我已经搜索这个问题的答案大约一个月了,但没有成功:当我在 Windows 7 Ultimate 机器上运行 SysInternals 的自动运行实用程序时,它报告了大量奇怪的条目。这些条目在我的工作电脑上不存在,在我的虚拟电脑上也不存在(都是 Win7)。
我唯一能弄清楚的是,这些条目中的大多数(99%)都指向 Microsoft DLL。我尝试在虚拟 PC 下安装几个应用程序,但这些条目没有被创建。那么,它们是如何出现在我的注册表中的呢?可能是恶意软件造成的吗?
以下是部分群组的列表,以及第一组中几项条目的屏幕截图:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Drive\ShellEx\ContextMenuHandlers
.......
HKLM\Software\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
HKLM\Software\Wow6432Node\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance
.......
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64
第一组中的样本条目,该组的实际总数约为 45
答案1
您可以在 Autoruns 中激活数字签名检查和 VirusTotal 检查。
Menu Options / Scan options
然后你会看到类似
几乎所有 Microsoft DLL 文件都已签名,并且签名已验证(这意味着文件未被任何人修改过)。但是对于没有签名的文件,您可以查看 VirusTotal 评级。0/x表示x防病毒程序已检查文件,并且0发现其中存在可疑文件。
您提到的注册表项是由 Windows 服务创建的。
例如,关于注册表项,HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GpExtensions请参阅组策略基础知识。
您还可以关闭未使用的服务。