1. способи автозавантаження
2. Використання групової політики для автозапуску
3. Ігнорувати списки автозавантаження програм виконуваних один раз
4. призначені завдання
5. Папка "Автозавантаження"
6. Зміна папки автозавантаження
7. Підміна ярлика для програми зі списку автозавантаження
8. Додавання програми до програми запускається зі списку автозавантаження
9. висновок

Сьогодні складно знайти організацію, яка не зазнала б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж в реєстрі стартує ту чи іншу шкідливе ПЗ.

Безмалий В.Ф.
MVP Consumer Security

Сьогодні складно знайти організацію, яка не зазнала б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж в реєстрі стартує ту чи іншу шкідливе ПО, причому навіть не обов'язково шкідливе. При пошуку резидентного шкідливого ПО нас не можуть не хвилювати такі питання:

• Як здійснюється автозавантаження?
• Де знайти список програм, що завантажуються автоматично?
• Як відключити відповідний список автозавантаження?

Саме цьому і буде присвячена ця стаття.

Існує багато способів автозавантаження. Нижче наведено кілька варіантів. Сподіваюся, що це зможе вам допомогти в розшуку і видаленні шкідливого ПО з автозавантаження.

способи автозавантаження

Реєстр

У реєстрі Windows 7 автозавантаження представлена ​​в декількох гілках:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, що запускаються при вході в систему.

Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі (рис.1).

Малюнок 1 Автозапуск для всіх користувачів

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, що запускаються тільки один раз при вході користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.
Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі.

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, які запускаються при вході поточного користувача в систему

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, які запускаються тільки один раз при вході поточного користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.

Наприклад, щоб автоматично запускати Блокнот при вході поточного користувача, відкриваємо Редактор реєстру (regedit.exe), переходимо в розділ

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] і додаємо наступний ключ:
"NOTEPAD.EXE" = "C: \ WINDOWS \ System32 \ notepad.exe"

Використання групової політики для автозапуску

Відкрийте оснастку "Групова політика" (gpedit.msc), перейдіть на вкладку "Конфігурація комп'ютера - Адміністративні шаблони - Система". У правій частині оснащення перейдіть на пункт «Вхід в систему». (Рис.2).

Малюнок 2 Використання групової політики для автозапуску (для всіх користувачів)

За замовчуванням ця політика не задана, але ви можете додати туди програму: включаємо політику, натискаємо кнопку "Показати - Додати", вказуємо шлях до програми, при цьому якщо запускається програма знаходиться в папці ..WINDOWS \ System32 \ то можна вказати тільки назву програми , інакше доведеться вказати повний шлях до програми.

Фактично в даному розділі локальної групової політики можна вказати додаткову програму або документ, який буде виконуватися при вході користувача в систему.

Увага! Даний пункт політики доступний в Зміни комп'ютера і Зміни користувача. Якщо задані обидва пункти політики, то спочатку буде запущена програма з Зміни комп'ютера, а потім вже користувача.

При цьому в системному реєстрі в розділі [HKEY _LOCAL _MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies] створюється підрозділ \ Explorer \ Run з ключами доданих програм.

приклад:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]
"1" = "notepad.exe"

У підсумку отримуємо запуск Блокнота (рис 3).

Малюнок 3 Запуск Блокнота за допомогою локальної групової політики

Аналогічно задається автозапуск для поточних користувачів, в оснащенні "Групова політика" це шлях "Конфігурація користувача - Адміністративні шаблони - Система" (рис 2), а в реєстрі розділ [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]

Увага! При цьому програми з цього списку не відображаються в списку програм доступних для відключення в msconfig.exe, а також визначаються не усіма менеджерами автозавантаження.

Ігнорувати списки автозавантаження програм виконуваних один раз

Налаштовується за допомогою групової політики: "Конфігурація комп'ютера - Адміністративні шаблони - Система - Вхід в систему - Не обробляти список одноразового запуску програм»

Якщо цю політику включити, щось не будуть запускатися програми, що запускаються зі списку
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] Якщо ця політика
включена, в реєстрі створюється наступний ключ:

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]
"DisableLocalMachineRunOnce" = dword: 00000001

Так само налаштовується політика для поточних користувачів: "Конфігурація користувача - Адміністративні шаблони - Система - Вхід в систему - Не обробляти список одноразового запуску програм» Параметри реєстру:

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer]
"DisableLocalUserRunOnce" = dword: 00000001

призначені завдання

Програми можуть запускатися з допомогою "Планувальника завдань". Подивитися список встановлених завдань, а також додати нове можна так: "Пуск - Всі програми - Стандартні - Службові - Планувальник завдань" - при цьому відкриється вікно Планувальника завдань, в якому відображені призначені завдання (рис.4).

Малюнок 4 Вікно Планувальника завдань

Щоб додати нове завдання, потрібно з меню «Дії» вибрати пункт «Створити просту задачу» (рис.5).

Малюнок 5 Створення простої задачі в Планувальнику завдань

Запуск програм за допомогою цього майстра можливий одноразово, при вході в Windows, при включенні комп'ютера, а також за розкладом.

Папка "Автозавантаження"

Папка, в якій зберігаються ярлики для програм, що запускаються після входу користувача в систему. Ярлики в цю папку можуть додаватися програмами при їх установці або користувачем самостійно. Існує дві папки - загальна для всіх користувачів і індивідуальна для поточного користувача. За замовчуванням ці папки знаходяться тут:

.. \ Users \ All Users \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для всіх користувачів комп'ютера.

% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для поточного користувача.

Подивитися які програми у вас запускаються таким способом можна відкривши меню "Пуск - Всі програми - Автозавантаження". Якщо ви створите в цій папці ярлик для якоїсь програми, вона буде запускатися автоматично після входу користувача в систему.

Зміна папки автозавантаження

Windows зчитує дані про шлях до папки "Автозавантаження" з реєстру. Цей шлях прописаний в наступних розділах:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Common Startup» = «% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup» - для всіх користувачів системи.

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Startup» = «% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup»
- для поточного користувача. Змінивши шлях до папки, ми отримаємо автозавантаження всіх програм із зазначеної папки.

приклад:

[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
"Startup" = "c: \ mystartup" - система завантажить всі програми, ярлики яких знаходяться в папці c: \ mystartup \, при цьому папка "Автозавантаження" все так же буде відображатися в меню "Пуск", а якщо у користувача в ній нічого не було, то він і не помітить підміни.

Підміна ярлика для програми зі списку автозавантаження

Припустимо у вас встановлений пакет Acrobat. Тоді в папці "Автозавантаження" у вас буде перебувати ярлик "Adobe Reader Speed ​​Launch" - цей ярлик встановлюється туди за замовчуванням. Але зовсім необов'язково цей ярлик посилається саме на відповідну програму - замість нього може бути запущена будь-яка інша програма, тим більше що на функціональності Acrobat це не позначиться.

Додавання програми до програми запускається зі списку автозавантаження

Модифікація попереднього варіанту - одночасно із завантаженням будь-якої програми зі списку автозавантаження у вас буде стартувати інша програма - справа в тому, що можна "склеїти" два виконуваних файлу в один і вони будуть запускатися одночасно. Існують програми для такої "склеювання". Або ярлик може посилатися на командний файл, з якого і будуть запускатися як оригінальна програма зі списку, так і додані сторонні програми.

Подивитися список автоматично завантажуваних програм можна відкривши програму "Відомості про систему" (відкрийте "Пуск - Всі програми - Стандартні - Службові - Відомості про систему" або наберіть msinfo32.exe в командному рядку) і перейшовши в пункт "Програмне середовище - Автоматично завантажувані програми" . Програма "Властивості системи" відображає групи автозавантаження з реєстру і папок "Автозавантаження" (рис.6).

Малюнок 6 Автоматично файли програми

Інша програма, що дозволяє подивитися список програм автозавантаження - "Налаштування системи" (для запуску наберіть msconfig.exe з командного рядка). Ця програма крім перегляду списку автозавантаження надає можливість відключення всіх пунктів автозавантаження (вкладка "Загальні") або вибіркових програм (вкладка "Автозавантаження").

висновок

Безумовно, відомості, наведені в цій статті не можна вважати вичерпними, проте, сподіваюся, вони допоможуть вам в нелегкій праці боротьби з шкідливим ПЗ.