Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя антивирусное программное обеспечение установлено практически везде, иногда возникает необходимость выяснить, где же в реестре стартует та или иная подозрительная программа. При поиске резидентных программ нас интересуют следующие вопросы:
- Как осуществляется автозагрузка?
- Где найти список программ, загружаемых автоматически?
- Как отключить соответствующий список автозагрузки?
Этим вопросам и посвящена данная статья.
Существует много способов автозагрузки программ. Ниже перечисляется несколько вариантов. Надеюсь, это поможет вам в розыске и удалении подозрительного и вредоносного программного обеспечения из разделов автозагрузки.
Реестр
В реестре Windows Vista автозагрузка программ представлена в нескольких разделах.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при регистрации в системе.
Отключение автозапуска программ на Windows 7
Программы, которые запускаются в данном разделе, запускаются для всех пользователей в системе.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] — программы, запускаемые только один раз при регистрации пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] — программы, которые запускаются при регистрации пользователя в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] — программы, которые запускаются только один раз при регистрации пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать «Блокнот» при регистрации конкретного пользователя, нужно открыть редактор реестра (regedit.exe), перейти в раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindows Current Version Run]
и добавить следующий параметр:
«NOTEPAD.EXE»=»C:WINDOWS System32 otepad.exe»
Использование групповой политики для настройки программ автозапуска
Открываем оснастку «Групповая политика» (gpedit.msc), переходим на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой панели оснастки переходим на пункт «Вход в систему» (экран 1).
По умолчанию эта политика не задана, но можно добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32, то можно указать только название программы, иначе придется указать полный путь к ней. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с параметрами добавленных программ.
Как отключить автозапуск программ в Windows 8/8.1/10
Пример
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
«1»=»notepad.exe»
«2»=»iexplore.exe»
В итоге получаем запуск «Блокнота» и Internet Explorer для всех пользователей. Аналогично задается автозапуск для конкретных пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (см. экран 2), а в реестре раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
При этом программы из данного списка не отображаются в списке программ, доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Автозапуск программ из особого списка
Программы также могут запускаться из следующего раздела реестра:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrent VersionWindows]
Параметры:
«load»=»programm» — программы, запускаемые до регистрации пользователя в системе;
«run»=»programm» — программы, запускаемые после регистрации пользователя в системе.
Эти параметры — аналог автозагрузки из файла Win.ini в Windows 9х.
Пример
Запускаем Internet Explorer до регистрации пользователя в системе и «Блокнот» после регистрации:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersion Windows]
«load»=»iexplore.exe»
«run»=»notepad.exe»
Не обрабатывать список автозапуска для старых версий. Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система — Вход в систему — Не обрабатывать список запуска старых программ», если эту политику включить, то не будут запускаться программы из следующих разделов реестра:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
При использовании этой политики в реестре создается следующий параметр:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
«DisableLocalMachineRun»=dword:00000001
Аналогично устанавливается политика для конкретных пользователей: «Конфигурация пользователя — Административные шаблоны — Система — Вход в систему — Не обрабатывать список запуска старых программ» с тем отличием, что в реестре этот режим включается в другом месте:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
«DisableLocalUserRun»=dword:00000001
Игнорировать списки автозагрузки программ, выполняемых однократно.
Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система — Вход в систему —Не обрабатывать список однократного запуска программ».
Если эту политику включить, то не будут запускаться программы, загружаемые из списка.
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
Если эта политика включена, в реестре создается следующий параметр: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
DisableLocalMachineRunOnce»=dword:00000001
Аналогичным образом настраивается политика для конкретных пользователей: «Конфигурация пользователя — Административные шаблоны — Система — Вход в систему — Не обрабатывать список однократного запуска программ»
Параметры реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
«DisableLocalUserRunOnce»=dword:00000001
Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое задание можно так: «Пуск — Все программы — Стандартные — Служебные — Планировщик заданий». При этом откроется окно «Планировщика заданий», в котором отображены назначенные задания (экран 3).
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу» (см. экран 4).
Запуск программ с помощью этого мастера возможен однократно, при регистрации в Windows, при включении компьютера, а также по расписанию.
Папка, в которой хранятся ярлыки для программ, запускаемых после регистрации пользователя в системе. Ярлыки в эту папку могут добавляться программами при их установке или самим пользователем. Существует две папки — общая для всех и индивидуальная для конкретного пользователя. По умолчанию эти папки находятся здесь:
..UsersAllUsers MicrosoftWindows Start Menu ProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для конкретного пользователя.
Посмотреть, какие программы у вас запускаются таким способом, можно, открыв меню «Пуск — Все программы — Автозагрузка». Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после регистрации пользователя в системе.
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Common Startup» =»% ProgramData %MicrosoftWindowsStartMenu ProgramsStartup» — для всех пользователей системы.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=»%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup» — для конкретного пользователя.
Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
Пример
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=»c:mystartup» — система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка «Автозагрузка» по-прежнему будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим, у вас установлен пакет Acrobat Reader. Тогда в папке «Автозагрузка» будет находиться ярлык «Adobe Reader Speed Launch» — этот ярлык устанавливается туда по умолчанию. Но вовсе не обязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat Reader это не отразится.
Добавление программы к программе, запускаемой из списка автозагрузки
Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа. Дело в том, что можно «склеить» два исполняемых файла в один, и они будут запускаться одновременно. Существуют специальные программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно, открыв программу «Сведения о системе» (откройте «Пуск — Все программы — Стандартные — Служебные — Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в раздел «Программная среда — Автоматически загружаемые программы». В окне «Сведения о системе» отображаются группы автозагрузки из реестра и папок «Автозагрузка» (см. экран 5).
Другая программа, позволяющая посмотреть список программ автозагрузки, — «Настройка системы» (для запуска нужно набрать msconfig.exe в командной строке). Эта программа, помимо возможности просмотра списка автозагрузки, позволяет отключить все программы из списка автозагрузки (вкладка «Общие») или некоторые программы (вкладка «Автозагрузка»).
Безусловно, сведения, приведенные в данной статье, нельзя считать исчерпывающими, однако я надеюсь, что они помогут вам в нелегкой борьбе с вредоносными программами.
Источник: www.osp.ru
Как отключить автозапуск программ в windows vista
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
- как осуществляется автозагрузка?
- где найти список программ, загружаемых автоматически?
- как отключить соответствующий список автозагрузки?
Рассмотрению данных вопросов и посвящена настоящая статья.
Существует много способов автозагрузки. Мы разберем лишь несколько вариантов. Надеюсь, что это поможет вам в розыске и удалении вредоносного ПО из автозагрузки.
Реестр
В реестре Windows Vista автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при входе в систему. Они запускаются для всех пользователей в системе;
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] — программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Программы в этом разделе запускаются для всех пользователей в системе;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при входе текущего пользователя в систему;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать «Блокнот» при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
и добавляем следующий ключ:
“NOTEPAD.EXE”=”C:WINDOWSSystem32notepad.exe”
Использование групповой политики для автозапуска
ООткройте оснастку Групповая политика (gpedit.msc), перейдите на вкладку Конфигурация компьютера -> Административные шаблоны -> Система. В правой части оснастки перейдите на пункт Вход в систему (рис. 1).
Рис. 1. Использование групповой политики для автозапуска
(для всех пользователей)
По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку Показать -> Добавить, указываем путь к программе, если при этом запускаемая программа находится в папке ..WINDOWSSystem32, то можно указать только ее название — в противном случае придется указывать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с ключами добавленных программ.
Пример
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
“1”=”notepad.exe”
“2”=”iexplore.exe”
В итоге получаем запуск «Блокнота» и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей — в оснастке Групповая политика это путь Конфигурация пользователя -> Административные шаблоны -> Система (рис. 2), а в реестре — раздел [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
Рис. 2. Использование групповой политики для автозапуска
(для текущего пользователя)
Важно! При этом программы из данного списка не отображаются в списке программ, доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Автозапуск из особого списка
Программы могут запускаться и из следующего раздела реестра:
- [HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows]
- “load”=”programma” — программы, запускаемые до входа пользователя в систему;
- “run”=”programma” — программы, запускаемые после входа пользователя в систему.
Эти параметры — аналог автозагрузки из Win.ini в Windows 9х.
Пример
Запускаем Internet Explorer до входа пользователя в систему и «Блокнот» после входа пользователя в систему:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
“load”=”iexplore.exe”
“run”=”notepad.exe”
Не обрабатывать список автозапуска для старых версий
Настраивается с помощью групповой политики: Конфигурация компьютера — Административные шаблоны -> Система -> Вход в систему -> Не обрабатывать список запуска старых программ. Если эту политику включить, то не будут запускаться программы из следующих разделов реестра:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
При использовании этой политики в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
“DisableLocalMachineRun”=dword:00000001
Аналогично устанавливается политика для текущих пользователей: Конфигурация пользователя -> Административные шаблоны -> Система -> Вход в систему -> Не обрабатывать список запуска старых программ — с тем отличием, что в реестре эта опция включается в другом месте:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“DisableLocalUserRun”=dword:00000001
Игнорировать списки автозагрузки программ, выполняемых однократно
Настраивается с помощью групповой политики: Конфигурация компьютера — Административные шаблоны -> Система -> Вход в систему -> Не обрабатывать список однократного запуска программ.
Если эту политику включить, то не будут запускаться программы из списка:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce].
Если данная политика включена, в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
“DisableLocalMachineRunOnce”=dword:00000001
Так же настраивается политика для текущих пользователей: Конфигурация пользователя — Административные шаблоны -> Система -> Вход в систему -> Не обрабатывать список однократного запуска программ.
- [HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
- «DisableLocalUserRunOnce”=dword:00000001
Назначенные задания
Программы могут запускаться с помощью Планировщика заданий. Посмотреть список установленных заданий, а также добавить новое можно так: Пуск -> Все программы — Стандартные -> Служебные -> Планировщик заданий.
При этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис. 3).
Рис. 3. Окно Планировщика заданий
Чтобы добавить новое задание, нужно из меню Действия выбрать пункт Создать задачу (рис. 4).
Рис. 4. Создание задачи в Планировщике задач
Запуск программ с помощью этого мастера возможен однократно — при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
В папке Автозагрузка хранятся ярлыки для программ, запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки: общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
..UsersAll UsersMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера;
%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для текущего пользователя.
Посмотреть, какие программы у вас запускаются таким способом, можно, открыв меню Пуск -> Все программы -> Автозагрузка. Если вы создадите в этой папке ярлык для какой-нибудь программы, то она будет запускаться автоматически после входа пользователя в систему.
Смена папки автозагрузки
Windows считывает данные о пути к папке Автозагрузка из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Common Startup”=“%ProgramData%MicrosoftWindowsStart MenuProgramsStartup” — для всех пользователей системы;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Startup”=“%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup” — для текущего пользователя.
Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
Пример
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Startup”=”c:mystartup” — система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка Автозагрузка по-прежнему будет отображаться в меню Пуск, а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим, у вас установлен пакет Acrobat. Тогда в папке Автозагрузка у вас будет находиться ярлык Adobe Reader Speed Launch, который устанавливается туда по умолчанию. Но вовсе не обязательно, что этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не отразится.
Добавление программы к программе, запускаемой из списка автозагрузки
Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа. Дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Кроме того, ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно, открыв программу Сведения о системе (откройте Пуск -> Все программы -> Стандартные -> Служебные -> Сведения о системе или наберите msinfo32.exe в командной строке) и перейдя в пункт Программная среда -> Автоматически загружаемые программы. Программа Свойства системы отображает группы автозагрузки из реестра и папок Автозагрузка (рис. 5).
Рис. 5. Группы автозагрузки из реестра и папок Автозагрузка
Другая программа, позволяющая посмотреть список программ автозагрузки, — Настройка системы (для запуска наберите msconfig.exe из командной строки). Эта программа, кроме просмотра списка автозагрузки, предоставляет возможность отключения всех пунктов автозагрузки (вкладка Общие) или выборочных программ (вкладка Автозагрузка).
Безусловно, сведения, приведенные в данной статье, нельзя считать исчерпывающими, однако надеюсь, что они помогут вам в нелегкой борьбе с вредоносным ПО.
5.2. Автозапуск приложений и борьба с ним
5.2. Автозапуск приложений и борьба с ним
Управление приложениями, работающими в фоновом режиме
Некоторые программы могут запускаться автоматически при каждом старте операционной системы. Обычно такие приложения помещают свои значки в область уведомлений и работают в фоновом режиме. Активизировать такое приложение можно с помощью одинарного или двойного щелчка (зависит от конкретной программы) на значке в области уведомлений. Открыть приложение, работающее в фоновом режиме, можно также, щелкнув правой кнопкой мыши на значке в области уведомлений и выбрав соответствующую команду контекстного меню.
Примерами программ, работающих в фоновом режиме, могут быть антивирусы, интернет-пейджеры (например, ICQ), словари и переводчики, программы для диагностики работы системы, для обслуживания определенных устройств и многие другие (рис. 5.5). Хотя Windows Vista будет скрывать неиспользуемые значки в области уведомлений, слишком большое количество программ, работающих в фоновом режиме, может отрицательно сказаться на производительности системы и скорости ее загрузки.
Рис. 5.5. Область уведомлений после установки некоторых приложений из прилагаемого компакт-диска
Большинство программ, работающих в фоновом режиме, позволяют выбирать между автоматическим и ручным запуском, и если вы столкнулись с проблемой излишнего количества подобных программ, можете отключить автозагрузку редко используемых приложений. Для этого придется поискать соответствующий флажок в окнах настройки конкретной программы. На рис.
5.6, а показаны окна настройки менеджера закачек Download Master, а на рис. 5.6, б – интернет-пейджера QJP. Эти окна содержат флажок, разрешающий автозагрузку программы.
При зависании приложения, которое работает в фоновом режиме, прекратить его работу будет сложнее, поскольку оно будет отсутствовать в списке задач. Для принудительного закрытия программы, работающей в фоновом режиме, следует узнать точное имя исполняемого файла приложения, затем найти соответствующий процесс на вкладке Процессы и завершить его. О том, как получить подробные сведения об автозагружаемых программах, читайте далее.
Рис. 5.6. Окна настроек менеджера закачек Download Master (а) и программы QIP (б) с флажками, разрешающими автозапуск данных приложений
Просмотр и редактирование списка автоматически загружаемых программ
Для обеспечения автозагрузки программы при ее установке создается запись о программе в специальном ключе реестра Windows. Этот прием нередко используется для запуска различных вредоносных программ. В Windows Vista имеется встроенная утилита Защитник Windows, которая позволяет контролировать списки автозагрузки, вручную удалять программы из этих списков и проверять программы на наличие вредоносного кода.
Чтобы открыть окно просмотра и редактирования списка автозагрузки, выполните следующие действия.
1. Запустите программу Защитник Windows с помощью строки поиска в меню Пуск.
2. Нажмите на панели инструментов кнопку Программы и щелкните на ссылке Проводник программного обеспечения (рис. 5.7).
Список автозагружаемых программ будет находиться в левой части окна, а в правой будет отображена подробная информация о выбранной в списке программе. Вы можете узнать имя и местонахождение исполняемого файла, откуда была запущена программа и другие сведения.
Чтобы удалить приложение из автозагрузки, выберите его и нажмите кнопку Удалить, а кнопка Отключить позволит вам временно заблокировать автозапуск программы. Если для выбранной программы эти кнопки недоступны, нажмите кнопку Отображать для всех пользователей и подтвердите действия в окне UAC.
Оптимизация автозагрузки в Windows Vista
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
- Как осуществляется автозагрузка?
- Где найти список программ, загружаемых автоматически?
- Как отключить соответствующий список автозагрузки?
Именно этому и будет посвящена эта статья.
Существует много способов автозагрузки, как и для Windows 7. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows Vista автозагрузка представлена в нескольких ветвях:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun
— программы, запускаемые при входе в систему.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce
— программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun
— программы, которые запускаются при входе текущего пользователя в систему
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRunOnce
— программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun
и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:WINDOWSSystem32notepad.exe»
Использование групповой политики для автозапуска
Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой части оснастки перейдите на пункт «Вход в систему»
По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32 то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpolicies
создается подраздел ExplorerRun с ключами добавленных программ.
Пример:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorerRun
«1»=»notepad.exe»
«2»=»iexplore.exe»
В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (рис 2), а в реестре раздел
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorerRun
Важно! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Автозапуск из особого списка
Программы могут запускаться и из следующего раздела реестра:
HKEY_CURRENT_USERSoftwareMicrosoft Windows NTCurrentVersionWindows
«load»=»programma» — программы запускаемые до входа пользователя в систему:
«run»=»programma» — программы запускаемые после входа пользователя в систему.
Эти параметры — аналог автозагрузки из Win.ini в Windows 9х.
Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWindows
«load»=»iexplore.exe»
«run»=»notepad.exe»
Не обрабатывать список автозапуска для старых версий
Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ», если эту политику включить, то не будут запускаться программы из следующих разделов реестра:
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun
При использовании этой политики в реестре создается следующий ключ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer
«DisableLocalMachineRun»=dword:00000001
Аналогично устанавливается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer
«DisableLocalUserRun»=dword:00000001
Игнорировать списки автозагрузки программ выполняемых однажды
Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ»
Если эту политику включить, то не будут запускаться программы запускаемые из списка
HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunOnce
Если эта политика включена, в реестре создается следующий ключ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer
«DisableLocalMachineRunOnce»=dword:00000001
Так же настраивается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ» Параметры реестра:
HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer
«DisableLocalUserRunOnce»=dword:00000001
Назначенные задания
Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск — Все программы — Стандартные — Служебные – Планировщик заданий» — при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу»
Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
..UsersAll UsersMicrosoft WindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%AppDataRoaming MicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для текущего пользователя.
Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск — Все программы — Автозагрузка». Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerUser Shell Folders
«Common Startup»=«%ProgramData%Microsoft WindowsStart MenuProgramsStartup»- для всех пользователей системы.
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders
«Startup»=«%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup»
— для текущего пользователя.
Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.
Пример:
HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders
«Startup»=»c:mystartup» — система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» — этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.
Добавление программы к программе запускаемой из списка автозагрузки
Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа — дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск — Все программы — Стандартные — Служебные — Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда — Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка».
Другая программа, позволяющая посмотреть список программ автозагрузки — «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»)
Заключение
Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.
Похожие публикации
- Предотвращение проблем нехватки памяти. Изменение размера файла подкачки
- Отключение «Спящего режима» в Windows 7. Удаление файла hiberfil.sys
- Создание установочной USB-флэш с системой Windows 7
Источник: www.windxp.com.ru