Главным поводом для написания этого обзора — это вирусы средней сложности, прописывающиеся разделах реестра и загружающиеся вместе с операционной системой. Бывает так, что специалисту не всегда сподручно и удобно воспользоваться антивирусной утилитой по той или иной причине либо антивирус просто не хочет видеть и распознаваться как вирус некоторые вредоносные программы. Особенно, это стало беспокоить в последние дни. Многие программы, как правило рекламного характера, которые не осуществляют никакой полезной деятельности для ПК, кроме как привлечения к себе внимания и лишней загрузки процессора и памяти, прописываются как полулегальные: они либо явно ставятся вместе с каким-нибудь легальным софтом ( при этом при установке пользователь забыл убрать/поставить галочку) либо ставятся фоном, когда внедрены в дистрибутив какой-либо полезной программы. При этом эти программы могут создавать ярлык на рабочем столе, даже иметь сертификат и даже если антивирус заругается, вы можете, не сразу заподозрив неладное, добавить эту программу в доверенные, а будучи доверенной эта программа имеет практически безграничные возможности, не облагаемые проверкой. При чем опомниться и включить проверку уже может и не помочь, т.к. пропишется она уже в разных местах. Тогда и приходит необходимость ручной проверки.
Итак. если вы обнаружили программу. прописавшуюся в авторане, необходимо прежде всего проверить следующие места:
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] ‐ эта ветка запускает программы при входе в систему.
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] ‐ то же самое, но только один раз при входе в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] ‐ программы, которые запускаются при входе текущего пользователя в систему
- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] и [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\PoliciesExplorer\Run] -групповая политика. По умолчанию автозагрузка из политики Windows выключена, поэтому многие программы-детекторы авторана не проверяют этот раздел. Более того, этот компонент не предустановлен в системах Starter, Home Basic и Premium (тем не менее на них есть возможность установки его вручную).Если он установлен, то нажимаем Win+R и вводим «gpedit.msc», переходим на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки переходим в пункт «Вход в систему».По умолчанию эта политика не задана, но ее можно включить, нажав на кнопку «Показать ‐ Добавить» и указав путь к программе, при этом если запускаемая программа находится в папке ..WINDOWS\System32\, то полный путь указывать к программе не обязательно. Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. При этом в системном реестре в разделах соответственно создается подраздел с ключами добавленных программ, которые будут запускаться при автостарте. Итого еще 2 ветки = 6 веток.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ — Планировщик заданий. Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные — Планировщик заданий» ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания. Посмотреть задания так же можно с помощью команды в cmd schtasks. Правда ответ может не поместиться в командной строке, тогда можно вывести его в файл командой schtasks >> полный путь или относительный путь к файлу, например: schtasks >> %USERPROFILE%\desktop\log.txt — сохранит на рабочий стол. Все задачи планировщика так же хранятся в реестре, но найти их сложнее, иной раз проще посмотреть их непосредственно через планировщик. Расположены в реестре они по пути
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ - вот в таком виде:
- Если там пусто, то идем дальше: надо проверить папку автозагрузки — папку, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:.. \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup ‐ это папка, программы из которой будут запускаться для текущего пользователя.Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск ‐ Все программы ‐ Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему. Так же следует проверить пути к папке автозагрузке. не подменен ли он в реестре:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Common Startup»=«%ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup»‐ для всех пользователей системы.[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]
«Startup»=«%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup» — для текущего пользователяТак же необходимо проверить, нет ли подмены ярлыка на какой-нибудь bat-файл, который помимо полезной программы, может запускать фоном и другую программу, вам не нужную - Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда ‐ Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка»
Так же неплохо было бы проверить ветку Windows NT