Сьогодні складно знайти організацію, яка не зазнала б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж в реєстрі стартує ту чи іншу шкідливе ПО, причому навіть не обов'язково шкідливе. При пошуку резидентного шкідливого ПО нас не можуть не хвилювати такі питання:
- Як здійснюється автозавантаження?
- Де знайти список програм, що завантажуються автоматично?
- Як відключити відповідний список автозавантаження?
Існує багато способів автозавантаження. Нижче наведено кілька варіантів. Сподіваюся, що це зможе вам допомогти в розшуку і видаленні шкідливого ПО з автозавантаження.
способи автозавантаження
У реєстрі Windows 7 автозавантаження представлена в декількох гілках:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, що запускаються при вході в систему.
Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі (рис.1).
Малюнок 1 Автозапуск для всіх користувачів (натисніть для збільшення)
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, що запускаються тільки один раз при вході користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.
Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] - програми, які запускаються при вході поточного користувача в систему
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] - програми, які запускаються тільки один раз при вході поточного користувача в систему. Після цього ключі програм автоматично видаляються з даного розділу реєстру.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run] і додаємо наступний ключ:
"NOTEPAD.EXE" = "C: \ WINDOWS \ System32 \ notepad.exe"
Використання групової політики для автозапуску
Малюнок 2 Використання групової політики для автозапуску для всіх користувачів (натисніть для збільшення)
За замовчуванням ця політика не задана, але ви можете додати туди програму: включаємо політику, натискаємо кнопку "Показати - Додати", вказуємо шлях до програми, при цьому якщо запускається програма знаходиться в папці. WINDOWS \ System32 \ то можна вказати тільки назву програми, інакше доведеться вказати повний шлях до програми.
Фактично в даному розділі локальної групової політики можна вказати додаткову програму або документ, який буде виконуватися при вході користувача в систему.
Увага! Даний пункт політики доступний в Зміни комп'ютера і Зміни користувача. Якщо задані обидва пункти політики, то спочатку буде запущена програма з Зміни комп'ютера, а потім вже користувача.
При цьому в системному реєстрі в розділі [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies] створюється підрозділ \ Explorer \ Run з ключами доданих програм.
приклад:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ policies \ Explorer \ Run]
"1" = "notepad.exe"
У підсумку отримуємо запуск Блокнота (рис 3).
Малюнок 3 Запуск Блокнота за допомогою локальної групової політики (натисніть для збільшення)
Аналогічно задається автозапуск для поточних користувачів, в оснащенні "Групова політика" це шлях "Конфігурація користувача - Адміністративні шаблони - Система" (рис 2), а в реєстрі розділ [HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run]
Увага! При цьому програми з цього списку не відображаються в списку програм доступних для відключення в msconfig.exe, а також визначаються не усіма менеджерами автозавантаження.
Ігнорувати списки автозавантаження програм виконуваних один раз
Якщо цю політику включити, щось не будуть запускатися програми, що запускаються зі списку
[HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce] Якщо ця політика включена, в реєстрі створюється наступний ключ:
призначені завдання
Програми можуть запускатися з допомогою "Планувальника завдань". Подивитися список встановлених завдань, а також додати нове можна так: "Пуск - Всі програми - Стандартні - Службові - Планувальник завдань" - при цьому відкриється вікно Планувальника завдань, в якому відображені призначені завдання (рис.4).
Малюнок 4 Вікно Планувальника завдань (натисніть для збільшення)
Щоб додати нове завдання, потрібно з меню «Дії» вибрати пункт «Створити просту задачу» (рис.5).
Малюнок 5 Створення простої задачі в Планувальнику завдань
Запуск програм за допомогою цього майстра можливий одноразово, при вході в Windows, при включенні комп'ютера, а також за розкладом.
Папка "Автозавантаження"
Папка, в якій зберігаються ярлики для програм, що запускаються після входу користувача в систему. Ярлики в цю папку можуть додаватися програмами при їх установці або користувачем самостійно. Існує дві папки - загальна для всіх користувачів і індивідуальна для поточного користувача. За замовчуванням ці папки знаходяться тут:
\ Users \ All Users \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для всіх користувачів комп'ютера.
% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup - це папка, програми з якої будуть запускатися для поточного користувача.
Подивитися які програми у вас запускаються таким способом можна відкривши меню "Пуск - Всі програми - Автозавантаження". Якщо ви створите в цій папці ярлик для якоїсь програми, вона буде запускатися автоматично після входу користувача в систему.
Зміна папки автозавантаження
Windows зчитує дані про шлях до папки "Автозавантаження" з реєстру. Цей шлях прописаний в наступних розділах:
[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Common Startup» = «% ProgramData% \ Microsoft \ Windows \ Start Menu \ Programs \ Startup» - для всіх користувачів системи.
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
«Startup» = «% USERPROFILE% \ AppData \ Roaming \ Microsoft \ Windows \ Start Menu \ Programs \ Startup»
- для поточного користувача. Змінивши шлях до папки, ми отримаємо автозавантаження всіх програм із зазначеної папки.
приклад:
[HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ User Shell Folders]
"Startup" = "c: \ mystartup" - система завантажить всі програми, ярлики яких знаходяться в папці c: \ mystartup \, при цьому папка "Автозавантаження" все так же буде відображатися в меню "Пуск", а якщо у користувача в ній нічого не було, то він і не помітить підміни.
Підміна ярлика для програми зі списку автозавантаження
Припустимо у вас встановлений пакет Acrobat. Тоді в папці "Автозавантаження" у вас буде перебувати ярлик "Adobe Reader Speed Launch" - цей ярлик встановлюється туди за замовчуванням. Але зовсім необов'язково цей ярлик посилається саме на відповідну програму - замість нього може бути запущена будь-яка інша програма, тим більше що на функціональності Acrobat це не позначиться.
Додавання програми до програми запускається зі списку автозавантаження
Модифікація попереднього варіанту - одночасно із завантаженням будь-якої програми зі списку автозавантаження у вас буде стартувати інша програма - справа в тому, що можна "склеїти" два виконуваних файлу в один і вони будуть запускатися одночасно. Існують програми для такої "склеювання". Або ярлик може посилатися на командний файл, з якого і будуть запускатися як оригінальна програма зі списку, так і додані сторонні програми.
Подивитися список автоматично завантажуваних програм можна відкривши програму "Відомості про систему" (відкрийте "Пуск - Всі програми - Стандартні - Службові - Відомості про систему" або наберіть msinfo32.exe в командному рядку) і перейшовши в пункт "Програмне середовище - Автоматично завантажувані програми" . Програма "Властивості системи" відображає групи автозавантаження з реєстру і папок "Автозавантаження" (рис.6).
Малюнок 6 Автоматично файли програми (натисніть для збільшення)
висновок
Безумовно, відомості, наведені в цій статті не можна вважати вичерпними, проте, сподіваюся, вони допоможуть вам в нелегкій праці боротьби з шкідливим ПЗ.