Статьи и обзоры

Смартфоны, GPS, гаджеты Кулеры Мультимедиа Периферия Сети, Wi-Fi, VoIP b2b оборудование Носители информации, NAS Софт, игры, Windows Игровые манипуляторы Корпуса и блоки питания Системы безопасности Аналитика Технологии Материнские платы Своими руками Мониторы ТВ-тюнеры Компьютеры Видеокарты

Соц. сети

           

Сервисы

Рассылка новостей

Опрос

Оптимизация автозагрузки в Windows Vista

Пред. ... 1 2 ... След. Конец
всего страниц: 2 | Все

Введение 

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

  • Как осуществляется автозагрузка?
  • Где найти список программ, загружаемых автоматически?
  • Как отключить соответствующий список автозагрузки?

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] - программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce] - программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] - программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce] - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] и добавляем следующий ключ:

"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Использование групповой политики для автозапуска

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт «Вход в систему».

Редактирование реестра в Windows Vista. Использование групповой политики для автозапуска (для всех пользователей)

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run]

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система" (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run]

Использование групповой политики для автозапуска (для текущего пользователя)

Важно!   При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows]

Параметры:

"load"="programma" - программы запускаемые до входа пользователя в систему:

"run"="programma" - программы запускаемые после входа пользователя в систему.

Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows]

"load"="iexplore.exe"

"run"="notepad.exe"


Пред. ... 1 2 ... След. Конец
всего страниц: 2 | Все

новые статьи


 

Печать
Подписаться на рассылку
RSS-ленты