Поставил себе кейлоггер Quick Keylogger v2.1, хотел посмотреть, что за штука такая. Но он поставился как-то криво и я решил его удалить. В FAQ на официальном сайте написано, что его можно удалить, набрав в окне Пуск => Run команду "qpanel /uninstall". Но у меня вылезает окно c надписью: General extraction error Location ES1.

Тогда я решил удалить его вручную и хочу спросить. Какими прогами, кроме FileMon, RegMon и API Monitor можно посмотреть, что делает установочный файл, какие файлы извлекаются, что прописывает в реестр? Установочный файл упакован UPX.

| Сообщение посчитали полезным:

Xf1sh
Чтобы легко делать откат системы, при установке программ используй Ashampoo UnInstaller Suite. Это прога отслеживает все измененния системы, при необходимости позволяет удалить программу без следов. Поищи в нете. Она весит порядком 7 Мб. Лекарство в сети тоже есть. Если уж никак самому не получится, обращайся в личку.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Лучшее средство - регулярно форматировать диск.

-----
Харе курить веники и нюхать клей, к вам едет из Америки бог Шива, и он еврей.

| Сообщение посчитали полезным:

ValdiS пишет:
Чтобы легко делать откат системы, при установке программ используй Ashampoo UnInstaller Suite.

Да и можно сделать откат, с помощью восстановления системы. Для этих целей это самое подходящее.

| Сообщение посчитали полезным:

Поищи в реестре ключи с названием проги, в какие процессы подгружаются ее библиотеки, в общем исследуй))

| Сообщение посчитали полезным:

agentru пишет:
Да и можно сделать откат, с помощью восстановления системы. Для этих целей это самое подходящее.
Можно, для обычного пользователя - это самое оно. Все делается на автомате, ты ничего не видишь. Но если хочется посмотреть куда программа себя прописывает в реестре, системных папках и установочной папке, то использование Ashampoo UnInstaller Suite - это один из лучших способов, крякерский способ.

-----
Сколько ни наталкивали на мысль – все равно сумел увернуться

| Сообщение посчитали полезным:

Поставил я Ashampoo UnInstaller Platinum 2, запустил через нее установку кейлоггера (у меня Windows XP Pro). Потом удалил прогу, загрузив перед этим созданный лог файл, короче сделал все как надо. Решил проверить удалился ли он из системы. Запускаю установку кейлоггера еще раз и он пишет как и раньше писал, что уже другой экземпляр установлен в моей системе, т. е. где-то он остался.
Я его распаковал тем же UPX'ом, загрузил экзешник в OllyDbg и попробывал понять алгоритм установки...
Похоже она создает временные файлы в директории c:\Documents and Settings\User_Name\Local Settings\Temp\ c расширением .dat. Вот список этих файлов: qpanel.dat, svchost.dat, qutils.dat, qlib.dat, readme.dat, launchinie.dat, psapi.dat. Потом она копирует их в директорию C:\WINDOWS\System32\, присваивая при этом новые имена: qpanel.exe, qlib.dll, qutils.dll, svchost.dll, launchinie.dll.
Если файл psapi.dll существует, она оставляет старый и не переписывает новым. Файл readme.dat просто переименовывается в readme.htm и остается в той же директории. После этого все файлы с расширением .dat удаляются.
Потом она что-то делает дальше и вызывает функцию WinExec:

PUSH EAX ; CmdLine = "C:\WINDOWS\SYSTEM\SVCHOST /install"
CALL <JMP.&KERNEL32.WinExec> ; \WinExec

Вот тут-то установка и запарывается...
Я думаю может попробывать восстановить оригинальные длл'ки из дистрибутива Windows, а то эта тварь похоже переписала их своими и нехочет работать...

| Сообщение посчитали полезным:

Xf1sh пишет:
General extraction error Location ES1.
это же армадильная ошибка? попробуй сайсы поудалять и прочие радости

| Сообщение посчитали полезным:

NG пишет:
это же армадильная ошибка?
Что это значит? Объясни поподробней...

| Сообщение посчитали полезным:

Xf1sh
Попробуй из безопасного режима удалить или из другой истемы.
Второй вариант удачней.

| Сообщение посчитали полезным: