[oia]

Как узнать, какой SID, какому пользователю соответствует?

Откройте редактор реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
Выберите SID и посмотрите ProfileImagePath. В конце строки найдете имя пользователя
Если знаете SID и хотите узнать имя пользователя, то можно использовать утилиту REG.EXE (из Resource Kit Supplement 2). Формат использования:

reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ProfileImagePath"
Например: reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1843332746-572796286-2118856591-1000\ProfileImagePath"

Будет показан ProfileImagePath и Вы сможете увидеть искомое имя.

Потенциальные места расположения троянских программ:

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit (REG_SZ)

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\... (REG_SZ)

HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\System (REG_SZ)

В первом и втором случае указанные в ключах приложения запускаются в контексте
текущего пользователя, в третьем -- от имени системы (System). Имеет смысл
регулярно проверять эти разделы Реестра на наличие троянцев.

Очистка файла подкачки при перезагрузке:

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory
Management\ClearPageFileAtShutdown
Файл подкачки, в который потенциально могут попасть незашифрованные аккаунты и
пароли, будет очищаться при каждой перезагрузке, если параметру присвоено
значение 1 (REG_DWORD).

Разгон NTFS
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]
"NtfsDisable8dot3NameCreation"=dword:00000001
"NtfsDisableLastAccessUpdate"=dword:00000001

Отключение административных шаров
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\para meters]
"AutoShareWks"=dword:00000000

Очистить корзину в контекстном меню всех файлов
[HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\{645FF040-5081-101B-9F08-00AA002F954E}]