27.08.2009

јвтозагрузка в Windows 7

—егодн€ сложно найти организацию, котора€ не подвергалась бы вирусным атакам. » хот€ практически везде уже установлено антивирусное ѕќ, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ѕќ.

Ѕезмалый ¬.‘.
MVP Consumer Security

—егодн€ сложно найти организацию, котора€ не подвергалась бы вирусным атакам. » хот€ практически везде уже установлено антивирусное ѕќ, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ѕќ, причем даже не об€зательно вредоносное. ѕри поиске резидентного вредоносного ѕќ нас не могут не волновать следующие вопросы:

  •  ак осуществл€етс€ автозагрузка?
  • √де найти список программ, загружаемых автоматически?
  •  ак отключить соответствующий список автозагрузки?

»менно этому и будет посв€щена эта стать€.

—уществует много способов автозагрузки. Ќиже приведены несколько вариантов. Ќадеюсь, что это сможет вам помочь в розыске и удалении вредоносного ѕќ из автозагрузки.

—пособы автозагрузки

–еестр

¬ реестре Windows 7 автозагрузка представлена в нескольких ветв€х:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ программы, запускаемые при входе в систему.

ѕрограммы, которые запускаютс€ в этом разделе, запускаютс€ дл€ всех пользователей в системе (рис.1).

јвтозапуск дл€ всех пользователей
–исунок 1 јвтозапуск дл€ всех пользователей

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, запускаемые только один раз при входе пользовател€ в систему. ѕосле этого ключи программ автоматически удал€ютс€ из данного раздела реестра.
ѕрограммы, которые запускаютс€ в этом разделе, запускаютс€ дл€ всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаютс€ при входе текущего пользовател€ в систему

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаютс€ только один раз при входе текущего пользовател€ в систему. ѕосле этого ключи программ автоматически удал€ютс€ из данного раздела реестра.

Ќапример, чтобы автоматически запускать Ѕлокнот при входе текущего пользовател€, открываем –едактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавл€ем следующий ключ:
"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

»спользование групповой политики дл€ автозапуска

ќткройте оснастку "√руппова€ политика" (gpedit.msc), перейдите на вкладку " онфигураци€ компьютера ‐ јдминистративные шаблоны ‐ —истема". ¬ правой части оснастки перейдите на пункт Ђ¬ход в системуї. (рис.2).

»спользование групповой политики дл€ автозапуска
–исунок 2 »спользование групповой политики дл€ автозапуска (дл€ всех пользователей)

ѕо умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "ѕоказать ‐ ƒобавить", указываем путь к программе, при этом если запускаема€ программа находитс€ в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придетс€ указать полный путь к программе.

‘актически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполн€тьс€ при входе пользовател€ в систему.

¬нимание! ƒанный пункт политики доступен в  онфигурации компьютера и  онфигурации пользовател€. ≈сли заданы оба пункта политики, то вначале будет запущена программа из  онфигурации компьютера, а затем уже пользовател€.

ѕри этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создаетс€ подраздел \Explorer\Run с ключами добавленных программ.

ѕример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"1"="notepad.exe"

¬ итоге получаем запуск Ѕлокнота (рис 3).

«апуск Ѕлокнота с помощью локальной групповой политики
–исунок 3 «апуск Ѕлокнота с помощью локальной групповой политики

јналогично задаетс€ автозапуск дл€ текущих пользователей, в оснастке "√руппова€ политика" это путь " онфигураци€ пользовател€ ‐ јдминистративные шаблоны ‐ —истема" (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

¬нимание! ѕри этом программы из этого списка не отображаютс€ в списке программ доступных дл€ отключени€ в msconfig.exe, а также определ€ютс€ не всеми менеджерами автозагрузки.

»гнорировать списки автозагрузки программ выполн€емых однажды

Ќастраиваетс€ с помощью групповой политики: " онфигураци€ компьютера ‐ јдминистративные шаблоны ‐ —истема - ¬ход в систему ‐ Ќе обрабатывать список однократного запуска программї

≈сли эту политику включить, то не будут запускатьс€ программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] ≈сли эта политика
включена, в реестре создаетс€ следующий ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRunOnce"=dword:00000001

“ак же настраиваетс€ политика дл€ текущих пользователей: " онфигураци€ пользовател€ ‐ јдминистративные шаблоны ‐ —истема - ¬ход в систему ‐ Ќе обрабатывать список однократного запуска программї ѕараметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalUserRunOnce"=dword:00000001

Ќазначенные задани€

ѕрограммы могут запускатьс€ с помощью "ѕланировщика заданий". ѕосмотреть список установленных заданий, а также добавить новое можно так: "ѕуск ‐ ¬се программы ‐ —тандартные ‐ —лужебные - ѕланировщик заданий" ‐ при этом откроетс€ окно ѕланировщика заданий, в котором отображены назначенные задани€ (рис.4).

ќкно ѕланировщика заданий
–исунок 4 ќкно ѕланировщика заданий

„тобы добавить новое задание, нужно из меню Ђƒействи€ї выбрать пункт Ђ—оздать простую задачуї (рис.5).

—оздание простой задачи в ѕланировщике задач
–исунок 5 —оздание простой задачи в ѕланировщике задач

«апуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

ѕапка "јвтозагрузка"

ѕапка, в которой хран€тс€ €рлыки дл€ программ запускаемых после входа пользовател€ в систему. ярлыки в эту папку могут добавл€тьс€ программами при их установке или пользователем самосто€тельно. —уществует две папки ‐ обща€ дл€ всех пользователей и индивидуальна€ дл€ текущего пользовател€. ѕо умолчанию эти папки наход€тс€ здесь:

.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускатьс€ дл€ всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускатьс€ дл€ текущего пользовател€.

ѕосмотреть какие программы у вас запускаютс€ таким способом можно открыв меню "ѕуск ‐ ¬се программы ‐ јвтозагрузка". ≈сли вы создадите в этой папке €рлык дл€ какой-то программы, она будет запускатьс€ автоматически после входа пользовател€ в систему.

—мена папки автозагрузки

Windows считывает данные о пути к папке "јвтозагрузка" из реестра. Ётот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
ЂCommon Startupї=Ђ%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startupї‐ дл€ всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
ЂStartupї=Ђ%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startupї
‐ дл€ текущего пользовател€. —менив путь к папке, мы получим автозагрузку всех программ из указанной папки.

ѕример:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"="c:\mystartup" ‐ система загрузит все программы, €рлыки которых наход€тс€ в папке c:\mystartup\, при этом папка "јвтозагрузка" все так же будет отображатьс€ в меню "ѕуск", а если у пользовател€ в ней ничего не было, то он и не заметит подмены.

ѕодмена €рлыка дл€ программы из списка автозагрузки

ƒопустим у вас установлен пакет Acrobat. “огда в папке "јвтозагрузка" у вас будет находитьс€ €рлык "Adobe Reader Speed Launch" ‐ этот €рлык устанавливаетс€ туда по умолчанию. Ќо вовсе необ€зательно этот €рлык ссылаетс€ именно на соответствующее приложение ‐ вместо него может быть запущена люба€ друга€ программа, тем более что на функциональности Acrobat это не скажетс€.

ƒобавление программы к программе запускаемой из списка автозагрузки

ћодификаци€ предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать друга€ программа ‐ дело в том, что можно "склеить" два исполн€емых файла в один и они будут запускатьс€ одновременно. —уществуют программы дл€ такой "склейки". »ли €рлык может ссылатьс€ на командный файл, из которого и будут запускатьс€ как оригинальна€ программа из списка, так и добавленные посторонние программы.

ѕосмотреть список автоматически загружаемых программ можно открыв программу "—ведени€ о системе" (откройте "ѕуск ‐ ¬се программы ‐ —тандартные ‐ —лужебные ‐ —ведени€ о системе" или наберите msinfo32.exe в командной строке) и перейд€ в пункт "ѕрограммна€ среда ‐ јвтоматически загружаемые программы". ѕрограмма "—войства системы" отображает группы автозагрузки из реестра и папок "јвтозагрузка" (рис.6).

јвтоматически загружаемые программы
–исунок 6 јвтоматически загружаемые программы

ƒруга€ программа, позвол€юща€ посмотреть список программ автозагрузки ‐ "Ќастройка системы" (дл€ запуска наберите msconfig.exe из командной строки). Ёта программа кроме просмотра списка автозагрузки предоставл€ет возможность отключени€ всех пунктов автозагрузки (вкладка "ќбщие") или выборочных программ (вкладка "јвтозагрузка").

«аключение

Ѕезусловно, сведени€, приведенные в данной статье нельз€ считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ѕќ.

или введите им€

CAPTCHA
—траницы: 1  2  3  4  5  6  7  8  9  10  
—авраска
27-08-2009 12:20:59
ќсталось только в конце статьи добавить ссылку на редактор реестра с автодополнением, и подсветкой синтаксиса.
0 |
28-08-2009 04:23:31
Far+RegistryEditor+Colorer? хот€ autoruns от этих же ћ— справл€етс€ куда лучше.
0 |
compromat
29-08-2009 00:46:54
Ёто не удивительно. ѕо поводу автора: http://img137.imageshack.us/img137/7355/flooders.jpg
0 |
пробегал
27-08-2009 13:22:39
ј не проще дл€ отслеживани€ автозагрузки утилитами –усиновича пользоватьс€?
0 |
догон€л
27-08-2009 14:06:14
ѕолностью поддерживаю! Autoruns от Sysinternals давно использую, очень информативен и обеспечивает моментальный доступ к точке запуска.
0 |
я
27-08-2009 13:33:43
» все утилиты говно - надо руками пользовать. ’ер вы их запустите если нормальные вири атаканут
0 |
28-08-2009 04:32:55
хер вы регедит запустите если вири атакуют
0 |
92271
27-08-2009 14:36:53
если тро€н навороченный, он может внедритьс€ в другую программу (легальную). » никаких "левых" объектов автозапуске не будет.
0 |
10451
27-08-2009 15:29:30
¬ чем прикол названи€ статьи "јвтозагрузка в Windows 7"? ¬ чем отличие от "јвтозагрузка в Windows ’–"? ј по нычкам автозапуска лучше (удобнее) лазить SysInspector`ом от есета или AVZ (у этой возможностей больше).  стати у AVZ вышла верси€ нова€ пару дней назад, наконец то в ней сделали контекстную команду открыть этот ключ регэдитом (есетам бы это тоже не помешало сделать). ќсталось дождатьс€ когда AVZ сделают фильтрацию подозрительных/не подозрительных объектов, пусть хоть и не такую многоступенчатую как у сисинспектора но все же...
0 |
”грюмый тролль
27-08-2009 16:55:34
«начит, не мен€ одного по результатам прочтени€ название озадачило? —пасибо за инфу о новой версии AVZ. (ушЄл качать)
0 |
54283
28-08-2009 10:10:58
 ак говори€т наши хохл€цьки браты по розуму - нэма за що. ≈сли бы попробовал обновить базы своей AVZ она бы тоже сказала что вышла нова€ верси€, ставь ее и отказалась бы обновл€тьс€.
0 |
01-09-2009 12:21:09
ќб этом можно на сайте самого ќлега попросить, или написать свой фильтр использу€ еЄ скрипты. Ќе проблема по идее.
0 |
—траницы: 1  2  3  4  5  6  7  8  9  10