eXeLab
eXeL@B ВИДЕОКУРС !

ВИДЕОКУРС ВЗЛОМ
выпущен 2 августа!


УЗНАТЬ БОЛЬШЕ >>
Домой | Статьи | RAR-cтатьи | FAQ | Форум | Скачать | Видеокурс
Новичку | Ссылки | Программирование | Интервью | Архив | Связь

Русский / Russian English / Английский

Сейчас на форуме: vallac (+8 невидимых)
 · Начало · Статистика · Регистрация · Поиск · ПРАВИЛА ФОРУМА · Язык · RSS · SVN ·

 eXeL@B —› Оффтоп —› Нужен куст реестра
Посл.ответ Сообщение


Статус: Пришелец

Создано: 17 июня 2012 14:26 · Поправил: F_a_u_s_t New!
Цитата Стереть #1

Совсем офтоп.
Нужны кусты:
HKEY_CURRENT_USER\Software
HKEY_LOCAL_MACHINE\SOFTWARE

Windows XP SP3 rus

Add:
Уточню на всякий... с чистой винды.


Ранг: 655.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 июня 2012 22:17 New!
Цитата · Личное сообщение · Стереть #2

А не катит поставить на виртуалку и дёрнуть оттуда?


Статус: Пришелец

Создано: 17 июня 2012 22:28 · Поправил: F_a_u_s_t New!
Цитата Стереть #3

ARCHANGEL
Если бы катило то я бы и не спрашивал, есть причины, но объяснять не буду.
Нужно и все, а тут уже или есть или нет.

Add:

У тебя же насколько помню SP3, мог бы и кинуть, если винда не твиканная то сойдет, главное что бы системные ключи были не тронуты.


Ранг: 533.2 (!)
Статус: Участник
оптимист

Создано: 17 июня 2012 23:49 New!
Цитата · Личное сообщение · Стереть #4

F_a_u_s_t пишет:
HKEY_CURRENT_USER\Software
HKEY_LOCAL_MACHINE\SOFTWARE

А вам ключи от квартиры на блюдечке с голубой каёмочкой недать?


Ранг: 655.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 17 июня 2012 23:57 New!
Цитата · Личное сообщение · Стереть #5

F_a_u_s_t

А ведь ClockMan прав. Многие утили хранят там конфиденциальную информацию. С вари могу вам сбросить, но вам же они не годятся почему-то.


Статус: Пришелец

Создано: 18 июня 2012 00:04 · Поправил: F_a_u_s_t New!
Цитата Стереть #6

ARCHANGEL
От же епт, не так твое сообщение прочита, я думал ты мне предлагал поставить варю и дернуть ключи.
Годятся, кидай, мне сам софт и не нужен, просто дал название веток что бы не грузить списком ключей.
И да я на светлой стороне, пароли маил сру и прочее мне не нужны.

ClockMan
А не смутило - Уточню на всякий... с чистой винды.
Где тут каемочка, где голубые?


Ранг: 655.7 (! !)
Статус: Участник
ALIEN Hack Team

Создано: 18 июня 2012 09:52 New!
Цитата · Личное сообщение · Стереть #7

F_a_u_s_t

--> Оно? <--

Надеюсь, поможет.


Статус: Пришелец

Создано: 18 июня 2012 11:25 New!
Цитата Стереть #8

ARCHANGEL
Спасибо, то что нужно.

Ну, а теперь напишу зачем оно нужно, вдруг кому интересно.
После удаления локера у знакомых пользователь стал грузится несколько минут, именно пользователь, системные процессы появляются сразу, а у того же explorer принадлежность к учетке появляется через несколько минут и естественно что окон нет, а висит только десктоп который относится к системе.
Сам локер отреверсил до исходников, но в нем ничего такого нет и скорее просто совпадения, сами файлы тоже нормальные, проверял ключевые по crc, сейчас напишу js скрипт который сравнит ветки реестра и те что отличаются или их вообще нет буду записывать в лог, а потом уже проверю в ручную.
Интересно узнать почему так происходит.


Ранг: 526.1 (!)
Статус: Участник
5KRT

Создано: 19 июня 2012 04:01 New!
Цитата · Личное сообщение · Стереть #9

F_a_u_s_t
Знакомая ситуация, как выяснишь - дай знать. Тоже было такое после вирусов


Ранг: 355.4 (мудрец)
Статус: Uploader
5KRT

Создано: 19 июня 2012 09:34 New!
Цитата · Личное сообщение · Стереть #10

daFix Сколько лет сколько зим


Ранг: 526.1 (!)
Статус: Участник
5KRT

Создано: 20 июня 2012 01:23 New!
Цитата · Личное сообщение · Стереть #11

Coderess
Куда пропал? Неуловимый Джо!


Статус: Пришелец

Создано: 22 июня 2012 15:59 · Поправил: F_a_u_s_t New!
Цитата Стереть #12

daFix
После ресерча не хилого куска винды выяснилось что косяк в настройках юзера и в ms how to уже обсуждали проблему но решения еще не нашли.
Еще в поисках решения.

Нужны еще ключи:

С любой винды лишь бы рабочая и XP.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects
HKEY_CURRENT_USER\Volatile Environment

С чистой XP SP3
HKEY_USERS


Ранг: 1010.0 (!!!!)
Статус: Участник

Создано: 22 июня 2012 23:59 New!
Цитата · Личное сообщение · Стереть #13

F_a_u_s_t пишет:
а у того же explorer принадлежность к учетке появляется через несколько минут и естественно что окон нет, а висит только десктоп который относится к системе.

userinit помоему есть в реестре(ветку не помню) с ним все нормально?
там путь должне быть до userinit.exe, некоторе вирусы портят путь в реестре и параметр. после удаление вируса винда не загрузится


Статус: Пришелец

Создано: 23 июня 2012 01:21 · Поправил: F_a_u_s_t New!
Цитата Стереть #14

reversecode пишет:
userinit помоему есть в реестре(ветку не помню) с ним все нормально?

Это первое что я проверил, как и logonui.exe.
Суть проблемы, что после окна приветствия юзер грузится минуту-две по разному и стоит голый десктоп, ну и диспетчер задач естественно работает, ибо заветные кнопки прописаны в msgina.dll а без нее тупо не загрузилось бы поскольку она часть winlogon.exe.
Задачи подписаны только системные, юзерские без имени, потому что профиль еще не загружен, на загрузку которого и уходит время.
Есчо немного ресерча и достигну истины что за нах такой и на зло vx-серам запилю вакцину ибо нех.
---------------------------------------------------------------------------------------------------------------------------------------------

Сделал это.
Лекарство тут пилить смысла нет, все сносится с консоли.
tsdiscon /? — отключение сеанса
reset /? — сброс
rwinsta /? — Окончательно отключить.

Потом отключить серверные службы дабы не вернули настройки взад.
Перезагрузить.
Профит.

Ранг: 310.8 (мудрец)
Статус: Участник

Создано: 25 июня 2012 10:00 New!
Цитата · Личное сообщение · Стереть #15

F_a_u_s_t пишет:
и стоит голый десктоп,

Если explorer.exe в списке процессов нет, то надо просто поправить ключ его запуска. Это известно давным-давно. Если есть в списках - значит новый механизм, но что-то не верится.


Статус: Пришелец

Создано: 25 июня 2012 11:09 New!
Цитата Стереть #16

tundra37 пишет:
Если explorer.exe в списке процессов нет, то надо просто поправить ключ его запуска. Это известно давным-давно. Если есть в списках - значит новый механизм, но что-то не верится.

Как бы explorer и профиль пользователя вещи разные, он всего лишь пользовательский процесс и на отображение оных никак не влияет, как и на отображение десктопа который к explorer тоже не имеет отношения и да в списке процессов он есть, но пока не загрузится юзерский профиль он никуя не решает, а есчо есть типы сеанса, как и самого юзера, к примеру есть временный юзер, который не запоминает сеанс, а при выходи сносит все, это годно любителям тестить софт и тулз не надо, если конечно не малварь.
А все дело в RDP тупо руткит делает из компа дедик, сам руткит не выжил, а только его части ну там хрень посему не интересна, есчо там создавался левый профиль, зачем куй его знает не выяснял, так, как профит был достигнут.
Матчасть тоже имеется, но я к счастью не инде, так что описаний как реверсил винду начиная с загрузки юзера не будет.
Да и как бы я не писатель, а практик, если что то нужно то делаю и получаю профит на будущее, не заучиваю на - вдруг пригодится, негодное это занятия.
Что то портянка получилась, ну да ладно.
 eXeL@B —› Оффтоп —› Нужен куст реестра

У вас должно быть 20 пунктов ранга, чтобы оставлять сообщения в этом подфоруме, но у вас только 0


Оригинальный DVD-ROM: eXeL@B DVD !

Вы находитесь на форуме сайта EXELAB.RU
Проект ReactOS