Win7 x64 мошенническая программа точно?

1

У меня есть ноутбук, который, как представляется, выглядит как командная строка, всплывающая и исчезающая при каждом подключении к сети. Я могу повторить это, выключив / включив Wi-Fi, он вспыхивает и исчезает слишком быстро, чтобы увидеть, или отображается в procmon / taskman. Есть ли способ, которым я могу замедлить его, записать его выполнение или иным образом выяснить, что это такое?

Кажется, что Procmon может регистрировать достаточно быстро, чтобы поймать его, но между тем, что он не знает, что я ищу, и тем, что он имеет длину в тысячи строк, он может вообще не регистрироваться. В журнале есть несколько записей «cmd.exe», но ни одна из них не кажется релевантной или не происходит в (очевидное) время, когда это выполняется.

Я даже не уверен, что это cmd.exe, но он выглядит так же, как и окно «dos», он просто исчезает, прежде чем я вижу, что это такое :( У кого-нибудь есть идеи?

Christiebunny
источник
Обязательный вопрос: у вас работает антивирусный сканер и / или вы выполняли проверку по требованию? Даже если это так, может быть хорошей идеей запустить антивирусный сканер с загрузочного диска / USB-накопителя (иногда называемого Rescue Disk / System).
Adaephon
Malwarebytes, и антивирус panda, но я выкопаю свою копию загрузочного CD Hiram, я думаю, что там есть антивирус, который я мог бы запустить с живой ОС на нем. То, что я пробежал до сих пор, показывает чистоту.
Кристианни
Мне нужно немного поковыряться, но я бы попробовал здесь какой-то видеозахват - мне нравится VLC, повторяю его и перехожу кадр за кадром. Немного раздражает, но, вероятно, должно поймать, что это такое.
подмастерье Компьютерщик
Я пытался снимать его с помощью своего смартфона - поймал его, но он появлялся и исчезал между кадрами, поэтому я получил только постепенное и постепенное исчезновение, причем недостаточно четкое, чтобы что-то разобрать. он появился , чтобы быть просто пустым окном cmd.exe, от того, что я мог бы сделать между консольной строкой и заголовком .... так что я все еще невежествен.
Christiebunny
ПРИМЕЧАНИЕ: оригинальный ноутбук был переустановлен с заводских дисков, которые его чистили, но я все еще ковыряюсь в нем в ВМ, пытаясь выяснить, что происходит, когда у меня есть время.
Christiebunny

Ответы:

0

Вы можете посмотреть на следующие места для программ, ссылок и скриптов:

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup"
msconfig -4

См. Также вкладку «Запуск» диспетчера задач ( taskmgr.exe)

Endoro
источник