Помогите вычислить гниду, изменяющую реестр
Доброго времени суток.
С некоторого времени при запуске компа автоматом открывается браузер с каким-то левым сайтом, который яндекс браузер блокирует сразу как опасный.
Выяснил что такая подлость скрывается в реестре, удалил мерзкую строку оттуда. Гордился. Через пару перезагрузок строчка вернулась в реестр. Удалил. Она вернулась на место. Я озверел и на фоне этого разобрался с аудитом реестра...и спалил изменения в реестре.
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.07.2022 12:30:52
Код события: 4657
Категория задачи:Registry
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Daiynlo-sistemnik
Описание:
Изменено значение реестра.
Субъект:
ИД безопасности: DAIYNLO-SISTEMN\Win10_Game_OS
Имя учетной записи: Win10_Game_OS
Домен учетной записи: DAIYNLO-SISTEMN
Код входа: 0x2E694
Объект:
Имя объекта: \REGISTRY\USER\S-1-5-21-2162257564-2228249553-3630286477-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения объекта: Win10_Game_OS
Код дескриптора: 0x8c
Тип операции: Создано новое значение реестра
Сведения о процессе:
Идентификатор процесса: 0x13ec
Имя процесса: C:\Windows\System32\reg.exe
Сведения об изменении:
Тип старого значения: -
Старое значение: -
Тип нового значения: REG_SZ
Новое значение: cmd.exe /c start ww(никаких ссылок новичкам)klafbzor.org
Новое значение как раз и открывает этот подлый сайт...но вот какая гнида производит изменения в реестре я так и не понял...
Доброго времени суток.
С некоторого времени при запуске компа автоматом открывается браузер с каким-то левым сайтом, который яндекс браузер блокирует сразу как опасный.
Выяснил что такая подлость скрывается в реестре, удалил мерзкую строку оттуда. Гордился. Через пару перезагрузок строчка вернулась в реестр. Удалил. Она вернулась на место. Я озверел и на фоне этого разобрался с аудитом реестра...и спалил изменения в реестре.
Имя журнала: Security
Источник: Microsoft-Windows-Security-Auditing
Дата: 04.07.2022 12:30:52
Код события: 4657
Категория задачи:Registry
Уровень: Сведения
Ключевые слова:Аудит успеха
Пользователь: Н/Д
Компьютер: Daiynlo-sistemnik
Описание:
Изменено значение реестра.
Субъект:
ИД безопасности: DAIYNLO-SISTEMN\Win10_Game_OS
Имя учетной записи: Win10_Game_OS
Домен учетной записи: DAIYNLO-SISTEMN
Код входа: 0x2E694
Объект:
Имя объекта: \REGISTRY\USER\S-1-5-21-2162257564-2228249553-3630286477-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Имя значения объекта: Win10_Game_OS
Код дескриптора: 0x8c
Тип операции: Создано новое значение реестра
Сведения о процессе:
Идентификатор процесса: 0x13ec
Имя процесса: C:\Windows\System32\reg.exe
Сведения об изменении:
Тип старого значения: -
Старое значение: -
Тип нового значения: REG_SZ
Новое значение: cmd.exe /c start ww(никаких ссылок новичкам)klafbzor.org
Новое значение как раз и открывает этот подлый сайт...но вот какая гнида производит изменения в реестре я так и не понял...
