Win7 x64 мошенническая программа точно?

260
Christiebunny

У меня есть ноутбук, который имеет то, что выглядит как командная строка, всплывающая и исчезающая, когда он подключается к сети. Я могу повторить это, выключив / включив Wi-Fi, он вспыхивает и исчезает слишком быстро, чтобы увидеть, или отображается в procmon / taskman. Есть ли способ, как я могу замедлить его, записать его выполнение или иным образом выяснить, что это такое?

Кажется, что Procmon может регистрировать достаточно быстро, чтобы поймать его, но между тем, что он не знает, что я ищу, и тем, что в нем тысячи строк, он может вообще не регистрироваться. В журнале есть несколько записей «cmd.exe», но ни одна из них не выглядит релевантной или не происходит в (очевидное) время, когда это выполняется.

Я даже не уверен, что это cmd.exe, но он выглядит так же, как и окно «dos», он просто исчезает, прежде чем я вижу, что это такое :( У кого-нибудь есть идеи?

1
Обязательный вопрос: у вас работает антивирусный сканер и / или вы выполняли проверку по требованию? Даже если это так, может быть хорошей идеей запустить антивирусный сканер с загрузочного диска / USB-накопителя (иногда называемого Rescue Disk / System). Adaephon 9 лет назад 0
Malwarebytes, и антивирус panda, но я выкопаю свою копию загрузочного CD Hiram, я думаю, что там есть антивирус, который я мог бы запустить с живой ОС на нем. То, что я пробежал до сих пор, показывает чистоту. Christiebunny 9 лет назад 0
Мне нужно немного покопаться, но я бы попробовал здесь какой-то видеозахват - я люблю VLC, повторяю его и перехожу кадр за кадром. Немного раздражает, но, вероятно, должно поймать, что это такое. Journeyman Geek 9 лет назад 0
Я пытался снимать его с помощью своего смартфона - поймал его, но он появлялся и исчезал между кадрами, поэтому я получил только постепенное и постепенное исчезновение, причем недостаточно четкое, чтобы что-то разобрать. это выглядит как пустое окно cmd.exe, из того, что я мог разглядеть между консольной подсказкой и заголовком заголовка .... так что я все еще не понимаю. Christiebunny 9 лет назад 0
ПРИМЕЧАНИЕ: оригинальный ноутбук был переустановлен с заводских дисков, которые его чистили, но я до сих пор ковыряюсь в нем в ВМ, пытаясь выяснить, что происходит, когда у меня есть время. Christiebunny 9 лет назад 0

1 ответ на вопрос

0
Endoro

You may look at the following locations for programs, links & scripts:

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx" reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup" dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup" msconfig -4

See also the task manager's "Start-up" tab (taskmgr.exe)

Похожие вопросы