Assembly = *WebAltaSearch*, Version=1.1.0.0, Culture=neutral, PublicKeyToken=cae29f257fecba88



для сравнения два разных результата поиска вебальты у разных юзеров

вот еще мой (неполный)


----------



## Severnyj

У меня все равно такое чувство, что данные CLSID делает система по случайному принципу, поскольку единственное что в них общее это:

Маркер открытого ключа PublicKeyToken=cae29f257fecba88

Делал 2 теста в песочнице, кроме вот таких же результатов - ничего не было


----------



## Кирилл

так что?


----------



## regist

Имхо, в шапку надо добавлять только то что точно знаем, а не по догадкам, что это скорей всего от этого. А также если этот ключ постоянный, а не генерируется случаем образом .... а так я тоже могу ещё пару тясяч ключей вебальты накинуть .

ЗЫ, шапку закрепить надо.

_Добавлено через 1 минуту 56 секунд_
и имхо лучше в шапку в первую очередь добавлять те ключи, которые встречаются в логах.


----------



## Сашка

Severnyj написал(а):


> что данные CLSID делает система по случайному принципу


Леш, большинство номеров совпадет, а какие то - может быть и да.


----------



## shestale

Severnyj написал(а):


> У меня все равно такое чувство, что данные CLSID делает система по случайному принципу


имхо все зависит от регистрации:


> Регистрация:
> 1. Установка предполагает копирование на диск испольняемого файла (типовое расширение - DLL и OCX)
> 2.1 регистрацию может сделать процесс, дропнувший файл
> 2.2 регистрацию может сделать сам файл - при момощи механизма, запускаемого утилитой regsvr32


----------



## Severnyj

Оттуда же:



> Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя. Это особенно опасно, если не видно имя исполняемого файла (при удалении файла с диска ссылка на него в реестре то никуда не пропадет. Если в логе нет имени файла - то это или глюк утилиты, или глюк в реестре, или еще что-то)


----------



## shestale

Тогда и это стоит добавить...


> 1. При удалении файла AVZ делает попытку найти все ссылающиеся на него CLSID. Все найденное удаляется, причем сслыки все удаленные CLSID по возможности вычищаются
> 2. CLSID без исполняемого файла - просто запись в реестре, опасности не несет


----------



## regist

тут речь идёт о справочнике CLSID, так что и удаляться если что будут CLSID. Например в моём списке нелегала


> {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}	Поиск WebAlta	mscoree.dll


ключ нелегален, а файл легален. Так что удалять надо только ключ. В цитате 
*Severnyj* ключевое 


Severnyj написал(а):


> Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя


Так что если мы хотим сделать такой сборник информация должна быть тщательно проверена по разным источникам.

_Добавлено через 4 минуты 50 секунд_


Koza Nozdri написал(а):


> CLSID с переменными значениями


формулировка некорректна, надо бы другую придумать.


----------



## Сашка

regist написал(а):


> так что и удаляться если что будут CLSID


*regist*, уйми свои ручки, не надо ничего удалять, это для общего развития))))


shestale написал(а):


> все зависит от регистрации


если одни и те же clsid в разных системах приписаны одним и тем же файлам, это вряд ли ключ сгенерирован случайно


----------



## Кирилл

Alex1983 написал(а):


> Легал
> 
> 
> Спойлер
> 
> 
> 
> {0063bf63-bfff-4b8f-9d26-4267df7f17dd}
> {06849e9f-c8d7-4d59-b87d-784b7d6be0b3}
> {08825191-c3c7-44e9-8ca6-07ab521fa8f2}
> {09900de8-1dca-443f-9243-26ff581438af}
> {0e1230f8-ea50-42a9-983c-d22abc2eed3c}
> {17965926-b1c0-4302-a699-ff6345ea3148}
> {18df081c-e8ad-4283-a596-fa578c2ebdc3}
> {1f460357-8a94-4d71-9ca3-aa4acf32ed8e}
> {22bf413b-c6d2-4d91-82a9-a0f997ba588c}
> {2670000a-7350-4f3c-8081-5663ee0c6c49}
> {32f66a26-7614-11d4-bd11-00104bd3f987}
> {3affd7f7-fd3d-4c9d-8f83-03296a1a8840}
> {4248fe82-7fcb-46ac-b270-339f08212110}
> {438755c2-a8ba-11d1-b96b-00a0c90312e1}
> {53707962-6f74-2d53-2644-206d7942484f}
> {5499bcb1-5641-4a4c-9f75-462d4d8d0da0}
> {59273ab4-e7d3-40f9-a1a8-6fa9cca1862c}
> {5cbe3b7c-1e47-477e-a7dd-396db0476e29}
> {6ebf7485-159f-4bff-a14f-b9e3aac4465b}
> {724d43a9-0d85-11d4-9908-00400523e39a}
> {72853161-30c5-4d22-b7f9-0bbc1d38a37e}
> {7558b7e5-7b26-4201-bedb-00d5ff534523}
> {8984b388-a5bb-4df7-b274-77b879e179db}
> {898ea8c8-e7ff-479b-8935-aec46303b9e5}
> {8c7461ef-2b13-11d2-be35-3078302c2030}
> {8dae90ad-4583-4977-9dd4-4360f7a45c74}
> {8dcb7100-df86-4384-8842-8fa844297b3f}
> {9030d464-4c02-4abf-8ecc-5164760863c6}
> {91397d20-1446-11d4-8af4-0040ca1127b6}
> {91774881-d725-4e58-b298-07617b9b86a8}
> {92780b25-18cc-41c8-b9be-3c9c571a8263}
> {95289393-33ea-4f8d-b952-483415b9c955}
> {9961627e-4059-41b4-8e0e-a7d6b3854adf}
> {9b43b7b1-bf56-4708-81d2-332d708b0dd9}
> {9bfba68e-e21b-458e-ae12-fe85e903d2c1}
> {9cfaccb6-2f3f-4177-94ea-0d2b72d384c1}
> {a55f9c95-2bb1-4ea2-bc77-dfaab78832ce}
> {aa58ed58-01dd-4d91-8333-cf10577473f7}
> {aaa288ba-9a4c-45b0-95d7-94d524869db5}
> {ae805869-2e5c-4ed4-8f7b-f1f7851a4497}
> {af69de43-7d58-4638-b6fa-ce66b5ad205d}
> {b4f3a835-0e21-4959-ba22-42b3008e02ff}
> {b5a7f190-dda6-4420-b3ba-52453494e6cd}
> {c672f4ab-780b-45c0-baec-91f455c86f8d}
> {ccf151d8-d089-449f-a5a4-d9909053f20f}
> {dbc80044-a445-435b-bc74-9c25c1c588a9}
> {e2e2dd38-d088-4134-82b7-f2ba38496583}
> {e33cf602-d945-461a-83f0-819f76a199f8}
> {e59eb121-f339-4851-a3ba-fe49c35617c2}
> {e6fb5e20-de35-11cf-9c87-00aa005127ed}
> {e7e6f031-17ce-4c07-bc86-eabfe594f69c}
> {ebf2ba02-9094-4c5a-858b-bb198f3d8de2}
> {fb5f1910-f110-11d2-bb9e-00c04f795683}
> {fcbccb87-9224-4b8d-b117-f56d924beb18}
> {ffc8b962-9b40-4dff-9458-1830c7dd7f5d}



откуда инфа?
некоторые значения неоднозначны.
если со своего компа,проверь что покажет эта прога Посмотреть вложение CLSID Dump.rar


----------



## regist

Сашка написал(а):


> не надо ничего удалять, это для общего развития))))


*Сашка*, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка в поисках информации и если она будет неверна, то удалить легал.


> если одни и те же clsid в разных системах приписаны одним и тем же файлам


у тебя уже есть большая статистика с систем с заражённых вебальтой и не заражённой её ? Если нет, то статистика может быть искажена, приводил пример (к сожалению пост затёрли) возьмём этот CLSID 0E1230F8-EA50-42A9-983C-D22ABC2EED3B на компе заражённом вебальтой он попадёт в твой список и ты заявишь, что это от неё. А в нормальном справочнике, который проверил по сотням компов информация будет намного более полной и справедливой http://www.systemlookup.com/lists.php?list=1&type=clsid&search=0E1230F8-EA50-42A9-983C-D22ABC2EED3B в итоге вывод иногда он может быть и легален. Поэтому надо указывать в шапке, кто может использовать этот ключ и какой исполняемый файл.


----------



## Кирилл

*regist*, как представляешь это?
перечень вариантов?

_Добавлено через 1 минуту 24 секунды_
может такие вносить в ту категорию,которая является с плавающими вариантами?


----------



## Сашка

regist написал(а):


> Сашка, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка


ну тогда, как говорится, сам дурак и будет))


regist написал(а):


> большая статистика с систем с заражённых вебальтой


большая - это сколько?
ну я кагбэ не статистическое бюро)))) а если хочешь заморочиться - я тебе надергаю результатов поиска вебальты AVZ - сиди, сравнивай. 

несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.

что ты предлагаешь то?

_Добавлено через 2 минуты 46 секунд_


Koza Nozdri написал(а):


> с плавающими вариантами?


это если известно как минимум 2 варианта. 

вообще тема это необьятная, может быть, имеет смысл выписывать только легал. 

а то вдруг кому неть в голову придет начать составлять список хэшей всех известных файлов... и не только))))


----------



## Severnyj

Я предлагаю только легитимные системные CLSID сюда запостить


----------



## Сашка

Severnyj написал(а):


> только легитимные системные CLSID сюда запостить


разумно


----------



## Кирилл

весь легитим со своей оси я выписал.

_Добавлено через 1 минуту 26 секунд_
по тихой добивать что еще попадется из софта напирмер?
или тока системные?


----------



## regist

Сашка написал(а):


> ну тогда, как говорится, сам дурак и будет))


виноваты будем. так как мы вынесли им вердиктикт зловреды.



Сашка написал(а):


> несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.


по ним как бы вообще нет данных зловреды это или нет и взята они как понимая из файла экспорта реестра так что о них мы практически ничего не знаем, так что просто предлагаю не вносить за недостатком данных.


Koza Nozdri написал(а):


> как представляешь это?
> перечень вариантов?


если несколько вариантов, то надо под спойлером указывать все возможные варианты тогда по ситуации будет видно, к какой категории в данном случае относится.


Сашка написал(а):


> я тебе надергаю результатов поиска вебальты AVZ


опять таки эт будут данные только с компов заражённых вебальтой, к кому они там будут относиться можно заранее сказать.



Severnyj написал(а):


> Я предлагаю только легитимные системные CLSID сюда запостить


тот список нелегала, который выписал и который уже в шапке был проверен и яшей и гошей и системлукапом,так что в них я уверен. Считаю что нужно анологично добавлять и другие зловредные ключи, но при этом так же тщательно проверив.

_Добавлено через 1 минуту 4 секунды_


Koza Nozdri написал(а):


> по тихой добивать что еще попадется из софта напирмер?


да хотя бы антивирусы.


----------



## Сашка

regist написал(а):


> виноваты будем. так как мы вынесли им вердиктикт зловреды



а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот. Так что все - не постоянно, поскольку список, если составляется, то не на пару месяцев, и потом могут быть не точности.

поэтому есть смысл составлять только список системных данных.

Вебальту пока к 100% зловредам пока не относят. Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет. Но тема "убить вебальту" в сети популярна.


----------



## regist

Сашка написал(а):


> Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет.


в том-то и дело зачем добавлять эти ключи, если их можно найти поиском в реестре. Если уж искать в реестре, то проще забить вебальта и будет надёжней.



Сашка написал(а):


> а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот.


сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов, другое дело что зловреды могут начать потом использовать ключи от легальных, но по крайней мере от нас будет информация, что нельзя слепо его удалять и он может легальным (а справочник надеюсь будет обновляться и эта информация если изменится тоже обновится). А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.


----------



## Кирилл

давайте так:
отдельно оставляем спойлер легитим системный.
я вынес для вин7 ультиматум
если у кого есть хр,базик,виста и прочие системы то с помощью проги *из этого поста *вы сможете легко за 3 минуты сделать список ключей,останется только слэш для таблицы поставить.


----------



## shestale

Сашка написал(а):


> может быть, имеет смысл выписывать только легал.





Severnyj написал(а):


> Я предлагаю только легитимные системные CLSID сюда запостить


Я же предлагал это в самом начале.., но *Koza Nozdri*, затер)))


----------



## Alex1983

Koza Nozdri написал(а):


> откуда инфа?
> некоторые значения неоднозначны.


Нет не с моего. А, что есть ошибки?


----------



## Кирилл

Alex1983 написал(а):


> Нет не с моего. А, что есть ошибки?


есть неоднозначные.


----------



## Сашка

regist написал(а):


> Если уж искать в реестре, то проще забить вебальта и будет надёжней.


а ты думал, оно ищется как то по другому?


regist написал(а):


> сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов


конечно, куда им. а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор, из которых часть со временем отойдет в нишу легальных, часть -зловредных, еще что то останется ни то ни се - и как с этим быть? Не будь наивным.


----------



## Кирилл

shestale написал(а):


> но Koza Nozdri, затер)))


саш затираю не из вредности,а что бы не размножать объем речевого оборота)))
но оп ходу бесполезно...

_Добавлено через 21 минуту 23 секунды_


regist написал(а):


> А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.


это верно,не учел.
короче я занимаюсь легитимом системным,если админы не против-то оставлю и малварьные,но принимать ключи будем тока от спецов.
софтовые делать понту нет,неопределенные тоже-лучше добить еще тему или пост о том как формируются данные ключи и как их правильно анализировать.
имхо


----------



## regist

Сашка написал(а):


> а ты думал, оно ищется как то по другому?


не вижу тогда пользы от того, что выпишем её ключи.

_Добавлено через 5 минут 32 секунды_


Сашка написал(а):


> а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор,


имхо либо вообще не включать их пока в шапку, либо добавлять, но указывать от чего. А пользователь/хелпер или кто там будет эту информацию смотреть будет решать, как с ними поступить. Может просто немного расширить систему оценки, не только хороший и плохой, но и допустим нейтральный. А для того чтобы не изобретать заново велосипед предлагаю посмотреть, как это сделано на специализированных справочниках том же http://www.systemlookup.com и сделать наподобие.


----------



## shestale

Koza Nozdri написал(а):


> но оп ходу бесполезно...


А ты не затирай, а вынеси все посты, которые считаешь здесь не нужные в отдельную тему: "Обсуждение краткого справочника CLSID"..., очень полезно перечитывать мнения других участников обсуждения)))


Koza Nozdri написал(а):


> короче я занимаюсь легитимом системным...


А вот это верно, когда я их в первом твоем посту увидел, мне понравилось что есть их описание)))


----------



## Кирилл

*shestale*,перенес все кроме шапки,так всем диалог виден)))


----------



## regist

для пополнения списка малвары





Код:



__
__
__



24311111-1111-1121-1111-111191113457 - Trojan-Downloader.Win32.Mediket.au - eied_s7.cab
33331111-1111-1111-1111-611111193423 - 777.cab
33331111-1111-1111-1111-611111193429 - _ipsec_.cab
33331111-1111-1111-1111-611111193457 - Adult Content Dialer - ex.cab
33331111-1111-1111-1111-611111193458 - Adult Content Dialer - ex.cab
43331111-1111-1111-1111-611111195622 - Adult Content Dialer - ex.cab
61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633 - WebAlta


__


----------



## Сашка

ты уверен что эти номера жестко закреплены за тем что ты нашел? доказательства приведи


----------



## regist

*Сашка*, гугол в помощь, конкретные ссылки давать не буду, т.к. определял не по одному сайту и не по одному логу.


----------



## Сашка

это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого


----------



## regist

несколько минут, искал где исходная тема, чтобы другим не искать http://safezone.cc/forum/showthread.php?t=20350

_Добавлено через 2 часа 5 минут 36 секунд_


Сашка написал(а):


> это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого



вроде уже обсуждали ... что ключи явных зловредов никто не станет использовать для легала и ты вроде согласился. Кол-во записей в гугле доказывает, что ключи появились не сегодня и пользуются популярностью (часть логов были датированы 2009 годом) . А также ты можешь ещё дополнительно перепроверить здесь http://www.systemlookup.com/ считаю этот сайт тоже надо указать в шапке справочника.


----------



## Сашка

regist написал(а):


> что ключи явных зловредов никто не станет использовать для легала


есть полулегал и условный легал (и не легал), не забывай. Вроде обсудили уже что со временем эти значения могут поменяться и что не стоит его вписывать, если справочник создается не на пару месяцев.


----------



## Кирилл

*regist*, укажу,буду редактировать тему тока домои вернусь...


----------



## regist

*Сашка*, согласен насчёт полулегала и разных тулбаров, но то что явный зловреды вписывать надо, а моих списках только они (за исключением тулбара вебальта, которая признана в связях с преступностью).


----------



## Кирилл

надо указывать исполнительный файл-тогда путанницы точно не будет)


----------



## Сашка

вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню, и не факт что это всегда и только вебальта окажется. а к твоим явным зловредом потом может быть присоединено что угодно - не зловредное, допустим. и до кучи, благодаря твоим стараниям будет удаляться.

если такие вещи вписывать - то тока в раздел переменных значений.

_Добавлено через 57 секунд_


Koza Nozdri написал(а):


> надо указывать исполнительный файл-тогда путанницы точно не будет)


сейчас он один, потом может быть другой.


----------



## regist

Сашка написал(а):


> вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню,


*Сашка*, в этом и разница, что ты делаешь поиск в реестре без особой проверки ключей, а я поштучно и только из логов. Когда это делаешь поштучно как раз есть возможность проверить это только вебальта или нет.


----------



## Сашка

ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).


regist написал(а):


> поштучно и только из логов


и в чем разница? поштучно вебальта более вебальтистая, чем оптом? сам то себя понял? вроде не на базаре ))))))


----------



## regist

на проверку каждого ключа у меня уходит много времени ... на проверку тысячи думаю времени не хватит и у тебя. 



Сашка написал(а):


> ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).


я проверяю поиском в гугле и на других сайтах, каждый ключ и если он может принадлежать ещё кому-то это тоже отмечаю.


----------



## Сашка

Сашка написал(а):


> (если даже не сейчас, вполне* может будет завтра*).


о да ты предсказатель будущего))))


----------



## regist

*Сашка*, тогда вообще ни один справочник составлять нельзя, всё течёт, всё меняется (с). и наш справочник тоже должен меняться.


----------



## Сашка

но не с такой скоростью, с какой меняются вирусные базы, поэтому возможны ошибки

говорилось уже о том, чтобы составить базу системного легала и более менее зарекомендовавшего себя софта - как нечто более стабильное. а остальное - если и собирать, то в кучу "сегодня это может быть одно, завтра - другое". Имхо, предсказывать - не наш профиль.


----------



## regist

Сашка написал(а):


> с какой меняются вирусные базы, поэтому возможны ошибки


вот с этим моментом не согласен, значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл. 


Сашка написал(а):


> составить базу системного легала


тогда и это нельзя составлять, а вдруг завтра эти ключи будут использовать зловреды 

вообще странный предмет спора. Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.


----------



## Сашка

regist написал(а):


> ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл.


зачем впадать в крайности, я говорил о 


Сашка написал(а):


> есть полулегал и условный легал (и не легал)



не 


regist написал(а):


> Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.


а 


Сашка написал(а):


> если и собирать, то в кучу "сегодня это может быть одно, завтра - другое"





regist написал(а):


> значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день


не реже чем будет обновляться этот список. а он будет скорей всего не обновляться, а дополняться, т к когда станет немаленьким, некому будет постоянно переписывать и исправлять старые записи, поэтому на все что скорей всего не является более-менее постоянным вешать ярлык "100% троянский clsid и всегда таким будет" - не стоит.


regist написал(а):


> а вдруг завтра эти ключи будут использовать зловреды


такая же вероятность, как например использовать имя explorer.exe в папке windows


----------



## regist

Сашка написал(а):


> а он будет скорей всего не обновляться, а дополняться,


уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.



Сашка написал(а):


> поэтому на все что скорей всего не является более-менее постоянным


стараюсь выписывать те записи, которые постоянны, в частности выше уже писал смотрю насколько они распространены, как давно встречаются в логах. Бывают ли в логах другие программы относящиеся к этим ключам.


----------



## Сашка

regist написал(а):


> уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.


я так понимаю, список будет не из 10 строчек (и не из 100), чтобы влегкую быстро замечать все изменения. а скорее всего из нескольких тысяч - не напасешься поправляльщиков.


----------



## shestale

Согласен, да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID, а объять необъятное ... для чего?


----------



## glax24

shestale написал(а):


> да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID


Вообщем колесо или не колесо, но получилось типа автоматизировать справочник по CLSID. Программка в прямом и переносном смысле писалась на коленках. Что делает программа при запуске считывает из ini clsid и сидит в трее, и читает из буфера обмена при нажатие горячей клавиши по умолчанию Shift+Alt+i и выводит результат.
*Скачать InfoCLSID*


----------



## Кирилл

*glax24*, что то непонятно как работать должно?
В трэй то она стартует,а вот куда и чего копирует?
В файлике ini лишь что то типа этого...




Код:



__
__
__



{7A041F13-A111-12A3-B0CF-F99818AA68A7}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zxmsdwin.dll
{7C8D1401-A58D-A81C-CD24-A5915C4517C7}=7C8D1401-A58D-A81C-CD24-A5915C4517C7|%SYSDIR%\mnmhgsrv.dll
{7FD45A54-9875-698F-E56E-65102358FDF7}=Trojan-GameThief.Win32.OnLineGames.sasz|%SYSDIR%\apsggjba.dll
{80AF1289-F140-A140-D012-C1458759FC08}=Trojan-GameThief.Win32.OnLineGames.ryqo|%SYSDIR%\ypcqghlp.dll
{88888888-8888-8888-8888-888888888888}=Trojan.Ransompage
{AA59145F-315D-BC23-AC1F-145DF81A34AA}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zyzxjime.dll
{B629FF4F-ACDB-5C90-A098-FACB3456A26B}=TROJ_GAMETHIE.PW trojan|%SYSDIR%\hdf453d.dll
{B98CBF3C-FDFE-7CBA-EAC8-B9DB607DCC6A}=Trojan.Siggen2.46200|svshost.exe
{F1E59DF7-D7FC-4ED6-BC1D-D13BE02FE6C5}=BrowserModifier:Win32/Kerlofost|600.dll, ***.dll,se146.dll,se***.dll,SjZOBvl2.dll,SkypeSound_m.dll
{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}=Поиск WebAlta|mscoree.dll
{FF0FE70F-B832-42F1-BAFF-247753B5E452}=BrowserModifier:Win32/Kerlofost|600.dll, 917.dll,***.dll,se146.dll,se***.dll
{L0TLUV47-SOHF-AFV1-3615-3D3LT5OPS2LO}=variant of MSIL/Injector.FP|svshost.exe


__


----------



## shestale

Koza Nozdri написал(а):


> как работать должно?


Например в логе АВЗ видешь CLSID, который тебе не известен, выделяешь его, копируешь в буфер обмена, а затем нажимаешь горячие клавиши.
... и наблюдаешь это(см. рисунок) 
А если серьезно, *Glax24*, неплохо, если сопровождение программы будет.


----------



## Кирилл

ряд clsid в системе очень неоднозначны,имхо сопровождение необходимо.
Задумка очень хорошая,и неплохо бы научить прогу вытягивать имеющиеся clsid в список.

_Добавлено через 1 минуту 32 секунды_


glax24 написал(а):


> но получилось типа автоматизировать справочник по CLSID


позже добавлю к теме в фак


----------



## glax24

*Koza Nozdri*, 
*shestale*, все правильно разьяснил.

_Добавлено через 1 минуту 17 секунд_


Koza Nozdri написал(а):


> неплохо бы научить прогу вытягивать имеющиеся clsid в список.


Поясни


----------



## Кирилл

glax24 написал(а):


> Поясни


в список импортировать бы имеющиеся в системе clsid,например для бэкапа на случай,или если от юзверя лог получить этой утилитой и самому посмотреть на его clsid...
как на это смотришь?
пойду чаю бахну и залью твою утилиту в тему.
Ты не против?


----------



## glax24

Koza Nozdri написал(а):


> Ты не против?


Только за )))


Koza Nozdri написал(а):


> в список импортировать бы имеющиеся в системе clsid


Я думал над этим, но получается что у каждого будет свой список что не гуд.


Koza Nozdri написал(а):


> например для бэкапа на случай


Для это есть более продвинутые проги например ERUNT. 


Koza Nozdri написал(а):


> или если от юзверя лог получить этой утилитой и самому посмотреть на его clsid...


Запрашивать лишний лог тоже не хорошо, AVZ и так показывает подозрительные CLSID.
Так что пока только справочник по CLSID из твоей темы.


----------



## shestale

glax24 написал(а):


> Так что пока только справочник по CLSID из твоей темы.


Имхо этого достаточно, если будет сам справочник расширяться.


----------



## regist

У кого права есть добавьте в первый пост ссылку http://safezone.cc/forum/showthread.php?t=20350

_Добавлено через 6 минут 59 секунд_


shestale написал(а):


> Например в логе АВЗ видешь CLSID, который тебе не известен, выделяешь его, копируешь в буфер обмена, а затем нажимаешь горячие клавиши.


какие именно клавиши надо нажимать ? пробовал из INI с программой, ничего не происходит.


----------



## Кирилл

regist написал(а):


> У кого права есть добавьте в первый пост ссылку http://safezone.cc/forum/showthread.php?t=20350


надо тему из оффтопа в реестр перенести,я допустил ошибку вынося обсуждение тем в оффтоп(((
теперь тока к искандеру,северному или акок

_Добавлено через 1 минуту 7 секунд_
*glax24*, завтра или сегодня хотел добавить в список clsid от win 8.
их просто добавить в файл ини?
или как?


----------



## shestale

regist написал(а):


> какие именно клавиши надо нажимать ?


эти


glax24 написал(а):


> Shift+Alt+i


----------



## glax24

*shestale*, хоть ты меня понял. )))) 


Koza Nozdri написал(а):


> их просто добавить в файл ини?


Да просто, добаляешь в ini в нужную секцию.
{CLSID}=Описание|запускаемый файл
|- является разделителем


----------



## Кирилл

ок.


----------



## shestale

glax24 написал(а):


> shestale, хоть ты меня понял. ))))


Да все понятно вроде.


----------



## regist

glax24 написал(а):


> может сразу в ini формате


*glax24*, на форуме всё равно надо их публиковать, чтобы они индексировались и из поисковиков могли найти.


----------



## glax24

*Koza Nozdri*, Кирилл тебе куда писать в ЛС сообщения не отправляются, на почту как-то не фонтан.


----------



## Кирилл

Саш,личку открою сегодня.
У меня чудеса то ли с компом то ли с форумом,сижу ковыряю логи,файлы и журнал.

_Добавлено через 7 минут 24 секунды_
Личку включил.


----------



## Кирилл

Обновил.


----------

