PDA

Просмотр полной версии : Regsearch - утилита для поиска информации в реестре



Зайцев Олег
18.01.2005, 12:00
Основное назначение утилиты - поиск в реестре следов SpyWare и Hijacker. Утилита в первую очередь может быть полезна для начинающих пользователей, не имеющих навыков работы с реестром. Для опытных пользователей и администраторов утилита удобна тем, что составляет протокол, в котором есть все найденные вхождения заданного образца.
Данная утилита создана специально для конференции http://virusinfo.info, так как в ходе решения проблем с поиском и удалением SpyWareчасто возникает необходимость поискать в реестре следы какого-нибудь "зверя" - утилита позволяет произвести поиск и сформировать удобный для отправки в конференцию протокол. Кроме того, утилита прозволяет удалить найденные ключи без использования редактора реестра.
Утилита не нуждается в инсталляции и деинсталляции, работает под Win95/98/ME/NT/W2K/XP.
http://z-oleg.com/secur/regsearch.jpg
Работа с программой очень проста - необходимо ввести образец поиска и нажать "Пуск" - программа выполнит поиск и составит протокол. На закладке "Найденные ключи" отображается таблица с отсортированным списком найденных ключей. Отмеченные ключи можно удалить или создать их резервную копию (сразу замечу, что копируются значения параметров, а не все вложенные ключи)
Подробная документация размещена сдесь: http://z-oleg.com/secur/regsearch_hlp.htm
Страница для скачивания программы: http://z-oleg.com/secur/regsearch_dwn.htm

pig
18.01.2005, 13:29
Обалдеть. Must have, однозначно.

Василий
21.01.2005, 19:12
404. Файл не найден....

обломс

Geser
21.01.2005, 19:29
404. Файл не найден....

обломс

Вота.

18.02.2005, 15:04
Некий антивирус Stop! free находит в regsearch.exe Backdoor.Banito.s
Весело.

18.02.2005, 15:07
Точнее определяет как Backdoor

Iceman
18.02.2005, 15:11
А у меня другое мнение:
Server response
Results of a file scan
This is the report of the scanning done over "regsearch.zip" file that VirusTotal processed on 02/18/2005 at 13:08:00 (CET).

Antivirus Version Update Result
AntiVir 6.29.0.16 02.17.2005 no virus found
AVG 718 02.17.2005 no virus found
BitDefender 7.0 02.18.2005 no virus found
ClamAV devel-20050130 02.17.2005 no virus found
DrWeb 4.32b 02.18.2005 no virus found
eTrust-Iris 7.1.194.0 02.17.2005 no virus found
eTrust-Vet 11.7.0.0 02.18.2005 no virus found
Fortinet 2.51 02.18.2005 no virus found
F-Prot 3.16a 02.17.2005 no virus found
Ikarus 2.32 02.18.2005 no virus found
Kaspersky 4.0.2.24 02.18.2005 no virus found
NOD32v2 1.1001 02.17.2005 no virus found
Norman 5.70.10 02.17.2005 no virus found
Panda 8.02.00 02.17.2005 no virus found
Sybari 7.5.1314 02.18.2005 no virus found
Symantec 8.0 02.17.2005 no virus found

AntiVir
No viruses found (0.41 seconds taken)
Avast
No viruses found (1.53 seconds taken)
AVG Antivirus
No viruses found (0.82 seconds taken)
BitDefender
No viruses found (0.56 seconds taken)
ClamAV
No viruses found (0.81 seconds taken)
Dr.Web
No viruses found (0.99 seconds taken)
F-Prot Antivirus
No viruses found (0.13 seconds taken)
Fortinet
No viruses found (0.48 seconds taken)
Kaspersky Anti-Virus
No viruses found (1.17 seconds taken)
mks_vir
No viruses found (0.62 seconds taken)
NOD32
No viruses found (1.01 seconds taken)
Norman Virus Control
No viruses found (3.20 seconds taken)

Может это более репрезентативная выборка?
Или я ошибаюсь?

Зайцев Олег
18.02.2005, 17:04
Некий антивирус Stop! free находит в regsearch.exe Backdoor.Banito.s
Весело.

Весело :) Это ужасный и кровожадный бакдур ;D
Причина проста - почти все звери семейства Banoto сжаты UPX версии 1.24 (это распространенная и стабильная версия этого самого UPX). Имеено им сжат regsearch.exe. Поэтому при захвате сигнатур специалисты Stop! просто зацепили некую сигнатуру, одинаковую у меня и Banito (скорее всего кусок декомпрессора от UPX + кусок сжатого кода) ... я не удивлюсь, если Banito.s скомпилирован на Delphi 6 - в этом случае начало архива многих программ будет идентично.

18.02.2005, 22:00
Народ надеется, что это правда... ;D

Geser
18.02.2005, 22:07
Народ надеется, что это правда... ;D

Ну, если не верите, то отправьте на анализ в антивирусные фирмы.

Dr.Xmas
18.02.2005, 23:27
Ну, если не верите, то отправьте на анализ в антивирусные фирмы.

вирусные аналитики Stop'a уже исправили это ложное срабатывание. может быть апдейт ещё не выложен, но такая информация (у меня) есть

19.02.2005, 00:26
По-моему, можно закрывать тему?

Михаил
19.02.2005, 17:22
отличная программа

есть такое пожелание - чтобы при удалении ключа из построенного списка удалялись вложенные ключи и параметры (опционально, если кому-нибудь надо иначе)

и ещё одно пожелание - большинство производителей софта делают ссылки в программах так же, как у Вас в окне "О программе" - они загружаются в уже открытых окнах IE
сам раньше так делал. но так низя - пользователь же страницы не для этого открывал :)