Вполне возможно, что у вас уже случалась ситуация, когда возникли серьезные проблемы с загрузкой Windows (например, заражение вирусом или троянской программой или ошибка в службах или программах в автозагрузке) и для того чтобы восстановить нормальную загрузку Windows необходимо отредактировать определенный параметр реестра вашей операционной системы.
Хорошо если ваша система грузится хотя бы в безопасном режиме и позволяет отредактировать реестр, но вполне возможен вариант, когда загрузить Windows в безопасном режиме также не удается. В этой ситуации нам смогут помочь загрузочные диски BartPE, ERD Commander и т.п. Но что делать, если мы, например, в гостях и под рукой нет таких дисков, а в наличии лишь установочный диск с Windows. Ничего страшного, даже эти далеко не полные средства смогут помочь нам отредактировать реестр системы которая не загружается.
Для начала немного справочной информации. Все кусты реестра в Windows физически существуют в виде отдельных файлов и их можно открывать и редактировать обычным редактором реестра regedit, запущенным из другой системы загруженной с компакт диска. Для того чтобы понимать какая ветка реестра храниться в каком файле есть следующая табличка (пути к файлам реестра в ней указаны исходя из предположения, что Windows у вас установлена на диск С в папку Windows):
Автозагрузка Windows в диспетчере задач и в реестре
Ветка реестра — Файл
HKEY_CURRENT_USER c:users ntuser.dat
Теперь рассмотрим редактирование реестра на примере Windows 7. Итак, у нас есть установочный диск с Windows 7 или загрузочный диск Windows PE (Windows Preinstallation Environment) / Windows RE (Windows Recovery Environment). Загружаемся с этого диска и в окне выбираем «Восстановить компьютер» («Repair your computer»).
Затем в следующем окне нажимаем «Далее» («Next»). Теперь запускаем командную строку – «Command Prompt». В открывшейся консоли набираем regedit, в результате чего запустится редактор реестра. Но на данный момент он отображает реестр загрузочной среды которая загрузилась с компакт диска.
Нажимаем один раз мышкой на ветку реестра HKEY_LOCAL_MACHINE и меню выбираем пункт «Загрузить куст» («Load Hive»). Теперь находим диск на котором расположена наша старая система и сверяясь с указанной выше таблицей выбираем необходимую нам ветку реестра, которую мы будем редактировать. Указываем имя (например 12345), с которым загруженная ветка реестра будет подмонтирована в разделе HKEY_LOCAL_MACHINE.
И наконец в появившейся ветке реестра находим и редактируем параметр, который не дает нашей Windows загрузиться. Когда все необходимые изменения внесены необходимо в меню выбрать “Файл – Выгрузить куст» («File->Unload hive») после чего результаты редактирования сохранятся в реестре нашей старой операционной системы.
Источник: j4web.ru
Папка run в реестре windows 7
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.
Чистка реестра вручную
- Как осуществляется автозагрузка?
- Где найти список программ, загружаемых автоматически?
- Как отключить соответствующий список автозагрузки?
Именно этому и будет посвящена эта статья.
Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] ‐ программы, запускаемые при входе в систему.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).
Рисунок 1 Автозапуск для всех пользователей
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] ‐ программы, которые запускаются при входе текущего пользователя в систему
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:WINDOWSSystem32notepad.exe»
Использование групповой политики для автозапуска
Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).
Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)
По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку «Показать ‐ Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32 то можно указать только название программы, иначе придется указать полный путь к программе.
Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.
Работа с реестром
Вредоносные программы , как и любые программы, для работы нуждаются в запуске. Поэтом они часто используют реестр, в частности, его разделы, отвечающие за автоматический запуск программ при загрузке операционной системы.
- Откройте Редактор реестра.
- В ветви HKEY_LOCAL_MACHINE выберите Software MicrosoftWindowsNTCurrentVersionWinlogon.
- В правой половине окна появится список ключей для данной ветви. Найдите ключ Userinit и проверьте его содержимое.
Рис. 23.3.
Нормальным значением данного ключа является запись C:WINDOWSsystem32userinit.exe . Наличие в ключе других записей может свидетельствовать о наличии на компьютере вредоносных программ. Для удаления из ключа подозрительной записи щелкните на нем два раза левой кнопкой мыши. После редактирования нажмите ОК.
Рис. 23.4.
Далее перейдите в папку, где находится подозрительный файл и удалите его вручную. После этого перезагрузите систему. Если после перезагрузки в ключе удаленное значение не появилось снова – система вылечена.
Как уже говорилось выше, любимым местом вредоносных программ являются разделы реестра, отвечающие за автозапуск.
В реестре автозагрузка представлена в нескольких местах:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx — программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun — программы, которые запускаются при входе текущего пользователя в систему
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices — программы, которые загружаются при старте системы до входа пользователя в Windows.
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce — программы отсюда загружаются только один раз, когда загружается система.
- Откройте Редактор реестра
- Откройте следующий раздел HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
- В правой части окна вызовите правой кнопкой мыши контекстное меню и выберите Создать->Строковый параметр
Источник: intuit.ru