Некоторые методы обнаружения вредоносных программ в автозагрузке системы:

• Анализ автозапуска с помощью утилиты Autoruns. 1 Программа анализирует множество ключей реестра, управляющих автозапуском, отображает список служб, модулей расширения проводника, BHO и панели Internet Explorer, назначенные задания. 1 С помощью Autoruns можно временно удалить из автозагрузки подозрительные программы и библиотеки. 1
• Проверка цифровых подписей. 1 Для этого используют консольную утилиту Sigcheck, которая позволяет просматривать и проверять цифровые подписи указанного файла. 1 Она полезна для идентификации системных файлов, которые имеют цифровую подпись Microsoft. 1
• Анализ BHO и модулей расширения Internet Explorer. 1 Многие SpyWare- и AdWare-программы устанавливаются как BHO (Browser Helper Object). 1 Анализ рекомендуется вести из утилиты Autoruns (закладка Internet Explorer) или из AVZ (Сервис => Менеджер расширений IE). 1
• Поиск файлов на диске. 1 Этот метод эффективен, если известна примерная дата появления вредоносной программы. 1 Можно осуществить поиск по маске с фильтрацией по диапазону дат (желательно дважды: по дате создания файла и по дате модификации). 1
• Анализ файла hosts. 1 Файл hosts участвует в процессе определения IP-адреса сервера по его имени. 1 Модификация этого файла может привести к нарушению данного процесса и подмене адреса любого сервера. 1
• Использование программы MinerSearch. 4 Утилита проверяет не только запущенные процессы, но и автозагрузку, системный реестр и планировщик заданий, где часто скрываются механизмы повторной активации вируса после перезагрузки. 4
• Использование программы RKill. 4 Утилита работает непосредственно с процессами Windows и эффективно выявляет активные компоненты вредоносного ПО. 4 RKill не удаляет угрозы напрямую, а только принудительно останавливает их работу, создавая возможность для дальнейшей очистки системы более специализированными средствами. 4