Оптимізація автозавантаження в Windows Vista

Сьогодні складно знайти організацію, яка не піддавалася б вірусним атакам. І хоча практично скрізь вже встановлене антивірусне ПЗ, іноді виникає необхідність вручну подивитися, де ж у реєстрі стартує те чи інше шкідливе ПЗ. При пошуку резидентного зловмисних програм нас не можуть не хвилювати наступні питання:


Саме цьому і буде присвячена ця стаття.

Існує багато способів автозавантаження. Нижче наведено кілька варіантів. Сподіваюся, що це зможе вам допомогти в розшуку і видаленні шкідливого ПЗ з автозавантаження.


Способи автозавантаження

Реєстр

У реєстрі Windows Vista автозавантаження представлена в декількох гілках:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRun] – Програми, що запускаються при вході в систему.

Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionRunOnce] – Програми, що запускаються тільки один раз при вході користувача в систему. Після того ключі програм автоматично видаляються з даного розділу реєстру.

Програми, які запускаються в цьому розділі, запускаються для всіх користувачів в системі.

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun] – Програми, які запускаються при вході поточного користувача в систему [HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRunOnce] – Програми, які запускаються тільки один раз при вході поточного користувача в систему. Після того ключі програм автоматично видаляються з даного розділу реєстру.

Наприклад, щоб автоматично запускати Блокнот при вході поточного користувача, відкриваємо Редактор реєстру (regedit.exe), переходимо в розділ

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionRun] і додаємо наступний ключ:

“NOTEPAD.EXE”=”C:WINDOWSSystem32
otepad.exe”


Використання групової політики для автозапуску

Відкрийте оснастку "Групова політика" (gpedit.msc), перейдіть на вкладку "Конфігурація комп'ютера – Адміністративні шаблони – Система". У правій частині оснащення перейдіть на сторінку "Вхід до системи".

За замовчуванням ця політика не задана, але ви можете додати туди програму: включаємо політику, натискаємо кнопку "Показати – Додати", вказуємо шлях до програми, при цьому якщо програма, що запускається знаходиться в папці .. WINDOWSSystem32 то можна вказати лише назву програми, інакше доведеться вказати повний шлях до програми. При цьому в системному реєстрі в розділі [HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpolicies] створюється підрозділ ExplorerRun з ключами доданих програм.

Приклад:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorerRun]

“1”=”notepad.exe”

“2”=”iexplore.exe”

У підсумку отримуємо запуск Блокнота і Internet Explorer для всіх користувачів. Аналогічно задається автозапуск для поточних користувачів, в оснащенні "Групова політика" це шлях "Конфігурація користувача – Адміністративні шаблони – Система" (Рис 2), а в реєстрі розділ [HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorerRun]

Важливо!   При цьому програми з цього списку не відображаються в списку програм доступних для відключення в msconfig.exe, а також визначаються не усіма менеджерами автозавантаження.


Автозапуск з особливого списку

Програми можуть запускатися і з наступного розділу реєстру:

[HKEY_CURRENT_USERSoftwareMicrosoft Windows NTCurrentVersionWindows]

Параметри:

"Load" = "programma" – програми запускаються до входу користувача в систему:

"Run" = "programma" – програми запускаються після входу користувача в систему.

Ці параметри – аналог автозавантаження з Win.ini у Windows 9х.

Приклад: запускаємо Internet Explorer до входу користувача в систему і Блокнот після входу користувача в систему:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft Windows NTCurrentVersionWindows]

“load”=”iexplore.exe”

“run”=”notepad.exe”


Не обробляти список для старих версій

Налаштовується за допомогою групової політики: "Конфігурація комп'ютера – Адміністративні шаблони – Система – Вхід в систему – Не обробляти список успадкованого виконання", Якщо цю політику включити, то не будуть запускатися програми з таких розділів реєстру:

[HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRun] При використанні цієї політики в реєстрі створюється наступний ключ: [HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer]

“DisableLocalMachineRun”=dword:00000001

Аналогічно встановлюється політика для поточних користувачів: "Конфігурація користувача – Адміністративні шаблони – Система – Вхід в систему – Не обробляти список успадкованого виконання з тією відмінністю що в реєстрі ця опція включається в іншому місці:

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionPoliciesExplorer]

“DisableLocalUserRun”=dword:00000001


Ігнорувати списки автозавантаження програм виконуваних одного разу

Налаштовується за допомогою групової політики: "Конфігурація комп'ютера – Адміністративні шаблони – Система – Вхід в систему – Не обробляти список одноразового запуску програм"

Якщо цю політику включити, то не будуть запускатися програми запускаються зі списку

[HKEY_LOCAL_MACHINESoftwareMicrosoft WindowsCurrentVersionRunOnce] Якщо ця політика включена, в реєстрі створюється наступний ключ: [HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer]

“DisableLocalMachineRunOnce”=dword:00000001

Так само налаштовується політика для поточних користувачів: "Конфігурація користувача – Адміністративні шаблони – Система – Вхід в систему – Не обробляти список одноразового запуску програм" Параметри реєстру:

[HKEY_CURRENT_USERSOFTWAREMicrosoft WindowsCurrentVersionpoliciesExplorer]

“DisableLocalUserRunOnce”=dword:00000001


Призначені завдання

Програми можуть запускатися з допомогою "Планувальника завдань". Переглянути список встановлених завдань, а також додати нове можна так: "Пуск – Всі програми – Стандартні – Службові – Планувальник завдань" – При цьому відкриється вікно Планувальника завдань, в якому відображені призначені завдання.

Щоб додати нове завдання, потрібно з меню "Дії" вибрати пункт "Створити завдання".

Запуск програм за допомогою цього майстра можливий одноразово, при вході в Windows, при включенні комп'ютера, а також за розкладом.


Папка "Автозавантаження"

Папка, в якій зберігаються ярлики для програм, що запускаються після входу користувача в систему. Ярлики в цю папку можуть додаватися програмами при їх встановленні або користувачем самостійно. Існує дві папки – спільна для всіх користувачів і індивідуальна для поточного користувача. За замовчуванням ці папки знаходяться тут:

..UsersAll UsersMicrosoft WindowsStart MenuProgramsStartup – Це тека, програми з якої будуть запускатися для всіх користувачів комп'ютера.

% USERPROFILE% AppDataRoaming MicrosoftWindowsStart MenuProgramsStartup – Це тека, програми з якої будуть запускатися для поточного користувача.

Подивитися які програми у вас запускаються таким способом можна відкривши меню "Пуск – Всі програми – Автозавантаження". Якщо ви створите в цій папці ярлик для якої-небудь програми, вона буде автоматично запускатися після входу користувача в систему.


Зміна папки автозавантаження

Windows зчитує дані про шлях до папки "Автозавантаження" з реєстру. Цей шлях прописаний в наступних розділах:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoft WindowsCurrentVersionExplorerUser Shell Folders]

"Common Startup" = "% ProgramData% Microsoft WindowsStart MenuProgramsStartup"– Для всіх користувачів системи.

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders]

"Startup" = "% USERPROFILE% AppDataRoaming MicrosoftWindowsStart MenuProgramsStartup"

– Для поточного користувача.

Змінивши шлях до папки ми отримаємо автозавантаження всіх програм із зазначеної папки.

Приклад:

[HKEY_CURRENT_USERSoftwareMicrosoft WindowsCurrentVersionExplorerUser Shell Folders]

“Startup”=”c:mystartup” – Система завантажить всі програми, ярлики яких знаходяться в папці c:mystartup, при цьому папка "Автозавантаження" все так само буде відображатися в меню "Пуск", а якщо у користувача в ній нічого не було, то він і не помітить підміни.

Підміна ярлика для програми зі списку автозавантаження

Допустимо у вас встановлено пакет Acrobat. Тоді в папці "Автозавантаження" у вас буде знаходитися ярлик "Adobe Reader Speed Launch" – цей ярлик встановлюється туди за замовчуванням. Але зовсім необов'язково цей ярлик посилається саме на відповідний додаток – замість нього може бути запущена будь-яка інша програма, тим більше що на функціональності Acrobat це не позначиться.

Додавання програми до програми запускається зі списку автозавантаження

Модифікація попереднього варіанту – одночасно із завантаженням якої-небудь програми зі списку автозавантаження у вас буде стартувати інша програма – справа в тому, що можна "склеїти" два виконуваних файлу в один і вони будуть запускатися одночасно. Існують програми для такої "склеювання". Або ярлик може посилатися на командний файл, з якого і будуть запускатися як оригінальна програма зі списку, так і додані сторонні програми.

Переглянути список автоматично завантажуваних програм можна відкривши програму "Відомості про систему" (Відкрийте "Пуск – Всі програми – Стандартні – Службові – Відомості про систему" або наберіть msinfo32.exe в командному рядку) і перейшовши в пункт "Програмне середовище – Автоматично файли програми". Програма "Властивості системи" відображає групи автозавантаження з реєстру та папок "Автозавантаження".

Інша програма, що дозволяє подивитися список програм автозавантаження – "Налаштування системи" (для запуску наберіть msconfig.exe з командного рядка). Ця програма крім перегляду списку автозавантаження надає можливість відключення всіх пунктів автозавантаження (вкладка "Общие") або вибіркових програм (вкладка "Автозавантаження").


Висновок

Безумовно, відомості, наведені в цій статті не можна вважати вичерпними, проте сподіваюся вони допоможуть вам у нелегкій праці боротьби з шкідливим ПЗ.

 

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*