обсуждение справочника CLSID

Сашка, согласен насчёт полулегала и разных тулбаров, но то что явный зловреды вписывать надо, а моих списках только они (за исключением тулбара вебальта, которая признана в связях с преступностью).
 
вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню, и не факт что это всегда и только вебальта окажется. а к твоим явным зловредом потом может быть присоединено что угодно - не зловредное, допустим. и до кучи, благодаря твоим стараниям будет удаляться.

если такие вещи вписывать - то тока в раздел переменных значений.

Добавлено через 57 секунд
надо указывать исполнительный файл-тогда путанницы точно не будет)
сейчас он один, потом может быть другой.
 
вэбальту решили не трогать, а то я тоже тыщу другую ключей подгоню,
Сашка, в этом и разница, что ты делаешь поиск в реестре без особой проверки ключей, а я поштучно и только из логов. Когда это делаешь поштучно как раз есть возможность проверить это только вебальта или нет.
 
ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).
поштучно и только из логов
и в чем разница? поштучно вебальта более вебальтистая, чем оптом? сам то себя понял? вроде не на базаре ))))))
 
на проверку каждого ключа у меня уходит много времени ... на проверку тысячи думаю времени не хватит и у тебя.

ты никак не проверишь, только ли это вебальта или еще что то (если даже не сейчас, вполне может будет завтра).
я проверяю поиском в гугле и на других сайтах, каждый ключ и если он может принадлежать ещё кому-то это тоже отмечаю.
 
Сашка, тогда вообще ни один справочник составлять нельзя, всё течёт, всё меняется (с). и наш справочник тоже должен меняться.
 
но не с такой скоростью, с какой меняются вирусные базы, поэтому возможны ошибки

говорилось уже о том, чтобы составить базу системного легала и более менее зарекомендовавшего себя софта - как нечто более стабильное. а остальное - если и собирать, то в кучу "сегодня это может быть одно, завтра - другое". Имхо, предсказывать - не наш профиль.
 
Последнее редактирование:
с какой меняются вирусные базы, поэтому возможны ошибки
вот с этим моментом не согласен, значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл.
составить базу системного легала
тогда и это нельзя составлять, а вдруг завтра эти ключи будут использовать зловреды ;)

вообще странный предмет спора. Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.
 
Последнее редактирование:
ибо то что сегодя это вирус ворующий пароли, а завтра это считается чистый файл.
зачем впадать в крайности, я говорил о
есть полулегал и условный легал (и не легал)

не
Не вносить в базу записи от признанных зловредных файлов, т.к. вдруг завтра кто-то эти записи перестанет считать вирусом.
а
если и собирать, то в кучу "сегодня это может быть одно, завтра - другое"

значит всякие вирусные энциклопедии (типа там секуритилист) и т.д. должны обновляться каждый день
не реже чем будет обновляться этот список. а он будет скорей всего не обновляться, а дополняться, т к когда станет немаленьким, некому будет постоянно переписывать и исправлять старые записи, поэтому на все что скорей всего не является более-менее постоянным вешать ярлык "100% троянский clsid и всегда таким будет" - не стоит.
а вдруг завтра эти ключи будут использовать зловреды
такая же вероятность, как например использовать имя explorer.exe в папке windows
 
а он будет скорей всего не обновляться, а дополняться,
уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.

поэтому на все что скорей всего не является более-менее постоянным
стараюсь выписывать те записи, которые постоянны, в частности выше уже писал смотрю насколько они распространены, как давно встречаются в логах. Бывают ли в логах другие программы относящиеся к этим ключам.
 
уверен, если кто-то из нас в будущем заметит неточность он сообщит и список поправят.
я так понимаю, список будет не из 10 строчек (и не из 100), чтобы влегкую быстро замечать все изменения. а скорее всего из нескольких тысяч - не напасешься поправляльщиков.
 
Последнее редактирование:
Согласен, да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID, а объять необъятное ... для чего?
 
да и зачем "колесо изобретать", ну есть же прекрасные специализированные сервисы по CLSID
Вообщем колесо или не колесо, но получилось типа автоматизировать справочник по CLSID. Программка в прямом и переносном смысле писалась на коленках. Что делает программа при запуске считывает из ini clsid и сидит в трее, и читает из буфера обмена при нажатие горячей клавиши по умолчанию Shift+Alt+i и выводит результат.
Скачать InfoCLSID
 
glax24, что то непонятно как работать должно?
В трэй то она стартует,а вот куда и чего копирует?
В файлике ini лишь что то типа этого...
Код:
{7A041F13-A111-12A3-B0CF-F99818AA68A7}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zxmsdwin.dll
{7C8D1401-A58D-A81C-CD24-A5915C4517C7}=7C8D1401-A58D-A81C-CD24-A5915C4517C7|%SYSDIR%\mnmhgsrv.dll
{7FD45A54-9875-698F-E56E-65102358FDF7}=Trojan-GameThief.Win32.OnLineGames.sasz|%SYSDIR%\apsggjba.dll
{80AF1289-F140-A140-D012-C1458759FC08}=Trojan-GameThief.Win32.OnLineGames.ryqo|%SYSDIR%\ypcqghlp.dll
{88888888-8888-8888-8888-888888888888}=Trojan.Ransompage
{AA59145F-315D-BC23-AC1F-145DF81A34AA}=Trojan-PWS.OnlineGames.ADRD|%SYSDIR%\zyzxjime.dll
{B629FF4F-ACDB-5C90-A098-FACB3456A26B}=TROJ_GAMETHIE.PW trojan|%SYSDIR%\hdf453d.dll
{B98CBF3C-FDFE-7CBA-EAC8-B9DB607DCC6A}=Trojan.Siggen2.46200|svshost.exe
{F1E59DF7-D7FC-4ED6-BC1D-D13BE02FE6C5}=BrowserModifier:Win32/Kerlofost|600.dll, ***.dll,se146.dll,se***.dll,SjZOBvl2.dll,SkypeSound_m.dll
{fe704bf8-384b-44e1-8cf2-8dbeb3637a8a}=Поиск WebAlta|mscoree.dll
{FF0FE70F-B832-42F1-BAFF-247753B5E452}=BrowserModifier:Win32/Kerlofost|600.dll, 917.dll,***.dll,se146.dll,se***.dll
{L0TLUV47-SOHF-AFV1-3615-3D3LT5OPS2LO}=variant of MSIL/Injector.FP|svshost.exe
 
как работать должно?
Например в логе АВЗ видешь CLSID, который тебе не известен, выделяешь его, копируешь в буфер обмена, а затем нажимаешь горячие клавиши.
... и наблюдаешь это(см. рисунок) ;)
А если серьезно, Glax24, неплохо, если сопровождение программы будет.
 

Вложения

  • Снимок.JPG
    Снимок.JPG
    10.9 KB · Просмотры: 76
Последнее редактирование:
ряд clsid в системе очень неоднозначны,имхо сопровождение необходимо.
Задумка очень хорошая,и неплохо бы научить прогу вытягивать имеющиеся clsid в список.

Добавлено через 1 минуту 32 секунды
но получилось типа автоматизировать справочник по CLSID
позже добавлю к теме в фак
 
Назад
Сверху Снизу