Автозагрузка в Windows 7

Полная статья с комментариями

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

• Как осуществляется автозагрузка?
• Где найти список программ, загружаемых автоматически?
• Как отключить соответствующий список автозагрузки?

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).

Рисунок 1 Автозапуск для всех пользователей

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаются при входе текущего пользователя в систему

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

Использование групповой политики для автозапуска

Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера ‐ Административные шаблоны ‐ Система". В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).

Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать ‐ Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.

Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел\Explorer\Run с ключами добавленных программ.

Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"1"="notepad.exe"

В итоге получаем запуск Блокнота (рис 3).

Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя ‐ Административные шаблоны ‐ Система" (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: "Конфигурация компьютера ‐ Административные шаблоны ‐ Система - Вход в систему ‐ Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика
включена, в реестре создается следующий ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalMachineRunOnce"=dword:00000001

Так же настраивается политика для текущих пользователей: "Конфигурация пользователя ‐ Административные шаблоны ‐ Система - Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"DisableLocalUserRunOnce"=dword:00000001

Назначенные задания

Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск ‐ Все программы ‐ Стандартные ‐ Служебные - Планировщик заданий" ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).

Рисунок 4 Окно Планировщика заданий

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).

Рисунок 5 Создание простой задачи в Планировщике задач

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка "Автозагрузка"

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск ‐ Все программы ‐ Автозагрузка". Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
"Startup"="c:\mystartup" ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда ‐ Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка" (рис.6).

Рисунок 6 Автоматически загружаемые программы

Другая программа, позволяющая посмотреть список программ автозагрузки ‐ "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.

Страницы: 1  2  3  4  5  

Савраска

 

27-08-2009 12:20:59

Осталось только в конце статьи добавить ссылку на редактор реестра с автодополнением, и подсветкой синтаксиса.

Ответить  Ссылка

Tar Dis

28-08-2009 04:23:31

Far+RegistryEditor+Colorer?
хотя autoruns от этих же МС справляется куда лучше.

Ответить  Родитель  Ссылка

compromat

 

29-08-2009 00:46:54

Это не удивительно. По поводу автора:
http://img137.imageshack.us/img137/7355/flooders.jpg

Ответить  Родитель  Ссылка

пробегал

 

27-08-2009 13:22:39

А не проще для отслеживания автозагрузки утилитами Русиновича пользоваться?

Ответить  Ссылка

догонял

 

27-08-2009 14:06:14

Полностью поддерживаю! Autoruns от Sysinternals давно использую, очень информативен и обеспечивает моментальный доступ к точке запуска.

Ответить  Родитель  Ссылка

Я

 

27-08-2009 13:33:43

И все утилиты говно - надо руками пользовать.
Хер вы их запустите если нормальные вири атаканут

Ответить  Ссылка

Tar Dis

28-08-2009 04:32:55

хер вы регедит запустите если вири атакуют 

Ответить  Родитель  Ссылка

92271

 

27-08-2009 14:36:53

если троян навороченный, он может внедриться в другую программу (легальную). И никаких "левых" объектов автозапуске не будет.

Ответить  Ссылка

10451

 

27-08-2009 15:29:30

В чем прикол названия статьи "Автозагрузка в Windows 7"? В чем отличие от "Автозагрузка в Windows ХР"?
А по нычкам автозапуска лучше (удобнее) лазить SysInspector`ом от есета или AVZ (у этой возможностей больше). Кстати у AVZ вышла версия новая пару дней назад, наконец то в ней сделали контекстную команду открыть этот ключ регэдитом (есетам бы это тоже не помешало сделать). Осталось дождаться когда AVZ сделают фильтрацию подозрительных/не подозрительных объектов, пусть хоть и не такую многоступенчатую как у сисинспектора но все же...

Ответить  Ссылка

Угрюмый тролль

 

27-08-2009 16:55:34

Значит, не меня одного по результатам прочтения название озадачило?
Спасибо за инфу о новой версии AVZ.
(ушёл качать)

Ответить  Родитель  Ссылка

54283

 

28-08-2009 10:10:58

Как говорият наши хохляцьки браты по розуму - нэма за що.  Если бы попробовал обновить базы своей AVZ она бы тоже сказала что вышла новая версия, ставь ее и отказалась бы обновляться.

Ответить  Родитель  Ссылка

VictorVG

01-09-2009 12:21:09

Об этом можно на сайте самого Олега попросить, или написать свой фильтр используя её скрипты. Не проблема по идее.

Ответить  Родитель  Ссылка

FlyFotMon

27-08-2009 16:30:44

Посмотрите в HKLM, посмотрите в HKCU... и кто-то потом еще гонит, что в Linux все в командной строке... Вообще не проще было сделать, чтобы любая попытка записи в разделы автозапуска приводила к pop-up с воплями "Эта программа пытается добавить себя в автозагрузку!!! Да/Нет/Никогда в жизни/Удалить эту программу вообще к такой-то матери"

Ответить  Ссылка

dot_sent

27-08-2009 17:49:01

Positive Technologies Startup Monitor в помощь хотя бы. Или почти любой хипс.

Ответить  Родитель  Ссылка

I Believe In Ubuntu

 

27-08-2009 21:22:11

кстати...в давнем 2006 году, когда еще пользовался Win2k, в обязательном порядке устанавливал такую поргу...называлась по-моему ANVIR или что то в этом духе(отечественнойго разработчика по-моему даж...и оч смешно было что сайн анг версии был такой весб расфуфыринный и сколько-то эта орпграмма стоила, а я русс версии сайт был просто на тяп-ляп сделан и скачка беплатная), по сути была она обычным таск манагером, но была у нее приятная фича, как только хоть что то хотело писаться в реестр она выкатывала окошко... разрешить\не разрешить\блокировать(тип если найдет его, кажд раз отказывать).. вот оч мне нравилась эта порграммка и помогало с вирусней бороться...
в начале следующего года, это уже было не актуально, windows'а на компе не стало. как и необходимости бороться с заразой, но если у друзей комп настраивал, эту прогу накатывал всегда. говорят что пормогает.. )) как то так )

Ответить  Родитель  Ссылка

27905

 

27-08-2009 16:50:13

Это было-бы сложно реализовать, способов автозагрузки много, а нелегальных еще больше  Вспомним, как русток.с загружался...

Ответить  Ссылка

FlyFotMon

27-08-2009 17:35:44

А на что там "контроль приложений" тогда?  Нелегальных вообще быть не должно, это на уровне архитектуры должно быть предусмотрено. Вместо того, чтобы рюшечки рисовать... а, чего уж там, lets Holy War begins! 

Ответить  Родитель  Ссылка

47680

 

27-08-2009 17:55:33

А на что там "контроль приложений" тогда?  Нелегальных вообще быть не должно, это на уровне архитектуры должно быть предусмотрено

Я сам использую линукс, но розовые очки все-же советую вам снять. Что значит "не должно", "на уровне архитектуры"? Это только при ИИ все будет  И кстати, не думайте что a.out и elf это форматы в которые невозможно внедрение кода  Беда в том, что система не отличает нормальный код от зловреда, и эта задача не решается даже аверами.

Ответить  Родитель  Ссылка

FlyFotMon

27-08-2009 18:21:34

Да нет, ясен пень, что все, что сделано одним человеком, другой человек завсегда сможет сломать. Но в случае с автозагрузкой инструкция для Вынь больше напоминает инструкцию по регулярному поиску первичных признаков гонореи, а для *nix - памятку о том, что необходимо пользоваться кондомом. И уж только если изделие порвалось и есть опасения что, то тогда... А так-то да, и в метро можно подхватить, и ветром из открытого окна может надуть какой троян, всякое бывает 

Ответить  Родитель  Ссылка

толик

 

27-08-2009 19:50:05

Омг. А в чем все же отличия автозагрузки виндус 7 от других. Автор, раскрой тему до конца! Или скопировал другуб подобную статью и изменил версию виндус? КГ\АМ!

Ответить  Ссылка

compromat

 

29-08-2009 00:47:50

Да он не сможет раскрыть тему до конца, потому что он... НЕ В ТЕМЕ. Но зато обучает. Всех и вся, и везде.
Почему? Ответ здесь:
http://img137.imageshack.us/img137/7355/flooders.jpg

Ответить  Родитель  Ссылка

Алекс

 

28-08-2009 01:18:45

Написали бы как стартануть под админом прогу в 7ке и чтобы воплей небыло. Norton UAC под 7ку я так понял отсутствует, а вистовский не подходит. 

Ответить  Ссылка

joe_kill

 

28-08-2009 08:49:54

Господи, пошаговая инструкция по работе с автозагрузкой, ни на полграмма не изменившимся с win2000.
Остальное хоть было смешно. В рекламе внизу статьи и то больше смысла и новой информации.