Я искал объяснение этого недокументированного ключа реестра, но все, что я мог найти, было некоторой ссылкой на взятие владения или выполнение как Администратор, действительно не объясняя, для чего разработано то конкретное значение реестра (не ключевой).
Я также нашел эту ссылку, которая предполагает что:
HKEY_CURRENT_USER\Software\Classes.exe\shell\open\command | IsolatedCommand = "" %1? % *"
связан со шпионским ПО. Действительно ли это верно? Если так, как?
Какая-либо идея, что это значение "IsolatedCommand" о, и почему Microsoft создала бы стоимость реестра, которая поможет шпионскому ПО?
То, что Вы видите, является, по-видимому, признаком Win32/FakeRean. Кратко,
Win32/FakeRean является семейством программ, которые утверждают, что просканировали для вредоносного программного обеспечения и предупреждений фальшивки дисплея злонамеренных файлов. Они затем сообщают пользователю, что должны заплатить деньги для регистрации программного обеспечения для удаления этих несуществующих угроз.
Когда Windows пытается определить, что сделать с файлами любого данного типа, он обычно консультируется HKLM
ответвление в реестре для записи для желаемого типа. Однако, если Вы когда-либо устанавливали программное обеспечение, которое спросило, хотели ли Вы, чтобы оно было доступно для Вас один, или для всех пользователей машины, Вы видели функцию, это встроено к Windows. Когда Вы говорите, что "Все", его ключи реестра обычно пишутся в HKLM
улей. Если Вы сказали, что Вы один, те записи обычно переходят в HKCU
улей. Что Win32/FakeRean
делает вставляет записи HKCU
улей, которые имеют приоритет по тем, которые в HKLM
. Для исполняемых файлов, которые могут быть плохими.
К сожалению, я не могу найти документацию для IsolatedCommand
ключ (я консультировался и с TechNet и с MSDN), но с его имени, я предположил бы, что он управляет, как создается процесс. Я могу сказать Вам, что это нормально и необходимо в HKLM
улей.