Win7 x64 мошенническая программа точно?

Question

Win7 x64 мошенническая программа точно?

У меня есть ноутбук, который, как представляется, выглядит как командная строка, всплывающая и исчезающая при каждом подключении к сети. Я могу повторить это, выключив / включив Wi-Fi, он вспыхивает и исчезает слишком быстро, чтобы увидеть, или отображается в procmon/taskman. Есть ли способ, которым я могу замедлить его, записать его выполнение или иным образом выяснить, что это такое?

Кажется, что Procmon может регистрировать достаточно быстро, чтобы поймать его, но между тем, что он не знает, что я ищу, и тем, что он имеет длину в тысячи строк, он может вообще не регистрироваться. В журнале есть несколько записей "cmd.exe", но ни одна из них не кажется релевантной или не происходит в (очевидное) время, когда это выполняется.

Я даже не уверен, что это cmd.exe, но он выглядит так же, как и окно "dos", он просто исчезает, прежде чем я вижу, что это такое:(У кого-нибудь есть идеи?

1

windows windows-7 command-line delayed-execution

Источник

Christiebunny 30 янв '15 в 08:53

1 ответ

Решение

Другие вопросы по тегам windows windows-7 command-line delayed-execution

Endoro 31 янв '15 в 14:14 2015-01-31 14:14 · Accepted Answer · 2015-01-31 14:14

Вы можете посмотреть на следующие места для программ, ссылок и скриптов:

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup"
msconfig -4

См. Также вкладку "Запуск" диспетчера задач (taskmgr.exe)