Saya telah mencari jawaban untuk ini selama sekitar satu bulan, tetapi tidak berhasil: Sejumlah besar entri aneh dilaporkan oleh utilitas autoruns SysInternals ketika saya menjalankannya di mesin Windows 7 Ultimate saya. Entri-entri ini tidak ada pada PC kerja saya, maupun pada PC virtual saya (keduanya Win7).
Yang saya tahu adalah bahwa sebagian besar entri ini (99%) menunjuk ke Microsoft DLL. Saya mencoba menginstal beberapa aplikasi di bawah PC virtual saya, tetapi entri ini tidak dibuat. Jadi, bagaimana mereka berakhir di registri saya? Mungkinkah itu dari malware?
Berikut daftar beberapa grup dan tangkapan layar beberapa entri dari grup pertama:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers
.......
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
.......
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64
entri sampel dari grup pertama, jumlah aktual dalam grup ini adalah sekitar 45
windows-7
windows-registry
sysinternals
Hector Evans
sumber
sumber
Jawaban:
Anda dapat mengaktifkan pemeriksaan tanda tangan digital dan pemeriksaan VirusTotal di Autoruns.
Menu Options / Scan options
Maka Anda akan melihat sesuatu seperti
Hampir semua file Microsoft DLL ditandatangani dan tanda tangan diverifikasi (itu berarti file tidak dimodifikasi oleh siapa pun). Tetapi untuk file tanpa tanda tangan Anda dapat melihat peringkat VirusTotal.
0/x
berarti bahwa file diperiksa olehx
program antivirus dan0
dari mereka menemukan bahwa file tersebut mencurigakan.Kunci registri yang Anda sebutkan dibuat oleh layanan Windows.
Misalnya, mengenai kunci reg,
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions
lihat Dasar-Dasar Kebijakan Grup .Anda juga dapat mematikan layanan yang tidak digunakan.
sumber