Огромное количество странных записей, зарегистрированных автозапусками SysInternals на моем ПК с Win7 Ultimate

389
Hector Evans

Я искал ответ на этот вопрос в течение месяца, но безуспешно: огромное количество странных записей сообщается утилитой автозапуска SysInternals, когда я запускаю ее на своем компьютере с Windows 7 Ultimate. Эти записи не существуют ни на моем рабочем ПК, ни на моем виртуальном ПК (оба Win7).

Все, что я мог понять, - это то, что большинство этих записей (99%) указывают на библиотеки Microsoft DLL. Я попытался установить несколько приложений под моим виртуальным ПК, но эти записи не были созданы. Итак, как они оказались в моем реестре? Может ли это быть от вредоносных программ?

Вот список некоторых групп и скриншот нескольких записей из первой группы:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions HKLM\SOFTWARE\Classes\Protocols\Filter HKLM\SOFTWARE\Classes\Protocols\Handler HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers ....... HKLM\Software\Classes\CLSID\\Instance HKLM\Software\Wow6432Node\Classes\CLSID\\Instance ....... HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64

выборка записей из первой группы, фактическое общее количество в этой группе составляет около 45

enter image description here

0
Они связаны с шаблоном расширения групповой политики, который вы должны применить. Я не вижу ничего плохого в этих файлах. Ramhound 8 лет назад 0
Спасибо Ramhound. Я подозреваю две программы сервера DLNA, которые я установил давным-давно. Hector Evans 8 лет назад 0

1 ответ на вопрос

0
Dmitry Sokolov

Вы можете активировать проверку цифровой подписи и проверку VirusTotal в автозапуске.

Menu Options / Scan options

enter image description here

Тогда вы увидите что-то вроде

enter image description here

Почти все файлы Microsoft DLL подписаны, а подписи проверены (это означает, что файлы не были изменены кем-либо). Но для файлов без подписи вы можете увидеть рейтинг VirusTotal. 0/xозначает, что файл был проверен xантивирусными программами и 0обнаружил, что файл является подозрительным.

Указанные вами ключи реестра создаются службами Windows.

Например, в отношении ключа reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensionsсм . Основы групповой политики .

Также вы можете отключить неиспользуемые сервисы.

Спасибо, Дмитрий, вы мне очень помогли. Я не знал, что вы можете проверить подписи и проверить на вирусы с помощью автозапуска. Hector Evans 8 лет назад 0

Похожие вопросы