Автозавантаження в Windows 7
- способи автозавантаження
- Використання групової політики для автозапуску
- Ігнорувати списки автозавантаження програм виконуваних один раз
- призначені завдання
- Папка "Автозавантаження"
- Зміна папки автозавантаження
- Підміна ярлика для програми зі списку автозавантаження
- Додавання програми до програми запускається зі списку автозавантаження
- висновок
Сьогодні складно знайти організацію, яка не зазнала б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж в реєстрі стартує ту чи іншу шкідливе ПЗ.
Безмалий В.Ф.
MVP Consumer Security
Сьогодні складно знайти організацію, яка не зазнала б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж в реєстрі стартує ту чи іншу шкідливе ПО, причому навіть не обов'язково шкідливе. При пошуку резидентного шкідливого ПО нас не можуть не хвилювати такі питання:
- Як здійснюється автозавантаження?
- Де знайти список програм, що завантажуються автоматично?
- Як відключити відповідний список автозавантаження?
Саме цьому і буде присвячена ця стаття.
Існує багато способів автозавантаження. Нижче наведено кілька варіантів. Сподіваюся, що це зможе вам допомогти в розшуку і видаленні шкідливого ПО з автозавантаження.
способи автозавантаження
Реєстр
У реєстрі Windows 7 автозавантаження представлена в декількох гілках:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, що запускаються при вході в систему.
Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі (рис.1).
Малюнок 1 Автозапуск для всіх користувачів
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, що запускаються тільки один раз при вході користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.
Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, які запускаються при вході поточного користувача в систему
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, які запускаються тільки один раз при вході поточного користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.
Наприклад, щоб автоматично запускати Блокнот при вході поточного користувача, відкриваємо Редактор реєстру (regedit.exe), переходимо в розділ
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] і додаємо наступний ключ:
"NOTEPAD.EXE" = "C: \ WINDOWS \ System32 \ notepad.exe"
Використання групової політики для автозапуску
Відкрийте оснастку "Групова політика" (gpedit.msc), перейдіть на вкладку "Конфігурація комп'ютера - Адміністративні шаблони - Система". У правій частині оснащення перейдіть на пункт «Вхід в систему». (Рис.2).
Малюнок 2 Використання групової політики для автозапуску (для всіх користувачів)
За замовчуванням ця політика не задана, але ви можете додати туди програму: включаємо політику, натискаємо кнопку "Показати - Додати", вказуємо шлях до програми, при цьому якщо запускається програма знаходиться в папці ..WINDOWS \ System32 \ то можна вказати тільки назву програми , інакше доведеться вказати повний шлях до програми.
Фактично в даному розділі локальної групової політики можна вказати додаткову програму або документ, який буде виконуватися при вході користувача в систему.
Увага! Даний пункт політики доступний в Зміни комп'ютера і Зміни користувача. Якщо задані обидва пункти політики, то спочатку буде запущена програма з Зміни комп'ютера, а потім вже користувача.
При цьому в системному реєстрі в розділі [HKEY _LOCAL _MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies] створюється підрозділ \ Explorer \ Run з ключами доданих програм.
приклад:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]
"1" = "notepad.exe"
У підсумку отримуємо запуск Блокнота (рис 3).
Малюнок 3 Запуск Блокнота за допомогою локальної групової політики
Аналогічно задається автозапуск для поточних користувачів, в оснащенні "Групова політика" це шлях "Конфігурація користувача - Адміністративні шаблони - Система" (рис 2), а в реєстрі розділ [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]
Увага! При цьому програми з цього списку не відображаються в списку програм доступних для відключення в msconfig.exe, а також визначаються не усіма менеджерами автозавантаження.
Ігнорувати списки автозавантаження програм виконуваних один раз
Налаштовується за допомогою групової політики: "Конфігурація комп'ютера - Адміністративні шаблони - Система - Вхід в систему - Не обробляти список одноразового запуску програм»
Якщо цю політику включити, щось не будуть запускатися програми, що запускаються зі списку
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] Якщо ця політика
включена, в реєстрі створюється наступний ключ:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]
"DisableLocalMachineRunOnce" = dword: 00000001
Так само налаштовується політика для поточних користувачів: "Конфігурація користувача - Адміністративні шаблони - Система - Вхід в систему - Не обробляти список одноразового запуску програм» Параметри реєстру:
[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]
"DisableLocalUserRunOnce" = dword: 00000001
призначені завдання
Програми можуть запускатися з допомогою "Планувальника завдань". Подивитися список встановлених завдань, а також додати нове можна так: "Пуск - Всі програми - Стандартні - Службові - Планувальник завдань" - при цьому відкриється вікно Планувальника завдань, в якому відображені призначені завдання (рис.4).
Малюнок 4 Вікно Планувальника завдань
Щоб додати нове завдання, потрібно з меню «Дії» вибрати пункт «Створити просту задачу» (рис.5).
Малюнок 5 Створення простої задачі в Планувальнику завдань
Запуск програм за допомогою цього майстра можливий одноразово, при вході в Windows, при включенні комп'ютера, а також за розкладом.
Папка "Автозавантаження"
Папка, в якій зберігаються ярлики для програм, що запускаються після входу користувача в систему. Ярлики в цю папку можуть додаватися програмами при їх установці або користувачем самостійно. Існує дві папки - загальна для всіх користувачів і індивідуальна для поточного користувача. За замовчуванням ці папки знаходяться тут:
.. \ Users \ All Users \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для всіх користувачів комп'ютера.
% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для поточного користувача.
Подивитися які програми у вас запускаються таким способом можна відкривши меню "Пуск - Всі програми - Автозавантаження". Якщо ви створите в цій папці ярлик для якоїсь програми, вона буде запускатися автоматично після входу користувача в систему.
Зміна папки автозавантаження
Windows зчитує дані про шлях до папки "Автозавантаження" з реєстру. Цей шлях прописаний в наступних розділах:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Common Startup» = «% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup» - для всіх користувачів системи.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Startup» = «% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup»
- для поточного користувача. Змінивши шлях до папки, ми отримаємо автозавантаження всіх програм із зазначеної папки.
приклад:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
"Startup" = "c: \ mystartup" - система завантажить всі програми, ярлики яких знаходяться в папці c: \ mystartup \, при цьому папка "Автозавантаження" все так же буде відображатися в меню "Пуск", а якщо у користувача в ній нічого не було, то він і не помітить підміни.
Підміна ярлика для програми зі списку автозавантаження
Припустимо у вас встановлений пакет Acrobat. Тоді в папці "Автозавантаження" у вас буде перебувати ярлик "Adobe Reader Speed Launch" - цей ярлик встановлюється туди за замовчуванням. Але зовсім необов'язково цей ярлик посилається саме на відповідну програму - замість нього може бути запущена будь-яка інша програма, тим більше що на функціональності Acrobat це не позначиться.
Додавання програми до програми запускається зі списку автозавантаження
Модифікація попереднього варіанту - одночасно із завантаженням будь-якої програми зі списку автозавантаження у вас буде стартувати інша програма - справа в тому, що можна "склеїти" два виконуваних файлу в один і вони будуть запускатися одночасно. Існують програми для такої "склеювання". Або ярлик може посилатися на командний файл, з якого і будуть запускатися як оригінальна програма зі списку, так і додані сторонні програми.
Подивитися список автоматично завантажуваних програм можна відкривши програму "Відомості про систему" (відкрийте "Пуск - Всі програми - Стандартні - Службові - Відомості про систему" або наберіть msinfo32.exe в командному рядку) і перейшовши в пункт "Програмне середовище - Автоматично завантажувані програми" . Програма "Властивості системи" відображає групи автозавантаження з реєстру і папок "Автозавантаження" (рис.6).
Малюнок 6 Автоматично файли програми
Інша програма, що дозволяє подивитися список програм автозавантаження - "Налаштування системи" (для запуску наберіть msconfig.exe з командного рядка). Ця програма крім перегляду списку автозавантаження надає можливість відключення всіх пунктів автозавантаження (вкладка "Загальні") або вибіркових програм (вкладка "Автозавантаження").
висновок
Безумовно, відомості, наведені в цій статті не можна вважати вичерпними, проте, сподіваюся, вони допоможуть вам в нелегкій праці боротьби з шкідливим ПЗ.
Де знайти список програм, що завантажуються автоматично?Як відключити відповідний список автозавантаження?