Ich habe einen Computer mit einem Virus. Ich habe endlich eine der Registrierungen gefunden, die Probleme verursacht. Wenn ich die Registrierung ändere oder lösche und dann einen bestimmten Prozess lösche, wird der Registrierungsschlüssel und anschließend der Prozess neu erstellt.
Gibt es eine Möglichkeit, diese Informationen zu meinem Vorteil zu nutzen, um festzustellen, was die Registrierung neu erstellt? (Und dann verbanne es für immer)
Vielen Dank.
windows
windows-registry
virus
Meowbits
quelle
quelle
Antworten:
Sie können verwenden: 1) procmon. Welche von Microsoft zum Download zur Verfügung steht:
und fügen Sie dann einen Filter hinzu, wählen Sie Filter nach Vorgang aus, und legen Sie den Filterwert als einen der Registrierungsvorgänge fest, die Sie vermuten ... Ich würde das Filtern nach (RegSetValue) vorschlagen oder nach allem suchen, das "Reg" enthält. Es ist ziemlich einfach, aber es wäre viel effizienter, wenn Sie wüssten, wann der verdächtige Prozess auf die Registrierung zugreift.
2) Regshot. verfügbar um:
RegShot kann einen Schnappschuss Ihrer Registrierung erstellen. Wenn Sie dann den Verdacht haben, dass etwas geschehen ist, können Sie einen weiteren Schnappschuss erstellen und die beiden Schnappschüsse vergleichen (diff), um festzustellen, was sich geändert hat.
Ich wünsche Dir viel Glück.
quelle