Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

  • Где найти список программ, загружаемых автоматически?
  • Как отключить соответствующий список автозагрузки?

    • Именно этому и будет посвящена эта статья.

    Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

    Способы автозагрузки

    Реестр

    В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
    ‐ программы, запускаемые при входе в систему.

    Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).

    Рисунок 1 Автозапуск для всех пользователей

    ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
    Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

    ‐ программы, которые запускаются при входе текущего пользователя в систему

    ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

    Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

    и добавляем следующий ключ:
    "NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

    Откройте оснастку "Групповая политика" (gpedit.msc), перейдите на вкладку "Конфигурация компьютера ‐ Административные шаблоны ‐ Система". В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).

    Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

    По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку "Показать ‐ Добавить", указываем путь к программе, при этом если запускаемая программа находится в папке..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.

    Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

    Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

    При этом в системном реестре в разделе [ HKEY _LOCAL _MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \policies ] создается подраздел \ Explorer \Run с ключами добавленных программ.

    Пример:

    "1"="notepad.exe"

    В итоге получаем запуск Блокнота (рис 3).

    Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

    Аналогично задается автозапуск для текущих пользователей, в оснастке "Групповая политика" это путь "Конфигурация пользователя ‐ Административные шаблоны ‐ Система" (рис 2), а в реестре раздел

    Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

    Игнорировать списки автозагрузки программ выполняемых однажды

    Настраивается с помощью групповой политики: "Конфигурация компьютера ‐ Административные шаблоны ‐ Система - Вход в систему ‐ Не обрабатывать список однократного запуска программ»

    Если эту политику включить, то не будут запускаться программы, запускаемые из списка
    Если эта политика
    включена, в реестре создается следующий ключ:


    "DisableLocalMachineRunOnce"=dword:00000001

    Так же настраивается политика для текущих пользователей: "Конфигурация пользователя ‐ Административные шаблоны ‐ Система - Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:


    "DisableLocalUserRunOnce"=dword:00000001

    Назначенные задания

    Программы могут запускаться с помощью "Планировщика заданий". Посмотреть список установленных заданий, а также добавить новое можно так: "Пуск ‐ Все программы ‐ Стандартные ‐ Служебные - Планировщик заданий" ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).


    Рисунок 4 Окно Планировщика заданий

    Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).


    Рисунок 5 Создание простой задачи в Планировщике задач

    Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

    Папка "Автозагрузка"

    Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

    .. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.

    %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.

    Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск ‐ Все программы ‐ Автозагрузка". Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.

    Смена папки автозагрузки

    Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

    «Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup» ‐ для всех пользователей системы.


    «Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
    ‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.


    "Startup"="c:\mystartup" ‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

    Подмена ярлыка для программы из списка автозагрузки

    Допустим у вас установлен пакет Acrobat. Тогда в папке "Автозагрузка" у вас будет находиться ярлык "Adobe Reader Speed Launch" ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

    Добавление программы к программе запускаемой из списка автозагрузки

    Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно "склеить" два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой "склейки". Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

    Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда ‐ Автоматически загружаемые программы". Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка" (рис.6).


    Рисунок 6 Автоматически загружаемые программы

    Другая программа, позволяющая посмотреть список программ автозагрузки ‐ "Настройка системы" (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

    Заключение

    Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.

    Часто при запуске компьютера мы запускаем одни и те же программы, поэтому для экономии времени можно указать, какие программы запускать при загрузке ОС. В этой статье я расскажу о том, как настроить автозапуск в Windows 7.

    Существует 2 способа настройки автозапуска в Windows 7. Первый попроще, поэтому начнем с него.

    Настройка автозапуска Windows 7 через "Пуск"

    Просто просто до невозможности. Сперва необходимо зайти в меню Пуск и выбрать Все программы , далее ищем папку .

    У меня в автозагрузке установлены программа для WiFi и автопереключатель клавиатуры. У вас может быть что-то другое. Собственно настройка автозапуска сводится к удалению или добавлению ярлыков в данную папку.

    Для удобства можно щёлкнуть ПКМ по этой папке и выбрать "Открыть" - откроется папка, в которой можно удалять и добавлять ярлыки.

    Настройка автозапуска Windows 7 через msConfig

    Для этого нам понадобиться открыть более продвинутую программу, которая называется msconfig.exe - сделать это можно также через меню Пуск . Открываем его и в сроку поиска пишем msconfig и открываем нужную программу.

    будет список всех программ и служб, которые запускаются при загрузке Windows 7. Но не спешите отключать всё подряд, так как это могут быть важные драйвера или антивирус. Снимая галочки - отключаем автозапуск.

    Настройка автозапуска Windows 7 через реестр

    Список мест, где прописаны программы, которые запускаются с разными параметрами. Но будьте осторожны в редактировании и если вы не имели дел с до этого момента.

    Автозапуск для всех пользователей:

    Автозапуск единоразово для всех пользователей:

    Автозапуск только для текущего пользователя:

    Автозапуск для текущего пользователя, но только один раз:


    Например, чтобы настроить автозапуск Skype при входе текущего пользователя в Windows 7, потребуется открыть regedit.exe - это редактор реестра. В программе идем в раздел:

    и вносим следующую строку: “SKYPE.EXE”=”C:\Program Files (x86)\Skype\Phone\skype.exe”

    Выполнив указанные выше действия, вы получите доступ к списку приложений, находящихся в автозагрузке. Здесь можно будет убрать ненужные утилиты, отменив галочку напротив той или иной программы. Изменения следует подтвердить клавишей «Ок» и произвести перезапуск системы.

    1. Где автозагрузка в Виндовс 7?

    Существуют альтернативные варианты поиска папки автозагрузки в Виндовс 7. Пользователь может добраться к необходимой директории и следующим путём:

    • Перейти в меню «Пуск» и в поисковой строке ввести «shell:startup».
    • После подтверждения запроса, будет открыта сама папка автозагрузки, в ней можно производить удаление и копирование новых ярлыков.

    Более распространенный метод поиска автозагрузки:

    2. Особенности автозагрузки в Windows 7.

    Как известно, управлять компьютером могут и несколько пользователей, в таком случае не каждый из них сможет добраться до требуемой папки в случае необходимости. Если владелец компьютера желает редактировать автозагрузку для всех участников системы, следует выполнить такой ряд манипуляций:

    • Зайти в меню «Пуск» и перейти к строке поиска.
    • В поисковой форме ввести путь «C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup», затем подтвердить действие.
    • Папка автозагрузки станет открыта для всех пользователей, в ней станут возможным удаление и вставка тех или иных ярлыков.

    Некоторые пользователи предпочитают использование менее распространенного способа нахождения папки автозагрузки. Путь к такой папке может выглядеть следующим образом:

    • После открытия меню «Пуск», следует зайти в «Компьютер».
    • Выбирается раздел локального диска «C:», в котором необходимо перейти в «ProgramData» — «Microsoft» — «Windows» — «Start Menu» — «Programs» — «Startup.»

    Стоит учитывать, что папка под названием «ProgramData» может быть скрытой, тогда потребуется изменение атрибутов скрытых файлов, для этого, находясь в проводнике, следует нажать кнопку «Alt», запускающую список возможных операций, а затем найти раздел «Сервис» и перейти к свойствам папок. В запущенном окне конфигураций, отвечающих за отображение файлов в директориях, требуется перейти к вкладке «Вид» и произвести открытие дополнительных параметров. После установки галочки напротив пункта «Показывать скрытые файлы», папка «ProgramData», необходимая для последующего открытия автозагрузки, станет видна пользователю.

    Уход за компьютером обязательно включает чистку оперативной памяти от лишних программ, расходующих ресурсы и замедляющих систему. Большинство из них запускаются пользователем, однако зачастую они начинают работу без его сознательного участия. Это касается и программ, находящихся в списке «Автозагрузки». Как настроить «Автозагрузку» в Windows 7, читайте в нашей статье.

    Для чего нужна «Автозагрузка» в Windows 7

    Система использует автозагрузку для запуска важных компонентов, например драйверов установленных устройств или модулей отслеживания обновлений. Кроме того, сюда же помещаются антивирусы, которые для предотвращения заражения компьютера вирусами должны запускаться одновременно с системой.

    Автозагрузка является также одним из способов индивидуальной настройки компьютера. С её помощью можно запускать ежедневно используемые рабочие приложения, антивирусы, коммуникаторы и т. д. Это удобный инструмент работы фоновых программ, например торрент-агентов или эмуляторов дисков. Часто автозагрузку используют для работы с «тяжёлыми», долго запускающимися программами.

    И именно сюда просятся многие приложения, при установке «на всякий случай» сохраняя галочку в пункте «Запускать автоматически», а также вредоносные программы.

    Редактирование «Автозагрузки»

    С помощью команды msconfig

    Узнать, какие программы запускаются на компьютере при включении, можно с помощью командной строки. Для этого нажимаем одновременно клавиши Win (кнопка с флажком Windows) и R. В открывшемся окне «Выполнить» в строке ввода набираем команду msconfig и нажимаем «OK».

    Введите команду msconfig и нажмите «ОК»

    В открывшемся окне «Конфигурация системы» переходим на вкладку «Автозагрузка». Перед нами откроется список автоматически загружаемых приложений.

    Убираем лишние галочки

    Чтобы убрать лишние, достаточно снять пометку в строке с названием программы. Для сохранения изменений необходимо нажать кнопку «OK», после чего можно перезагрузить компьютер.

    Меню «Пуск»

    Список автоматически загружаемых программ можно посмотреть, последовательно открывая пункты меню «Пуск - Все программы - Автозагрузка - Открыть».

    Открываем «Автозагрузку»

    Приложения обозначены ярлычками, ненужные можно удалить. Остаётся лишь перезагрузиться.

    Используя поисковый запрос

    Открываем меню «Пуск» и в поисковой строке снизу вводим запрос shell:startup, после чего нажимаем Ввод.

    Чтобы сделать то же для всех пользователей, следует в поисковой строке ввести C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup.

    Все внесённые изменения вступят в силу после перезагрузки.

    Через реестр

    Нажимаем Win + R, после чего в строке «Открыть» набираем команду regedit.

    Запускаем редактор реестра

    В открывшемся окне «Редактор реестра» нас интересуют разделы:

    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

    Убираем лишние приложения

    Чтобы изменить список «Автозагрузки» для всех пользователей данного компьютера, редактируем разделы:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

    Видеоинструкция: где находится список «Автозагрузки» и как удалить программы

    Как добавить программы

    Открываем список автоматически загружаемых приложений по уже известному нам алгоритму «Пуск - Все программы - Автозагрузка - Открыть», после чего нужно нажать правую кнопку мыши и в появившемся списке выбрать сначала «Создать», затем «Ярлык».

    Создаём ярлык для нужного приложения

    После выбора пункта меню «Ярлык» нажимаем «Обзор…», и в открывшемся списке окошка «Обзор файлов и папок» выбираем нужную программу и нажимаем «OK».

    Выбираем приложение

    Того же результата можно добиться через рассмотренные выше поисковые запросы в меню «Пуск». Набрав shell:startup, получаем доступ к «Автозагрузке» текущего пользователя, а Startup (C:\ProgramData\Microsoft\Windows\Start\Menu\Programs\Startup) даёт возможность сделать то же для всех, зарегистрированных на данном компьютере. Изменения вступят в силу после перезагрузки.

    Видеоинструкция: как внести программу в список автозапуска

    Что убрать, а что оставить?

    Главное правило редактирования списка «Автозагрузки» - знать, что делаешь. Прежде чем убирать метку, нужно узнать, что делает соответствующее приложение и не навредит ли системе его удаление из автоматического запуска. Проще всего для этого воспользоваться сетевыми поисковыми сервисами.

    • Опасно удалять: драйверы устройств, антивирусы, системные приложения. Это может привести к ухудшению работоспособности системы.
    • Нежелательно удалять: модули проверки обновлений важных компонентов, коммуникационные приложения, основной браузер. Как правило, эти программы необходимо регулярно запускать, поэтому после удаления из «Автозагрузки» придётся это делать вручную.
    • Можно удалять: ранее добавленные пользователем приложения, прикладные приложения.

    Обязательно нужно оставить в списке брандмауэр. Что же касается торрентов, то всё зависит от активности пользователя в этой сети. Если загрузка и раздача файлов является одним из ежедневных занятий, то можно позволить торренту загружаться вместе с системой. В другом случае стоит его удалить, поскольку это достаточно ресурсоёмкое приложение.

    В наше время редко встречаются пользователи, не пользующиеся ежедневно интернетом. Поэтому браузеры («Опера», Google Chrome и другие) лучше включить в «Автозагрузку» для удобства работы. То же касается коммуникационных программ (Skype, Viber и прочие).

    Наводить порядок в «Автозагрузке» важно и полезно. Хотя это и трудоёмкий процесс, более быстрая загрузка системы и ускорение работы компьютера станут достойной компенсацией за работу.