[x0r]

... и еще парочка примеров:
- Вот ты знаешь что есть RunOnceEx и туда можно записаться и запуститься... ну дык запрети туда запись юзеру, например. Так же и с остальными разделами, их не больше десятка.
- или обнаружил ты в Temp файлы гаццкие. ну создай с этими именами(и расширениями) файлы-пустышки и запрети Все-м их изменять. Если создашь файл на папку, то не будет создана папка.

[lex7868]

Ок. Всем спасибо.

[Iska]

Цитата x0r:

Так же и с остальными разделами, их не больше десятка. »

Iska последовательно снимает в Autoruns флажки Hide Empty Locations, Hide Microsoft Entries, Hide Windows Entries и, глядя на безразмерно расползающийся список, мерзко хихикает.

Цитата x0r:

или обнаружил ты в Temp файлы гаццкие. ну создай с этими именами(и расширениями) файлы-пустышки и запрети Все-м их изменять. »

Это не выход. Ср. «Представьте справки со всех стран, где Вы не были!»

Цитата x0r:

Если создашь файл на папку, то не будет создана папка. »

Да ну? Некоторые уже научились предварительно просто удалять файл.

[Nordek]

Цитата lex7868:

в реестре записи прописываются в ветки не только HKCU, но и в [HKEY_CLASSES_ROOT\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}] @="Поиск@Mail.Ru" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}] »

Чтоб инсталлятор записывал без запроса прав это нонсенс.

Запустите командную строку (не от имени администратора) и выполните:

Код:

REG ADD "HKLM\SOFTWARE\NOPROGRAMM"

Код:

REG ADD "HKCR\NOPROGRAMM"

Код:

REG ADD "HKCU\Software\NOPROGRAMM"

При выполнении первых двух последует ошибка: Отказано в доступе.

Учтите тот момент, под какими правами запущена основная оболочка (Не зависимо от того, что это: "Меню" или "Инсталляционный пакет с компонентами").
Если было запущено с правами администратора, то и последующее выполнение происходит с теми же правами.
Вот пример инсталляционного пакета - который не требует повышения прав для его запуска, но в нём есть два компонета:
1. При выполнении потребует повешение прав для выполнения.
2. При выполнении не потребует повешение прав для выполнения т.к установка рассчитана на текущего пльзователя.

Если первоначально (например Яндекс.Браузер) потребует повышение прав, то: это есть повод иметь подозрения на то, что требуется запись данных в раздел реестра HKLM. При этом заметьте, что: Установка происходит в папку профиля пользователя а не например в "C:\Program Files".

[Iska]

Цитата Nordek:

Чтоб инсталлятор записывал без запроса прав это нонсенс. »

Это не нонсенс, это сказки.

[gorill]

Цитата x0r:

тыц »

А толку от тыцанья, если ссылка битая? "www.evilfingers.com/ErrorPages/404.php"
Если уж тыцаете, то хотя бы с толком

[Nordek]

Цитата gorill:

ссылка битая? »

av-test-drive.pdf

[lex7868]

Цитата Iska:

Это не нонсенс, это сказки. »

Попробуйте запустить на выполнение, а потом поищите в реестре места, куда прописывается. Это для примера.

Скрытый текст

http://win-torrent.net/windows_10_torrent/3319-windows-10-professional-vl-x86-x64-1607-ru-by-ovgorskiy-dekabr-2016-2dvd.html

Повторю, может на windows pro все правильно и красиво, но вот у меня на "windows 8.1 для одного языка", до применения полученных здесь советов, именно это и было, это из моего реестра взяты строки
[HKEY_CLASSES_ROOT\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}]
@="Поиск@Mail.Ru"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}]

[x0r]

off

Цитата Iska:

мерзко хихикает. »

хехе..., ну так-то, разделов куда пишутся 95% всех программ, адваре и прочей гадости(и не гадости тоже) реально не больше десяти. Пару разделов Run (в HKCU / HKLM). пару разделов Winlogon, особый список HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\(load||run). да папка Автозагрузки. В общем все.
Остальное это службы-драйверы, куда при норм. условиях, доступа группе юзеры на запись нету.

Цитата Iska:

Да ну? Некоторые уже научились предварительно просто удалять файл. »

ага. знаю. можно сделать всё равно, будет трошки палки в колёса для тех кто не умеет. Да и ежли задать правила Запрета, они в приоритете. На флешках работает эта штука.
В случае урезанной винды + отсутствия HIPS и AppLocker + юзер не шарит - надо как-то, толпой(скопом), это все громоздить, что-то да сработает.
gorill, ну названиеж есть. поправил(не прально скопировал), там статейка. вообще мыщъх-а лублу классно и понятно пишет. Потом всяких Руссиновичей читать гораздо понятней.

[x0r]

Цитата lex7868:

Попробуйте запустить на выполнение, а потом поищите в реестре места, куда прописывается. »

ну, у мя это все было отловлено и хипсом и файером. Хипс накричал что приблуда желает создать процесс и проч. + файер заблочил его порывы в интронэт и оно упало с ошибкой.
Ставь норм. файер с проактивкой, делай юзеру запрет на запись в кусты реестра и сойдёт.
потом пустил его в итронэты, оно насоздавало кучу процессов по типу хромого, закачало Спутника и Юнайти какой-то плеер. Все тянуло с _compute.amazonaws.com_ :

Код:

"C:\Users\user_name\Downloads\exe\Windows-10-Professional.torrent.exe" --silent --rfr=811034 --ua_rfr=CHANNEL_eco --make_default=1 --partner_new_url=http://ec2-54-229-84-172.eu-west-1.compute.amazonaws.com/v_install?sid=16045&guid=$__GUID&sig=$__SIG&ovr=$__OVR&amigo=1&label=811034&aux=91338544 --partner_firstonline_url=http://ec2-54-229-84-172.eu-west-1.compute.amazonaws.com/v_touch?guid=$__GUID&sig=$__SIG --ils=30

думаю его тоже можно в блок на файере закинуть.
Вообще, думаю, ежели ты тянул торрент, а тебе заместо торрента дали исполняемый файл... и ты его запустил в 2016г, - то это естественный отбор