У меня есть компьютер с вирусом. Я наконец-то нашел один из реестров, который создает проблемы. Если я изменю или удаляю реестр, а затем удаляю определенный процесс, он заново создаст раздел реестра, а затем процесс.
Есть ли способ, которым я могу использовать эту информацию в своих интересах, чтобы определить, что воссоздает реестр? (А потом прогнать его навсегда)
Благодарю.
Вы можете использовать:1) procmon. Который доступен для загрузки от Microsoft по адресу:
http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx
а затем добавьте фильтр, выберите фильтр по операции и установите значение фильтра как одну из операций реестра, которые вы подозреваете ... Я бы предложил фильтрацию по (RegSetValue) или мог бы искать все, что имеет "Reg" в нем. Это довольно просто, но было бы намного эффективнее, если бы вы знали, когда подозрительный процесс обращается к реестру.
2) Снимок. можно купить в:
RegShot может сделать снимок вашего реестра. Затем, когда вы подозреваете, что что-то произошло, вы можете сделать еще один снимок и сравнить (сделать различие) два снимка, чтобы увидеть, что изменилось.
Я желаю вам удачи.
