Hklm software microsoft windows currentversion run

Содержание

Где находится автозагрузка в Windows 10 и как ею управлять – Гаджеты. Технологии. Интернет – медиаплатформа МирТесен

Hklm software microsoft windows currentversion run

уществуют Windows-приложения, которые при установке «считают своим долгом» поскорее прописаться в автозапуске: «я, мол, здесь самое важное – куда хочу, туда и заселяюсь». А то, что скопление автостартующих программ превращает компьютер в черепаху, чем доводит пользователей до «белого каления», разработчиков таких продуктов не волнует. Зато волнует нас с вами.

Чтобы выдрать такого паразита с корнем и не позволить ему подобным засорять вашу систему, необходимо знать, где находится автозагрузка в Windows 10 и как ею управлять: какие записи можно безбоязненно удалить, а что лучше не трогать. Также предлагаю познакомиться с тремя бесплатными утилитами для анализа и редактирования автозапуска.

Если вы перешли на использование Windows 10 после Windows 7, то наверняка помните, что в «семерке» средство управления автозагрузкой находилось в утилите «Конфигурация системы» (Msconfig.exe).

В «десятке» оно стало чуть ближе к пользователю – переехало в «Диспетчер задач».

Раздел, где перечислены приложения, начинающие работу вместе с Виндовс, так и называется – «Автозагрузка».

Возможности «Диспетчера задач» в плане управления автозапуском сильно ограничены: здесь отображаются лишь часть элементов – самое основное. Кроме того, с помощью этого инструмента невозможно ничего удалить – можно только отключить, открыть место расположения файла в проводнике, посмотреть его свойства и найти информацию о нем в Интернете.

Также здесь не показано, где именно прописан автозапуск файла (а в Виндовс таких мест несколько десятков), поэтому для полноценной чистки системы Диспетчер задач не подходит.

Основные места автозагрузки в Windows 10

Команды и ярлыки автоматического запуска файлов в Виндовс 10 находятся в папках автозагрузки и планировщика задач, а также во многих областях системного реестра. Ниже привожу неполный список таких мест:

Папки

  • %allusersprofile%\Microsoft\Windows\Start Menu\Programs\Startup – предназначена для хранения ярлыков приложений, которые запускаются под учетными записями всех пользователей.
  • %appdata%\Microsoft\Windows\Start Menu\Programs\Startup – то же самое, но для учетной записи активного (текущего) пользователя.
  • %SystemRoot%\Tasks и %SystemRoot%\System32\Tasks – папки планировщика задач, в которых находятся назначенные задания.

Реестр

Основные ветки автозапуска (в разделе HKLM содержатся параметры, применяемые к системе в целом – для всех, в HKCU – только для текущего пользователя):

  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
  • HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
  • HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\IconServiceLib

Запуск Windows и вход в учетную запись:

  • HKLM\System\CurrentControlSet\Control\Session Manager\BootExecute
  • HKLM\System\CurrentControlSet\Control\Session Manager\SetupExecute
  • HKLM\System\CurrentControlSet\Control\BootVerificationProgram\ImagePath
  • HKLM\System\CurrentControlSet\Control\ServiceControlManagerExtension
  • HKLM\System\CurrentControlSet\Control\Session Manager\Execute
  • HKLM\SYSTEM\Setup\CmdLine
  • HKCU\SOFTWARE\Policies\Microsoft\Windows\Control Panel\Desktop\Scrnsave.exe
  • HKCU\Control Panel\Desktop\Scrnsave.exe
  • HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Startup
  • HKLM\Software\Policies\Microsoft\Windows\System\Scripts\Logon
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\Shell

Компоненты и расширения проводника Windows (Explorer.exe)

  • HKLM(HKCU)\SOFTWARE\Classes\Protocols\Filter
  • HKLM(HKCU)\SOFTWARE\Classes\Protocols\Handler
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellServiceObjects
  • HKLM(HKCU)\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
  • HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
  • HKLM(HKCU)\Software\Classes\*\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Drive\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\*\ShellEx\PropertySheetHandlers
  • HKLM(HKCU)\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Directory\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Shellex\DragDropHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Shellex\CopyHookHandlers
  • HKLM(HKCU)\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Classes\Folder\ShellEx\ContextMenuHandlers
  • HKLM(HKCU)\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
  • HKLM(HKCU)\Software\Classes\Folder\ShellEx\ContextMenuHandlers

Службы:

  • HKLM\System\CurrentControlSet\Services

Динамически подключаемые библиотеки (dll):

  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
  • HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

Мониторы системы печати:

  • HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Сетевые компоненты:

  • HKLM\SYSTEM\CurrentControlSet\ControletworkProvider\Order
  • HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders
  • HKLM\SYSTEM\CurrentControlSet\Control\Lsa
  • HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
  • HKLM\System\CurrentControlSet\Services\WinSock2\ParametersameSpace_Catalog5\Catalog_Entries

Отладчики:

  • HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
  • HKLM(HKCU)\Software\Microsoft\Command Processor\Autorun
  • HKLM(HKCU)\SOFTWARE\Classes\Exefile\Shell\Open\Command\(Default)

Этот список содержит лишь те области, куда чаще всего прописываются вредоносные программы и где нередко скапливается мусор. На создание полного списка автозагрузки Windows 10 ушло бы гораздо больше места.

Но нам с вами он ни к чему, ведь просматривать каждый раздел через редактор реестра – слишком трудоемко. Для этого существуют приложения – менеджеры автоматической загрузки.

О лучших из них я расскажу немного позже, сначала разберемся, что можно оттуда удалять и что нельзя.

Что можно удалять из автозапуска, а что лучше не трогать

Дабы ускорить запуск Виндовс и повысить быстродействие ПК, из автозагрузки желательно убрать то, чем вы (и операционная система!) не пользуетесь постоянно и что рациональнее запускать вручную.

Однако все подряд убирать нельзя. Важно оставить:

  • Антивирус и другие защитные программы.
  • Средства аппаратного мониторинга и резервного копирования (если пользуетесь).
  • Компоненты драйверов устройств (иначе возможны проблемы в работе оборудования).
  • Программы, которые вы используете с момента загрузки системы.
  • Утилиты обновления приложений (важно для безопасности).
  • Всё, назначение чего вы не знаете. При подозрении на вредоносность элемента, прописанного в автозапуск, проверьте его файл антивирусом. И если он безопасен – оставьте на месте.

Остальное можно отключить. Если после перезагрузки ПК не возникло никаких проблем, отключенные элементы допустимо удалить (файлы, которые они запускают, при этом останутся на месте).

А теперь – о программах.

AnVir Task Manager

AnVir Task Manager – бесплатный инструмент управления автозагрузкой, процессами и службами Виндовс с упором на безопасность. Помогает бороться с активным вирусным заражением, предотвращает попытки вредоносных программ заблокировать систему, а также ускоряет загрузку и работу компьютера.

Приложение не требует глубокого понимания системных процессов и принципов безопасности, поэтому рекомендовано обычным пользователям.

Запускать AnVir Task Manager (как, впрочем, и другие подобные утилиты) необходимо от имени администратора.

Все элементы автозагрузки отображены на одноименной – первой вкладке AnVir Task Manager. В левой части верхней половины окна перечислены разделы реестра и папки; справа – их содержимое – ярлыки и параметры с указанием детальной информации: что запускает, где файл располагается в системе, какому приложению принадлежит.

Самое интересное здесь – процентная оценка риска (потенциальной вредоносности) каждого объекта. Но учтите, что далеко не всегда высокий риск (красная зона) указывает на то, что перед вами вирус. Это, скорее, сделано для привлечения внимания пользователя.

Причина, по которой AnVir Task Manager счел объект подозрительным, приведена внизу окна на вкладке «Свойства».

В моем примере под раздачу попал безобидный компонент видеодрайвера Intel – igfxpers.exe. Дабы убедиться, что файл действительно чист и безвреден, я проверю его на сервисе Virustotal – выделю в списке и нажму показанную на скриншоте кнопку.

Прочие элементы управления автозапуском собраны на той же панели, где находится кнопка «Virustotal», и в контекстном меню каждого пункта. В их числе:

  • Отключение (карантин).
  • Переход к процессу, запущенному объектом.
  • Открытие файла в проводнике.
  • Перезапуск и остановка процесса.
  • Добавление программы в автозапуск.
  • Правка записи в реестре.
  • Настройка отложенного запуска (спустя несколько минут после старта Windows).
  • Удаление записи (без файла).
  • Поиск информации об объекте в Google.

Немного поэкспериментировав, вы разберетесь, что здесь к чему. И тогда, может быть, AnVir Task Manager станет вашим постоянным помощником.

Startup Delayer

Startup Delayer – не совсем обычный менеджер автозагрузки. И вот почему.

По умолчанию все приложения, прописанные в автозапуске, стартуют одновременно. Если компьютер не очень мощный, это вызывает перегрузку аппаратных ресурсов и замедление запуска Виндовс.

Задача Startup Delayer – создать задержку при старте отдельных приложений, чтобы они начинали работу не вместе, а по очереди.

Благодаря такому распределению времени рабочий стол появляется значительно быстрее, чем обычно.

Как и предыдущая, эта программа рассчитана на простого пользователя. В ней нет ничего, что могло бы вас запутать. В окне «Автозапуск приложений» есть три области:

  • Запуск с задержкой.
  • Обычный запуск.
  • Запрет запуска.

Сразу после установки Startup Delayer первая и третья области пустые, а во второй перечислены все автостартующие программы. Для создания отложенной загрузки перетащите приложения из второй обрасти в первую и расположите их в желаемом порядке. Так – друг за другом, они и будут запускаться.

В третью – нижнюю область, перенесите то, автозагрузку чего хотите отключить.

Startup Delayer позволяет создавать несколько профилей автозапуска, в том числе для каждого пользователя ПК.

Autoruns

Приложение Autoruns от Sysinternals (автор Марк Руссинович) – это некий эталон своего жанра. Оно детально отображает все элементы автоматической загрузки для всех пользователей компьютера, включая учетные записи системы и некоторых служб, а также позволяет выборочно отключать и удалять любые объекты.

Окно программы поделено на 20 вкладок (в последней версии, в предыдущих их меньше). 19 вкладок содержит группы объектов одной категории, например, назначенные задания, службы, известные dll и т. д., а 20-я – всё вместе одном длинным списком.

Некоторые записи во вкладках выделены желтым и розовым цветом. Желтый указывает на то, что элемент автозагрузки сопоставлен отсутствующему файлу. Розовый – на подозрительность и возможную вредоносность объекта. Чтобы убедиться в безопасности, мы можем прямо из программы переслать подозрительный файл на Virustotal, но для последнего придется сначала зарегистрироваться на сервисе.

Если кликнуть мышью по строке, на нижней панели отображается детальная информация о файле – имя, путь, кем создан, размер, дата создания и версия.

Чтобы отключить автоматический запуск элемента, достаточно снять флажок, стоящий возле него в первой колонке. Для удаления записи (но не файла, который ей сопоставлен), щелкните по ней правой кнопкой мыши и выберите «Delete» либо нажмите Ctrl+D. Двойной щелчок по строке открывает выбранную запись в редакторе реестра Windows.

По умолчанию программа отображает элементы автозагрузки текущего пользователя. Чтобы просмотреть и отредактировать данные другой учетной записи, откройте меню «User» и выберите нужный пункт.

Autoruns предназначен для опытных пользователей. Новичку, скорее всего, он покажется слишком сложным, тем более что официальная версия не переведена на русский язык. Но если вы всерьез настроены разобраться в этой программе, о чем никогда не пожалеете, можете найти на просторах глобальной сети русифицированный выпуск.

Источник: https://nig.mirtesen.ru/blog/43261931425/Gde-nahoditsya-avtozagruzka-v-Windows-10-i-kak-eyu-upravlyat

Автозагрузка в Windows 7

Hklm software microsoft windows currentversion run

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

  • Как осуществляется автозагрузка?
  • Где найти список программ, загружаемых автоматически?
  • Как отключить соответствующий список автозагрузки?

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Использование групповой политики для автозапуска

Откройте оснастку “Групповая политика” (gpedit.msc), перейдите на вкладку “Конфигурация компьютера ‐ Административные шаблоны ‐ Система”. В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).

Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку “Показать ‐ Добавить”, указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.

Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Runс ключами добавленных программ.

Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“1”=”notepad.exe”

В итоге получаем запуск Блокнота (рис 3).

Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

Аналогично задается автозапуск для текущих пользователей, в оснастке “Групповая политика” это путь “Конфигурация пользователя ‐ Административные шаблоны ‐ Система” (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: “Конфигурация компьютера ‐ Административные шаблоны ‐ Система – Вход в систему ‐ Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы, запускаемые из списка [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика

включена, в реестре создается следующий ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] “DisableLocalMachineRunOnce”=dword:00000001

Так же настраивается политика для текущих пользователей: “Конфигурация пользователя ‐ Административные шаблоны ‐ Система – Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer] “DisableLocalUserRunOnce”=dword:00000001

Назначенные задания

Программы могут запускаться с помощью “Планировщика заданий”. Посмотреть список установленных заданий, а также добавить новое можно так: “Пуск ‐ Все программы ‐ Стандартные ‐ Служебные – Планировщик заданий” ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).

Рисунок 4 Окно Планировщика заданий

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).

Рисунок 5 Создание простой задачи в Планировщике задач

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка “Автозагрузка”

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню “Пуск ‐ Все программы ‐ Автозагрузка”. Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке “Автозагрузка” из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
“Startup”=”c:\mystartup” ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка “Автозагрузка” все так же будет отображаться в меню “Пуск”, а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке “Автозагрузка” у вас будет находиться ярлык “Adobe Reader Speed Launch” ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно “склеить” два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой “склейки”. Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу “Сведения о системе” (откройте “Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе” или наберите msinfo32.

exe в командной строке) и перейдя в пункт “Программная среда ‐ Автоматически загружаемые программы”. Программа “Свойства системы” отображает группы автозагрузки из реестра и папок “Автозагрузка” (рис.6).

Рисунок 6 Автоматически загружаемые программы

Другая программа, позволяющая посмотреть список программ автозагрузки ‐ “Настройка системы” (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка “Общие”) или выборочных программ (вкладка “Автозагрузка”).

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.

Источник: https://www.securitylab.ru/contest/384245.php?R=1

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск – Выполнить

В столбце “Команда” не должно быть подозрительных элементов, например C:\Program Filesovirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце “Расположение”).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе “Система” перейти на закладку “Загрузка системы”, прокрутить скроллом немного вниз до заголовка “Автозагрузка”. Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows – уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса – самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) – типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов – мочить гадов! 🙂

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения “explorer.exe” заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба – launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ – загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить “хрень” у записи параметра Shell (reg_sz) на “explorer.exe” и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe – программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими:

Userinit = C:\WINDOWS\system32\userinit.exe UIHost = logonui.exe

Shell = explorer.exe

Источник: https://skalolaskovy.ru/viruses/62-where-hide-viruses

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Hklm software microsoft windows currentversion run

Реестр ОС Виндовс – это огромная база данных, содержащая сведения о настройках и параметрах установленного программного обеспечения, предустановках, профилях пользователей, других системных инструментах.

Важную роль, связанную с загрузкой операционной системы Виндовс занимает ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, в которой находится ряд ключевых параметров, отвечающих за автоматическую загрузку в системе тех или иных программных компонентов.

Ниже перечислим наиболее часто встречающиеся параметры в данной ветке, а также опишем, за активацию каких программ они отвечают.

Какие параметры могут быть в данной ветке

Как известно, в рассматриваемой ветке реестра находится перечень программ, автоматически запускаемых при входе в систему. При этом программы из данной ветке запускаются для учёток всех пользователей, независимо администратор вы или гость.

Обычно в правом окне параметров слева расположение название (имя) запускаемой программы (параметра), а справа в столбике «Значение» – путь к ней на диске и ключ, с которым запускается соответствующий исполняемый файл (к примеру, «C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe» –s).

Столбик с названием «Тип» отвечает за идентификацию типов данных в системном реестре. В рассматриваемой нами ветке мы обычно видим «REG_SZ», означающий обычную строку кодировки «Юникод» любой длины.

Наиболее же часто в рассматриваемой нами ветке встречаются следующие параметры:

Adobe Reader Speed Laucher

Обеспечивает автоматическую активацию и ускоренную загрузку программы Adobe Reader, включая и её обновление.

ATICCC

Автоматически запускает «ATI Catalyst™ Control Center» — комплекс софта и драйверов для видеокарт АТИ Radeon. Ныне данная программа известна под названием «AMD Radeon Software Crimson».

AvastUI

Запускает популярный антивирус Avast, причём в Диспетчере задач можно увидеть сразу несколько одноимённых процессов.

AVGUI.EXE

Рассматриваемый параметр отвечает за автоматический старт антивируса AVG.

Bitdefender Wallet Agent

Запускает менеджер паролей, обеспечивающий конфиденциальность и безопасный серфинг в сети.

CTFMON.EXE

Контролирует языковую панель и альтернативный пользовательский ввод в ряде систем ОС Виндовс.

Отвечает за автоматический старт программы «Daemon Tools Lite” — программы-эмулятора CD/DVD-дисководов, позволяющая создавать виртуальные дисководы и работать с образами дисков.

Egui

Выполняет автоматический запуск популярного антивируса «ESET NOD32».

Google Chrome

Данный параметр предназначен не столько для запуска браузера Хром, сколько для проверки обновлений для данного браузера.

Отвечает за запуск служебного сервиса от компании Гугл, призванного своевременно обновлять программные продукты от Гугл на ПК пользователя.

Guard mail.ru

Нежелательная программа, закидывающая ПК рекламным софтом, удаляющая без вашего желания программы Яндекса, QIP и Рамблера, а также в ряде случаев модифицирующая ваши поисковые настройки. Нежелательный гость на ПК.

HotKeysCmds

Программа для дополнительной настройки драйверов чипсетов Intel.

Igfxtray

Выводит иконку Intel Graphics на панель задач в системном трее. Активно взаимодействует с графическими чипсетами от Интел.

iTunesHelper

Программа, которая отслеживает подключение к вашему ПК с iPhone/iPod. Если подключение будет обнаружено, будет автоматически запущена iTunes.

QuickTime Task

Модуль мультимедийного проигрывателя, способного воспроизводить различные типы видео. Поскольку в большинстве случаев видеофайлы системно привязываются к тому или иному плееру, в автоматическом запуске указанного модуля обычно нет необходимости.

RtHDVCpl.exe

Отвечает за загрузку диспетчера Realtek HD – дополнительного программного инструмента для гибкой настройки звука под звуковые карты Realtek.

Skype

Отвечает за автоматический старт популярной программы «Скайп», позволяющей осуществлять текстовую, ую и видеосвязь.

SkyDrive

Обеспечивает запуск служебной программы облачного хранилища SkyDrive, и подключение к последнему.

uTorrent

Обеспечивает автоматический запуск популярного торрент-клиента «uTorrent», работающего в фоне.

Wmagent.exe

Агент системы WebMoney, служит для вывода различных уведомлений (к примеру, о получении перевода) в данной платёжной системе.

Сведения об автоматически запускаемых приложениях и управлении ими с помощью настройки системы

Hklm software microsoft windows currentversion run
Источник: technetmicrosoft

Наличие множества программ в автозагрузке не только замедляет запуск системы, но также требует много памяти. Если программа не должна запускаться автоматически, ее нужно удалить из автозагрузки.

К сожалению, отслеживание программ, которые запускаются автоматически, не так просто. Настроить автоматический запуск программы можно множеством способов, не только разместив ее ярлык в папке “Автозагрузка”. К сведению:

Раздел Run (компьютер) Программы, указанные в разделе реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run, запускаются автоматически для всех пользователей.

Раздел Run (пользователь) Программы, указанные в разделе реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Run, запускаются при входе в систему текущего пользователя. Также можно использовать аналогичный подраздел, HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run.

Значение Load Программы, указанные в значении Load раздела реестра HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, запускаются при входе любого пользователя в систему.

Запланированные задачи Планировщик задач Windows (см. раздел “Использование планировщика задач Windows 7” на стр. 779) может указывать задачи, которые запускаются автоматически. Кроме того, администратор может настроить автоматический запуск задач, которые нельзя изменить или удалить.

Win.ini Программы, написанные для 16-разрядных версий Windows, могут добавлять команды в строки “Load=” и “Run=” раздела [Windows] данного файла, расположенного в папке %SystemRoot%. Файл Win.ini – это наследие из эры Windows 3.1.

Разделы RunOnce и RunOnceEx Эта группа разделов реестра определяют программы, которые запускаются автоматически только один раз. Их можно задать для определенной учетной записи пользователя или компьютера:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceHKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceExHKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Разделы RunServices и RunServicesOnce Как следует из названия, эти редко используемые разделы могут управлять автоматическим запуском служб. Их можно задать для определенной учетной записи пользователя или компьютера.

Раздел Winlogon Раздел Winlogon управляет действиями, выполняемыми при входе на компьютер под управлением Windows 7.

Большинство из этих действий контролируется операционной системой, но пользователь также может добавить в этот раздел собственные задачи.

Подразделы HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit и HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell также могут автоматически запускать программы.

Групповая политики Консоль групповой политики содержит две политики (одна в разделе “Конфигурация компьютера\Административные шаблоны\Система\Вход” и другая в соответствующей папке “Конфигурация пользователя”), которые называются “Выполнять эти программы при входе в систему” и указывают программы, запускаемые при каждом входе пользователей в систему.

Разделы Policies\Explorer\Run При использовании параметров политики для автоматического запуска программ, как описано выше, создаются соответствующие значения в одном из двух разделов реестра: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run или HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run.

Значение BootExecute По умолчанию многострочное значение BootExecute раздела реестра HKLM\System\CurrentControlSet\Control\Session Manager имеет значение “autocheck autochk *”.

При этом Windows во время запуска проверяет целостность файловой системы жестких дисков, если система аварийно завершила работу. Другие программы и процессы могут добавлять себя в это значение реестра. (Примечание.

Корпорация Майкрософт не рекомендует значение BootExecute по умолчанию).

Объекты службы оболочки Windowsзагружает ряд вспомогательных DLL-библиотек для расширения возможностей оболочки Windows.

Сценарии входа Сценарии входа, которые автоматически выполняются при загрузке, могут открывать другие программы. Сценарии входа указываются в групповой политике в разделе “Конфигурация компьютера\Параметры Windows\Сценарии (Автозагрузка/Завершение работы) и “Конфигурация пользователя\ПАРАМЕТРЫ Windows\Сценарии (Вход/выход).

В Windows Vista Защитник Windows предлагал список автоматически запускаемых программ в проводнике программного обеспечения. Эта возможность Защитника Windows была удалена. Однако программа настройки системы, включенная и в Windows 7, позволяет узнать, какие программы выполняются при запуске системы, и отключить определенные элементы.

Для запуска программы настройки системы введите “msconfig” в поле поиска меню “Пуск” и нажмите ВВОД.

Щелкните вкладку “Автозагрузка”, чтобы узнать, что система делает при загрузке, и снимите флажки для элементов, которые нужно отключить.

После этого при следующем запуске настройки системы данные элементы отображаются в нижней части списка (при сортировке по умолчанию), а дата и время их отключения отображается в столбце справа.

Настройка системы – удобное средство для временного облегчения нагрузки системы, а для тех пользователей, которые не любят редактировать реестр – это отличный способ изменять поведение системы при загрузке, определяемое разделами реестра. Но следует помнить, что список автозагрузки данной программы не содержит элементы, заданные групповой политикой или планировщиком задач Windows 7.

Чтобы получить альтернативный, более узкий и удобный список автоматически запускаемых программ, нажмите кнопку “Пуск”, выберите “Все программы”, “Стандартные”, выберите пункт “Служебные”и откройте “Сведения о системе”.

В левой области окна “Сведения о системе” откройте “Программная среда” и щелкните раздел “Автоматически загружаемые программы”. Так как окно “Сведения о системе” можно развернуть, здесь удобнее просматривать длинные пути реестра, чем в окне настройки системы с фиксированным размером.

Однако как и в настройке системы, здесь не отображаются задачи политики и планировщика заданий.

Ссылки по теме

Источник: http://www.interface.ru/home.asp?artId=27399

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.