Win7 x64 Schurkenprogramm

373
Christiebunny

Ich habe einen Laptop, der scheinbar wie eine Eingabeaufforderung erscheint und verschwindet, sobald er sich mit dem Internet verbindet. Ich kann es wiederholen, indem ich das WLAN aus- / einschalte, es blinkt auf und verschwindet zu schnell, um es zu sehen, oder erscheint in procmon / taskman. Gibt es eine Möglichkeit, wie ich es verlangsamen, seine Ausführung protokollieren oder auf andere Weise herausfinden kann, was es ist?

Procmon scheint in der Lage zu sein, sich schnell genug einzuloggen, um es zu fangen, aber zwischen dem Nichtwissern, wonach ich suche, und der Tatsache, dass es Tausende von Zeilen lang ist, kann es sich auch überhaupt nicht anmelden. Es gibt mehrere 'cmd.exe'-Einträge im Protokoll, jedoch scheint keiner zu dem (scheinbaren) Zeitpunkt relevant zu sein, zu dem dies ausgeführt wird.

Ich bin nicht einmal sicher, ob es sich um cmd.exe handelt, aber es ist das gleiche "DOS-Fenster" -Look, es verschwindet nur, bevor ich sehen kann, was es ist :( Hat jemand irgendwelche Ideen?

1
Obligatorische Frage: Haben Sie einen Virenscanner und / oder haben Sie einen On-Demand-Scan durchgeführt? Selbst wenn dies der Fall ist, empfiehlt es sich, einen Virenscanner von einem startfähigen Datenträger / USB-Laufwerk (manchmal auch als Rettungsdiskette / System bezeichnet) auszuführen. Adaephon vor 9 Jahren 0
Malwarebytes und Panda Antivirus, aber ich werde meine Kopie von Hirams Boot-CD ausgraben. Ich glaube, da ist ein Antivirus, auf dem ich das Live-Betriebssystem laufen lassen könnte. Was ich bisher gelaufen bin, zeigt aber sauber. Christiebunny vor 9 Jahren 0
Ich muss ein bisschen herumstochern, aber ich würde hier eine Art Video-Capture ausprobieren - ich mag VLC, wiederhole es und gehe Bild für Bild. Etwas nervig, aber es sollte wahrscheinlich fangen, was es ist. Journeyman Geek vor 9 Jahren 0
Ich habe versucht, es mit meinem Smartphone zu filmen - fing es ein, aber es wurde zwischen den Bildern ein- und ausgeblendet, so dass ich nur das Ein- und Ausblenden bekam, auch nicht klar genug, um etwas auszumachen. _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ @ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _,,,,,,,,,,,, _, nur noch ein kleiner Teil der Beschreibung vorhanden ist. Ich habe es nicht verstanden, nur zu sagen, dass ich zwischen dem Konsolenaufruf und der Konsole zwischen Konsole und Konsole unterscheiden kann. Ich habe also keine Ahnung. Ich habe also keine Ahnung. Christiebunny vor 9 Jahren 0
ANMERKUNG: Der ursprüngliche Laptop wurde von den werkseitigen Disks neu installiert, was ihn bereinigte, aber ich bin immer noch in einer VM dabei und versuche herauszufinden, was los ist, wenn ich Zeit habe. Christiebunny vor 9 Jahren 0

1 Antwort auf die Frage

0
Endoro

Sie können an den folgenden Speicherorten nach Programmen, Links und Skripten suchen:

reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\WinLogon" /f shell /e reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx" reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_LOCAL_MACHINE\Software\wow6432node\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e reg query "HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager" /f PendingFileRenameOperations /e reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager" /f ExcludeFromKnownDlls /e reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f run /e reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows" /f load /e reg query "HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system" /f shell /e dir "%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup" dir "%ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup" dir "%ALLUSERSPROFILE%\Start Menu\Programs\Startup" msconfig -4

Siehe auch die Registerkarte "Start" des Task Managers ( taskmgr.exe)

Verwandte Probleme