Win7 x64 мошенническая программа точно?

Question

У меня есть ноутбук, который имеет то, что выглядит как командная строка, всплывающая и исчезающая, когда он подключается к сети. Я могу повторить это, выключив / включив Wi-Fi, он вспыхивает и исчезает слишком быстро, чтобы увидеть, или отображается в procmon / taskman. Есть ли способ, как я могу замедлить его, записать его выполнение или иным образом выяснить, что это такое?

Кажется, что Procmon может регистрировать достаточно быстро, чтобы поймать его, но между тем, что он не знает, что я ищу, и тем, что в нем тысячи строк, он может вообще не регистрироваться. В журнале есть несколько записей «cmd.exe», но ни одна из них не выглядит релевантной или не происходит в (очевидное) время, когда это выполняется.

Я даже не уверен, что это cmd.exe, но он выглядит так же, как и окно «dos», он просто исчезает, прежде чем я вижу, что это такое :( У кого-нибудь есть идеи?

Answer 1

Вы можете посмотреть на следующие места для программ, ссылок и сценариев:

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e
reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e
reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e
dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup"
dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup"
msconfig -4

См. Также вкладку «Запуск» диспетчера задач (taskmgr.exe).