Способ автозапуска

[Iomhar Dealgach]

В процессе лечения чужих, запущенных машин от вирусов я использую NOD32, Cure-It, AVZ, Anti-Malware, AnVir.

После удаления всей заразы и перезагрузки машин, на двух машинах при загрузке выдавалось обычное системное сообщение, что программа work.exe на найдена и соответственно не может быть запущена.

При этом AnVir, AutoRuns и другие сканнеры автозапуска не детектировали work.exe ни в одном пути загрузки! Этого файла на компах не было (его несомненно удалили антивирусы), но компы упорно хотели его грузить при запусках.

После поиска в реестре оказалось, что один из вирусов (которые уже я не могу установить) изменил значение ключа реестра "Shell" в ветке "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon" на "Explorer.exe Work.exe".

Может формально это не является автозапуском, но по сути (фактически) этот ключ после загрузки Эксплорера загружает указанный после него, любой файл ПРИ КАЖДОЙ ЗАГРУЗКЕ системы!

Так что, пока этот метод загрузки не детектируются, придется делать это врукопашную. Можно еще установить монитор изменений этого ключа реестра.

Или есть еще что-нибудь иное? - буду рад узнать!

Всем удачи!!!

[akoK]

Iomhar Dealgach: логи AVZ и RSIT посмотреть той машины на которой подмена в автозапуске еще жива.