| Сейчас на форуме: ==DJ==[ZLO], Magister Yoda, Rio (+5 невидимых) |
 |
eXeL@B —› Основной форум —› Корректное удаление веток реестра, свяханных с Arm |
| Посл.ответ | Сообщение |
|
|
Создано: 19 декабря 2004 08:54 · Личное сообщение · #1 Имеем программу - Trojan Remover v6.3.3(.http://www.simplysup.com/download/trjsetup.exe). С помощью прог типа Eva Clenear-RTKF, выясняем, что она использует Armadillo(это мой способ, у вас м.б. другие  ).
Выясняется, что отслеживается ветка реестра(в HKLM\SOFTWARE\Classes\CLSID\...), содержащая переменную "CPoHrbYXLp". Если быть точным, то еще пара файлов в локальной TEMP. Вопрос в том как построить технологию сброса 30-дневной триальности используя простые средства типа Bat-файла. Для чего необходимо : - найти в реестре ветки, содержащие эту переменную(желательно иметь минимальную настройку.. вдруг я ошибся и имя переменной нужно изменить..) - убедившись, что они относятся к этой ситуации(???), удалить их - оформить это дело в виде батника Вопрос - есть ли программы, которые позволяют сделать это ?? Я таких не знаю и решил спросить у посетителей Cracklab.
Этот подход можно успешно использовать и для других программ, напр. Easy CD-DA Creator. Я не cracker и могу ошибаться в терминологи... надеюсь на вашу снисходительность )
 |
|
|
Создано: 19 декабря 2004 09:40 · Личное сообщение · #2 EVAcleaner валяется на www.wasm.ru |
|
|
Создано: 19 декабря 2004 09:49 · Личное сообщение · #3 NG Я даже знаю, где находится сайт Eva Clenear Могу и тебе подсказать _http://www.angelfire.com/creep/blindprophet/EVACleaner.zip
Но.. вопрос был о другом ;) |
|
|
Создано: 19 декабря 2004 10:04 · Личное сообщение · #4 Val14 пишет: Но.. вопрос был о другом ;) чессгря меня ломает читать вопрос полностью %D |
|
|
Создано: 19 декабря 2004 10:20 · Личное сообщение · #5 Val14 Знаешь какой-нибудь язык программирования? ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 19 декабря 2004 10:21 · Личное сообщение · #6 NG Я не знаю порядки Cracklab, но мне флудить здоровье и возраст не позволяют. 
Если ты очень занят, то можешь не отвлекаться на эту тему. Я не обижусь 
|
|
|
Создано: 19 декабря 2004 10:28 · Личное сообщение · #7 nice nice пишет: Знаешь какой-нибудь язык программирования?могу вспомнить , хотя редко эти занимаюсь ...
Но дело не в языке программирования.. Я не предсталяю как работает Armadillo и могу НЕ учесть все тонкости.. например переменная, по которой проводится поиск, случайно будет соотнесена с другой строкой реестра (полезной для Винды) и я ее удалю.. меня больше это заботит..... Хотя иметь готовую прогу тоже хочется.. но я не халявщик.. могу и сам что-нить сообразить.. лишь бы быть уверенн, что ничего не испорчу |
|
|
Создано: 19 декабря 2004 11:33 · Личное сообщение · #8 Val14 Что бы убедиться, что это триал-ключ, а не переменная сделай слепок реестра до установки программы, установи программу, сделай слепок, востанови реестр в первоначальное положение, по новой поставь с перемоткой даты на денёк и увидишь, ключ, т.к. различия будут только в нём. ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 19 декабря 2004 11:44 · Личное сообщение · #9 nice ты хоть когда-нить спишь по ночам )
----- Пиво, сиськи, транс |
|
|
Создано: 19 декабря 2004 11:59 · Личное сообщение · #10 nice Идея понятна.. в принципе я так и делал.. еще и мониторил Regmon'ом для верности. И уверен, что для моей ОСи и нескольких других (было обсуждение на на ru-board.com и bestfilez.net), эта переменная ( "CPoHrbYXLp") уникальна. Меня беспокоит возможность случайного совпадения с другими ветками реестра и, как следствие, удаление нужных веток, не имеющих отношение к Trojan Remover |
|
|
Создано: 19 декабря 2004 12:05 · Личное сообщение · #11 так.. явно обсуждение идет по кругу и я хочу сформулировать вопрос иначе Если переменная "CPoHrbYXLp" входит в HKLM\SOFTWARE\Classes\CLSID\ ... то она является триальным ключом и удаление этого ключа достаточно для восстановление триального периода ?? |
|
|
Создано: 19 декабря 2004 12:18 · Личное сообщение · #12 Val14 пишет: Если переменная "CPoHrbYXLp" входит в HKLM\SOFTWARE\Classes\CLSID\ ... то она является триальным ключом и удаление этого ключа достаточно для восстановление триального периода ?? Val14 Как правило - да. А что мешает удалить ее и посмотреть? |
|
|
Создано: 19 декабря 2004 12:26 · Личное сообщение · #13 Val14 Почему ты так боишься экспериментировать? Есть возможность сохранить/восстановить. Если так принципиально не менять лишнего в реестре - попробуй снять арму, есть статья Trojan Remover 6.1.2 правда на английском (кажется на wasm'e). ----- Всем привет, я вернулся |
|
|
Создано: 19 декабря 2004 12:32 · Личное сообщение · #14 Val14 пишет: Если переменная "CPoHrbYXLp" входит в HKLM\SOFTWARE\Classes\CLSID\ ... то она является триальным ключом и удаление этого ключа достаточно для восстановление триального периода ?? а взять отладчик и капнуть арму на предмет проверки ключей и т.п. ты не пробовал ? =) |
|
|
Создано: 19 декабря 2004 13:05 · Личное сообщение · #15 Opera пишет: А что мешает удалить ее и посмотреть?удалял и смотрел. триальный период сбрасываетс я в 30 дней. Вроде я писАл об этом
Bitfry Mario555 Почему ты так боишься экспериментировать? я модер варезного форума, а не cracker. Моя цель дать юзерам решение, а не заниматься эскпериментами с неработающим компом. Поэтому и обратился к спецам, чтоб подстраховаться
|
|
|
Создано: 19 декабря 2004 13:35 · Личное сообщение · #16 regedit.exe /option1 regkeyname filename.reg -- сохранение ключа в файле regedit.exe /option2 regkeyname - удаление ключа запуск trojanrem.exe regedit.exe /option3 filename.reg - восстановление ключа опции regedit - см в GOOgle |
|
|
Создано: 19 декабря 2004 13:46 · Личное сообщение · #17 r99 Спасибо, конечно.. все здорово.. но, к сожалению, не имеет отношения к моему вопросу .
Т.к. мне сначала нужно найти ветку реестра, которая содержить ключевой параметр, определить ее и, если она находится в HKLM\SOFTWARE\Classes\CLSID\.., удалить. |
|
|
Создано: 19 декабря 2004 14:19 · Личное сообщение · #18 Mario555 А ты не снимал арму с троянремовера? ----- Подписи - ЗЛО! Нужно убирать! |
|
|
Создано: 19 декабря 2004 15:30 · Личное сообщение · #19 nice пишет: А ты не снимал арму с троянремовера? не-а, у меня нету троянремовера =) а что там за арма ? |
|
|
Создано: 19 декабря 2004 18:24 · Личное сообщение · #20 Val14 пишет: С помощью прог типа Eva Clenear-RTKF, выясняем, что она использует Armadillo(это мой способ используй PEiD по поводу арминых ключей в реестре - есть програмуля ,назвается TrashReg она успешно ищет ключи армы(триал,кеи),понаблюдай повнимательней за поиском ключей в этой проге,может узнаешь то что тебе нужно |
|
|
Создано: 19 декабря 2004 19:15 · Личное сообщение · #21 Я чёт не в курсе как там в арме, но в аспре это CPoHrbYXLp было бы hardware id, т.е. своё на каждом компе => сделать поиск именно по этой конкретной строке смысла нет, т.к. работать будет только на этом компе. Хотя может в арме и не так... |
|
|
Создано: 20 декабря 2004 00:50 · Личное сообщение · #22 Mario555 Я спрашивал про ТроянскогоРемувера и описывал структуру (без указания проги) - только infern0 поинтересовался... Топик здесь: http://exelab.ru/f/action=vthread&forum=1&topic=768 |
|
|
Создано: 20 декабря 2004 01:19 · Личное сообщение · #23 ilya пишет: есть програмуля ,назвается TrashRegЭто и есть RTKF
WELL пишет: Хотя может в арме и не так...Я могу только надеяться, что не так, т.к. все устанавливалось "методом научного тыка", т.е. опытным путем
А уцепился я за эту идею, по той причине, что JonhWho, который делал Trial Doctor(Armadillo Cleaner) , писал, что его прога сбросывает триал в Trojan Remover, а также читал комменты BetaMaster, как сбрасывать триальный период в Easy CD-DA Creator. Как я понял, переменная, которая описывает hardware id -имеет фиксированное имя. |
|
|
Создано: 20 декабря 2004 11:56 · Личное сообщение · #24 Val14 Вот с такой же проблемой столкнулся в другой проге (правда, там не армадилло), так сам номер CLSID на разных компьтерах разный. Т.о. вероятность удалить не ту ветку теоритически существует |
|
|
Создано: 20 декабря 2004 12:08 · Личное сообщение · #25 удалайте фсе проблему решит and of course no warranty for...
|
|
|
Создано: 20 декабря 2004 12:49 · Личное сообщение · #26 Val14 Млин, я все пытался вспомнить... Ник-то знакомый... Привет тебе, что ли И еще раз млин... ПМ на рубоарде я редко проверяю нынче... Ответ читай там.
А чтобы мой пост не был полным оффтопом. Для остальных - берете сорцы регмона на васме. Меняете имена. И арма его больше не детектит и от него ничего не прячет. |
|
|
Создано: 20 декабря 2004 13:52 · Личное сообщение · #27 volodya  Привет !! не в первый раз ты мне помогаешь - ПасиБ Прочту твой ответ и нужно время переварить-обдумать
Opera dMNt Спасибо, что откликнулись |
|
|
Создано: 20 декабря 2004 15:19 · Личное сообщение · #28 estet пишет: Я спрашивал про ТроянскогоРемувера и описывал структуру там всё нормально дампится =) только вот проблемка есть - наномиты... мне с ними всегда лень возится было %) |
|
|
Создано: 20 декабря 2004 17:57 · Личное сообщение · #29 Mario555 пишет: только вот проблемка есть - наномиты... Точно есть - Nano-Rec их там отлавливал (на оригинале только, а на "мутанте" - нет), но не полностью... А в папе в WriteProcessMemory шла запись 1000 байт , но метод Нарвахи не сработал - я просто переименовал "мутанта" в оригинал и стал уже с ним возиться... |
|
eXeL@B —› Основной форум —› Корректное удаление веток реестра, свяханных с Arm |
Для печати