Если ваш антивирус нашел что то подозрительное в сборке!!!
Внимание всем! Если ваш антивирус нашел что то подозрительное в сборке, прежде чем сообщить об этом, поищите в этом форуме, может вы не первый и ситуация уже обсуждалась. За "кукарекание" об уже найденных и обсужденных "вирусах" будет следовать наказание.
Публикация ключей, номеров, лицензий, всякого рода взломщиков и кряков категорически запрещена.
|
Предыдущая тема :: Следующая тема |
Автор |
Сообщение |
Eastoop Гость
|
24.06.2010 13:56 Перечень уязвимых мест, которые предпочитают вирусы. |
|
|
Накропал тут для справки перечень мест, откуда может происходить автозапуск вируса.
1. Все программы --> Автозагрузка;
2. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
3. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
4. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Userinit = по умолчанию C:\WINDOWS\system32\userinit.exe,
Ключ Shell = по умолчанию Explorer.exe
Ключ UIHost = по умолчанию logonui.exe
5. Секция HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Ключ AppInit_DLLs = по умолчанию пустой (иногда полезные программы прописывают туда свои DLL, например BestCrypt или Agnitum Outpost Firewall)
6. Секция HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
Ключ Shell = по умолчанию ключ отсутствует.
Этот список неполный, это только те места, которые я вспомнил навскидку.
Думаю народ дополнит, потом сборный список опубликую в отдельной теме в шапке.
Поблагодарили(5): gerat80, StrDt, Tamerlan, voron367, batman1979 | |
|
|
Вернуться к началу |
|
|
|
|
StrDt Админозавр
Возраст: 69 Стаж: 16 лет 1 месяц и 11 дней Сообщения: 1786 Благодарности: 1092/1996 Откуда: Солнечная система.Планета хищников
|
06.07.2010 21:02 |
|
|
Системные папки System Volume Information
Поблагодарили(1): gerat80 | |
|
|
Вернуться к началу |
|
|
karavan Наблюдатель
Возраст: 44 Стаж: 16 лет 8 месяцев и 10 дней Сообщения: 403 Благодарности: 368/121 Откуда: Армавир-Таганрог-Москва
|
06.07.2010 21:37 |
|
|
%System drive%\Documents and settings\All users\*
%System drive%\Documents and settings\%User%\*
Зачастую под "звездочками" Local settings или Application data с различными вариациями дальнейших путей либо корень папки профиля. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
Последний раз редактировалось: karavan (06.07.2010 22:26), всего редактировалось 1 раз
Поблагодарили(2): StrDt, gerat80 | |
|
|
Вернуться к началу |
|
|
down Ёжик
Стаж: 16 лет 3 месяца и 28 дней Сообщения: 16 Благодарности: 100/1
|
|
Вернуться к началу |
|
|
karavan Наблюдатель
Возраст: 44 Стаж: 16 лет 8 месяцев и 10 дней Сообщения: 403 Благодарности: 368/121 Откуда: Армавир-Таганрог-Москва
|
06.07.2010 22:23 |
|
|
К описанию следует добавить предупреждение о том, что это всего-навсего уязвимые места системы, а не тотальные рассадники зла! Дабы не возникало желания косить все под корень. _________________ Если с проблемой не переспать, то решение не родится.
______________________________________________
Продам личное время, дорого!
Поблагодарили(2): StrDt, gerat80 | |
|
|
Вернуться к началу |
|
|
YikxX Сборщик сборок
Возраст: 46 Стаж: 16 лет 1 месяц и 5 дней Сообщения: 2038 Благодарности: 1861/501
|
06.07.2010 23:48 |
|
|
Ключ HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows подключ run (по умолчанию отсутствует).
Отладчик системных процессов по "адресу" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options (листаем весь раздел и находим подключи Debugger с определенными запускаемыми файлами. Последний (Your Image File Name Here without a path) не считать - он безвреден, существует в винде изначально).
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer Если тут существует подраздел Run с прописанным экзешником - то это скорее всего вирус. В оригинальном варианте такого подраздела этого ключа в реестре не существует. _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
Поблагодарили(2): gerat80, StrDt | |
|
|
Вернуться к началу |
|
|
mannaleks Командир команды
Стаж: 15 лет 7 месяцев и 12 дней Сообщения: 2452 Благодарности: 1711/388 Откуда: Куда: Зачем:
|
07.07.2010 4:43 |
|
|
down писал(а): | %System drive%\RECYCLER\* |
Автораны используют папку RECYCLER не только на системном диске, но и на всех остальных, включая флешки.
Папка SYSTEM, находящаяся в корне диска (включая флешки) тоже является хранилищем для вируса AUTORUN.
Есть и другие названия папок. Я их уже не помню. Обычно они бывают скрытыми. _________________ Заклинания и молитвы работают только у тех, кто живет лицензионную версию жизни.
Иногда пятая нога добавляет собаке скорости...
15-ти летний капитан - это вымысел, а 14-ти летний майор - это реальность.
Поблагодарили(3): gerat80, StrDt, nosperat2 | |
|
|
Вернуться к началу |
|
|
YikxX Сборщик сборок
Возраст: 46 Стаж: 16 лет 1 месяц и 5 дней Сообщения: 2038 Благодарности: 1861/501
|
15.06.2011 7:48 |
|
|
писал(а): | Еще стоит посмотреть раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows ключ AppInit_DLLs, он должен быть пустой. | Далеко не всегда. Например BestCrypt, VKSaver, OutpostFirewall прописывают туда свои библиотеки. _________________ Advanced super bot-admin
Скрытый текст
Пишу по-русски.
Да и "Выкалки" уже конкретно достали... Учите русский, блин!
|
|
Вернуться к началу |
|
|
Дон Позывной: Беркут
Возраст: 39 Стаж: 15 лет 3 месяца и 17 дней Сообщения: 1173 Благодарности: 780/579
|
17.08.2011 8:10 |
|
|
_________________ Не профи, но для любителя тоже неплохо...
Последний раз редактировалось: Дон (14.09.2011 15:55), всего редактировалось 1 раз
|
|
Вернуться к началу |
|
|
|
|
|
|
Вы не можете начинать темы Вы не можете отвечать на сообщения Вы не можете редактировать свои сообщения Вы не можете удалять свои сообщения Вы не можете голосовать в опросах Вы не можете вкладывать файлы Вы не можете скачивать файлы
|
Заблокировано регистраций / сообщений: 627899 / 329
Powered by phpBB © 2001, 2005 phpBB Group
|
|
|