Как узнать что именно отключает диспетчер задач?

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)

Как узнать что именно отключает диспетчер задач?

Всем доброго времени суток!
Возникла такая проблема, от которой уже мозг взрывается. Недавно один из наших серверов подвергся атаке, в результате которой на него установили шпионскую прогу от Mipko и еще парочку мелких вредителей. Я это быстро обнаружил и всех шпионов посносил. Обновил систему, антивурус и закрыл к серваку доступ с внешки. Но одна мелкая проблема осталась. Какая-то пакость по-прежнему отключает в реестре диспетчер задач. Я уже весь реестр обшарил, ну нет ничего подозрительного в автозапуске. Проверил все системные задания, тоже ничего не обнаружил. В процессах тоже ничего подозрительного не висит (проверял через AnVir Task Manager). И тут я уже просто зашел в тупик. Что-то ведь его отключает Оо. Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. Но как выцепить "гада"?

Цитата:

Цитата goodguy

Причем это происходит не в момент загрузки системы, и даже не в момент логина. Такое впечатление, что это происходит по какому-то таймеру. »

Может быть, по таймеру применения групповых политик? :)
Что показывает rsop.msc?

1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!!

P.S.
Многие антивирусы (тот же Касперский), имеют "активную защиту", которая позволяет контролировать обращение к разделам реестра.
Пропишите правило контроля данного раздела и настройте отправку уведомлений на электронную почту.

Цитата:

Цитата El Scorpio

Может быть, по таймеру применения групповых политик? »

Не исключаю.

Цитата:

Цитата El Scorpio

1) Запустите procmon из пакета sysinternalsuite
2) Настройте фильтр событий - изменение нужного ключа реестра
3) ...
4) PROFIT!!!! »

Спасибо за совет :) Уже пробую. Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора

Цитата:

Цитата El Scorpio

Что показывает rsop.msc? »

Опа! А это уже интереснее. Есть пункт "удалить диспетчер задача" - включено.
Только как убрать? Кнопки не доступны

Все, разобрался ) Это я туплю. Надо же было через gpedit. Отключил эту фигню.
El Scorpio огромное спасибо за помощь! :)

Цитата:

Цитата goodguy

Только не понятно как настроить procmon именно на мониторинг события по изменению ключа DisableTaskMgr. Он по-любому мониторит все возможные события, коих там просто гора »

Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то! :)

Фильтры можно задавать на сокрытие лишних событий и на показ только конкретных событий.
Условия можно придумывать любые - по PID процеса, по имени программы, по тексту значения (имя файла или ключа реестра), по типу операции (чтение, изменение).
В вашем случае нужно мониторить запросы на изменение данного ключа реестра.

Цитата:

Цитата El Scorpio

Капитан Очевидность говорит, что для фильтрации отображаемых событий нужно использовать функцию "фильтр". Так то! »

Да это-то понятно. Но, PID процесса отпадает. Я же не знаю какой процесс мне нужен, имя программы так же. А вот как там выбрать мониторинг именно ключа реестра, ума не приложу. Указать тип фильтра Path?

Цитата:

Цитата goodguy

Указать тип фильтра Path? »

Угу.
Или указать полный путь, или "заканчивается на" имя нужного ключа.