Hkey local machine software microsoft windows currentversion

Содержание

Опасные ветви реестра

Hkey local machine software microsoft windows currentversion

Потенциально опасные параметры и ветви реестра

Здесь необходимо рассказать о том, какие из разделов и конкретные ветви реестра вашего компьютера наиболее подвержены изменению при вирусной атаке.

Специалисты нередко заучивают их наизусть с тем, чтобы вручную просматривать последствия «работы» зловреда в системе. С этими ветками работают и всевозможные программы-анлокеры-антивирусы, спасающие вас от обрушенной усилиями хакера системы.

Будет рассказано и про отдельные ветви реестра , создание или удаление которых может вызвать проблемы в работе операционной системы.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/ControlMiniNT. Этому разделу вообще не место в Windows XP и тем более Windows 7, поэтому если он будет присутствовать в системе, то при каждой загрузке система будет выводить сообщение о нехватке размера файла подкачки pagefile.sys и создавать новый файл.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{e17d4fc0-5564-11d1-83f2-00a0c90dc849} — об этом разделе уже упоминалось не раз — если он окажется удаленным, то диалоговое окно «Поиск» работать не будет.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Desktop/NameSpace/{1f4de370-d627-11d1-ba4f -00a0c91eedba} — это еще один раздел, без которого не будет работать диалоговое окно «Поиск».

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon. Вообще эти ветви реестра могут включать в себя множество параметров, за содержимым которых необходимо следить. Например, к ним можно отнести следующие параметры строкового типа.

System — определяет программы, которые будут запускаться с правами системы процессом WINLOGON.EXE при инициализации. Программы пишутся через запятую, то есть параметр может содержать вызов сразу нескольких программ. По умолчанию он ничему не равен.

Userinit — указывает программы, которые будут запускаться с правами пользователя при его регистрации процессом WINLOGON.EXE. Программы пишутся через запятую, это опять-таки означает, что в данной ветви могут находиться сразу несколько вызовов программ. По умолчанию значение данного параметра равно %systemroot%system32userinit.exe.

VmApplet — определяет программы, которые будут запускаться для настройки параметров виртуальной памяти процессом WINLOGON.EXE. Программы пишутся через запятую. По умолчанию значение данного параметра равно rundll32 shell32, Control_RunDLL “sysdm.cpl”.

Shell — указывает файлы оболочки, которые будут запускаться при входе пользователя. Он как раз и определяет, что вы используете стандартную оболочку Windows explorer.exe — именно эта строка является значением параметра Shell по умолчанию.

Но если вы измените значение этого параметра, например, на explorer.exe, notepad.exe, то наряду с оболочкой Windows при вашем входе в систему будет запускаться и Блокнот.

Этот параметр может находиться как в корневом разделе HKEY_CURRENT_USER, так и в разделе HKEY_LOCAL_MACHINE.

Опасные ветви реестра

HKEY_LOCAL_MACHINE SYSTEM

GinaDLL — определяет путь к библиотеке msgina.dll, которая запускается вместе с системой по умолчанию и необходима для взаимодействия с оболочкой Windows. Если изменить значение этого параметра на вызов какой-нибудь программы, а не библиотеки, то при инициализации процесса

WINLOGON.EXE будет выдано сообщение об ошибке и вы не сможете войти в систему.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/ CurrentVersion/Windows.

Может содержать несколько потенциально опасных параметров, среди которых можно выделить следующие параметры строкового типа:
Run — определяет программы, которые будут запускаться с правами пользователя при его входе.

Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую. Параметр может находиться как в корневом разделе реестра HKEY_CURRENT_USER, так и в корневом разделе HKEY_LOCAL_MACHINE.

Load — указывает программы, которые будут запускаться с правами системы при входе любого пользователя. Как и рассмотренные выше параметры, он может вызывать сразу несколько программ — в этом случае они пишутся через запятую.

AppInit_DLLs — определяет библиотеки, необходимые для совместимости с каким_нибудь оборудованием или программой. Все описанные в данном параметре библиотеки будут запускаться перед запуском любой программы.

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser/Helper/Objects — определяет все CLSID, но мера ActiveX_объектов (в виде разделов, названных в честь CLSID_номера ActiveX_объекта), которые будут запускаться при каждом запуске браузера

Internet Explorer.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/Session/Manager — содержит REG_MULTI_SZ_параметр BootExecute, его значением являются команды, которые будут запускаться при каждой перезагрузке компьютера.

Он используется системой для запуска таких системных программ работы с дисками, как автопроверка диска (значение этого параметра autocheck autochk *) или преобразование файловой системы диска FAT в NTFS (значение данного параметра autoconv DosDevicex: /FS:NTFS).

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current/Version/Image/File/Execution/Options — используется для возможности определения программ, при выполнении которых происходит утечка памяти. Но можно воспользоваться этой ветвью и для других целей. Например, если создать в ней раздел explorer.

exe, а в нем создать DWORD-параметр ShutdownFlags и присвоить ему значение 3, то после выгрузки оболочки Windows существует вероятность, хотя и малая, что вы не сможете ее загрузить. Система может не дать вам этого сделать.

Но даже если вы и сможете загрузить оболочку, то, скорее всего, увеличится количество ошибок неправильной адресации к памяти, выдаваемых различными программами.

HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/SafeBootoption — определяет, в каком режиме будет загружаться операционная система — обычном или безопасном.

Именно поэтому возможен такой режим — создайте в этой ветви реестра DWORD_параметр OptionValue и присвойте ему значение, равное 1. Теперь вы всегда будете загружаться в режиме, в чем-то подобном безопасному, т.е.

будет загружаться лишь минимальный набор сервисов, но драйверы устройств, таких как видеокарта, будут использоваться обычные, устанавливаемые вместе с устройством (а не стандартные, как при полноценном безопасном режиме).

При этом, даже если вы являетесь администратором компьютера, вам будет запрещено запускать такие службы, как, например, Windows Audio, которые нельзя запускать в безопасном режиме. Раздел «option» создается только в безопасном режиме.

Проблемы решаем просто: устанавливаем правило “Доступ только для чтения”. Теперь, кроме вас, никто содержимое ветви реестра изменить не сможет. Не всякий, по-крайней мере. Делается просто. Покажем на примере Windows 7.

Необходимо в строке Найти программы и папки набрать заветную программу regedit и щёлкнуть правой мышью по выбранной ветви реестра .

Выпадет такое окно (если пожелаете, можно посмотреть и дополнительные функции по ограничению прав):

Опасные ветви реестра: здесь могут быть трояны

За автозапуск служб и приложений операционной системы ответственность можно возложить на следующие ветви, которые разделю на несколько групп:

  • настройки Проводника Windows Explorer

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

параметр Common Startup 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders

параметр Common Startup

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

параметр Startup

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders

параметр Startup

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

параметр load (если существует)

  • настройки запуска Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceHKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

  • ну куда же без Internet Explorer-а

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ExtensionsHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\MenuExt

Успехов

Источник: https://computer76.ru/2014/01/15/danger-reg/

Автозагрузка Windows

Hkey local machine software microsoft windows currentversion

В данной статье мы рассмотрим, как настроить автозагрузку программ в Windows. Как нам известно иногда некоторые программы при установке добавляются в авто загрузку Windows, при этом очень мешаю в работе за компьютером. Также многие вредоносные программы добавляются без ведома пользователя в авто загрузку Windows.

                Существую множество способов настройки автозагрузки в Windows:

  1. Автозагрузка Windows, настройка в реестре;
  2. Автозагрузка Windows, настройка групповой политики;
  3. Автозагрузка Windows, настройка планировщика задач;
  4. Автозагрузка Windows, настройка конфигурации системы.

Есть 4 ветки в реестре (на самом деле больше и ниже мы рассмотрим), приступим к рассмотрению.

Автозагрузка программ для текущего пользователя

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ] – в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему.

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ] ‐ в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему только один раз, после чего автоматически удаляются с ветки реестра.

Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра

[HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Автозагрузка программ для всех пользователей

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] – в данной ветке реестра находятся программы, которые запускаются при входе в систему для всех пользователей.

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]в данной ветке реестра находятся программы, которые запускаются при входе всех пользователей в систему только один раз, после чего автоматически удаляются с ветки реестра.

Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Пример добавления автозагрузки программы с помощью реестра.

Добавление автозагрузки в реестре Windows:

Допустим при старте нам нужно чтобы автоматически загружался блокнот.

Решение данной задачи

Для этого нужно вызвать редактор реестра, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем regedit и нажимаем Enter или заходим в пуск выполнить и набираем regedit и нажимаем Enter. После чего у нас появиться программа редактор реестра

После чего заходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

В право части программы редактор реестра нажимаем на пустом месте нажимаем правую клавишу мыши Создать -> Строковый параметр, после чего переименовываем его в notepad, потом двойным щелчком мыши нажимаем на параметр notepad и в поле значения указываем путь к данному к блокноту C:\Windowsotepad.exe и нажимаем ОК.

Теперь после загрузки Windows у нас будет загружаться блокнот.

Удаление автозагрузки в реестре Windows:

Допустим нам нужно из авто загрузки удалить блокнот.

Также заходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] находим там параметр notepad у правой клавишей мыши удаляем его.

Для это открываем оснастку «Групповая политика», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем gpedit.

msc и нажимаем Enter или заходим в пуск выполнить и набираем gpedit.msc и нажимаем Enter.

После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики».

В левой части окна «Редактор локальной групповой политики» идем по следующему пути Конфигурация компьютера ‐> Административные шаблоны ‐> Система -> Вход в систему после чего в правой части окна нам нужно включить политику «Выполнять эти программы при входе в систему». Для этого нажмите дважды левой клавишей мыши на данную политику и выберете пункт включить. Данный параметр политики задает дополнительные программы или документы, которые Windows запускает автоматически при входе пользователя в систему.

После чего как мы включили политику «Выполнять эти программы при входе в систему» и нажали клавишу «Применить», мы можем вносить программы, которые будут автоматически запускаться, нажав кнопку «Показать» и указываем путь к программе, которую хотим автоматически запустить при старте Windows.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Аналогично задается автозапуск Windows можно задать для текущего пользователе, по следующему пути по следующему пути Конфигурация пользователя ‐> Административные шаблоны ‐> Система -> Вход , а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run].

Для это открываем оснастку «Планировщика задач», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем taskschd.msc и нажимаем Enter или заходим в пуск выполнить и набираем taskschd.msc и нажимаем Enter. После чего у нас появиться программа редактор реестра «Планировщика задач».

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу». Дальше действуем по следующему плану:

  1. Вводим новое имя, и нажимаем кнопку Далее;
  2. Выбираем пункт «При входе в Windows» -> Далее;
  3. Выбираем пункт «Запустить программу» -> Далее;
  4. Через обзор выбираем программу -> Далее;
  5. Готово.

Для это открываем оснастку «Конфигурация Системы», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем msconfig и нажимаем Enter или заходим в пуск выполнить и набираем msconfig и нажимаем Enter. После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики». Здесь необходимо перейти во вкладку «Автозагрузка» и убрать галочки с программ, которые вы не хотите видеть в автозагрузке. Далее нажать «ОК» и перезагрузить компьютер.

Заключение

Надеюсь что данная статья поможет вам в настройке автозагрузки Windows.

Источник: http://helpform.ru/420777

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Hkey local machine software microsoft windows currentversion

Реестр ОС Виндовс – это огромная база данных, содержащая сведения о настройках и параметрах установленного программного обеспечения, предустановках, профилях пользователей, других системных инструментах.

Важную роль, связанную с загрузкой операционной системы Виндовс занимает ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, в которой находится ряд ключевых параметров, отвечающих за автоматическую загрузку в системе тех или иных программных компонентов.

Ниже перечислим наиболее часто встречающиеся параметры в данной ветке, а также опишем, за активацию каких программ они отвечают.

Какие параметры могут быть в данной ветке

Как известно, в рассматриваемой ветке реестра находится перечень программ, автоматически запускаемых при входе в систему. При этом программы из данной ветке запускаются для учёток всех пользователей, независимо администратор вы или гость.

Обычно в правом окне параметров слева расположение название (имя) запускаемой программы (параметра), а справа в столбике «Значение» – путь к ней на диске и ключ, с которым запускается соответствующий исполняемый файл (к примеру, «C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe» –s).

Столбик с названием «Тип» отвечает за идентификацию типов данных в системном реестре. В рассматриваемой нами ветке мы обычно видим «REG_SZ», означающий обычную строку кодировки «Юникод» любой длины.

Наиболее же часто в рассматриваемой нами ветке встречаются следующие параметры:

Adobe Reader Speed Laucher

Обеспечивает автоматическую активацию и ускоренную загрузку программы Adobe Reader, включая и её обновление.

ATICCC

Автоматически запускает «ATI Catalyst™ Control Center» — комплекс софта и драйверов для видеокарт АТИ Radeon. Ныне данная программа известна под названием «AMD Radeon Software Crimson».

AvastUI

Запускает популярный антивирус Avast, причём в Диспетчере задач можно увидеть сразу несколько одноимённых процессов.

AVGUI.EXE

Рассматриваемый параметр отвечает за автоматический старт антивируса AVG.

Bitdefender Wallet Agent

Запускает менеджер паролей, обеспечивающий конфиденциальность и безопасный серфинг в сети.

CTFMON.EXE

Контролирует языковую панель и альтернативный пользовательский ввод в ряде систем ОС Виндовс.

Отвечает за автоматический старт программы «Daemon Tools Lite” — программы-эмулятора CD/DVD-дисководов, позволяющая создавать виртуальные дисководы и работать с образами дисков.

Egui

Выполняет автоматический запуск популярного антивируса «ESET NOD32».

Google Chrome

Данный параметр предназначен не столько для запуска браузера Хром, сколько для проверки обновлений для данного браузера.

Отвечает за запуск служебного сервиса от компании Гугл, призванного своевременно обновлять программные продукты от Гугл на ПК пользователя.

Guard mail.ru

Нежелательная программа, закидывающая ПК рекламным софтом, удаляющая без вашего желания программы Яндекса, QIP и Рамблера, а также в ряде случаев модифицирующая ваши поисковые настройки. Нежелательный гость на ПК.

HotKeysCmds

Программа для дополнительной настройки драйверов чипсетов Intel.

Igfxtray

Выводит иконку Intel Graphics на панель задач в системном трее. Активно взаимодействует с графическими чипсетами от Интел.

iTunesHelper

Программа, которая отслеживает подключение к вашему ПК с iPhone/iPod. Если подключение будет обнаружено, будет автоматически запущена iTunes.

QuickTime Task

Модуль мультимедийного проигрывателя, способного воспроизводить различные типы видео. Поскольку в большинстве случаев видеофайлы системно привязываются к тому или иному плееру, в автоматическом запуске указанного модуля обычно нет необходимости.

RtHDVCpl.exe

Отвечает за загрузку диспетчера Realtek HD – дополнительного программного инструмента для гибкой настройки звука под звуковые карты Realtek.

Skype

Отвечает за автоматический старт популярной программы «Скайп», позволяющей осуществлять текстовую, ую и видеосвязь.

SkyDrive

Обеспечивает запуск служебной программы облачного хранилища SkyDrive, и подключение к последнему.

uTorrent

Обеспечивает автоматический запуск популярного торрент-клиента «uTorrent», работающего в фоне.

Wmagent.exe

Агент системы WebMoney, служит для вывода различных уведомлений (к примеру, о получении перевода) в данной платёжной системе.

Заключение

Выше мы разобрали ряд часто встречающихся параметров ветки HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Разумеется, данный список далеко не полон, существуют ещё множество программ, автостарт который осуществляется с помощью функционала указанной ветки.

Местоположение программ, находящихся в данной ветке, часто зависит от настроек пользователя и особенностей ПК, при этом большинство из указанных параметров в автозагрузке можно легко удалить без какого-либо вреда для пользовательской системы.

Источник: https://RusAdmin.biz/bloknot/hkey_local_machine/

Автозагрузка в Windows

Hkey local machine software microsoft windows currentversion

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.

Безмалый В.Ф.
MVP Consumer Security

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:

  • Как осуществляется автозагрузка?
  • Где найти список программ, загружаемых автоматически?
  • Как отключить соответствующий список автозагрузки?

Именно этому и будет посвящена эта статья.

Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.

Реестр

В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]‐ программы, запускаемые при входе в систему.

Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).

Рисунок 1 Автозапуск для всех пользователей

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]‐ программы, которые запускаются при входе текущего пользователя в систему

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]и добавляем следующий ключ:
“NOTEPAD.EXE”=”C:\WINDOWS\System32otepad.exe”

Использование групповой политики для автозапуска

Откройте оснастку “Групповая политика” (gpedit.msc), перейдите на вкладку “Конфигурация компьютера ‐ Административные шаблоны ‐ Система”. В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).

Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)

По умолчанию эта политика не задана, но вы можете добавить туда программу: включаем политику, нажимаем кнопку “Показать ‐ Добавить”, указываем путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\ то можно указать только название программы, иначе придется указать полный путь к программе.

Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.

Внимание!Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies]создается подраздел \Explorer\Runс ключами добавленных программ.

Пример:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
“1”=”notepad.exe”

В итоге получаем запуск Блокнота (рис 3).

Рисунок 3 Запуск Блокнота с помощью локальной групповой политики

Аналогично задается автозапуск для текущих пользователей, в оснастке “Групповая политика” это путь “Конфигурация пользователя ‐ Административные шаблоны ‐ Система” (рис 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

Внимание!При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорировать списки автозагрузки программ выполняемых однажды

Настраивается с помощью групповой политики: “Конфигурация компьютера ‐ Административные шаблоны ‐ Система – Вход в систему ‐ Не обрабатывать список однократного запуска программ»

Если эту политику включить, то не будут запускаться программы, запускаемые из списка[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce] Если эта политика

включена, в реестре создается следующий ключ:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]“DisableLocalMachineRunOnce”=dword:00000001

Так же настраивается политика для текущих пользователей: “Конфигурация пользователя ‐ Административные шаблоны ‐ Система – Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]“DisableLocalUserRunOnce”=dword:00000001

Назначенные задания

Программы могут запускаться с помощью “Планировщика заданий”. Посмотреть список установленных заданий, а также добавить новое можно так: “Пуск ‐ Все программы ‐ Стандартные ‐ Служебные – Планировщик заданий” ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).

Рисунок 4 Окно Планировщика заданий

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).

Рисунок 5 Создание простой задачи в Планировщике задач

Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка “Автозагрузка”

Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть какие программы у вас запускаются таким способом можно открыв меню “Пуск ‐ Все программы ‐ Автозагрузка”. Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.

Смена папки автозагрузки

Windows считывает данные о пути к папке “Автозагрузка” из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
“Startup”=”c:\mystartup”‐ система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка “Автозагрузка” все так же будет отображаться в меню “Пуск”, а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Acrobat. Тогда в папке “Автозагрузка” у вас будет находиться ярлык “Adobe Reader Speed Launch” ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе запускаемой из списка автозагрузки

Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно “склеить” два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой “склейки”. Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно открыв программу “Сведения о системе” (откройте “Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе” или наберите msinfo32.

exe в командной строке) и перейдя в пункт “Программная среда ‐ Автоматически загружаемые программы”. Программа “Свойства системы” отображает группы автозагрузки из реестра и папок “Автозагрузка” (рис.6).

Рисунок 6 Автоматически загружаемые программы

Другая программа, позволяющая посмотреть список программ автозагрузки ‐ “Настройка системы” (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка “Общие”) или выборочных программ (вкладка “Автозагрузка”).

Если что-то отключено

Hkey local machine software microsoft windows currentversion

Современные виды вредоносных программ почти всегда предпринимают меры по сокрытию себя в системе. Речь, конечно же, не идет о руткитах, а о вирусах, которые отключают возможность визуального обнаружения их пользователем. Например, запрещают Диспетчер задач Windows, редактор реестра, отображение скрытых и системных файлов и т. п.

Обычно изменяются настройки текущего пользователя, которые хранятся в ветке реестра HKEY_CURRENT_USER, но иногда такие изменения затрагивают всех пользователей этой машины, поскольку они прописаны в HKEY_LOCAL_MACHINE, т. к. ключ, записанный в HKEY_LOCAL_MACHINE, имеет более высокий приоритет.

Поэтому, если ключа, запрещающего что-либо, в ветке HKEY_CURRENT_USER нет, то есть смысл посмотреть его в ветке HKEY_LOCAL_MACHINE реестра.

Как правило, антивирус не восстанавливает такие ключи реестра. Антивирус не знает, сделал ли это вирус, или это отключено политиками. Поэтому здесь собраны ключи реестра, часто изменяемые вирусами. Исправить можно как вручную редактором реестра, так и скормив ему созданный reg-файл.

Если вы обычный пользователь, и не хотите заниматься ручной работой

Для этого специалисты нашей компании разработали компактную бесплатную утилиту для востановления настроек реестра в автоматическом режиме. Сперва рекомендуем востанавливать реестр с помощью нее, а только потом уже заниматься ручой правкой.

Скачать утилиту востановления системы

Первоначально, утилита была предназначена для востановления последствий, причиненных вредоносной программой Trojan.Plastix. Сейчас, утилита постоянно развивается, и в нее добавляются новые методы востановления реестра (и не только), сделанные вредоносными программами, которые попадают к нашим аналитикам на исследование.

Если запрещен редактор реестра

Можно создать такой reg-файл:

REGEDIT4 [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]”DisableRegedit”=dword:0 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]”DisableRegedit”=dword:0″DisableRegistryTools”=dword:00000000

назвать его restoreRE.reg и запустить его с помощью редактора реестра, дважды щёлкнув по reg-файлу левой кнопкой мыши.

regedit /s restoreRE.reg

Если же редактор реестра regedit не запустится, то с помощью редактора реестра из командной строки reg.exe:

reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0

Возможно, потребуется перезагрузка. После перезагрузки можно спокойно запускать оконный редактор реестра.

Если не запускаются *.exe-файлы

Можно создать такой reg-файл:
Для Windows XP

Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open]”EditFlags”=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command]@=”\”%1\” %*” [HKEY_CLASSES_ROOT\exefile\shell\runas] [HKEY_CLASSES_ROOT\exefile\shell\runas\command]@=”\”%1\” %*”

В принципе, Windows XP понимает и формат REGEDIT4 в reg-файле
Для Windows 2000

REGEDIT4 [HKEY_CLASSES_ROOT\exefile\shell] [HKEY_CLASSES_ROOT\exefile\shell\open]”EditFlags”=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command]@=”\”%1\” %*” [HKEY_CLASSES_ROOT\exefile\shell\runas]”Extended”=”” [HKEY_CLASSES_ROOT\exefile\shell\runas\command]@=”\”%1\” %*”

Для Windows 98/Me

REGEDIT4 [HKEY_CLASSES_ROOT\exefile\shell]@=”” [HKEY_CLASSES_ROOT\exefile\shell\open]@=”””EditFlags”=hex:00,00,00,00 [HKEY_CLASSES_ROOT\exefile\shell\open\command]@=”\”%1\” %*”назвать его restoreExe.reg и запустить его с помощью редактора реестраregedit /s restoreExe.reg

Как правило, изменение этой ветки реестра происходит из-за вмешательства вируса. Настоятельно рекомендуется обратиться в службу тех. поддержки и подробно описать ситуацию.

Если не запускаются программы

Если при запуске программ вам выдается сообщение “В доступе отказано, обратитесь к администратору”.

Данная проблема исправляется в реестре, но что делать если не возможно запустить редактор реестра для исправления этой проблемы? Перед выполнением этих действий-распечатайте страницу или дословно перепишите.

1.При перезагрузке нажать F8 и выбрать “безопасный режим с коммандной строкой”. Выбираем запись администратора (или пользователя с правами администратора)

2.Ввести

reg add hkey_current_user\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /v restrictrun /t REG_DWORD /d 0

3.Появится вопрос Value restrictrun exists,owervrite  ? Нажимаем английскую Y и клавишу Enter.

4.Вводим комманду exit и нажимаем Enter.

5.Одновременно нажать CTRL+ALT+DEL

Появится стандартный Диспетчер задач

6.Выбираем вкладку “Приложение” и нажимаем кнопку “Новая задача”.

7.В появившемся окошке вводим explorer и жмем Enter.

Загружается рабочий стол

8.Нажимаем “Пуск” и перезагружаемся уже в нормальном режиме.

Если отключен Диспетчер задач

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]”DisableTaskMgr”=dword:0

Либо просто удалить ключ “DisableTaskMgr” (Дефолтное значение “0″).

Из коммандной строки(Безопасный режим с поддержкой командной строки)

reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0

Вместо штатного Диспетчера задач удобнее пользоваться ПроцессЭксплорером от Микрософта (автор Марк Руссинович). Он может замещать собой виндовый Диспетчер задач и не обращает внимания на запрет запуска в реестре.

Рекомендуется файл ПроцессЭксплорера переименовать!!!

Это необходимо для обхода блокировки в [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]…Например я файлик переименовал в procexp2.exe

Если отключена возможность выбора свойств папки

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]”NoFolderOptions”=dword:00000000

или

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]”NoFolderOptions”=dword:00000000

Если отключено отображение скрытых и системных файлов

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]”Hidden”=dword:00000001″HideFileExt”=dword:00000000″ShowSuperHidden”=dword:00000001

Также вирус может изменить ключ “CheckedValue” в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]”CheckedValue”=dword:00000001

Если при открытии диска Windows спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]и[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]

и удалить их.

Если в окне свойств экрана отсутствуют некоторые вкладки

В последнее время часто вирусы изменяют рисунок Рабочего стола Windows с тем, чтобы вывести на экран собственную информацию. При этом блокируют возможность изменения настроек Рабочего стола, скрывая некоторые вкладки окна свойств экрана.

Прежде чем восстанавливать отображение этих вкладок, убедитесь, что вирус, который отключил их отображение, уже не действует в системе. Если Вы в этом не уверены, обратитесь в техподдержку.

Если вирус уже удалён из системы, то для восстановления скрытых папок используйте следующий reg-файл:

REGEDIT4 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] “NoDispBackgroundPage”=dword:0 “NoDispScrSavPage”=dword:0

Иногда может понадобиться отключить что-либо

  • Например, запретить автозапуск со всех дисков (жестких и сменных) можно, создав такой ключ:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]”NoDriveTypeAutoRun”=dword:000000ff

  • Запретить восстановление системы можно, создав такой ключ:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore]”DisableSR”=dword:1

Если не запускаются определенные программы

Как правило это программы редактирования политик, диспетчер задач, антивирусы…В данном случае могут использоваться несколько настроек в реестре. Рассмотрим основные, используемые вирусописателями…

В данном случае вирус переассоциирует запуск исполняемых файлов на себя. Например:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@=”C:\\WINDOWS\\svchost.com \”%1\” %*”

Этот ключ необходимо исправить на:

[HKEY_CLASSES_ROOT\exefile\shell\open\command]

@=”\”%1\” %*”

Непосредственно блокировка запуска.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe]

“Debugger”=”ntsd -d”

В данном случае блокируется запуск редактора реестра. Этот ключ можно полностью удалить без последствий для системы.

Рекомендуется вообще удалить ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options а после импортировать данные из файла IFEO-repaired.reg

Политики ограниченного использования программ

Использование этих политик позволяет определять и задавать программы, которые разрешено или запрещено запускать. Для создания исключений из политики по умолчанию используются правила для конкретных программ. Ниже перечислены возможные типы правил.

Правила для хеша

Правила для сертификатов

Правила для пути

Правила для зоны Интернета

В данном случае нас интересуют только (хеш и пути). Хеш файла после обновления антивируса может изменится,поэтому малоинтересен.

Если не запускается приложение из определенного каталога, необходимо проверить ключи в ветке

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths] Например если не запускается сканер(С:\Program Files\DrWeb) необходимо удалить ключи
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{58FF6922-BB2F-438E-8DC6-BC04E081E532}] “ItemData”=”C:\\Program Files\\Common Files\\Doctor Web” “SaferFlags”=dword:00000000 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\Paths\{445a7837-c1b0-4c82-89a9-0627207333b1}] “LastModified”=hex(b):74,7b,3c,db,ac,93,ca,01 “SaferFlags”=dword:00000000 “ItemData”=”C:\\Program Files\\DrWeb”

Существует возможность заблокировать запуск CureIT, поэтому необходимо обратить внимание на блокирование пути к временному каталогу TEMP.

Источник: http://blog.avanta-pro.ru/?p=603

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.