обсуждение справочника CLSID

[Сашка]

только легитимные системные CLSID сюда запостить

разумно

 

[Кирилл]

весь легитим со своей оси я выписал.

Добавлено через 1 минуту 26 секунд
по тихой добивать что еще попадется из софта напирмер?
или тока системные?

 

[regist]

ну тогда, как говорится, сам дурак и будет))

виноваты будем. так как мы вынесли им вердиктикт зловреды.

несколько проверенных ключей из этих списков не имеют ни одного совпадения в systemlookup и Яше с Гошей.

по ним как бы вообще нет данных зловреды это или нет и взята они как понимая из файла экспорта реестра так что о них мы практически ничего не знаем, так что просто предлагаю не вносить за недостатком данных.

как представляешь это?
перечень вариантов?

если несколько вариантов, то надо под спойлером указывать все возможные варианты тогда по ситуации будет видно, к какой категории в данном случае относится.

я тебе надергаю результатов поиска вебальты AVZ

опять таки эт будут данные только с компов заражённых вебальтой, к кому они там будут относиться можно заранее сказать.

Я предлагаю только легитимные системные CLSID сюда запостить

тот список нелегала, который выписал и который уже в шапке был проверен и яшей и гошей и системлукапом,так что в них я уверен. Считаю что нужно анологично добавлять и другие зловредные ключи, но при этом так же тщательно проверив.

Добавлено через 1 минуту 4 секунды

по тихой добивать что еще попадется из софта напирмер?

да хотя бы антивирусы.

 

[Сашка]

виноваты будем. так как мы вынесли им вердиктикт зловреды

а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот. Так что все - не постоянно, поскольку список, если составляется, то не на пару месяцев, и потом могут быть не точности.

поэтому есть смысл составлять только список системных данных.

Вебальту пока к 100% зловредам пока не относят. Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет. Но тема "убить вебальту" в сети популярна.

 

[regist]

Можно создать отдельный список с ней. По необходимости править. Если это кому то нужно. Мне - нет.

в том-то и дело зачем добавлять эти ключи, если их можно найти поиском в реестре. Если уж искать в реестре, то проще забить вебальта и будет надёжней.

а к тому, чему ты вынес вердикт "100% легитим" (кроме закрепленных за системными) может со временем присоединиться не такой уж и легитим. и наоборот.

сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов, другое дело что зловреды могут начать потом использовать ключи от легальных, но по крайней мере от нас будет информация, что нельзя слепо его удалять и он может легальным (а справочник надеюсь будет обновляться и эта информация если изменится тоже обновится). А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.

 

[Кирилл]

давайте так:
отдельно оставляем спойлер легитим системный.
я вынес для вин7 ультиматум
если у кого есть хр,базик,виста и прочие системы то с помощью проги из этого поста вы сможете легко за 3 минуты сделать список ключей,останется только слэш для таблицы поставить.

 

[shestale]

может быть, имеет смысл выписывать только легал.

Я предлагаю только легитимные системные CLSID сюда запостить

Я же предлагал это в самом начале.., но Koza Nozdri, затер)))

 

[Alex1983]

откуда инфа?
некоторые значения неоднозначны.

Нет не с моего. А, что есть ошибки?

 

[Кирилл]

Нет не с моего. А, что есть ошибки?

есть неоднозначные.

 

[Сашка]

Если уж искать в реестре, то проще забить вебальта и будет надёжней.

а ты думал, оно ищется как то по другому?

сомневаюсь, что легальные файлы начнут использовать CLSID от явных зловредов

конечно, куда им. а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор, из которых часть со временем отойдет в нишу легальных, часть -зловредных, еще что то останется ни то ни се - и как с этим быть? Не будь наивным.

 

[Кирилл]

но Koza Nozdri, затер)))

саш затираю не из вредности,а что бы не размножать объем речевого оборота)))
но оп ходу бесполезно...

Добавлено через 21 минуту 23 секунды

А для того чтобы лешче было отличать, к кому он относится считаю что нужно указывать и исполняемые файлы, к сожалению в шапке они не указаны, но думаю что на это просто пока не хватило времени.

это верно,не учел.
короче я занимаюсь легитимом системным,если админы не против-то оставлю и малварьные,но принимать ключи будем тока от спецов.
софтовые делать понту нет,неопределенные тоже-лучше добить еще тему или пост о том как формируются данные ключи и как их правильно анализировать.
имхо

 

[regist]

а ты думал, оно ищется как то по другому?

не вижу тогда пользы от того, что выпишем её ключи.

Добавлено через 5 минут 32 секунды

а от неявных - не могут? ежедневно штампуются разные полулегальные приколюхи вроде vksaver, mediaget, тулбары и другой подобный мусор,

имхо либо вообще не включать их пока в шапку, либо добавлять, но указывать от чего. А пользователь/хелпер или кто там будет эту информацию смотреть будет решать, как с ними поступить. Может просто немного расширить систему оценки, не только хороший и плохой, но и допустим нейтральный. А для того чтобы не изобретать заново велосипед предлагаю посмотреть, как это сделано на специализированных справочниках том же http://www.systemlookup.com и сделать наподобие.

 

[shestale]

но оп ходу бесполезно...

А ты не затирай, а вынеси все посты, которые считаешь здесь не нужные в отдельную тему: "Обсуждение краткого справочника CLSID"..., очень полезно перечитывать мнения других участников обсуждения)))

короче я занимаюсь легитимом системным...

А вот это верно, когда я их в первом твоем посту увидел, мне понравилось что есть их описание)))

 

[Кирилл]

shestale,перенес все кроме шапки,так всем диалог виден)))

 

[regist]

для пополнения списка малвары

24311111-1111-1121-1111-111191113457 - Trojan-Downloader.Win32.Mediket.au - eied_s7.cab
33331111-1111-1111-1111-611111193423 - 777.cab
33331111-1111-1111-1111-611111193429 - _ipsec_.cab
33331111-1111-1111-1111-611111193457 - Adult Content Dialer - ex.cab
33331111-1111-1111-1111-611111193458 - Adult Content Dialer - ex.cab
43331111-1111-1111-1111-611111195622 - Adult Content Dialer - ex.cab
61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633 - WebAlta

 

[Сашка]

ты уверен что эти номера жестко закреплены за тем что ты нашел? доказательства приведи

 

[regist]

Сашка, гугол в помощь, конкретные ссылки давать не буду, т.к. определял не по одному сайту и не по одному логу.

 

[Сашка]

это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого

 

[regist]

несколько минут, искал где исходная тема, чтобы другим не искать https://safezone.cc/forum/showthread.php?t=20350

Добавлено через 2 часа 5 минут 36 секунд

это не доказательство, что этим же clsid не может быть и в будущем не будет назначено ничего другого

вроде уже обсуждали ... что ключи явных зловредов никто не станет использовать для легала и ты вроде согласился. Кол-во записей в гугле доказывает, что ключи появились не сегодня и пользуются популярностью (часть логов были датированы 2009 годом) . А также ты можешь ещё дополнительно перепроверить здесь http://www.systemlookup.com/ считаю этот сайт тоже надо указать в шапке справочника.

 

[Сашка]

что ключи явных зловредов никто не станет использовать для легала

есть полулегал и условный легал (и не легал), не забывай. Вроде обсудили уже что со временем эти значения могут поменяться и что не стоит его вписывать, если справочник создается не на пару месяцев.