Zanalizowalem troszke demo tego oprogramowania.
Program jest pisany w delphi i podczas startu systemu uruchamia swoja glowny watek jako skladnik systemu zwany "winlogon.exe", ktorego nie da sie zamknac w zwyczajny sposob.
Wazne ze nie towrzy zadnych uslug systemowych lecz wprowadza nowe klucze do sekcji "run/runonce", majac prawa administracyjne mozna go usunac.
Sciezka do aplikacji (c:\program files\Ablegat*, gwiazdka informuje ze dalsza sciezka moze sie zmieniac) w graficznej powloce systemu windows jest chroniona, do plikow mozna sie dostac tradycyjna droga czyli przez konsole polecen systemu.
Kod:
Wolumin w stacji C to Source
Numer seryjny woluminu: F8D2-2698
Katalog: C:\Program Files\Ablegat.{208D2C60-3AEA-1069-A2D7-08002B30309D}
2009-12-12 10:00 568 Ablegat.dat
2007-08-15 21:29 436˙224 Ablegat.exe
2007-08-15 21:29 599˙584 AdminHelp.hlp
2007-08-15 21:29 9 basss.dll
2007-08-15 21:29 147˙968 CloseWindows.dll
2009-12-11 21:49 <DIR> Databases
2007-08-15 21:29 102˙400 ShowTip.dll
2009-12-11 21:49 <DIR> Skins
2009-12-11 21:49 <DIR> Sounds
2007-08-15 21:29 61˙868 UserHelp.hlp
2007-08-15 21:29 2˙080˙768 winlogon.exe
8 plik(˘w) 3˙429˙389 bajt˘w
3 katalog(˘w) 7˙928˙045˙568 bajt˘w wolnych
Wolumin w stacji C to Source
Numer seryjny woluminu: F8D2-2698
Katalog: C:\Program Files\Ablegat.{208D2C60-3AEA-1069-A2D7-08002B30309D}\Databases
2009-12-11 21:49 <DIR> .
2009-12-11 21:49 <DIR> ..
2009-12-12 10:00 24˙856 Events.db
2009-12-12 10:17 35˙096 Profiles.db
2 plik(˘w) 59˙952 bajt˘w
2 katalog(˘w) 7˙928˙045˙568 bajt˘w wolnych
Aby usunac wpisy w rejestrze warto wyszukac wszystkie klucze ktore sa zwiazane ze sciezka do tego programu zas zakladam ze haslo jest zapisane w binarnej bazie danych: Profiles.db.
Zapewne w jakis prosty sposob zakodowane. Warto dodac ze program nie importuje zadnej powszechnej metody szyfrowania danych wiec autor musial zaimplementowac jakas podstawowa lub uzyl jakiegos prostego komponentu delphi ... To tyle program zaduzo wazy aby mi sie chcialo wyciagac te kodowanie jak dla mnie szkoda na to czasu.
Edit(){
Proces mozna jednak zabic bez wiekszego trudu, wymagany jest jednak inny menedzer procesow niz ten standardowy, musisz pobrac ten menedzer:
http://technet.microsoft.com/en-us/s.../bb896653.aspx
Zabijaj tylko ten proces "winlogon.exe" ktory znajduje sie w drzewie procesow "explorer.exe", inny proces zwany "winlogon.exe" to systemowy skladnik ktorego lepiej nie ruszac.
Tym sposobem mozna wylaczyc ten nadzor i kombinowac dalej.
}