Перечислите все способы автозагрузки

Автозагрузка в Windows 7

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

• Как осуществляется автозагрузка?
• Где найти список программ, загружаемых автоматически?
• Как отключить соответствующий список автозагрузки?

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Способы автозагрузки

Реестр

В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).

Рисунок 1 Автозапуск для всех пользователей

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаются при входе текущего пользователя в систему

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:\WINDOWS\System32\notepad.exe»

Использование групповой политики для автозапуска

Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).

Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку «Показать ‐ Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.

Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
«1»=»notepad.exe»

В итоге получаем запуск Блокнота (рис 3).

Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя ‐ Административные шаблоны ‐ Система» (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: «Конфигурация компьютера ‐ Административные шаблоны ‐ Система — Вход в систему ‐ Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика
включена, в реестре создается следующий ключ:

Так же настраивается политика для текущих пользователей: «Конфигурация пользователя ‐ Административные шаблоны ‐ Система — Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:

Назначенные задания

Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные — Планировщик заданий» ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).

Рисунок 4 Окно Планировщика заданий

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).

Рисунок 5 Создание простой задачи в Планировщике задач

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка «Автозагрузка»

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск ‐ Все программы ‐ Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=»c:\mystartup» ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда ‐ Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка» (рис.6).

Рисунок 6 Автоматически загружаемые программы

Другая программа, позволяющая посмотреть список программ автозагрузки ‐ «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»).

Заключение

Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.

Источник

Управление автозапуском программ в Windows 8

Сегодняшний экскурс посвящен различным способам автозапуска программ в Windows 8. С точки зрения особенностей управления автозапуском программ, в Windows 8 мало что изменилось по сравнению с предыдущими версиями Windows. Если вы виртуозно научились разбираться с тем, почему та или иная программа стартует при загрузке Windows 7, то можете считать себя и экспертом по автозагрузке Win 8. В ней действуют все те же принципы. Основное отличие – несколько обновленный интерфейс, заключающийся в особенностях Metro интерфейса. Мы вскользь уже касались темы автозагрузки программ в Windows в статье Автозапуск VPN в Windows 8, теперь рассмотрим эти и другие методики подробнее. Итак, существует следующие основные способы автоматического запуска программ в Windows 8:

• Запуск с помощью групповых политик
• Запуск программ планировщиком
• Автозапуск программ с помощью реестра
• Папка «Автозагрузка» (Startup)

Разберем все эти способы подробнее.

Автозапуск с помощью групповой политики

Откройте редактор групповой политики (в случае редактирования локальной политики безопасности нажмите комбинацию Win+ R, наберите gpedit.msc и Enter).

Перейдите в раздел User Configuration -> Administrative Templates -> System -> Logon.

Нас интересует политика Run these programs at user logon. Откройте ее и активируйте ее (Enable). Нажмите кнопку Show и укажите полный путь к исполняемому файлу программы, которую необходимо автоматически запускать при входе в систему. Если в автозапуск нужно добавить несколько программ, их нужно указать каждую в отдельной строке.

Указанные программы будут запущены при следующем входе в систему любого пользователя данного компьютера.

Аналогичная политика (Run these programs at user logon) есть и в разделе конфигурации компьютера Computer Configuration -> Administrative Templates -> System -> Logon. Отличий в данных политиках практически нет, единственный нюанс – программы, указанные в разделе Computer Configuration запускаются раньше, чем программы из пользовательской политики.

Запуск программ с помощью планировщика Windows

Еще один инструментом для автоматизации запуска программ при загрузке Windows 8 является планировщик задач Windows 8 (Task Scheduler). Открыть консоль управления планировщиком можно следующим образом:

Откройте пустую mmc оснастку, нажав комбинацию Win+ R и набрав команду mmc.

В появившемся окне выберите пункт меню File->Add/remove Snap-in. В списке на левой панели найдите и выберите пункт Task Scheduler и перенесите его в правую панель с помощью кнопки Add >. Укажите, что нужно управлять локальным компьютером (Local computer). Нажмите ОК.

В результате консоль управления планировщиком была добавлена в нашу оснастку. Создадим новое задание планировщика, для чего развернем элемент Task Scheduler Library (содержит список всех пользовательских заданий). Создадим новое задание планировщика (Create Task):

На вкладке General укажем имя задания (например, AutostartFar). На вкладке Triggers зададим условия выполнения задания. Нажмите кнопку New в открывшемся окне укажем, что задание запускается при входе (“At log on”). Нажмите ОК.

На вкладке Action укажем действие, которое должно выполнить это задание планировщика. Выберем тип действия Start a program и полный путь к программе (поле Program/script).

По сути, на этом настройка закончена (если интересно, можно изучить и другие параметры создаваемого задания планировщика). При следующем входе пользователя в систему планировщик автоматически запустит указанную программу.

Автозапуск программ в Windows 8 с помощью реестра

В Windows 8 программы в автозагрузку можно добавить путем прямой модификации реестра. В предыдущих версиях Windows список программ автозагрузки можно было просмотреть с помощью системной утилиты msconfig. Запустим утилиту, нажав комбинацию Win+R и набрав msconfig. В открывшемся окне перейдите на вкладку Startup. Как вы видите, вкладка пустая и содержит информационно сообщение, что управление автозагрузкой находится в секции Startup диспетчера задач Windows (Task Manager).

Перейдем на соответствующую вкладку диспетчера задач.

На вкладке отображен список элементов автозагрузки в формате: имя программы, разработчик, статус автозагрузки (включен/отключен) и новая колонка Startup impact (позволяет понять насколько указанная программа использует ресурсы системы при запуске, т.е. по сути показывает насколько та или иная программа потребляет системные ресурсы, замедляя тем самым загрузку компьютера). Здесь же, с помощью правого щелчка мыши, можно включить или отключить автоматический запуск той или иной программы (Disable/Enable).

Список программ автозагрузки хранится в двух ветках реестра.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run – определяет программы, автоматически запускаемые при входе любого пользователя
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run – список автозапуска для текущего пользователя

Чтобы добавить в автозагрузку свою программу, откройте редактор реестра (regedit.exe) и перейдите в ветку: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Создадим в данной ветке новый параметр типа строка REG_SZ.

Укажите имя параметра, а в качестве его значения задайте полный путь к исполняемому файлу, который нужно запускать при загрузке компьютера (если пусть содержит пробелы или русские буквы, его нужно взять в кавычки).

Если вернуться на вкладку Startup диспетчера задач, мы увидим что появился новый элемент автозагрузки, только что созданный нами.

Папка Startup (Автозагрузка)

В профиле каждого пользователя есть специальная папка Startup (раньше, если вы помните, она называлась «Автозагрузка»), ярлыки программ в которой автоматически запускаются при входе пользователя в системы. Этот каталог находится по следующему адресу C:\Users\root\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup (где root — имя вашей учетной записи). Быстро перейти в папку Startup можно, набрав команду:

Соответственно, папка с автозагрузкой для всех пользователей системы — C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp, команда для быстрого перехода в нее:

По-умолчанию папка пустая. Если в открывшуюся папку перенести ярлык любой программы – она станет автоматически запускаться при старте Windows 8.

Как вы, наверное, уже успели понять, автозапуск программ в Windows можно реализовать множеством различных способов. Это означает, что отследить почему при запуске компьютера запускается та или иная программа – задача достаточно сложная даже для опытного пользователя. Одной из лучших утилит, позволяющей разобраться с программами, запасающимися при загрузке компьютера является Autoruns от Марка Русиновича (ex. Sysinternals).

Источник