Различные модификации вирусов любят размножаться используя обыкновенную флешку, причём принятые меры предосторожности типа антивируса и отключения автозагрузки со съёмных устройств иногда умудряются не сработать. Флешечные вирусы очень полюбили ветку реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, там они ставят параметр CheckedValue равным 0 и DefaultValue равным 2.
Добавил в nncron очередное задание: наблюдает вышеупомянутую ветку, и в случае изменений в ней, сообщает мне об этом.
WatchRegistryKey: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL"
Action:
MSG: "Произведены изменения в наблюдаемой ветке реестра. Возможно это вирус."