Оптимизация автозагрузки в Windows Vista. Оптимизация автозагрузки windows vista


Оптимизация автозагрузки в Windows Vista — Windows ИНФО

Оптимизация автозагрузки в Windows Vista

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] — программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce] — программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] — программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] и добавляем следующий ключ:

«NOTEPAD.EXE»=»C:\WINDOWS\System32\notepad.exe»

Использование групповой политики для автозапуска

Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой части оснастки перейдите на пункт «Вход в систему»

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run]

«1»=»notepad.exe»

«2»=»iexplore.exe»

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (рис 2), а в реестре раздел[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run]

Важно! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows]

Параметры:

«load»=»programma» — программы запускаемые до входа пользователя в систему:

«run»=»programma» — программы запускаемые после входа пользователя в систему.

Эти параметры — аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows]

«load»=»iexplore.exe»

«run»=»notepad.exe»

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ», если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run] При использовании этой политики в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

«DisableLocalMachineRun»=dword:00000001

Аналогично устанавливается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer]

«DisableLocalUserRun»=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы запускаемые из списка

[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce] Если эта политика включена, в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

«DisableLocalMachineRunOnce»=dword:00000001

Так же настраивается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ» Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

«DisableLocalUserRunOnce»=dword:00000001

Назначенные задания

Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск — Все программы — Стандартные — Служебные – Планировщик заданий»— при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу»

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка «Автозагрузка»

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..\Users\All Users\Microsoft\ Windows\Start Menu\Programs\Startup — это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup — это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск — Все программы — Автозагрузка». Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему

Смена папки автозагрузки

Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

«Common Startup»=«%ProgramData%\Microsoft\ Windows\Start Menu\Programs\Startup»— для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

«Startup»=«%USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup»

 — для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

«Startup»=»c:\mystartup» — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» — этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа — дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте«Пуск — Все программы — Стандартные — Служебные — Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда — Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка».

Другая программа, позволяющая посмотреть список программ автозагрузки — «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»)

 

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

wininfo.org.ua

Оптимизация автозагрузки в Windows Vista

Введение

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки, как и для Windows 7. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run

- программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce

- программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

- программы, которые запускаются при входе текущего пользователя в систему

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce

- программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

и добавляем следующий ключ:

"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Использование групповой политики для автозапуска

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт «Вход в систему»

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies

создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система" (рис 2), а в реестре раздел

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows

Параметры:

"load"="programma" - программы запускаемые до входа пользователя в систему:

"run"="programma" - программы запускаемые после входа пользователя в систему.

Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows

"load"="iexplore.exe"

"run"="notepad.exe"

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run

При использовании этой политики в реестре создается следующий ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer

"DisableLocalMachineRun"=dword:00000001

Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer

"DisableLocalUserRun"=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы запускаемые из списка

HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce

Если эта политика включена, в реестре создается следующий ключ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer

"DisableLocalMachineRunOnce"=dword:00000001

Так же настраивается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ» Параметры реестра:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer

"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания

Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные – Планировщик заданий" - при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу»

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки - общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..\Users\All Users\Microsoft\ Windows\Start Menu\Programs\Startup - это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup - это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск - Все программы - Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему

Смена папки автозагрузки

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders

«Common Startup»=«%ProgramData%\Microsoft\ Windows\Start Menu\Programs\Startup»- для всех пользователей системы.

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders

«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\ProgramsStartup»

 - для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders

"Startup"="c:\mystartup" - система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" - этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение - вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта - одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа - дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск - Все программы - Стандартные - Служебные - Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда - Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

Другая программа, позволяющая посмотреть список программ автозагрузки - "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка")

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

www.windxp.com.ru

Оптимизация автозагрузки в Windows Vista

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Run] - программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/RunOnce] - программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run] - программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunOnce] - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run] и добавляем следующий ключ:

"NOTEPAD.EXE"="C:/WINDOWS/System32/notepad.exe"

Использование групповой политики для автозапуска

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт Вход в систему.

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS/System32/ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies] создается подраздел /Explorer/Run с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer/Run]

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система"(рис 2), а в реестре раздел [HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer/Run]

Важно!   При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows NT/CurrentVersion/Windows]

Параметры:

"load"="programma" - программы запускаемые до входа пользователя в систему:

"run"="programma" - программы запускаемые после входа пользователя в систему.

Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/Windows]

"load"="iexplore.exe"

"run"="notepad.exe"

 

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run] При использовании этой политики в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalMachineRun"=dword:00000001

Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer]

"DisableLocalUserRun"=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ

Если эту политику включить, то не будут запускаться программы запускаемые из списка

[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunOnce] Если эта политика включена, в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalMachineRunOnce"=dword:00000001

Так же настраивается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ Параметры реестра:

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания

Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные – Планировщик заданий" - при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

Чтобы добавить новое задание, нужно из меню Действия выбрать пункт Создать задачу.

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки - общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

../Users/All Users/Microsoft/ Windows/Start Menu/Programs/Startup - это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%/AppData/Roaming/ Microsoft/Windows/Start Menu/Programs/Startup - это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск - Все программы - Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

Common Startup=%ProgramData%/Microsoft/ Windows/Start Menu/Programs/Startup- для всех пользователей системы.

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

Startup=%USERPROFILE%/AppData/Roaming/ Microsoft/Windows/Start Menu/Programs/Startup

 - для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

"Startup"="c:/mystartup" - система загрузит все программы, ярлыки которых находятся в папке c:/mystartup/, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" - этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение - вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта - одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа - дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск - Все программы - Стандартные - Служебные - Сведения о системе"или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда - Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

Другая программа, позволяющая посмотреть список программ автозагрузки - "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

salesat.ru

Оптимизация автозагрузки в Windows Vista

Здравствуйте читатели блога компании КомСервис (г. Набережные Челны).

Безмалый В. Ф.cybercop (at) voliacable. com

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun

— программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce

— программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun

— программы, которые запускаются при входе текущего пользователя в систему

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRunOnce

— программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit. exe), переходим в раздел

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun

и добавляем следующий ключ:

«NOTEPAD. EXE»=»C:WINDOWSSystem32notepad. exe»

Использование групповой политики для автозапуска

Откройте оснастку «Групповая политика» (gpedit. msc), перейдите на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой части оснастки перейдите на пункт «Вход в систему»

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке..WINDOWSSystem32 то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpolicies

создается подраздел ExplorerRun с ключами добавленных программ.

Пример:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorerRun

«1»=»notepad. exe»

«2»=»iexplore. exe»

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (рис 2), а в реестре раздел

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorerRun

Важно! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig. exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

HKEY_CURRENT_USERSoftwareMicrosoft Windows NTCurrentVersionWindows

Параметры:

«load»=»programma» — программы запускаемые до входа пользователя в систему:

«run»=»programma» — программы запускаемые после входа пользователя в систему.

Эти параметры — аналог автозагрузки из Win. ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWindows

«load»=»iexplore. exe»

«run»=»notepad. exe»

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ», если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun

При использовании этой политики в реестре создается следующий ключ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer

«DisableLocalMachineRun»=dword:00000001

Аналогично устанавливается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer

«DisableLocalUserRun»=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы запускаемые из списка

HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunOnce

Если эта политика включена, в реестре создается следующий ключ:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer

«DisableLocalMachineRunOnce»=dword:00000001

Так же настраивается политика для текущих пользователей: «Конфигурация пользователя — Административные шаблоны — Система – Вход в систему — Не обрабатывать список однократного запуска программ» Параметры реестра:

HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer

«DisableLocalUserRunOnce»=dword:00000001

Назначенные задания

Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск — Все программы — Стандартные — Служебные – Планировщик заданий» — при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу»

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка «Автозагрузка»

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..UsersAll UsersMicrosoft WindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%AppDataRoaming MicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск — Все программы — Автозагрузка». Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему

Смена папки автозагрузки

Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:

HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerUser Shell Folders

«Common Startup»=«%ProgramData%Microsoft WindowsStart MenuProgramsStartup»- для всех пользователей системы.

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders

«Startup»=«%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup»

— для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders

«Startup»=»c:mystartup» — система загрузит все программы, ярлыки которых находятся в папке C:mystartup, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» — этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа — дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск — Все программы — Стандартные — Служебные — Сведения о системе» Или наберите Msinfo32.exe в командной строке) и перейдя в пункт «Программная среда — Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка».

Другая программа, позволяющая посмотреть список программ автозагрузки — «Настройка системы» (для запуска наберите Msconfig. exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»)

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

Источник: Hardwareportal. ru

comservice-chelny.ru

Оптимизация автозагрузки в Windows Vista

Сегодня сложно найтиорганизацию, которая не подвергалась бы вирусным атакам. И хотяпрактически везде уже установлено антивирусное ПО, иногда возникаетнеобходимость вручную посмотреть, где же в реестре стартует то или иноевредоносное ПО. При поиске резидентного вредоносного ПО нас не могут неволновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Run] - программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/RunOnce] - программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run] - программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/RunOnce] - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Run] и добавляем следующий ключ:

"NOTEPAD.EXE"="C:/WINDOWS/System32/notepad.exe"

Использование групповой политики для автозапуска

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт Вход в систему.

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS/System32/ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies] создается подраздел /Explorer/Run с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer/Run]

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система"(рис 2), а в реестре раздел [HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer/Run]

Важно!   При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows NT/CurrentVersion/Windows]

Параметры:

"load"="programma" - программы запускаемые до входа пользователя в систему:

"run"="programma" - программы запускаемые после входа пользователя в систему.

Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows NT/CurrentVersion/Windows]

"load"="iexplore.exe"

"run"="notepad.exe"

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/Run] При использовании этой политики в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalMachineRun"=dword:00000001

Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Policies/Explorer]

"DisableLocalUserRun"=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ

Если эту политику включить, то не будут запускаться программы запускаемые из списка

[HKEY_LOCAL_MACHINE/Software/Microsoft/ Windows/CurrentVersion/RunOnce] Если эта политика включена, в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalMachineRunOnce"=dword:00000001

Так же настраивается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ Параметры реестра:

[HKEY_CURRENT_USER/SOFTWARE/Microsoft/ Windows/CurrentVersion/policies/Explorer]

"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания

Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные – Планировщик заданий" - при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

Чтобы добавить новое задание, нужно из меню Действия выбрать пункт Создать задачу.

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки - общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

../Users/All Users/Microsoft/ Windows/Start Menu/Programs/Startup - это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%/AppData/Roaming/ Microsoft/Windows/Start Menu/Programs/Startup - это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск - Все программы - Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

Common Startup=%ProgramData%/Microsoft/ Windows/Start Menu/Programs/Startup- для всех пользователей системы.

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

Startup=%USERPROFILE%/AppData/Roaming/ Microsoft/Windows/Start Menu/Programs/Startup

 - для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER/Software/Microsoft/ Windows/CurrentVersion/Explorer/User Shell Folders]

"Startup"="c:/mystartup" - система загрузит все программы, ярлыки которых находятся в папке c:/mystartup/, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" - этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение - вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта - одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа - дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск - Все программы - Стандартные - Служебные - Сведения о системе"или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда - Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

Другая программа, позволяющая посмотреть список программ автозагрузки - "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

salesat.ru

Оптимизация автозагрузки в Windows Vista

Введение ​

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки​

Реестр

В реестре Windows Vista автозагрузка представлена в нескольких ветвях:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run] - программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\RunOnce] - программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] - программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\RunOnce] - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run] и добавляем следующий ключ:

"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Использование групповой политики для автозапуска​

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера - Административные шаблоны - Система". В правой части оснастки перейдите на пункт «Вход в систему».

​ По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать - Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer\Run]

"1"="notepad.exe"

"2"="iexplore.exe"

В итоге получаем запуск Блокнота и Internet Explorer для всех пользователей. Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя - Административные шаблоны - Система" (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer\Run]

​Важно! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка​

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows NT\CurrentVersion\Windows]

Параметры:

"load"="programma" - программы запускаемые до входа пользователя в систему:

"run"="programma" - программы запускаемые после входа пользователя в систему.

Эти параметры - аналог автозагрузки из Win.ini в Windows 9х.

Пример: запускаем Internet Explorer до входа пользователя в систему и Блокнот после входа пользователя в систему:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Windows]

"load"="iexplore.exe"

"run"="notepad.exe"

Не обрабатывать список автозапуска для старых версий​

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ", если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\Run] При использовании этой политики в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

"DisableLocalMachineRun"=dword:00000001

Аналогично устанавливается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список запуска старых программ с тем отличием что в реестре эта опция включается в ином месте:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Policies\Explorer]

"DisableLocalUserRun"=dword:00000001

Игнорировать списки автозагрузки программ выполняемых однажды​

Настраивается с помощью групповой политики: "Конфигурация компьютера - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы запускаемые из списка

[HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\RunOnce] Если эта политика включена, в реестре создается следующий ключ: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

"DisableLocalMachineRunOnce"=dword:00000001

Так же настраивается политика для текущих пользователей: "Конфигурация пользователя - Административные шаблоны - Система – Вход в систему - Не обрабатывать список однократного запуска программ» Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\ Windows\CurrentVersion\policies\Explorer]

"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания​

Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск - Все программы - Стандартные - Служебные – Планировщик заданий" - при этом откроется окно Планировщика заданий, в котором отображены назначенные задания.

​ Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу».

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"​

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки - общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..\Users\All Users\Microsoft\ Windows\Start Menu\Programs\Startup - это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup - это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск - Все программы - Автозагрузка". Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки​

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

«Common Startup»=«%ProgramData%\Microsoft\ Windows\Start Menu\Programs\Startup»- для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

«Startup»=«%USERPROFILE%\AppData\Roaming\ Microsoft\Windows\Start Menu\Programs\Startup»

- для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\User Shell Folders]

"Startup"="c:\mystartup" - система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" - этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение - вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта - одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа - дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск - Все программы - Стандартные - Служебные - Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда - Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

​ Другая программа, позволяющая посмотреть список программ автозагрузки - "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

Заключение​

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако надеюсь они помогут вам в нелегком труде борьбы с вредоносным ПО.

Безмалый В.Ф. cybercop (at) voliacable.com ​

 

arhiv.xaker.name

Установка программ и автозагрузка в Windows Vista

Несмотря на то что Windows Vista по умолчанию содержит немало интересных программ, после ее установки вы наверняка сразу перейдете к инсталляции дополнительных программ, таких как программы пакета Microsoft Office, программы Adobe Photoshop или Illustrator, клиент ICQ и все то, без чего не сможет обойтись ни один домашний пользователь. При этом, хотя список любимых программ у каждого пользователя может быть свой, общий принцип установки программ универсален.

Прежде чем перейти к установке программ, необходимо выполнить ряд предварительных условий. Во-первых, вы должны иметь права администратора в системе, поскольку только администратор может устанавливать и удалять программы. Чтобы выяснить, являетесь ли вы администратором, выберите команду Пуск>Панель управления>Добавление и удаление учетных записей. Рядом со значком вашей учетной записи должна быть надпись «Администратор». Во-вторых, если вы приобрели компьютер, на котором заранее были установлены определенные программы, просмотрите список этих программ в меню Все программы, чтобы не устанавливать то, что у вас уже давно есть.

Одна из до сих пор полностью не устраненных проблем в Windows Vista – это совместимость программ с данной операционной системой. Не все программы, которые прекрасно работают в Windows XP, будут функционировать в Windows Vista. Для некоторых программ были выпущены обновленные версии, предназначенные специально для Windows Vista, поэтому перед установкой программы убедитесь в том, что она совместима с Vista. Сразу после выхода Windows Vista сложилась странная ситуация: немало действительно важных и популярных программ, в том числе различные антивирусы и брандмауэры, в Windows Vista не работали. Понадобилось некоторое время, прежде чем вышли соответствующие обновления. И хотя большинство программ из Windows XP будут работать в Windows Vista, определенные проблемы все же могут возникнуть. Помните об этом перед тем, как выбирать для установки ту или иную программу.

Теперь познакомимся с тем, каким образом устанавливаются программы в Windows Vista. Эта процедура мало отличается от аналогичной процедуры в Windows XP и предыдущих версиях Windows. Как правило, программы устанавливаются таким образом:

Рассмотрим эти способы подробнее. Чтобы установить программу с компакт-диска или DVD, выполните такие действия.

Вставьте компакт-диск или диск DVD с установочными файлами в оптический накопитель. Если появится окно с запросом на разрешение выполняемой операции, введите в окне имя администратора и пароль.

В большинстве случаев откроется окно автозапуска, в котором нужно выбрать файл установки. Если окно автозапуска не было открыто или при выборе файла установки процедура инсталляции не началась, перейдите к содержимому диска с помощью программы Проводник. Найдите файл установки (обычно он называется setup.exe или install.exe) и дважды щелкните на нем мышью.

Затем следуйте предлагаемым на экране инструкциям.

Вы можете одновременно устанавливать несколько программ, например, с компакт-диска и через Интернет, следя за прогрессом установки на панели задач. Это очень удобно делать в Windows Vista с темой Aero, поскольку благодаря Aero на вкладку программы можно навести указатель мыши, чтобы увидеть небольшое всплывающее окно с содержимым основного окна установки.

Немало современных программ можно установить непосредственно из Интернета. Достаточно запустить браузер вроде Internet Explorer и перейти на соответствующий Web-сайт. К популярным каталогам программ в Интернете относятся такие сайты, как softportal.ru, download.ru, download.com, tucows.com и многие другие.

  1. Откройте браузер, перейдите на нужный Web-сайт и щелкните на ссылке к установочному файлу программы.
  2. Чтобы установить программу немедленно, щелкните на кнопке Выполнить и следуйте представленным на экране инструкциям.
  3. Чтобы сохранить установочный файл программы для дальнейшей инсталляции с жесткого диска, щелкните на ссылке Сохранить.

Второй метод является более предпочтительным, поскольку может появиться необходимость как переустановить программу, так и инсталлировать ее заново, скажем, после переустановки Windows Vista. Возможно, и ваш друг попросит об услуге, и вам понадобится копия этой программы. Если вы используете для загрузки программы браузер Internet Explorer, то файл программы будет по умолчанию сохранен в папке Downloads, которая размещена в вашей персональной папке. Персональная папка находится на диске C: в папке Users. Если, к примеру, ваша учетная запись называется Серега, то путь к папке Downloads будет выглядеть, как C:\Users\Серега\Downloads.

Как уже было сказано, сохраненные программы обычно представляют собой файл с расширением .exe и названием setup.exe или install.exe. Иногда файл может находиться в архиве с расширением .rar или .zip. Эти файлы необходимо распаковать в папку, после чего запустить файл установки. Также внимательно просмотрите содержимое таких файлов, как readme.txt или install.txt. В них зачастую можно найти инструкции и советы по установке программы, а также информацию по ее использованию и системным требованиям.

Установка компонентов Windows

В комплекте с Windows Vista поставляется множество разнообразных системных компонентов, о некоторых из них зачастую ничего не известно. Многие пользователи предпочитают удалять те компоненты и функции Windows, которые им заведомо не понадобятся.

Чтобы просмотреть список установленных компонентов Windows Vista, выберите команду Пуск>Панель управления>Программы>Включение или отключение компонентов Windows. После этого будет открыто окно Компоненты Windows.

В этом окне представлен полный список системных компонентов, установленных по умолчанию вместе с Windows Vista, а также список компонентов и служб, которые по желанию можно установить. Если слева от имени компонента установлен флажок, следовательно, эта программа или компонент уже установлен. Наведите указатель мыши на любой из компонентов, чтобы ознакомиться во всплывающем окне с информацией об этом компоненте. Теперь вам необходимо снять флажки напротив ненужных компонентов и установить флажки для тех служб, без которых жизнь не мила и Windows Vista совсем не радует глаз.

В отличие от Windows XP, фактического удаления компонента после снятия флажка не происходит. Операционная система просто скрывает данный компонент, поэтому освободить немного дискового пространства таким образом нельзя. Многие компоненты и службы объединены в группы. Чтобы просмотреть состав группы, щелкните на значке с изображением плюса.

Будьте крайне внимательны. Удалив важный системный компонент, вы можете сделать Windows Vista полностью неработоспособной. Как правило, обычный пользователь в окне Компоненты Windows может удалить только ненужные игры, компоненты для планшетных ПК и служб печати (в том случае, если принтер или планшетный ПК не используются). Все остальные компоненты желательно не трогать, если только вы не опытный системный администратор.

Запуск программы

После установки программу, конечно же, нужно запустить. Для этого в Windows Vista предусмотрено несколько действий, и вы можете выбрать из них то, что вам понравится больше всего. Список этих действий представлен далее.

Описанные выше методы можно использовать для запуска не только программ, но и связанных с ними файлов. Например, если файлы с расширением .mp3 по умолчанию открываются программой WinAmp, то двойной щелчок мышью на таком файле приведет к автоматическому запуску WinAmp и воспроизведению файла.

Метод запуска программы с помощью меню Открыть, которое открывается посредством комбинации клавиш <Win+R>, может показаться чрезмерно сложным. Однако многие пользователи предпочитают данный метод по той причине, что с его помощью для программ можно указывать различные ключи запуска. Такие ключи помогают запустить программу с выполнением особых условий или параметров. Например, чтобы запустить игру Half Life 2 с возможностью подключения к сетевой службе Steam, вместе с файлом hl2.exe следует указать ключ -steam, т.е. в поле Открыть следует ввести команду hl2.exe -steam. В свою очередь, такие ключи можно указать и для значка программы, щелкнув на значке нужной программы правой кнопкой мыши и введя необходимый ключ в поле Объект.

Автозагрузка программ

Любая используемая вами программа может быть автоматически запущена вместе с Windows. Это удобная функция для тех, кто регулярно использует некоторые программы сразу после загрузки Windows, например, программу Word, клиент ICQ, личный журнал WinOrganizer и т.д. Чтобы просмотреть, какие программы запускаются вместе с Windows, выберите команду Пуск>Все программы>Автозагрузка. В открывшейся папке будут расположены значки автоматически загружаемых программ.

Настроить автозапуск вашей любимой программы можно таким образом.

Как видите, все очень просто. Теперь нужная вам программа будет запускаться сразу после регистрации в Windows. Используйте возможности автозагрузки осторожно. Слишком большое количество программ, загружаемых вместе с Windows, существенно увеличивает время загрузки операционной системы. Более того, некоторые из автоматически загружаемых программ работают в фоновом режиме, который заключается в том, что программа работает незаметно для пользователя, загружая процессор и оперативную память. Нередко автозагрузка программ назначается автоматически при их установке, например, для антивирусов, брандмауэров, клиентов мгновенных сообщений (вроде ICQ или MSN Messenger) и многих других. Старайтесь удалять из автозагрузки только те программы, что вам действительно не нужны.

Также параметры автозагрузки можно просмотреть с помощью программы msconfig, для запуска которой нужно нажать комбинацию клавиш <Win+R> и ввести в строке запроса команду msconfig.

Подробнее о программе msconfig

windata.ru


Prostoy-Site | Все права защищены © 2018 | Карта сайта