Iomhar Dealgach Posted August 26, 2009 Report Share Posted August 26, 2009 В процессе лечения чужих, запущенных машин от вирусов я использую NOD32, Cure-It, AVZ, Anti-Malware, AnVir. После удаления всей заразы и перезагрузки машин, на двух машинах при загрузке выдавалось обычное системное сообщение, что программа work.exe на найдена и соответственно не может быть запущена. При этом AnVir, AutoRuns и другие сканнеры автозапуска не детектировали work.exe ни в одном пути загрузки! Этого файла на компах не было (его несомненно удалили антивирусы), но компы упорно хотели его грузить при запусках. После поиска в реестре оказалось, что один из вирусов (которые уже я не могу установить) изменил значение ключа реестра "Shell" в ветке "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon" на "Explorer.exe Work.exe". Может формально это не является автозапуском, но по сути (фактически) этот ключ после загрузки Эксплорера загружает указанный после него, любой файл ПРИ КАЖДОЙ ЗАГРУЗКЕ системы! Так что, пока этот метод загрузки не детектируются, придется делать это врукопашную. Можно еще установить монитор изменений этого ключа реестра. Или есть еще что-нибудь иное? - буду рад узнать! Всем удачи!!! Quote Link to comment Share on other sites More sharing options...
akoK Posted August 26, 2009 Report Share Posted August 26, 2009 Iomhar Dealgach: логи AVZ и RSIT посмотреть той машины на которой подмена в автозапуске еще жива. Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.