# Оффтоп из темы "Способы Автозапуска"



## Loader (28 Апр 2009)

*Alex56*, если я правильно понял в основном по этим веткам реестра ведется поиск в HijackThis


----------



## Alex56 (28 Апр 2009)

*Loader*, я думаю и не только в HijackThis


----------



## luvis (5 Ноя 2009)

Читая вашу статью, запустила поиск файла WINLOGON.EXE. Один нашла. как и положено, в папке C:\Windows\Sistem 32, а вот второй в C:\Windows\ServisPackFiles\i386. Что делать? Удалять второй файл?


----------



## akok (5 Ноя 2009)

*luvis*, нет. Это легитимный файл.


----------



## urist (2 Дек 2009)

akoK написал(а):


> *luvis*, нет. Это легитимный файл.



У меня такая-же проблема.
А будьте так любезны чудь подробнее, что за легитимный файл?
Дело в том, что все процессы помимо windows/system32 дублируются в Windows\ServisPackFiles\i386.
Сначала я удалила alg.exe и smss.exe, потом поняла, что они все там расположены. Поместить их на место, или отсутствие их не страшно?


----------



## urist (2 Дек 2009)

wmiprvse.exe 
найден аж в 8 экземплярах, 1 из которых нормальный.
Кто-нибудь может подсказать, какие нужно удалить.


----------



## akok (3 Дек 2009)

Это все легитимные файлы. Эти копии созданы после обновления компьютера.


----------



## MotherBoard (3 Дек 2009)

Действительно полезная информация.....)))


----------



## Nound (28 Мар 2011)

Loader написал(а):


> *Alex56*, если я правильно понял в основном по этим веткам реестра ведется поиск в HijackThis



По-моему в HijackThis и половины этих веток реестра нет :blush:

_Добавлено через 8 минут 14 секунд_
А что тут означает "знак плюса"? Цитата:


> HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute +


----------



## edde (28 Мар 2011)

Параметр BootExecute реестра содержит одну или несколько команд, которые Диспетчер сеансов выполняет перед загрузкой сервисов.


----------



## Chinaski (23 Май 2011)

К этому списку я бы добавил HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems параметр Windows, определяет путь к исполняемому файлу, используемый для запуска подсистемы Win32.
Троянец base?32.dll использовал данный параметр в качестве автозапуска.


----------



## Matias (23 Ноя 2012)

Windows Program Automatic Startup Locations
Я предпочитаю использовать оригинальное англоязычное руководство. Всегда лучше читать подобные статьи на языке оригинала, в этом случае можно не опасаться искажения смысла, которое может возникнуть при переводе на русский. К тому же русский язык не является родным для автора русскоязычного руководства. В своем дневнике она четко указала, что родилась и выросла в Латвии.


----------



## Matias (3 Дек 2012)

Nound написал(а):


> в HijackThis и половины этих веток реестра нет


Совершенно верно. HJT безнадежно устарел. В настоящее время утилита не развивается. Для просмотра всевозможных мест автозапуска следует использовать Autoruns.


----------



## Кирилл (3 Дек 2012)

*Matias*, зы!
Отстаем от тематики форума:
Составьте ка доступный юзверю фикс на основе авторан?
Ась?


----------



## Matias (3 Дек 2012)

Интерфейс Autoruns интуитивно понятен. Использование утилиты не вызовет затруднений даже у начинающего пользователя.


----------



## Сашка (3 Дек 2012)

Matias написал(а):


> Использование утилиты не вызовет затруднений даже у начинающего пользователя.


не вызовет. завалить систему с его помощью тоже затруднений не вызовет.


----------



## Matias (3 Дек 2012)

Сашка написал(а):


> завалить систему с его помощью тоже затруднений не вызовет


Предполагается, что Autoruns будет использоваться под руководством консультанта. В этом случае никаких неприятных последствий не будет.


----------



## Кирилл (3 Дек 2012)

*Matias*, дубль два:
Берем тему с sality из раздела лечения и составляем фикс.
Ась?
Ы...
какой я злой!


----------



## Matias (3 Дек 2012)

Koza Nozdri написал(а):


> Берем тему с sality


Если я не ошибаюсь, для борьбы с sality существует специальная утилита, выпущенная ЛК. Она вроде бы должна чистить реестр от паразитных ссылок, оставленных зловредом.


----------



## Кирилл (3 Дек 2012)

*Matias*, 
*Matias*, давайте подтвердим ваше мастерство и сделаем это НЕ утилитой,а руками?
Я вас сразу зауважаю и буду называть сенсеем своим если с помощью Autoruns вы излечите sality...


----------



## Сашка (3 Дек 2012)

а давайте вы не будете меряться здесь этим самым, непонятно зачем выясняя кто круче


----------



## Drongo (3 Дек 2012)

*Matias*, Итак, вы открыли утилиту *Autoruns*. Как профи юзеру, распишите процедуру создания лога и\или того места автозапуска которое проблемное в случае заражения. Какую мне нужно предоставить вам информацию по авторану, чтобы вы могли мне порекомендовать что и где отключить.


----------



## Кирилл (4 Дек 2012)

*Сашка*, никто не меряется.
Ищем истину.
Жду ответ Сэнсея.


----------



## Matias (4 Дек 2012)

Drongo написал(а):


> Какую мне нужно предоставить вам информацию по авторану,


Мне не очень понятен ваш вопрос. В Autoruns есть возможность сохранения протокола в текстовый файл. Там, естественно, содержится вся необходимая информация. Кроме того, в настройках программы можно включить опцию проверки цифровых подписей. Зловреды, естественно, не пройдут ее.


----------



## Drongo (4 Дек 2012)

Matias написал(а):


> В Autoruns есть возможность сохранения протокола в текстовый файл


Распишите мне её как юзеру-нубу.

1. Как создать текстовый лог.
2. Как после анализа удалять\отключать выбранные по логу записи.


----------



## Matias (4 Дек 2012)

Инструкция по использованию Autoruns.


----------



## Кирилл (4 Дек 2012)

*Matias*, ну что вы юлите,дайте четкий ответ.


----------



## Matias (4 Дек 2012)

Раз уж в этой теме упоминается HJT нельзя не отметить, что в этой утилите есть незакрытая уязвимость, позволяющая любой гадости скрывать свои записи. Причем разработчики давно знают об этой уязвимости, но она до сих пор не исправлена.


----------



## Кирилл (4 Дек 2012)

Админам просьба-если можно пообщаться с человеком и это не противоречит правилам,перенесите тему вкуды положено?


----------



## Сашка (4 Дек 2012)

В обчем так. Различных сканеров автозапуска существует множество. Autoruns - один из них. Отличаются друг от друга удобством использования и областью применения (в целом). Autoruns хороший сканер, как и вся продукция Sysinternals, но не имеет антивирусной направленности, т е не сможет обнаружить вредные файлы, использующие маскировку, поэтому в качестве замены AVZ+HijackThis не годится. Г-н *Matias* может использовать все что ему хочется и где хочется. А обсуждать что лучше использовать в этих разделах мы будем без *Вас*, г-н *Matias*. За сим, оффтоп в этой теме пора прекратить.


----------



## Matias (4 Дек 2012)

Кстати, на том же BC HJT практически не применяется. Вместо него, как правило, используется OTL. Эта утилита обладает гораздо большим функционалом по сравнению с HJT.


----------



## akok (4 Дек 2012)

HJT это вспомогательная утилита, при всей ее "старости" это еще мощный инструмент в умелых руках.

Информация
Тему в оффтоп переношу.


----------



## Кирилл (4 Дек 2012)

*Matias*, вы любите привлекать себе внимание.
Вам нравится упиваться своей индивидуальностью и неповторимостью.
Для этого избран старый метод-ловим место,где можно задеть за живое,отписываемся какой нибудь пространственной репликой и ждем реакции аппонентов.
А так как часть общества отвечать не желает,а часть не рискует вступать в дискуссию так как не совсем ясен ход ваших мыслей(а вдруг че то умное сказал?) то вы получаете желаемое ощущение собственного превосходства.
*<Тут было много текста>*
Вывод:
Это безоговорочная капитуляция и погибель вашего имиджа.

С уважением,расстрел производил *Koza Nozdri.*


----------



## Sfera (4 Дек 2012)

ммм.. какие страсти...
сильные форума сего мужи меряются интеллектом, 
погодите, я возьму попкорн и сяду поудобнее..



Matias написал(а):


> на том же BC HJT практически не применяется


просветите, что такое ВС, хочется быть в теме



Koza Nozdri написал(а):


> С уважением,расстрел производил Koza Nozdri.


дай поговорить человеку, чего хоронишь имидж сразу?


----------



## Severnyj (4 Дек 2012)

Sfera написал(а):


> просветите, что такое ВС, хочется быть в теме


http://www.bleepingcomputer.com/forums/forum22.html


----------



## Sfera (4 Дек 2012)

ясно) у нас даже есть студент, который пытался там начать обучение...


----------



## akok (4 Дек 2012)

Холивар? Не нужно. Тему закрываю.


----------



## Severnyj (4 Дек 2012)

Я тоже пытался - местов нет))

_Добавлено через 4 минуты 25 секунд_


akoK написал(а):


> Холивар? Не нужно. Тему закрываю.


Не, сейчас сделаю инструкцию по созданию лога Autoruns и разбавим)))


----------



## Сашка (4 Дек 2012)

Severnyj написал(а):


> инструкцию по созданию лога Autoruns и разбавим)))


))) кнопка "файл" - "сохранить" вот и вся мегасложная инструкция


----------



## Severnyj (4 Дек 2012)

А как же опции фильтрации?


----------

