Кто-нибудь видел этот файл до "gvtlsysguard.exe" и хоть немного знает, что это такое? В эти выходные я заметил, что у одного из моих пользователей был этот файл в папке «Локальные настройки» своего профиля, и они каким-то образом записали ключ реестра в hklm / software / microsoft / windows / current version / run, чтобы запускать эту программу при запуске для всех. Странно то, что у пользователя не должно быть никаких прав в реестре. кто-нибудь знает, как файл попал туда и как происходила запись в реестре?
Я видел это несколько раз при работе, даже с компьютерами, «защищенными» Symantec AV Corp 10. Судя по тому, что я видел, он поступает с какого-то веб-сайта, файл помещается в локальный профиль пользователя и записывается в реестр для запуска при запуске. Название программы меняется каждый раз, когда я их вижу. Эти программы обычно отключают командную строку, диспетчер задач и т. Д. Перезагрузитесь в безопасном режиме, удалите файл, удалите ключ и удалите все прокси, которые он мог настроить.
Похоже на типичное вредоносное ПО. Выровняйте машину и начните заново. Надеюсь, у вас есть образ диска или такой, который вы можете восстановить (и, надеюсь, у вас нет данных пользователя, хранящихся локально).
Поскольку вы говорите, что у вашего пользователя не было прав «Администратор», он должен использовать какую-то уязвимость, чтобы получить права «Администратор». Это не что-то неслыханное.
В последнее время пользователи вредоносных программ начинают писать в те места файловой системы и реестра, которые доступны для непривилегированных пользователей. Вы уверены, что он не писал в то же место под HKEY_CURRENT_USER? Это становится много более частое явление.