Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя антивирусное программное обеспечение установлено практически везде, иногда возникает необходимость выяснить, где же в реестре стартует та или иная подозрительная программа. При поиске резидентных программ нас интересуют следующие вопросы:
- Как осуществляется автозагрузка?
- Где найти список программ, загружаемых автоматически?
- Как отключить соответствующий список автозагрузки?
Этим вопросам и посвящена данная статья.
Существует много способов автозагрузки программ. Ниже перечисляется несколько вариантов. Надеюсь, это поможет вам в розыске и удалении подозрительного и вредоносного программного обеспечения из разделов автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows Vista автозагрузка программ представлена в нескольких разделах.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при регистрации в системе.
Программы, которые запускаются в данном разделе, запускаются для всех пользователей в системе.
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] — программы, запускаемые только один раз при регистрации пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] — программы, которые запускаются при регистрации пользователя в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] — программы, которые запускаются только один раз при регистрации пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать «Блокнот» при регистрации конкретного пользователя, нужно открыть редактор реестра (regedit.exe), перейти в раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindows Current Version Run]
и добавить следующий параметр:
«NOTEPAD.EXE»=»C:WINDOWS System32
otepad.exe»
Использование групповой политики для настройки программ автозапуска
Открываем оснастку «Групповая политика» (gpedit.msc), переходим на вкладку «Конфигурация компьютера — Административные шаблоны — Система». В правой панели оснастки переходим на пункт «Вход в систему» (экран 1).
По умолчанию эта политика не задана, но можно добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32, то можно указать только название программы, иначе придется указать полный путь к ней. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с параметрами добавленных программ.
Пример
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
«1»=»notepad.exe»
«2»=»iexplore.exe»
В итоге получаем запуск «Блокнота» и Internet Explorer для всех пользователей. Аналогично задается автозапуск для конкретных пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (см. экран 2), а в реестре раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
Автозапуск программ из особого списка
Программы также могут запускаться из следующего раздела реестра:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsNTCurrent VersionWindows]
Параметры:
«load»=»programm» — программы, запускаемые до регистрации пользователя в системе;
«run»=»programm» — программы, запускаемые после регистрации пользователя в системе.
Эти параметры — аналог автозагрузки из файла Win.ini в Windows 9х.
Пример
Запускаем Internet Explorer до регистрации пользователя в системе и «Блокнот» после регистрации:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoft
Windows NTCurrentVersion Windows]
«load»=»iexplore.exe»
«run»=»notepad.exe»
Не обрабатывать список автозапуска для старых версий. Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система — Вход в систему — Не обрабатывать список запуска старых программ», если эту политику включить, то не будут запускаться программы из следующих разделов реестра:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
При использовании этой политики в реестре создается следующий параметр:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
«DisableLocalMachineRun»=dword:00000001
Аналогично устанавливается политика для конкретных пользователей: «Конфигурация пользователя — Административные шаблоны — Система — Вход в систему — Не обрабатывать список запуска старых программ» с тем отличием, что в реестре этот режим включается в другом месте:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
«DisableLocalUserRun»=dword:00000001
Игнорировать списки автозагрузки программ, выполняемых однократно.
Настраивается с помощью групповой политики: «Конфигурация компьютера — Административные шаблоны — Система — Вход в систему —Не обрабатывать список однократного запуска программ».
Если эту политику включить, то не будут запускаться программы, загружаемые из списка.
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce]
Если эта политика включена, в реестре создается следующий параметр: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
DisableLocalMachineRunOnce»=dword:00000001
Аналогичным образом настраивается политика для конкретных пользователей: «Конфигурация пользователя — Административные шаблоны - Система — Вход в систему — Не обрабатывать список однократного запуска программ»
Параметры реестра:
[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
«DisableLocalUserRunOnce»=dword:00000001
Назначенные задания
Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое задание можно так: «Пуск — Все программы — Стандартные - Служебные — Планировщик заданий». При этом откроется окно «Планировщика заданий», в котором отображены назначенные задания (экран 3).
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать задачу» (см. экран 4).
Запуск программ с помощью этого мастера возможен однократно, при регистрации в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
Папка, в которой хранятся ярлыки для программ, запускаемых после регистрации пользователя в системе. Ярлыки в эту папку могут добавляться программами при их установке или самим пользователем. Существует две папки — общая для всех и индивидуальная для конкретного пользователя. По умолчанию эти папки находятся здесь:
..UsersAllUsers MicrosoftWindows Start Menu ProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для конкретного пользователя.
Посмотреть, какие программы у вас запускаются таким способом, можно, открыв меню «Пуск — Все программы — Автозагрузка». Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после регистрации пользователя в системе.
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Common Startup» =»% ProgramData %MicrosoftWindowsStartMenu ProgramsStartup» — для всех пользователей системы.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=»%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup» — для конкретного пользователя.
Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
Пример
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=»c:mystartup» — система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка «Автозагрузка» по-прежнему будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим, у вас установлен пакет Acrobat Reader. Тогда в папке «Автозагрузка» будет находиться ярлык «Adobe Reader Speed Launch» — этот ярлык устанавливается туда по умолчанию. Но вовсе не обязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat Reader это не отразится.
Добавление программы к программе, запускаемой из списка автозагрузки
Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа. Дело в том, что можно «склеить» два исполняемых файла в один, и они будут запускаться одновременно. Существуют специальные программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно, открыв программу «Сведения о системе» (откройте «Пуск — Все программы — Стандартные — Служебные — Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в раздел «Программная среда — Автоматически загружаемые программы». В окне «Сведения о системе» отображаются группы автозагрузки из реестра и папок «Автозагрузка» (см. экран 5).
Другая программа, позволяющая посмотреть список программ автозагрузки, — «Настройка системы» (для запуска нужно набрать msconfig.exe в командной строке). Эта программа, помимо возможности просмотра списка автозагрузки, позволяет отключить все программы из списка автозагрузки (вкладка «Общие») или некоторые программы (вкладка «Автозагрузка»).
Заключение
Безусловно, сведения, приведенные в данной статье, нельзя считать исчерпывающими, однако я надеюсь, что они помогут вам в нелегкой борьбе с вредоносными программами.
Владимир Безмалый (Vladimir_Bezmaly@ec.bms-consulting.com) — руководитель программы подготовки администраторов информационной безопасности Академии «БМС Консалтинг»