Sejumlah besar entri aneh dilaporkan oleh autoruns SysInternals di PC Win7 Ultimate saya

0

Saya telah mencari jawaban untuk ini selama sekitar satu bulan, tetapi tidak berhasil: Sejumlah besar entri aneh dilaporkan oleh utilitas autoruns SysInternals ketika saya menjalankannya di mesin Windows 7 Ultimate saya. Entri-entri ini tidak ada pada PC kerja saya, maupun pada PC virtual saya (keduanya Win7).

Yang saya tahu adalah bahwa sebagian besar entri ini (99%) menunjuk ke Microsoft DLL. Saya mencoba menginstal beberapa aplikasi di bawah PC virtual saya, tetapi entri ini tidak dibuat. Jadi, bagaimana mereka berakhir di registri saya? Mungkinkah itu dari malware?

Berikut daftar beberapa grup dan tangkapan layar beberapa entri dari grup pertama:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers
.......
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
.......
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64

entri sampel dari grup pertama, jumlah aktual dalam grup ini adalah sekitar 45

masukkan deskripsi gambar di sini

windows-7 windows-registry sysinternals Hector Evans
sumber
Itu terhubung ke templat Perluasan Kebijakan Grup yang harus Anda terapkan. Saya melihat tidak ada yang berbahaya tentang file-file itu.
Ramhound
Terima kasih, Ramhound. Saya menduga dua program server DLNA yang saya instal sejak lama.
Hector Evans

Jawaban:

0

Anda dapat mengaktifkan pemeriksaan tanda tangan digital dan pemeriksaan VirusTotal di Autoruns.

Menu Options / Scan options

masukkan deskripsi gambar di sini

Maka Anda akan melihat sesuatu seperti

masukkan deskripsi gambar di sini

Hampir semua file Microsoft DLL ditandatangani dan tanda tangan diverifikasi (itu berarti file tidak dimodifikasi oleh siapa pun). Tetapi untuk file tanpa tanda tangan Anda dapat melihat peringkat VirusTotal. 0/xberarti bahwa file diperiksa oleh xprogram antivirus dan 0dari mereka menemukan bahwa file tersebut mencurigakan.

Kunci registri yang Anda sebutkan dibuat oleh layanan Windows.

Misalnya, mengenai kunci reg, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensionslihat Dasar-Dasar Kebijakan Grup .

Anda juga dapat mematikan layanan yang tidak digunakan.

Dmitry Sokolov
sumber
Terima kasih Dmitry, Anda sangat membantu. Saya tidak tahu Anda bisa memverifikasi tanda tangan dan memindai virus dengan Autoruns.
Hector Evans