Я искал ответ на этот вопрос в течение месяца, но безуспешно: огромное количество странных записей сообщается утилитой автозапуска SysInternals, когда я запускаю ее на своем компьютере с Windows 7 Ultimate. Эти записи не существуют ни на моем рабочем ПК, ни на моем виртуальном ПК (оба Win7).

Все, что я мог выяснить, - то, что большинство этих записей (99%) указывают на Microsoft DLL. Я попытался установить несколько приложений под моим виртуальным ПК, но эти записи не были созданы. Итак, как они оказались в моем реестре? Может ли это быть от вредоносных программ?

Вот список некоторых групп и скриншот нескольких записей из первой группы:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers
.......
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
.......
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64

выборка записей из первой группы, фактическое общее количество в этой группе составляет около 45

1 ответ1

0

Вы можете активировать проверку цифровой подписи и проверку VirusTotal в автозапуске.

Menu Options / Scan options

Тогда вы увидите что-то вроде

Почти все файлы Microsoft DLL подписаны, а подписи проверены (это означает, что файлы не были изменены кем-либо). Но для файлов без подписи вы можете увидеть рейтинг VirusTotal. 0/x означает, что файл был проверен антивирусными программами x и 0 из них обнаружили, что файл является подозрительным.

Указанные вами ключи реестра создаются службами Windows.

Например, относительно ключа reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions см . Основы групповой политики.

Также вы можете отключить неиспользуемые сервисы.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .