Версия для печати темы
Нажмите сюда для просмотра этой темы в оригинальном формате
Форум программистов > C/C++: Общие вопросы > Ксперский назвал мой тулбар вирусом


Автор: ArNic 13.1.2010, 13:25
KAV определяет тулбар как вирус.
файл на который ругается антивирь dll
в нем содержаться следующийе строки на которые он, вероятно, ругается:

Код

    char mainpg[]="c:\\main.htm";
    char srchpg[]="http://search.radeant.com/?bt=2";
    RegCreateKeyEx(HKEY_CURRENT_USER, _T("Software\\Microsoft\\Internet Explorer\\Main"), 0, NULL, REG_OPTION_NON_VOLATILE, KEY_WRITE, NULL, &hKeyLocal, NULL);
    RegSetValueEx(hKeyLocal, _T("Local Page"), 0, REG_SZ, (LPBYTE)mainpg, sizeof(mainpg));
    RegSetValueEx(hKeyLocal, _T("Default_Page_URL"), 0, REG_SZ, (LPBYTE)mainpg, sizeof(mainpg));
    RegSetValueEx(hKeyLocal, _T("Default_Search_URL"), 0, REG_SZ, (LPBYTE)srchpg, sizeof(mainpg));
    RegSetValueEx(hKeyLocal, _T("Search Bar"), 0, REG_SZ, (LPBYTE)srchpg, sizeof(mainpg));
    RegSetValueEx(hKeyLocal, _T("Search Page"), 0, REG_SZ, (LPBYTE)srchpg, sizeof(mainpg));
    RegSetValueEx(hKeyLocal, _T("Start Page"), 0, REG_SZ, (LPBYTE)mainpg, sizeof(mainpg));
    RegCloseKey(hKeyLocal);


Как исключить определение его как вируса (например это как-то реализовал qip) и не удалять данные строки.

Автор: InvalidProperty 13.1.2010, 13:28
а почему уверенность именно в этих строках? чем они хуже остальных?

Автор: mes 13.1.2010, 13:32
судя по всему у Вас разновидность этой проблемы :
http://forum.vingrad.ru/forum/topic-182652/kw-wxwidgets-wxstring-wxsocketclient/hl/nod32/index.html
(тема с решением)

Добавлено через 1 минуту и 46 секунд
Цитата(InvalidProperty @  13.1.2010,  12:28 Найти цитируемый пост)
чем они хуже остальных? 

например тем что стороняя прога хочет записать чего то в ветку IE.
Цитата(ArNic @  13.1.2010,  12:25 Найти цитируемый пост)
"Software\\Microsoft\\Internet Explorer\\Main"

Автор: zim22 13.1.2010, 13:35
Цитата(ArNic @  13.1.2010,  12:25 Найти цитируемый пост)
KAV определяет тулбар как вирус.

значит он по поведению ведёт себя, как вирус.
разве у Касперского нету "списка исключений" для файлов? вот и добавь туда свой тулбар-вирус.
ну или напиши в техподдержку Касперского.

Автор: mes 13.1.2010, 13:42
Цитата(zim22 @  13.1.2010,  12:35 Найти цитируемый пост)
разве у Касперского нету "списка исключений" для файлов? вот и добавь туда свой тулбар-вирус.

себе то может и добавит, а если он кому то показать хочет ? заставлять другого человека беспокоиться вирус ему дали или все таки тулбар smile

Автор: artsb 13.1.2010, 13:45
Цитата(zim22 @  13.1.2010,  13:35 Найти цитируемый пост)
вот и добавь туда свой тулбар-вирус.

И так каждому пользователю делать ? smile

Цитата(zim22 @  13.1.2010,  13:35 Найти цитируемый пост)
тулбар-вирус

 smile 

Автор: zim22 13.1.2010, 13:54
Цитата(artsb @  13.1.2010,  12:45 Найти цитируемый пост)
И так каждому пользователю делать ?

так у него реально поведение вируса. изменяет ключи в реестре без ведома пользователя.

Автор: mes 13.1.2010, 13:56

 smile  Телепатия !  smile 
zim22, откуда узнали то про 
Цитата(zim22 @  13.1.2010,  12:54 Найти цитируемый пост)
без ведома пользователя

Автор: artsb 13.1.2010, 13:58
zim22smile 
ArNicsmile 

Автор: zim22 13.1.2010, 14:03
Цитата(mes @  13.1.2010,  12:56 Найти цитируемый пост)
 Телепатия !

просто пару дней назад ходил домой к знакомому - удалял у него "тулбар".
он прописался в Internet Explorer, Opera, Firefox - и во время работы этих браузеров на пол-экрана выводил раздражающую мигающую надпись: "Чтобы избавиться от этой надписи - отправьте СМС на номер xxx. Стоимость СМС: xxx рублей". Ну разве это дело? smile

Автор: mes 13.1.2010, 14:05
Цитата(zim22 @  13.1.2010,  13:03 Найти цитируемый пост)
просто пару дней назад ходил домой к знакомому - удалял у него "тулбар".

понятно.. значит не телепатия, а горький опыт.. и сразу всех под одну гребенку... 
 smile 

Автор: artsb 13.1.2010, 14:09
Цитата(zim22 @  13.1.2010,  14:03 Найти цитируемый пост)
он прописался в Internet Explorer, Opera, Firefox - и во время работы этих браузеров на пол-экрана выводил раздражающую мигающую надпись: "Чтобы избавиться от этой надписи - отправьте СМС на номер xxx. Стоимость СМС: xxx рублей". Ну разве это дело?

У меня несколько знакомых с такой ерундой сталкивались. Но я до них не добрался. У меня такого никогда не было ещё. Где они их цепляют....

Автор: zim22 13.1.2010, 14:15
Цитата(artsb @  13.1.2010,  13:09 Найти цитируемый пост)
 Где они их цепляют....

на порносайтах smile там просят скачать экзешник для ускорения работы/бесплатного доступа.

Автор: ArNic 13.1.2010, 14:38
Цитата
На порносайтах smile там просят скачать экзешник для ускорения работы/бесплатного доступа. 

Тулбар нормальный, без всяких там "оплати столько-то денег и получи доступ", каспер ругается как раз на то, что программа меняет домашнюю страницу. Но ведь это делает и qip - и в его случае это не идентифицирует как вирус (красный цвет), а предоставляет информацию о наличии адварной библиотеки в файле. (оранжевый цвет).
Поведение идентичное. Объясню зачем я делаю страницей по умолчанию и домашней страницей именно htm на диске C:
У яндекса в ИЕ есть визуальные закладки, они есть и у оперы по умолчанию. У меня нет таких навыков. чтобы сделать визуальные закладки как надстройку, а значит я сделал это все с помощью js + html - получилось вполне вменяемо, пользователям она тоже не мешает а создает удобства. Но вот незадача Каспер ругается.


Цитата
Ну или напиши в техподдержку Касперского. 

Думаешь так сделали создатели qip toolbar?
И потом каждому антивирю писать о том, что это не вирус?

Автор: zim22 13.1.2010, 14:46
Цитата(ArNic @  13.1.2010,  13:38 Найти цитируемый пост)
Думаешь так сделали создатели qip toolbar?

проверь свой тулбар всеми антивирусами
http://www.virustotal.com/ru/

если только каспер ругается - обращайся в техподдержку его.
если все ругаются - значит это вирус smile

Автор: ArNic 13.1.2010, 15:10
Забавно -  в сервисе Каспер не ругается smile Но я по факту вижу что ругается :(
http://www.virustotal.com/ru/analisis/fc62444f064af7ddac5cd7e7f97d9c6dc22cb396cff4d6b65e58386bc03ecfd2-1263384266

Автор: ArNic 14.1.2010, 13:13
Связался с ними ответили что исправят.
Все же спасибо за то, что постарались помочь.

Автор: EvilsInterrupt 18.1.2010, 00:11
2 ArNic:
На будущее:
1) Все что можно спросить юзера , спрашивай!
2) Программа должна быть гибкой, все должно быть в ini или файле этой же цели

Что все это значит?
1) Программа не должна менять ничего без разрешения пользователя. В случае если пользователь глуп, то это его  личные проблемы, не фиг было покупать комп! Если вдруг мясорубка неправильно на фаршрует,  никто же не кричит матом, как правило ))) , а комп только более интеллектуальное устройство, но тем неменее устройство!
2) Если хочется избавить юзера от надоедливых вопросов, то выноси в ини файл, таким образом специалисты антивирусных компаний будут четко знать, что программа не делает ничего и вся логика прозрачна, а автоматизация настравиваема и это юзер может посмотреть!

В случае прописывания странички по умолчанию, без вопроса, то это действительно вредоносная программа и детект правомерен! Если же как в qip спрашивается при установке, то адвара, т.е. не желательное. А qip имеет в процессе установки Вопрос "установить стартовой" и юзер может убрать или поставить голочку!

ЗЫ:
Еще меня  бесит, когда обновление делают на батниках, т.е закачают новую версию, потом запишут батник, запустят, а тот в цикле ждет когда прога умрет, чтобы потом переписать новой версией и запустить. ЭТО МАЛВАРНОЕ РЕШЕНИЕ! Детект правомерен!

Автор: ArNic 18.8.2010, 02:20
Приму к сведению, сенкс

Powered by Invision Power Board (http://www.invisionboard.com)
© Invision Power Services (http://www.invisionpower.com)