обсуждение справочника CLSID

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
на вот тебе вебальту))

по ссылке не дает, зараза
 

Вложения

Последнее редактирование:

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,680
Реакции
2,060
Баллы
643
Архив поврежден
 

Sandor

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Преподаватель
Сообщения
6,680
Реакции
2,060
Баллы
643
да, не мало)
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
а ты уверен, что эти CLSID создаёт именно она ?
а разве не видно?

пример:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0470D7FF-135D-3F24-B8D4-9D0FE702E9A0}\InprocServer32\1.1.0.0\Assembly = WebAltaSearch, Version=1.1.0.0, Culture=neutral, PublicKeyToken=cae29f257fecba88
для сравнения два разных результата поиска вебальты у разных юзеров

вот еще мой (неполный)
 

Вложения

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
У меня все равно такое чувство, что данные CLSID делает система по случайному принципу, поскольку единственное что в них общее это:

Маркер открытого ключа PublicKeyToken=cae29f257fecba88

Делал 2 теста в песочнице, кроме вот таких же результатов - ничего не было
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008
Имхо, в шапку надо добавлять только то что точно знаем, а не по догадкам, что это скорей всего от этого. А также если этот ключ постоянный, а не генерируется случаем образом .... а так я тоже могу ещё пару тясяч ключей вебальты накинуть ;).

ЗЫ, шапку закрепить надо.

Добавлено через 1 минуту 56 секунд
и имхо лучше в шапку в первую очередь добавлять те ключи, которые встречаются в логах.
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
У меня все равно такое чувство, что данные CLSID делает система по случайному принципу
имхо все зависит от регистрации:
Регистрация:
1. Установка предполагает копирование на диск испольняемого файла (типовое расширение - DLL и OCX)
2.1 регистрацию может сделать процесс, дропнувший файл
2.2 регистрацию может сделать сам файл - при момощи механизма, запускаемого утилитой regsvr32
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Оттуда же:

Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя. Это особенно опасно, если не видно имя исполняемого файла (при удалении файла с диска ссылка на него в реестре то никуда не пропадет. Если в логе нет имени файла - то это или глюк утилиты, или глюк в реестре, или еще что-то)
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Тогда и это стоит добавить...
1. При удалении файла AVZ делает попытку найти все ссылающиеся на него CLSID. Все найденное удаляется, причем сслыки все удаленные CLSID по возможности вычищаются
2. CLSID без исполняемого файла - просто запись в реестре, опасности не несет
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008
тут речь идёт о справочнике CLSID, так что и удаляться если что будут CLSID. Например в моём списке нелегала
{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} Поиск WebAlta mscoree.dll
ключ нелегален, а файл легален. Так что удалять надо только ключ. В цитате
Severnyj ключевое
Удаляя непонятный CLSID можно привнести непонятную проблему в систему пользователя
Так что если мы хотим сделать такой сборник информация должна быть тщательно проверена по разным источникам.

Добавлено через 4 минуты 50 секунд
CLSID с переменными значениями
формулировка некорректна, надо бы другую придумать.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
так что и удаляться если что будут CLSID
regist, уйми свои ручки, не надо ничего удалять, это для общего развития))))
все зависит от регистрации
если одни и те же clsid в разных системах приписаны одним и тем же файлам, это вряд ли ключ сгенерирован случайно
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
Легал
{0063bf63-bfff-4b8f-9d26-4267df7f17dd}
{06849e9f-c8d7-4d59-b87d-784b7d6be0b3}
{08825191-c3c7-44e9-8ca6-07ab521fa8f2}
{09900de8-1dca-443f-9243-26ff581438af}
{0e1230f8-ea50-42a9-983c-d22abc2eed3c}
{17965926-b1c0-4302-a699-ff6345ea3148}
{18df081c-e8ad-4283-a596-fa578c2ebdc3}
{1f460357-8a94-4d71-9ca3-aa4acf32ed8e}
{22bf413b-c6d2-4d91-82a9-a0f997ba588c}
{2670000a-7350-4f3c-8081-5663ee0c6c49}
{32f66a26-7614-11d4-bd11-00104bd3f987}
{3affd7f7-fd3d-4c9d-8f83-03296a1a8840}
{4248fe82-7fcb-46ac-b270-339f08212110}
{438755c2-a8ba-11d1-b96b-00a0c90312e1}
{53707962-6f74-2d53-2644-206d7942484f}
{5499bcb1-5641-4a4c-9f75-462d4d8d0da0}
{59273ab4-e7d3-40f9-a1a8-6fa9cca1862c}
{5cbe3b7c-1e47-477e-a7dd-396db0476e29}
{6ebf7485-159f-4bff-a14f-b9e3aac4465b}
{724d43a9-0d85-11d4-9908-00400523e39a}
{72853161-30c5-4d22-b7f9-0bbc1d38a37e}
{7558b7e5-7b26-4201-bedb-00d5ff534523}
{8984b388-a5bb-4df7-b274-77b879e179db}
{898ea8c8-e7ff-479b-8935-aec46303b9e5}
{8c7461ef-2b13-11d2-be35-3078302c2030}
{8dae90ad-4583-4977-9dd4-4360f7a45c74}
{8dcb7100-df86-4384-8842-8fa844297b3f}
{9030d464-4c02-4abf-8ecc-5164760863c6}
{91397d20-1446-11d4-8af4-0040ca1127b6}
{91774881-d725-4e58-b298-07617b9b86a8}
{92780b25-18cc-41c8-b9be-3c9c571a8263}
{95289393-33ea-4f8d-b952-483415b9c955}
{9961627e-4059-41b4-8e0e-a7d6b3854adf}
{9b43b7b1-bf56-4708-81d2-332d708b0dd9}
{9bfba68e-e21b-458e-ae12-fe85e903d2c1}
{9cfaccb6-2f3f-4177-94ea-0d2b72d384c1}
{a55f9c95-2bb1-4ea2-bc77-dfaab78832ce}
{aa58ed58-01dd-4d91-8333-cf10577473f7}
{aaa288ba-9a4c-45b0-95d7-94d524869db5}
{ae805869-2e5c-4ed4-8f7b-f1f7851a4497}
{af69de43-7d58-4638-b6fa-ce66b5ad205d}
{b4f3a835-0e21-4959-ba22-42b3008e02ff}
{b5a7f190-dda6-4420-b3ba-52453494e6cd}
{c672f4ab-780b-45c0-baec-91f455c86f8d}
{ccf151d8-d089-449f-a5a4-d9909053f20f}
{dbc80044-a445-435b-bc74-9c25c1c588a9}
{e2e2dd38-d088-4134-82b7-f2ba38496583}
{e33cf602-d945-461a-83f0-819f76a199f8}
{e59eb121-f339-4851-a3ba-fe49c35617c2}
{e6fb5e20-de35-11cf-9c87-00aa005127ed}
{e7e6f031-17ce-4c07-bc86-eabfe594f69c}
{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}
{fb5f1910-f110-11d2-bb9e-00c04f795683}
{fcbccb87-9224-4b8d-b117-f56d924beb18}
{ffc8b962-9b40-4dff-9458-1830c7dd7f5d}
откуда инфа?
некоторые значения неоднозначны.
если со своего компа,проверь что покажет эта прога Посмотреть вложение CLSID Dump.rar
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,901
Баллы
1,008
не надо ничего удалять, это для общего развития))))
Сашка, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка в поисках информации и если она будет неверна, то удалить легал.
если одни и те же clsid в разных системах приписаны одним и тем же файлам
у тебя уже есть большая статистика с систем с заражённых вебальтой и не заражённой её ? Если нет, то статистика может быть искажена, приводил пример (к сожалению пост затёрли) возьмём этот CLSID 0E1230F8-EA50-42A9-983C-D22ABC2EED3B на компе заражённом вебальтой он попадёт в твой список и ты заявишь, что это от неё. А в нормальном справочнике, который проверил по сотням компов информация будет намного более полной и справедливой http://www.systemlookup.com/lists.php?list=1&type=clsid&search=0E1230F8-EA50-42A9-983C-D22ABC2EED3B в итоге вывод иногда он может быть и легален. Поэтому надо указывать в шапке, кто может использовать этот ключ и какой исполняемый файл.
 

Кирилл

Команда форума
Администратор
Сообщения
14,080
Реакции
6,133
Баллы
993
regist, как представляешь это?
перечень вариантов?

Добавлено через 1 минуту 24 секунды
может такие вносить в ту категорию,которая является с плавающими вариантами?
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
Сашка, сюда может заглянуть, кто угодно, в частности какой-то студент или хелпер недоучка
ну тогда, как говорится, сам дурак и будет))
большая статистика с систем с заражённых вебальтой
большая - это сколько?
ну я кагбэ не статистическое бюро)))) а если хочешь заморочиться - я тебе надергаю результатов поиска вебальты AVZ - сиди, сравнивай.

несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.

что ты предлагаешь то?

Добавлено через 2 минуты 46 секунд
с плавающими вариантами?
это если известно как минимум 2 варианта.

вообще тема это необьятная, может быть, имеет смысл выписывать только легал.

а то вдруг кому неть в голову придет начать составлять список хэшей всех известных файлов... и не только))))
 

Severnyj

Команда форума
Супер-Модератор
Ассоциация VN/VIP
Сообщения
8,499
Реакции
5,658
Баллы
753
Я предлагаю только легитимные системные CLSID сюда запостить
 
Сверху Снизу