Как открыть автозагрузку в реестре
Автозагрузка в Windows 7
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.
Безмалый В.Ф.
MVP Consumer Security
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
Именно этому и будет посвящена эта статья.
Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ программы, запускаемые при входе в систему.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).
Рисунок 1 Автозапуск для всех пользователей
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаются при входе текущего пользователя в систему
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:\WINDOWS\System32\notepad.exe»
Использование групповой политики для автозапуска
Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).
Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)
Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.
Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.
При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.
Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
«1»=»notepad.exe»
В итоге получаем запуск Блокнота (рис 3).
Рисунок 3 Запуск Блокнота с помощью локальной групповой политики
Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя ‐ Административные шаблоны ‐ Система» (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Игнорировать списки автозагрузки программ выполняемых однажды
Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика
включена, в реестре создается следующий ключ:
Назначенные задания
Рисунок 4 Окно Планировщика заданий
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).
Рисунок 5 Создание простой задачи в Планировщике задач
Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.
Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск ‐ Все программы ‐ Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=»c:\mystartup» ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.
Добавление программы к программе запускаемой из списка автозагрузки
Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда ‐ Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка» (рис.6).
Рисунок 6 Автоматически загружаемые программы
Другая программа, позволяющая посмотреть список программ автозагрузки ‐ «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»).
Заключение
Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.
Используйте автозапуск программ Windows 7 с умом!
Автозапуск программ Windows 7
Как отключить мини-приложения в 11
Как вернуть старое контекстное меню в 11
Не запускается PC Health Check на 11
Не могу обновиться до 11
0xc190011f при обновлении до 11
В процессе использования системы Windows, она начинает намного дольше загружаться, чем раньше. Есть несколько причин, по которым, система начинает со временем дольше загружаться – ошибки Windows, износ оборудования, мало свободного пространства и другие. Но основная причина – кроме системы загружаются и сторонние программы, которые значительно загружают вход в систему. В данной статье мы рассмотрим автозапуск программ в Windows 7, и других версиях, зачем он нужен, где найти и как убрать автозапуск программ windows 7, 8, 10 и программы, которые позволят получить больше, чем системные утилиты.
Автозагрузка в Windows 7: как, где, зачем и почему
Большую проблему для пользователей создают программы, которые запускаются с системой и приходится довольно долгое время ожидать полной загрузки системы, чтобы уже можно было начинать ею комфортно пользоваться. За автоматический запуск программ отвечает определенная настройка – автозагрузка или автозапуск. Среди них могут быть как полезные, бесполезные, так и опасные приложения, поэтому необходимо точно знать, что отключать, а что необходимо оставить. Мы научим вас как включить и выключить автозапуск программ в Windows 7, а также как добавить в автозапуск нужные программы при включении компьютера в Windows 7.
Через окно Конфигурация системы
Настройки «Конфигурация системы» позволяет получить значительное количество информации не только о загрузке (вкладка Загрузка и Общие ), но позволит понять, что еще загружается вместе с системой.
В данном окне можем увидеть название программы, производителя, а также его расположение. Отключение из автозапуска выполняется снятием соответствующей галочки напротив названия программы.
Через папку Автозагрузки
Самый удобный вариант, если необходимо добавить в автозапуск какую-либо программу при включении компьютера в Windows 7, это напрямую добавление в папку Автозагрузка. Чтобы открыть данную папку пройдите по следующему расположению:
C:\Users\%ИМЯ ПОЛЬЗОВАТЕЛЯ%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
Также, есть другой способ. Нажмите сочетание клавиш «Win+R» и введите команду shell:startup.
При переносе исполнительных файлов, само приложение работать не будет при запуске. Это стандартная ошибка новичков.
Необходимо переносить Ярлык приложения, которое будет ссылаться к рабочему исполнительному файлу программы и корректно работать и запускаться при старте.
Также! После добавления нужной программы, оно появится в списке автозапуска Конфигурации системы.
Через реестр
Еще один удобный способ, который позволит войти и изменить автозапуск программ в Windows 7 – через редактор реестра.
Реестр – это своеобразная база данных всех настроек и параметров, откуда приложения и сама система понимает, что конкретное ПО связано с конкретным файлом или действием. Для автозапуска, есть своя, так называемая ветка, где и можно управлять загрузкой.
Чтобы найти интересующую нас ветку, пройдите по следующему пути:
Стоит обратить внимание, что это не единственная ветка, но основания для данной системы.
В данной ветке, есть несколько параметров, которые ссылаются на приложения или страницы в сети (это это вирус или реклама). В значении каждого параметра указано, куда ссылается то или иное приложение или вирус. Например, браузеры ссылаются на свою утилиту проверки обновлений, а вирусы могут ссылаться куда угодно.
Мы рассмотрели с вами системные методы для автозапуска программ Windows 7, как отключить их и где. Но также есть и сторонние приложения, которые помогут вам в этом.
Ccleaner
Известнейшее ПО для оптимизации и очистки от мусора. Оно обладает огромным функционалом не только очистки, но и оптимизации системы и приложений.
Функционал Ccleaner действительно хорош, не зря это одно из самых популярных приложений для оптимизации Windows.
Sysinternals Autoruns
Autoruns – утилита от компании Sysinternals, приобретённой Microsoft. Обладает отличнейшим функционалом, но весьма скудным интерфейсом. Для работы с данной утилитой, необходимы знания на уровне уверенного пользователя ПК со знанием стандартных веток реестра. Начинающий пользователь ПК при работе с Autoruns может ненароком наломать дров, что придётся восстанавливать работу в безопасном режиме.
Утилита позволяет узнать об абсолютно всём, что будет загружено вместе с системой – утилиты, драйвера, модули и многое другое. Вот почему Autoruns очень ценится в среде профессионалов.
Интересен фильтр Hide VirusTotal Clean Entries – который скрывает значения, которые по мнению сервиса VirusTotal чисты и не представляют угрозы. Опасные или зараженные модули будут подсвечиваться красным или розовым.
Дополнительно
В данной статье мы показали, где находится и как посмотреть автозапуск программ в Windows 7, но это еще не всё. Есть еще методы полного отключения приложений и его компонентов. Отключение автозапуска не всегда решает проблему, связанную с конкретным приложением. Поэтому вы можете дополнительно воспользоваться следующими небольшими подсказками.
Через вкладку Службы
Для начала, необходимо зайти в управление автозапуском программ Windows 7, через команду msconfig. Только в этот раз нам потребуется вкладка Службы.
При анализе на вирусы и подозрительное ПО, стоит обращать внимание на неизвестные названия, особенно без изготовителя. Если такие встречаются, то необходимо первым делом уточнить у поисковиков, действительно ли это вирус. Вполне может оказаться полезное приложение, но без подписи разработчика.
В крайнем случае, можно отключить работу всех служб для проверки работы системы или отключать их поочерёдно, если цель выявить ошибочную службу.
Важно! Антивирусы так просто не отключить, они обладают модулем самозащиты, который не позволит отключить антивирус, даже обладая правами Администратора. Его необходимо отключать в настройках.
Планировщик задач
Чтобы открыть «Планировщик задач» нажмите Win+R и введите команду control schedtasks. Папка Библиотека планировщика задач, будет содержать основные триггеры для стороннего ПО. Вы можете проанализировать все действия, которые приводят к запуску программы и отключить её.
Все вышеуказанные функции доступны и с сторонних приложениях, таких как Ccleaner или Autoruns, о которых также было упоминание в этой статье.
Автозагрузка в реестре
«Автозагрузка в реестре». Во-первых, надо узнать, как Windows распознает программы, которые необходимо включать при запуске. Есть три места, где данные хранятся: меню «Пуск» папка «Автозагрузка», реестр и «win.ini» файл. Ну, с запуском ясно — это самый простой и самый доступный вариант, но на реестре и на самом «win.ini» стоит остановиться более подробно.
Автозагрузка через win.ini
Давайте начнем с файла. Хотя Microsoft и настоятельно рекомендует разработчикам хранить все свои настройки в реестре, тем самым отказываясь от файлов INI, заверяя пользователя, что они сохраняются только для совместимости со старыми утилитами, однако, продолжают использовать их сами. Сам файл находится в директории, где установлена ОС. Откройте его простым блокнотом. В самом начале файла раздел под названием [Windows]. Там есть два параметра, которые отвечают за автоматическую загрузку программного обеспечения – «загрузить и запустить». Обычно они пустые, но если есть какие-то записи, не забудьте проверить, что софт работает.
С «win.ini» все намного проще – там имеется только одно интересное для нас место. С реестром куда более сложнее. Там существует уже гораздо больше места, где могут скрываться софты — злоумышленники. Таким образом, открываем наш реестр и начинаем кропотливые поиски.
Автозагрузка в реестре
Во-первых, раздел, который надо просмотреть в первую очередь, это: «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion». Найти, там вот такие подразделы Run, RunOnceEx, RunOnce, «RunServicesOnce», «RunServices». В этих разделах имеются ключи (некоторые разделы вообще пустые), которые отвечают за запуск при загрузке. Название ключа может быть совершенно разным, по умолчанию в значении у них указывается программа, которая будет запущена при включении ОС. Обратить нужно взор на разделы, у которых в названии есть английское слово «Once». В этом разделе, располагаются программы, включение которых должно быть выполнено только однажды. Например, после установки каких-либо программ, большинство из них из них записывают туда свои ключи, которые указывают на любую конфигурацию модулей, и запускаются сразу после системной перезагрузки. Такие ключи после запуска автоматически удаляются.
Но это не самый единственный раздел, где происходит запуск. Обратимся теперь к другой разделу: «HKEY_CURRENT_USER», там нужно будет открыть раздел «SOFTWARE Microsoft Windows CurrentVersion». Вот здесь имеются только два подраздела, которые отвечают за него: RunOnce и RUN. Изначально они будут пусты, так как все записи сделаны другими утилитами.
Автозагрузка в реестре
Имейте в виду, что из самого реестра, запуск программ идет в первую очередь, потом уже из «win.ini» и последняя очередь за «Автозагрузкой». Так что если у Вас запущен на компьютере антивирус, то это не факт, что он найдет и удалит троян, потому что вирусы значительно меньше, чем размер файла и грузятся они намного быстрее.
Заключение
Вот, пожалуй, и все про запуски программ в Windows. Если Вы хотите ускорить загрузку компьютера, удалите все лишнее и ненужное из вышеупомянутых разделов. А при установке какой-то подозрительной программы или при загрузке неизвестного файла, проверьте, добавилось ли что-то лишнее. Слишком много в последнее время расплодилось «всякого рода» троянов и слишком широкая масса пользователей может их случайным образом «подцепить». Так что дополнительная осторожность никогда не помешает.
Информационной безопасности пост. Часть третья: реестр, автозапуск и пара слов о диспетчере задач.
Всем привет. Я продолжаю рассказывать вам о том, какие опасности могут скрываться буквально под ближайшей ссылкой в гугле, и сегодня я поведаю о том, что нужно предпринять, если у вас возникают подозрения на заражение вашего компьютера какой-либо заразой. К сожалению, у меня одолжили блок питания моего ноутбука под Windows 7, потому скрины я представлю с Windows XP — но это некритично, ситуация схожая. Некоторые моменты могут не работать под Windows 8, и, быть может, я исправлю это недоразумение, описав её безопасность в одном из своих будущих блогов. Сам я ей не пользуюсь, но ради того, чтобы поделиться знаниями, я, возможно, поставлю её под виртуальной машиной. Прошу отписаться в комментариях, насколько это нужно.
Прежде чем я начну повествование, я дам ссылки на прошлые посты серии блогов о безопасности:
Блог первый, посвящённый возможным сценариям заражения вследствие неосторожности или незнания. Ориентирован на новичков.
Блог второй, о типах вредоносного ПО.
Непонятный exe’шник, непонятно откуда взявшийся и непонятно что делающий. Хотя в данном случае он ручной, пусть побудет тут для примера. 😉
И тут я сделаю небольшое отступление. С чего я решил, что это вредоносный файл, спросите вы? Дело в том, что это мой компьютер и я им управляю. Я говорю ему, что необходимо делать, а чего он делать не должен. И неизвестные процессы мне так или иначе не нужны. Вы — хозяин своей системы. Если вы не уверены в том, что это за процесс — посмотрите, к чему он относится.
Для примера возьмём со скрина выше файл igfxtray, расположенный в системном каталоге — Google подскажет, что это процесс драйвера Intel’овских интегрированных графических карт. Значит, ему можно доверять. А если мы погуглим, например, файл rundl132.exe, то узнаем, что это ПО класса MalWare. Обратите внимание на название: оно написано так, что его легко спутать по написанию с оригинальным системным файлом rundll32.exe, если бегло просматривать список процессов.
Ещё один пример, с системным файлом explorer.exe и фальшивкой, expl0rer.exe.
В Windows 7 в диспетчере задач есть полезная функция, отображение пути к образу исполняемой программы. Рекомендую воспользоваться, она очень полезна — например, в таких ситуациях:
Какой из процессов фальшивый? Оба имеют оригинальное название системного файла, оба занимают около 12-13 мегабайт и оба одновременно могут быть подлинными. Любопытствующим отвечу, что второй — фейк. Я сделал его для экспериментов и скринов — а если бы вместо него был бы вредоносный, как бы вы его различили? 🙂
Итак, вернёмся к тому странному файлу, что мы нашли в автозагрузке. Снимаем галку напротив него, идём в папку с файлом, сносим его и успокаиваемся? Как бы не так. Хорошо, если он вообще позволит себя удалить, будучи не запущенным и ничем не занятым. А что, если нет? И что, если антивирус спокойно дрыхнет себе в трее? Давайте разбираться. Первым делом обновим антивирусные базы (при условии, если вообще есть для чего их обновлять — если нет, можете скачать CureIt — это, по сути, одноразовая версия Dr.Web). Что, даже если натравить антивирус на этот файл, то он ничего не находит? В такой ситуации главное — не паниковать. Для начала отправьте подозрительный файл разработчику вашего антивируса (в самой программе должна быть эта функция), можете дождаться ответа. Но это может затянуться на длительное время. Пусть пока изучают, а мы попытаемся снести хулигана своими руками. Направляемся в диспетчер задач и отыскиваем там незванного гостя на вкладке процессов:
Нашли? Выделяйте наглеца и смело жмите на кнопку «завершить процесс».
Однако может случиться так, что через несколько секунд процесс запустится заново. И тут уж хоть затыкайте кнопку завершения процесса в диспетчере задач. Это означает, что работа основного процесса контролируется дополнительным — или вовсе службой. Кстати, иногда может помочь программа UnLocker — она выгружает процессы, которые препятствуют удалению того или иного файла, а если не получается — то попробует удалить его при перезагрузке Windows.
Если вы помните из прошлых постов серии понятие «руткит», то, возможно, вы уже задаётесь вопросом о эффекте его использования. Напомню, что руткит — это ПО для сокрытия в системе какого-либо процесса (-ов), файлов или элементов реестра. Так вот, если в системе активен так же руткит, привязанный к тому или иному паразиту, то процесса этого самого паразита в списке процессов и не будет. Опытный хакер/кракер/программист может в коде самой программы использовать хитрости для скрытия её процесса, не прибегая к помощи руткитов. Можно сказать, такая программа будет сама себя прятать. 🙂 Так вот, скрыть процесс из диспетчера задач без руткита или буткита можно как минимум тремя способами (по крайней мере, столько знает ваш покорный слуга), и их эффективность, в общем-то, зависит от некоторых обстоятельств. Например, первый способ, довольно простой — организовать запуск программы от имени администратора. Ключевой момент заключается в том, что пользователь, не обладающий правами администратора, не сможет увидеть такой процесс в диспетчере задач. Эффективность стремится к нулю в домашних условиях, где пользователь обычно сидит под администраторской учётной записью (исключение — Linux, где сидеть под root’ом — дурной тон, но об этом в другой раз). Способ второй, самый распространённый, но требующий определённых знаний — использование WinAPI (Windows Application Programming Interface, интерфейс программирования приложений), а точнее, перехват его функций. Работа с API ОС Windows рассматривается при изучении, наверное, любого языка программирования, но уверенно работать с такими функциями может только опытный программист. Ну и третий способ — использовать системный процесс svchost.exe в качестве т.н. хост-процесса, то есть, управляющего. Сам по себе этот исполняемый файл необходим Windows для запуска и работы процессов из динамических библиотек (все, наверное, видели dll-файлы?). Третий способ может оказаться неэффективным в случае, если зараза сильно потребляет ресурсы компьютера — многие вирусы раскрываются именно из-за подозрений на процесс svchost.exe, постоянно жрущий слишком много памяти и нагружающий процессор до 50-70, а иногда и под 100 процентов.
svchost курильщика. Только гляньте на наглеца. Это явно ненормальное поведение для системного процесса. Будем избавляться.
При этом может использоваться подлинный svchost.exe, а может и поддельный (как уже описывалось выше на примере других системных файлов). Очень важный момент: svchost никогда и ни при каких условиях не запускается от имени обычного пользователя — за исключением вредоносной подделки.
svchost здорового человека компьютера. Вернее, Windows’а.
Итак, если зараза не использует для максировки системные процессы, первым делом нам нужно убрать её из списка автозагрузки. Это можно сделать при помощи системной утилиты msconfig, но мы пойдём другим путём — правкой реестра. Вызывается он через диалог «Выполнить» (Run), который можно найти в меню «Пуск» или же запустить сочетанием клавиш Windows и R. В появившемся окне вводим regedit и жмём Ok или Enter:
Правка реестра — занятие рискованное, если вы не будете соблюдать осторожность при работе с ним. Автор не несёт ответственности за удаление или модификацию ключей реестра, необходимых для нормальной работы Windows.
В реестре за автозагрузку отвечают несколько веток:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run — автозапуск для всех пользователей
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CurrentVersion\Run — автозапуск для текущего пользователя
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — разовый автозапуск, распространяется на всех пользователей. После перового выполнения автоматического старта этот ключ самостоятельно удаляется из реестра.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — аналогично для текущего пользователя.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx — разовый автозапуск программ, распространяется на всех пользователей. Отличие ветки RunOnce от RunOnceEx в том, что из первой ветки ключи удаляются автоматически сразу после запуска приложения из этого ключа, а во втором случае — после того, как выполнение программы будет завершено.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices — службы, запускаемые при старте Windows.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce — сервисы для разовой загрузки.
Это основное. Дополнительно автозагрузка контролируется ветками
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Первая ветвь содержит параметры загрузки дополнительных драйверов, служб и библиотек. Загрузка эта может выполняться, по сути, на любом этапе загрузки ОС. Вторая отвечает за старт драйверов, служб и библиотек в безопасном режиме.
Windows Explorer в ветке обычной автозагрузки реестра? Он же в автозагрузке msconfig? Сносите его оттуда нафиг. Настоящему explorer.exe не требуется использование автозагрузки, он загружается при старте Windows без этого ключа (о том, откуда он запускается, чуть ниже). К тому же оригинальный Windows Explorer располагается не в C:\Windows\System32, а просто в папке Windows.
Запомните, где располагаются основные системные файлы. Если сомневаетесь — погуглите, саппорт-портал Microsoft и Википедия содержат ответы на множество ваших вопросов. К тому же в интернете есть множество других технических ресурсов.
Ещё один нюанс, связанный с реестром. Взгляните на следующий скрин:
Это изменение приведёт к тому, что при следующем входе в систему меня будет ждать не обычный графический режим Windows с его «Проводником» explorer.exe, а обычный запуск коммандной строки cmd.exe:
Никаких иконок на рабочем столе, никакой панели задач — потому что вместо explorer.exe мы попросили Windows загрузить cmd.exe. Картинка кликабельна.
И вот, что произойдёт при попытке воткнуть на место shell (оболочки) программу, которая вообще таковой не является (я прописал в соответствующий ключ обычный «Блокнот», то есть notepad.exe):
Тоже самое, никакой панели и иконок, только блокнот. Кликабельно.
К чему это я… А к тому, что на место оригинального «Проводника» Windows туда можно воткнуть модифицированный. Или вовсе не проводник, а, например, приложение-винлокер. Или рекламный баннер. Да вообще, что угодно. В случае, если у вас запускается нечто, отличное от стандартного «Проводника» и не даёт совершить никаких действий, загрузите какой-нибудь LiveCD (я настоятельно рекомендую Hiren’s Boot CD) и проверьте эти ключи оттуда — если вместо Explorer.exe там стоит что-то другое или путь к фальшивому explorer.exe — смело можете жать двойным щелчком мыши по этому параметру и вместо того, что там написано, писать простое «explorer.exe», без кавычек. Не забывайте, что этот параметр есть как в HKEY_CURRENT_USER, так и в HKEY_LOCAL_MACHINE, причём второй вариант наиболее распространён в силу своей эффективности. Что до LiveCD, то загрузившись из него, вы можете скачать антивирус и просканировать свои файлы. Упомянутый мной Hiren’s BCD содержит некоторые антивирусы в своём составе, однако базы там могут быть не самые свежие.
Иногда для диагностики и поиска заразы может потребоваться так называемый «Диагностический запуск». Активировать его можно при помощи того же msconfig ‘а:
за неимением русской версии Windows этот скрин пришлось гуглить, чтобы было понятно, о чём речь.
Если и в таком режиме ОС не загружается должным образом, то поражены системные файлы, необходимые для базовой загрузки Windows.
Раньше я часто слышал от коллег, что в некоторых случаях может помочь восстановление системы, однако сам я не пробовал данный метод. Если кому помогало, прошу расписать в комментариях, в каком случае и как вас спасла данная функция Windows.
Пост вышел, опять же, довольно сумбурным, но, думаю, весьма информативным. Не брезгуйте утилитами вроде AdwCleaner, по возможности скачайте какой-нибудь функциональный LiveCD, например Hiren’s Boot CD, запишите его на диск и изучите его способности — чтобы не было мучительно больно, когда он вам понадобится, а его нет. Поверьте, порой они бывают незаменимы. Так же было бы неплохо, если бы вы изучили поведение основных системных файлов — так вы сможете самостоятельно отличать их от «подделок». Однако всегда помните правило: не уверен — не лезь. Если вы не уверены, что ваши действия не навредят системе, лучше ничего не трогайте. Однако автозагрузку можете править спокойно — в худшем случае Windows не станет загружать прикладные программы. Что ей самой нужно для загрузки, она и так знает. Вот только вредоносное «зверьё» может заставить её думать, что оно тоже необходимо для старта.
Следующий пост за номером 4 будет посвящён безопасности в сетях Wi-Fi. Рассмотрим настройки роутеров на примере моего TP-Link TL-WDR4300, и быть может, я найду более распространённый вариант вроде D-Link DIR-300 (ну или хотя бы DIR-320). Спасибо вам за внимание, оставляйте свои комментарии и до встречи на просторах блогов StopGame!