Lista winnt@man.lodz.pl
[Lista archiwów] [Inne Listy]
<pop. [Data] nast.> <pop. [Wątek] nast.>

Re: [WINNT] Jak kompletnie usunąć aplikację?

To: winnt@man.lodz.pl
Subject: Re: [WINNT] Jak kompletnie usunąć aplikację?
From: "PawelS pawel(at)wbcd(dot)pl" <fake@email.org>
Date: Tue, 21 Nov 2017 22:07:52 +0100 
pueblo pisze:

Witaj Marek S, 15 lis 2017 w news:oui601$u6s$1@node1.news.atman.pl
napisałeś/aś: 
W dniu 2017-11-15 o 13:25, Grzegorz Niemirowski pisze:


Rejestr jest duży, system plików też. Miejsc jest wiele. Dlatego
własnie potrzebny będzie Process Monitor. 
Właśnie przeanalizowałem działanie programu. Nie wiem czy właściwie.
Wziąłem jego PID jako filtr ale żadnych odczytów z dziwnych miejsc rejestru nie znalazłem poza jednym - ale to nie to. Za to zdumiało 
mnie, że w:

C:\Users\użytkownik\AppData\Local\Temp\desktop.ini:tu_kupa_znaków
Ja jako domorosły hakier bawiłbym sie jeszcze inaczej skoro nie masz żadnych śladów. Mozesz zainstalowac ten program na czysto w jakiejs virtualce monitorujac zmiany jakie wprowadza w systemie. Mozesz odpalic instalke w Sandboxie i podejrzec jakie pliki sa tworzone. Zmian w rejesterze nie zobaczysz - chyba że można te pliki z piaskownicy dotyczące rejestru jakoś podejrzeć np. w regedit. 

I tak, i nie, zmiany w rejestrze również można zauważyć.
Dawno, dawno temu na Windows 98 tak właśnie robiłem.
Tak jak napisałeś (co prawda nie miałem jeszcze wirtualek):

Na świeżo zainstalowanym systemie zapisywałem listing plików
oraz zrzut / export całego rejestru do pliku regudmp1.reg.

Instalacja programu.

Ponowny zapis listingu plików systemówych oraz Program Files
oraz zrzut / export całego rejestru do pliku regdump2.reg.

Diff stanu przed i po instalacji programu Trial,
pokazywał co pojawiło się po instalacji.
W ten sposób można było skutecznie usunąć program
wraz ze wszystkimi danymi (również ustawieniami):

np: MFR (Magic File Renamer): Plik:
C:\WINDOWS\SYSTEM32\Mfrdat.dat

np: ClipMate (wieloschowek, w KDE jest klipper): Rejestr:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\clipmt40
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\UNINSTALL\ClipMate 4.5.2 (32-bit) 

HKEY_CURRENT_USER\AppEvents\EventLabels\ClipMateEmptyClipboard
HKEY_CURRENT_USER\AppEvents\EventLabels\ClipMateNewData
HKEY_CURRENT_USER\AppEvents\EventLabels\ClipMatePowerPasteComplete
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\.Default\ClipMateEmptyClipboard
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\.Default\ClipMateNewData
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\.Default\ClipMatePowerPasteComplete
<Pop. w Wątku] Aktualny Wątek [Nast. w Wątku>
Poprzedni wg. Daty:  Re: [WINNT] Skąd pobrać ISO Windows 10 ze wszystkimi aktualizacjami?, Grzegorz Niemirowski
Następny wg. Daty:  Re: [WINNT] Jak kompletnie usunąć aplikację?, pueblo
Poprzedni w Wątku:  Re: [WINNT] Jak kompletnie usunąć aplikację?, pueblo
Następny w Wątku:  Re: [WINNT] Jak kompletnie usunąć aplikację?, pueblo
Indeksy:  [Data] [Wątek] [Lista archiwów] [Inne Listy]