обсуждение справочника CLSID

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
regist, укажу,буду редактировать тему тока домои вернусь...
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Сашка, согласен насчёт полулегала и разных тулбаров, но то что явный зловреды вписывать надо, а моих списках только они (за исключением тулбара вебальта, которая признана в связях с преступностью).
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
надо указывать исполнительный файл-тогда путанницы точно не будет)
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню, и не факт что это всегда и только вебальта окажется. а к твоим явным зловредом потом может быть присоединено что угодно - не зловредное, допустим. и до кучи, благодаря твоим стараниям будет удаляться.

если такие вещи вписывать - то тока в раздел переменных значений.

Добавлено через 57 секунд
надо указывать исполнительный файл-тогда путанницы точно не будет)
сейчас он один, потом может быть другой.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню,
Сашка, в этом и разница, что ты делаешь поиск в реестре без особой проверки ключей, а я поштучно и только из логов. Когда это делаешь поштучно как раз есть возможность проверить это только вебальта или нет.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).
поштучно и только из логов
и в чем разница? поштучно вебальта более вебальтистая, чем оптом? сам то себя понял? вроде не на базаре ))))))
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
на проверку каждого ключа у меня уходит много времени ... на проверку тысячи думаю времени не хватит и у тебя.

ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).
я проверяю поиском в гугле и на других сайтах, каждый ключ и если он может принадлежать ещё кому-то это тоже отмечаю.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
Сашка, тогда вообще ни один справочник составлять нельзя, всё течёт, всё меняется (с). и наш справочник тоже должен меняться.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
но не с такой скоростью, с какой меняются вирусные базы, поэтому возможны ошибки

говорилось уже о том, чтобы составить базу системного легала и более менее зарекомендовавшего себя софта - как нечто более стабильное. а остальное - если и собирать, то в кучу "сегодня это может быть одно, завтра - другое". Имхо, предсказывать - не наш профиль.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
с какой меняются вирусные базы, поэтому возможны ошибки
вот с этим моментом не согласен, значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл.
составить базу системного легала
тогда и это нельзя составлять, а вдруг завтра эти ключи будут использовать зловреды ;)

вообще странный предмет спора. Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.
 
Последнее редактирование:

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл.
зачем впадать в крайности, я говорил о
есть полулегал и условный легал (и не легал)
не
Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.
а
если и собирать, то в кучу "сегодня это может быть одно, завтра - другое"
значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день
не реже чем будет обновляться этот список. а он будет скорей всего не обновляться, а дополняться, т к когда станет немаленьким, некому будет постоянно переписывать и исправлять старые записи, поэтому на все что скорей всего не является более-менее постоянным вешать ярлык "100% троянский clsid и всегда таким будет" - не стоит.
а вдруг завтра эти ключи будут использовать зловреды
такая же вероятность, как например использовать имя explorer.exe в папке windows
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,650
Реакции
5,905
Баллы
1,008
а он будет скорей всего не обновляться, а дополняться,
уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.

поэтому на все что скорей всего не является более-менее постоянным
стараюсь выписывать те записи, которые постоянны, в частности выше уже писал смотрю насколько они распространены, как давно встречаются в логах. Бывают ли в логах другие программы относящиеся к этим ключам.
 

Сашка

Ветеран
Сообщения
4,610
Реакции
2,338
Баллы
693
уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.
я так понимаю, список будет не из 10 строчек (и не из 100), чтобы влегкую быстро замечать все изменения. а скорее всего из нескольких тысяч - не напасешься поправляльщиков.
 
Последнее редактирование:

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
Согласен, да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID, а объять необъятное ... для чего?
 

glax24

Разработчик
Сообщения
2,001
Реакции
1,484
Баллы
638
да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID
Вообщем колесо или не колесо, но получилось типа автоматизировать справочник по CLSID. Программка в прямом и переносном смысле писалась на коленках. Что делает программа при запуске считывает из ini clsid и сидит в трее, и читает из буфера обмена при нажатие горячей клавиши по умолчанию Shift+Alt+i и выводит результат.
Скачать InfoCLSID
 

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
glax24, что то непонятно как работать должно?
В трэй то она стартует,а вот куда и чего копирует?
В файлике ini лишь что то типа этого...
Код:
{7A041F13-A111-12A3-B0CF-F99818AA68A7}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zxmsdwin.dll
{7C8D1401-A58D-A81C-CD24-A5915C4517C7}=7C8D1401-A58D-A81C-CD24-A5915C4517C7|%SYSDIR%\mnmhgsrv.dll
{7FD45A54-9875-698F-E56E-65102358FDF7}=Trojan-GameThief.Win32.OnLineGames.sasz|%SYSDIR%\apsggjba.dll
{80AF1289-F140-A140-D012-C1458759FC08}=Trojan-GameThief.Win32.OnLineGames.ryqo|%SYSDIR%\ypcqghlp.dll
{88888888-8888-8888-8888-888888888888}=Trojan.Ransompage
{AA59145F-315D-BC23-AC1F-145DF81A34AA}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zyzxjime.dll
{B629FF4F-ACDB-5C90-A098-FACB3456A26B}=TROJ_GAMETHIE.PW trojan|%SYSDIR%\hdf453d.dll
{B98CBF3C-FDFE-7CBA-EAC8-B9DB607DCC6A}=Trojan.Siggen2.46200|svshost.exe
{F1E59DF7-D7FC-4ED6-BC1D-D13BE02FE6C5}=BrowserModifier:Win32/Kerlofost|600.dll, ***.dll,se146.dll,se***.dll,SjZOBvl2.dll,SkypeSound_m.dll
{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}=Поиск WebAlta|mscoree.dll
{FF0FE70F-B832-42F1-BAFF-247753B5E452}=BrowserModifier:Win32/Kerlofost|600.dll, 917.dll,***.dll,se146.dll,se***.dll
{L0TLUV47-SOHF-AFV1-3615-3D3LT5OPS2LO}=variant of MSIL/Injector.FP|svshost.exe
 

shestale

Ассоциация VN/VIP
Преподаватель
Сообщения
9,705
Реакции
4,654
Баллы
753
как работать должно?
Например в логе АВЗ видешь CLSID, который тебе не известен, выделяешь его, копируешь в буфер обмена, а затем нажимаешь горячие клавиши.
... и наблюдаешь это(см. рисунок) ;)
А если серьезно, Glax24, неплохо, если сопровождение программы будет.
 

Вложения

Последнее редактирование:

Кирилл

Команда форума
Администратор
Сообщения
14,081
Реакции
6,133
Баллы
993
ряд clsid в системе очень неоднозначны,имхо сопровождение необходимо.
Задумка очень хорошая,и неплохо бы научить прогу вытягивать имеющиеся clsid в список.

Добавлено через 1 минуту 32 секунды
но получилось типа автоматизировать справочник по CLSID
позже добавлю к теме в фак
 
Сверху Снизу