windows rendszerleíró
Nemrégiben kérdéseket gyakran megtalálható az interneten, hogy ha használja az Internet Explorer egy változás a kezdőoldalt, míg betölti a hivatkozás megnyit egy teljesen más oldalt. Én magam is találkoztam ezzel, és ezért tanulmányozta a problémát magukat. Az első dolog, tanácsos, hogy kihasználja a speciális programok, mint az Ad-aware és a Kaspersky Anti-Virus az új adatbázisba. Ez helyes, és egy ideig megoldja a problémát, de aztán minden ismétlődik újra. Úgy döntöttem, hogy megtudja, ha a kézikönyv előírja kém, és nekem úgy tűnik, hogy megtudja. Nem vagyok író, nem egy újságíró, a stílus én scribbling'm nem kritizálom, írok, mert nem találtam egy helyen részletes leírást, hogy hogyan és mi történik, és úgy döntött, hogy töltse meg. Lehet, hogy valaki lesz érdekelt.
Régebben megfigyelni a két számítógép dolgozik a Windows XP szervizcsomag nélküli és az otthoni első Windows XP szervizcsomag nélküli, aztán a sorozat SP-1 és az SP-2.
Amikor először találkozott ezzel a problémával, hogy megtudja, hol van, hogy Grúzia kezdte ellenőrizni, egyrészt az „Üzembe helyezés” tételt. -ban
nekem nem kell csak letölteni Hivatal. Másodszor, a kulcsok felelős indító program: a rendszerleíró kulcsot
és ez al-Run. RunOnce. RunOnceEx. RunServices. RunServicesOnce. Ezek a szakaszok vannak húr kulcsok (egyes szakaszok üres), amelynek feladata a programok végrehajtása terén. A kulcs neve tetszőleges lehet, valamint az értéket, amelyet kiváltott a program jelzi, ha szükséges - a paraméterekkel. Ügyeljen arra, hogy a szakaszok, „Egyszer” van jelen a címe annak. Ez az a rész, amelyben az előírt program elindítása, amely szükséges ahhoz, hogy csak egyszer, miután a következő rendszer boot. Például, ha új programok telepítését, egy részük van előírva, hogy gombok, amelyek jelzik minden tuning modulokat követően azonnal megkezdődött a számítógép újraindítása. Ezek a kulcsok elindítása után automatikusan törlődnek. paraméter
Találtam egy programot a nevét egy véletlenszerűen választott betűk. A program rögzíti a Windows mappa létrehozás dátuma friss volt. Felismerve, hogy ez egy kém, aztán úgy döntöttem, hogy foglalkozzon vele. Birtoklása a tartomány Win98 javasoljuk, hogy inkább és win.ini fájlt a szekció [windows]. Ez a két paraméter, a terhelés és futni. Ha a felvett programot, érdemes megnézni, hogy milyen, és szükség van-e rájuk. Ezen kívül van egy paraméter a regisztrációs
Lehetőség van regisztrálni a DLL betöltésre kerül, ha az összes letöltést minden Windows fut folyamatokat használó User32.dll könyvtárban. Van ez a paraméter üres.
Így az összes ellenőrzés, találtam egyetlen kém a registry kulcs felelős elkezd programokat. A számítógép újraindítása, rögtön hozta a képernyő menedzser Windows és figyelte feladatokat, mint a bootolást, ezt a folyamatot dolgozott néhány perc, amikor a rendszer elindul és megtöltve. Döntés, hogy betölti a DLL a memóriába, majd később ő játszik a kém szerepét, azt eltávolítjuk ezt a lehetőséget az adatbázis és a Windows mappában.
Megnéztem a regisztrációs kulcsokat:
Ott kell lennie a következő értékeket:
Döntés, hogy egy kém felett, megnyugodtam, és egy ideig működik, rendben van, de újra megismétlődött az, néhány napon belül, akkor rögtön észrevehető, mert megváltozott honlap. Döntés, hogy az internet megint elkapja a fertőzést, azt is kézzel eltávolítjuk indulásnál a fájlok neve, amelyek egy sor különböző karakterek, de a fájl összehasonlítva az előző elárult, hogy azok azonosak. Törölje a fájlt és fix rendszerleíró kulcsokat, mert ott írtak url újra. Persze akkor is csak dobni a szervizcsomagok, de úgy döntöttem, nézzük, mi történik ezután. Házak meghatározott SP-1. Munka után, ahogy egyre szorosabban és észrevette, hogy egy nap alatt történt változás az oldal url, és az idő, amikor nem kapcsolódik az internethez. Megfertőző ugyanez történt az otthoni számítógépet, amikor az internet segítségével. Ezt megelőzően, ő nem fertőződött el, amely arra a következtetésre jutottam, hogy az SP-1 nem oltalmat biztosítsanak kémlelőlyuk.
Következtetés: A kém még mindig ül a számítógép; otthon csak fertőzötté vált, de úgy tűnik, ő tett változtatások azonnal, de néhány nap után, úgy tűnik, hogy vonzza kevesebb figyelmet. Ha rögtön módosította utánam, én korábban felismerték, hogy a kém folytatja a munkát, és nem hagyja abba keres. És így elvesztettem egy pár hétig, azt gondolva, hogy fogása egy kém az interneten, miközben leült velem, és folytatta a munkát.
Körülbelül egy hónappal minden rendben volt, amíg én nem megoldott egy kérdés - hogyan lehet a könyvtár terhelést? Egy hónappal később, egy működő számítógépet újra láttam a problémát, a kezdő oldal már így nyilvánvalóan nem változott, de nem volt változás a jegyzék és a url munkahelyi IE nyitott minden más kapcsolatokat, de nem azok, amelyek azt nyomni. Megy kitaposott ösvényről, rájöttem, a Windows \ System32 mappában qweHHHH.dll könyvtár, ahol ahelyett, hogy „XXXX” van más számok, valamint az ini fájl ugyanazzal a névvel. Állva egy számítógép Casper nem látta, hogy egy kém.
Indítsuk el a számítógépet csökkentett módban, kitöröltem ezt a könyvtárat. Minden a helyére került újra. Casper frissített adatbázis. De nem adom többit az ötlet, a Library of Georgia. Azt ellenőrizték az összes kulcsot felelős indítási programok, ott töröl minden gyanús, és akkor is, ha már csak a szükséges programokat, hogy bízom a könyvtár még mindig Grúziában. Irodalmát olvasva találtam információt, hogy van még a képesség, hogy töltse le, hogy én nem ellenőrzi.
Az Internet Explorer, az integrált technológia Browser Object Helper. Ez a technológia lehetővé teszi, hogy beágyazni más programok a bővítmények az IE és tesz semmit működés közben. Például írja be a ringató. Meg kell FlashGet. Ez a technológia lehet használni, hogy figyelemmel kíséri a felhasználó intézkedéseket az IE és ahelyett intézkedések teljesíteni, beleértve a letölthető más oldalak helyett azok, amelyek szeretnék összekapcsolni.
Betöltött objektumok keresztül BHO alatt a legfontosabb:
amely felsorolja a megnevezett osztályazonosítót megegyezik a betöltött objektumot. A kulcs
Találunk az azonosítónak a szakasz a neve az azonosítónak. Lehetőség van, hogy a paramétereket a tárgy, beleértve az elérési utat a link library a paraméter \ InprocServer32 \ (alapértelmezett) = „elérési utat a betöltött objektumot.”
Ellenőrizze adatok kulcsok láttam rajtuk keresztül betöltött DLL, és bár valójában a fájlokat törölt, de a gombok felelős letölteni a helyén marad. Ie EXPLORER nem változott, maradt, hogy pontosan mit lőn a Windows telepítő, más programok töltik könyvtárat használtak épült a fejlesztők. Amikor le EXPLORER böngészést kulcsokat és programkönyvtárak. Ha egy részük nem, akkor egyszerűen átmegy megjelenítése nélkül üzeneteket.
Így lehetséges, hogy kézzel szétszedni, amire szükségünk van a szükséges kulcsokat, és mi nem, és eltávolítja a kémprogramokat. És csak akkor veheti igénybe a speciális programok, például a BHO ejtő vagy WinPatrol. Az utolsó tetszett, különösen azért, mert amellett nyújt egyéb hasznos információt, hogy ez egy számítógépen fut. De először is, mi a jó, van egy teljes forráskódját a DELPHI. Mindenesetre, a verziót letölteni. Szerint a forráskódot lehet használni, hogy a rendszerleíró kulcsokat.
Ez alapvetően csak azt akartam mondani, hogy a cikkében. BHO letöltés technológia nekem egy kinyilatkoztatás. Ha a fenti kulcsok és letöltési módszert, amit hallott, és amikor keres kém használni őket, BHO, rájöttem, az első alkalommal, és a korábbi nyilvános helyeken, soha nem találkozott a leírása ez, ezért úgy döntöttem, hogy pótolja.
Persze, ha egy újabb verzió a szoftver ellenőrzi a rendszert, és frissíti az adatbázist rendszeresen, ezek kémek eltávolítjuk (Casper is beszámol, hogy a DLL fájl fertőzött, és lehetetlen eltávolítani, mert le van zárva. Kellett újraindítani a csökkentett módban, és távolítsa kézzel), de ahol ez történik, hogy érdekes volt számomra, hogy megértsem magam. Szintén szeretnék egy szót javára a telepítés szervizcsomagok: a SP-1 tette a kém mászni, az SP-2, áll a házam, nem ad erre. Úgy látszik, a nyílást, amelyen keresztül a kém felmászott egy számítógépet, akkor zár. Most a gondolkodás és a munka telepíteni a szervizcsomagok.