[ShaddyR]

sexi_65, а если инициализация идет посредством библиотек? И как к подобной деятельности программы отнесется собсно антивирус? Чай, эт мы знаем, что программа полезная, а действия - весьма подозрительные)

[sexi_65]

Цитата ispolin:

тело то осталось и кто поручиться, что он в очередной раз после перезагрузки не стартанёт? и при условии, что локер свежий и АВ его ещё незнает как искать то? может сделать что то типа лога, утиль восстановила реестр и записала в логе что было и где поправлено таким образом, мы хоть тельце можем отправить вендорам для исследования »

тел то есть но оно не активно ... только чуть место займет... и то до того как в базах АВ появиться
с логом тоже думал (только типа отката на случай заражения ... но в реализации довольно трудоемко) в принципе можно... есть некоторые аспекты, продумать нужно ... сейчас особо времени нет ...

ShaddyR, нормально должен отнестись ... если каким-то чудом сигнатуры совпадут тогда и думать буду что делать...

Drongo, спасибо за поддержку


в следующих предположительно будет (зависит от времени):
- как предложил ispolin, логирование
- в оболочку добавить возможность просмотра/редактирования основных ключей загрузки
- отключение всех процессов кроме основных

[ShaddyR]

Цитата sexi_65:

если каким-то чудом сигнатуры совпадут тогда и думать буду что делать... »

я не о том. В коде вряд ли сигнатуры вирусные будут обнаружены. Но программа будет работать с важными ключами реестра - многие системы проактивной защиты могут среагировать на это неадекватно.

[sexi_65]

ShaddyR, знаю ... нод и реагировал ... пришлось обойти... при возникновении конфликтов с другими буду как-нибудь выходить из ситуации

[Любезный]

Здравствуйте, уважаемые коллеги.

Прошу прощения, если вопрос, который мне хотелось бы поднять, уже где-то обсуждался - мне это обнаружить не удалось. Если это было - прошу закрыть или стереть эту тему.

Так вот. Сейчас есть очень много всякой заразы, прописывающейся в автозапуск в самых разных участках реестра. Мне неоднократно приходилось попадать в ситуации, когда я, имея под рукой только BartPE с удалённым редактором реестра, вручную выискивал и правил ветки реестра заражённого компа. Этих мест в реестре предостаточно. Одно из мест в реестре описано в прикреплённой теме.
http://forum.oszone.net/thread-148188.html

Сегодня благодаря сообщению в этой теме мне довелось отыскать новый винлок, не распознанный каспером и DrWeb. Я процитирую кусок этого сообщения.

Цитата:

""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим "" Информация предоставлена пользователем Vitac_Black,

Однако после его удаления удалось выяснить, что он прописался ещё и в другом месте реестра - в параметре Userinit той же ветки. Нормальное его значение - C:\Windows\System32\userinit.exe,

Так вот. Моё предложение - если это возможно технически, собрать в одном сообщении если не все, то хотя бы почти все возможные места прописывания троянцев в реестре с указанием нормальных значений изменённых параметров. Это может очень помочь многим коллегам, занимающимся лечением компов.

С уважением,
Сергей Любезный

[Vadikan]

Любезный, Автозагрузка в Windows 7 и Autoruns скачайте.

[Telepuzik]

Цитата Любезный:

""В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon перезаписан параметр Shell с explorer.exe в "Shell"="C:\\Documents and Settings\\Владелец\\Local Settings\\Application Data\\Opera\\Opera\\temporary_downloads\\vip_porno_27452.avi.exe". На других машинах этот параметр может быть немного другим "" »

Тока вчера удалял точно такую же заразу, так же были прописаны два ключа реестра Shell и UserInit только путь для запуска был C:\Users\Имя пользователя\AppData\Local\Temporary Internet Files\<Временный каталог>\vip_porno_27452.avi.exe
Сколько раз говоришь не работайте под Админом, так все равно не слушают, а в результате еще и денег умудрились отправить.

[Drongo]

Ещё можно обнаружить WinLock в параметре AppInit_Dlls, который находится в ветке

Код:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

[Destruction]

Цитата Любезный:

Сегодня благодаря сообщению в этой теме мне довелось отыскать новый винлок, не распознанный каспером и DrWeb. »

и что в нем нового? они все прописывают себя в эту ветку В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Shell или в userinit.

[Любезный]

Коллеги, спасибо за участие.
Итак, на текущий момент наш список мест поиска заразы выглядит так.
1. Каталоги автозагрузки - общие и пользовательские. Особенно тщательно следует проверять ярлыки автозапуска, чтобы убедиться - они открывают нужную программу.

2. Реестр:

Локальная автозагрузка:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Пользовательская автозагрузка (в ней бывает относительно редко):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В них смотрим содержимое на предмет подозрительных файлов.

Раздел инициализации и входа в систему:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Вот основные места в этом разделе:
1. Параметр: Shell
В норме: Explorer.exe
2. Параметр: Userinit
В норме: {Windir}\System32\userinit.exe,
3. Параметр: AppInit_Dlls
В норме такой параметр отсутствует.

Раздел работы с exe-файлами:
HKEY_CLASSES_ROOT\exefile\shell
Его подразделы open\command и runas\command в норме имеют значения:
"%1" %*
(между закрывающей кавычкой и % - пробел)

Статью про автозапуск пока прочёл не до конца, потому список буду дополнять. Коллеги, прошу вас тоже дополнять.

Цитата:

они все прописывают себя в эту ветку В HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в Shell или в userinit.

Не все. Знаю по опыту.