Reg delete hkcu software microsoft windows currentversion run
Редактирование реестра Windows из командной строки
Утилита командной строки REG.EXE присутствует во всех версиях операционных систем семейства Windows и используется для добавления, изменения, удаления и просмотра параметров и ключей реестра.
Формат командной строки:
Операции:
Для каждой операции, задаваемой в командной строке REG, используются свои параметры. Для получения справки по определенной операции введите:
Результат выполнения операции зависит от прав пользователя по отношению к данным реестра. Редактирование реестра является потенциально опасной операцией и при необдуманных или ошибочных действиях может привести к неработоспособности системы. Прежде, чем вносить какие-либо изменения в реестр, нужно сделать его резервную копию и освоить процедуру восстановления системы в случае ее краха по причине неверного содержимого реестра, в том числе, и для случаев, когда загрузку Windows выполнить невозможно.
1. REG QUERY – отобразить содержимое реестра.
Параметры командной строки:
/v — Запросы требуемых параметров в указанном разделе реестра. Если не указано, запрашиваются все параметры раздела. Аргумент этого параметра может быть необязательным, только если задан параметр /f. Это указывает на поиск только в именах параметров реестра.
/ve — Запросы параметра по умолчанию или с пустым именем (по умолчанию).
/s — Запрос всех вложенных подразделов и их параметров (аналогично команде dir /s).
/se — Указание разделителя (длиной в 1 знак) в строке данных для REG_MULTI_SZ. По умолчанию в качестве разделителя используется «\0».
/f — Данные или шаблон для поиска. Если строка содержит пробелы, заключайте ее в кавычки. Значение по умолчанию: «*».
/k — Указывает на поиск только в именах разделов.
/d — Указывает на поиск только в данных.
/c — Указывает на учет регистра знаков при поиске. По умолчанию при поиске регистр знаков не учитывается.
/e — Указывает на возврат только точных совпадений. По умолчанию возвращаются все совпадения.
/t — Указывает тип данных параметра реестра. Допустимые типы: REG_SZ, REG_MULTI_SZ, REG_EXPAND_SZ, REG_DWORD, REG_QWORD, REG_BINARY, REG_NONE. По умолчанию будут использоваться все типы.
/z — Подробности: отображение числового кода типа имени значения.
Пример:
REG QUERY HKLM\Software\Microsoft\ResKit /v Version — отобразить значение параметра реестра Version
2. REG ADD — добавить или заменить существующий параметр реестра.
Параметры командной строки:
/v — Имя параметра, добавляемого в выбранный раздел.
/ve — Добавление параметра с пустым именем (по умолчанию) в этот раздел.
/t — Тип данных: [ REG_SZ | REG_MULTI_SZ | REG_EXPAND_SZ | REG_DWORD | REG_QWORD|REG_BINARY | REG_NONE ]. Если не указывается, то по умолчанию используется REG_SZ.
/s — Символ, используемый в качестве разделителя данных для параметров типа REG_MULTI_SZ. Если не указан, то в качестве разделителя используется «\0».
/d — Значение, присваиваемое добавляемому параметру реестра.
/f — Принудительно перезаписывает существующую запись реестра без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
REG ADD HKLM\Software\MyCo /v Data /t REG_BINARY /d fe340ead — Добавляет параметр (имя: Data, тип: REG_BINARY, данные: fe340ead)
3. REG DELETE — удалить существующий параметр реестра.
Параметры командной строки:
имя_параметра — Имя параметра, удаляемого из выбранного раздела. Если оно опущено, удаляются все подразделы и значения указанного раздела.
/ve — Удаляет пустое имя параметра (по умолчанию).
/va — Удаляет все параметры в указанном разделе.
/f — Выполняет принудительное удаление без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
REG DELETE HKLM\Software\MyCo\MyApp\Timeout — Удаляет раздел реестра Timeout и все его подразделы и параметры.
4. REG EXPORT — экспорт данных реестра в файл.
Параметры командной строки:
имя_раздела — в виде КОРЕНЬ\ (только локальный компьютер). КОРЕНЬ может быть [ HKLM | HKCU | HKCR | HKU | HKCC ]. Подраздел — полное имя подраздела реестра в одном из выбранных корневых разделов.
имя_файла — путь и имя файла в который экспортируются данные реестра.
/y — Выполнение замены существующего файла без запроса подтверждения.
/reg:32 — Указывает, что к разделу реестра следует обращаться с помощью представления для 32-разрядных приложений.
/reg:64 — Указывает, что к разделу реестра следует обращаться с помощью представления для 64-разрядных приложений.
Как работать с реестром Windows из командной строки
Что такое реестр Windows простыми словами.
Выборка (query)
reg query HKLM\Software\Microsoft
* в данном примере будет выведен на экран список веток, которые находятся в HKLM\Software\Microsoft
Если в пути встречается пробел, необходимо весь путь поместить в кавычки, например:
reg query «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings»
Чтобы вывести все вложенные ветки, запускаем команду с параметром /s:
reg query «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /s
Добавление (add)
reg add /v /t /d
Например, добавим настройки использования прокси-сервера для браузера Internet Explorer:
reg add «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /v ProxyEnable /t REG_DWORD /d 1
reg add «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /v ProxyServer /t REG_SZ /d «192.168.0.15:3128»
reg add «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /v ProxyOverride /t REG_SZ /d » «
* где первая команда включает использование прокси-сервера; вторая прописывает использовать прокси с IP-адресом 192.168.0.15 и портом 3128; третья указывает не использовать прокси для локальных адресов.
Удаление (delete)
reg delete /v
Например, чтобы удалить одну из ранее созданной настройки, вводим следующую команду:
reg delete «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /v ProxyEnable /f
Чтобы удалить всю ветку с ее параметрами и значениями, вводим такую команду:
reg delete «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /va /f
Редактирование
Для редактирования значения нужно выполнить команду на добавление. Если ключ уже существует, команда заменить значение на новое:
reg add «HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings» /v ProxyEnable /t REG_DWORD /d 0 /f
* в данном примере будет изменено значение ключа ProxyEnable на 0 (или создан с таким значением); ключ f указывает на замену значения без вывода подтверждения.
Импорт
Во многих случаях проще выполнить импорт из файла, кликнув по нему дважды. Но, иногда необходимо выполнить импорт из командной строки:
reg import C:\Temp\import_proxy_settings.reg
* в данном примере мы импортировали настройки из файла import_proxy_settings.reg, который находится в каталоге C:\Temp\.
Краткое описание всех операций
В данной таблице приведены все возможные операции над коандой REG.
Подробное описание всех ключей можно увидеть, введя команду reg /?
Например: reg add /?
REG – редактирование реестра Windows в командной строке.
Утилита командной строки REG.EXE присутствует во всех версиях операционных систем семейства Windows и используется для добавления, изменения, удаления и просмотра параметров и ключей реестра.
Формат командной строки:
REG [Список параметров]
Код возврата: (за исключением REG COMPARE):
Для каждой операции, задаваемой в командной строке REG, используются свои параметры. Для получения справки по определенной операции введите:
Результат выполнения операции зависит от прав пользователя по отношению к данным реестра. Редактирование реестра является потенциально опасной операцией и при необдуманных или ошибочных действиях может привести к неработоспособности системы. Прежде, чем вносить какие-либо изменения в реестр, нужно сделать его резервную копию и освоить процедуру восстановления системы в случае ее краха по причине неверного содержимого реестра, в том числе, и для случаев, когда загрузку Windows выполнить невозможно.
REG QUERY – отобразить содержимое реестра.
REG QUERY имя_раздела [/v [имя_параметра] | /ve] [/s] [/f данные [/k] [/d] [/c] [/e]] [/t тип] [/z] [/se разделитель]
Параметры командной строки:
Пример отображаемой информации:
ProductName REG_SZ Windows 10 Pro
REG ADD [/v | /ve] [/t ] [/s ] [/d данные>] [/f] [/reg:32 | /reg:64]
Параметры командной строки:
Для подавления запроса необходимо использовать параметр /f :
REG add HKCU\Console /v ScreenColors /t REG_DWORD /d 0xf0 /f
Нужно учитывать, что изменение отображения фона и цвета символов для текущего сеанса консоли не произойдет. Изменения будут применены при следующем запуске командной строки.
REG DELETE [/v | /ve | /va] [/f] [/reg:32 | /reg:64]
REG EXPORT [/y] [/reg:32 | /reg:64]
REG IMPORT [/reg:32 | /reg:64]
REG SAVE [/y] [/reg:32 | /reg:64]
Для восстановления данных реестра используется содержимое файла, созданного при выполнении команды REG SAVE
REG RESTORE [/y] [/reg:32 | /reg:64]
Команды REG IMPORT/EXPORT и REG RESTORE/SAVE близки по назначению, однако используют разные форматы данных.
Для загрузки используется файл куста реестра, полученный с помощью команды REG SAVE, или другой файл куста реестра, например, скопированный с другого компьютера.
Формат командной строки:
REG LOAD [/reg:32 | /reg:64]
Обычно, команда REG LOAD используется совместно с REG UNLOAD для изменения данных реестра, содержащихся в файле куста.
Загрузка и выгрузка данных с использованием файлов кустов позволяет редактировать данные реестра поддерживаемого формата, в том числе и ”чужой” операционной системы. В качестве файлов кустов можно использовать файлы из каталога \Windows\System32\config\ сторонней Windows, что позволяет восстановить ее работоспособность в некоторых случаях, требующих изменения параметров реестра, при невозможности загрузки и использования собственного редактора.
Формат командной строки:
REG COMPARE [/v | /ve] [вывод] [/s] [/reg:32 | /reg:64]
Символы в начале каждой строки читаются следующим образом:
= данные FullKey1 равны данным FullKey2
относится к данным FullKey1, если они отличаются от данных FullKey2
> относится к данным FullKey2, если они отличаются от данных FullKey1
> Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run Acronis Scheduler2 Service REG_SZ «C:\Program Files (x86)\Common Files\Acronis\Schedule2\schedhlp.exe»
> Параметр: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run COMODO Internet Security REG_SZ C:\Program Files\COMODO\COMODO Internet Security\cistray.exe
Результат сравнения: не совпадают
Операция успешно завершена.
Формат командной строки:
REG FLAGS имя_раздела [QUERY | [/reg:32 | /reg:64]
REG FLAGS имя_раздела SET [DONT_VIRTUALIZE] [DONT_SILENT_FAIL] [RECURSE_FLAG]] [/reg:32 | /reg:64]
Пример отображаемой информации о флагах:
HKEY_LOCAL_MACHINE\Software
REG_KEY_DONT_VIRTUALIZE: CLEAR
REG_KEY_DONT_SILENT_FAIL: CLEAR
REG_KEY_RECURSE_FLAG: CLEAR
Операция успешно завершена.
reg delete reg delete
Удаляет подраздел или записи из реестра. Deletes a subkey or entries from the registry.
Синтаксис Syntax
Параметры Parameters
| Параметр Parameter | Описание Description |
|---|---|
| Задает полный путь к добавляемому подразделу или записи. Specifies the full path of the subkey or entry to be added. Чтобы указать удаленный компьютер, включите имя компьютера (в формате \\ \ ) в состав имени keyName. To specify a remote computer, include the computer name (in the format \\ \ ) as part of the keyname. Пропуск \\ \ приводит к тому, что по умолчанию операция выполняется на локальном компьютере. Omitting \\ \ causes the operation to default to the local computer. KeyName должен содержать допустимый корневой ключ. The keyname must include a valid root key. Допустимые корневые ключи для локального компьютера: HKLM, HKCU, HKCR, HKU и хккк. Valid root keys for the local computer are: HKLM, HKCU, HKCR, HKU, and HKCC. Если указан удаленный компьютер, допустимые корневые ключи: HKLM и HKU. If a remote computer is specified, valid root keys are: HKLM and HKU. Если имя раздела реестра содержит пробел, заключите имя ключа в кавычки. If the registry key name contains a space, enclose the key name in quotes. | |
| /v /v | Удаляет определенную запись в подразделе. Deletes a specific entry under the subkey. Если запись не указана, все записи и подразделы в подразделе будут удалены. If no entry is specified, then all entries and subkeys under the subkey will be deleted. |
| /ве /ve | Указывает, что будут удалены только те записи, которые не имеют значения. Specifies that only entries that have no value will be deleted. |
| /VA /va | Удаляет все записи в указанном подразделе. Deletes all entries under the specified subkey. Подразделы в указанном подразделе не удаляются. Subkeys under the specified subkey are not deleted. |
| /f /f | Удаляет существующий подраздел реестра или запись без запроса подтверждения. Deletes the existing registry subkey or entry without asking for confirmation. |
| /? /? | Отображение справки в командной строке. Displays help at the command prompt. |
Комментарии Remarks
Возвращаемые значения для операции reg Delete : The return values for the reg delete operation are:
| Значение Value | Описание Description |
|---|---|
| 0 0 | Успешное завершение Success |
| 1 1 | Сбой Failure |
Примеры Examples
Чтобы удалить время ожидания раздела реестра и его все подразделы и значения, введите: To delete the registry key Timeout and its all subkeys and values, type:
Чтобы удалить значение параметра MTU в разделе Хклм\софтваре\мико на компьютере с именем ЗОДИАКАЛЬНЫЙ, введите: To delete the registry value MTU under HKLM\Software\MyCo on the computer named ZODIAC, type:
Hkcu software microsoft windows currentversion run
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО.
Безмалый В.Ф.
MVP Consumer Security
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО, причем даже не обязательно вредоносное. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
Именно этому и будет посвящена эта статья.
Существует много способов автозагрузки. Ниже приведены несколько вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносного ПО из автозагрузки.
Способы автозагрузки
Реестр
В реестре Windows 7 автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] ‐ программы, запускаемые при входе в систему.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (рис.1).
Рисунок 1 Автозапуск для всех пользователей
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] ‐ программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] ‐ программы, которые запускаются при входе текущего пользователя в систему
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] ‐ программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] и добавляем следующий ключ:
«NOTEPAD.EXE»=»C:WINDOWSSystem32
otepad.exe»
Использование групповой политики для автозапуска
Откройте оснастку «Групповая политика» (gpedit.msc), перейдите на вкладку «Конфигурация компьютера ‐ Административные шаблоны ‐ Система». В правой части оснастки перейдите на пункт «Вход в систему». (рис.2).
Рисунок 2 Использование групповой политики для автозапуска (для всех пользователей)
Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при входе пользователя в систему.
Внимание! Данный пункт политики доступен в Конфигурации компьютера и Конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа из Конфигурации компьютера, а затем уже пользователя.
При этом в системном реестре в разделе [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с ключами добавленных программ.
Пример:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
«1»=»notepad.exe»
В итоге получаем запуск Блокнота (рис 3).
Рисунок 3 Запуск Блокнота с помощью локальной групповой политики
Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя ‐ Административные шаблоны ‐ Система» (рис 2), а в реестре раздел [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun]
Внимание! При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Игнорировать списки автозагрузки программ выполняемых однажды
Настраивается с помощью групповой политики: «Конфигурация компьютера ‐ Административные шаблоны ‐ Система — Вход в систему ‐ Не обрабатывать список однократного запуска программ»
Если эту политику включить, то не будут запускаться программы, запускаемые из списка
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce] Если эта политика
включена, в реестре создается следующий ключ:
Так же настраивается политика для текущих пользователей: «Конфигурация пользователя ‐ Административные шаблоны ‐ Система — Вход в систему ‐ Не обрабатывать список однократного запуска программ» Параметры реестра:
Назначенные задания
Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные — Планировщик заданий» ‐ при этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис.4).
Рисунок 4 Окно Планировщика заданий
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу» (рис.5).
Рисунок 5 Создание простой задачи в Планировщике задач
Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
Папка, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки ‐ общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
.. UsersAll UsersMicrosoftWindowsStart MenuProgramsStartup ‐ это папка, программы из которой будут запускаться для всех пользователей компьютера.
%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup ‐ это папка, программы из которой будут запускаться для текущего пользователя.
Посмотреть какие программы у вас запускаются таким способом можно открыв меню «Пуск ‐ Все программы ‐ Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после входа пользователя в систему.
Смена папки автозагрузки
Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Common Startup»=«%ProgramData%MicrosoftWindowsStart MenuProgramsStartup»‐ для всех пользователей системы.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=«%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup»
‐ для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
«Startup»=»c:mystartup» ‐ система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим у вас установлен пакет Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch» ‐ этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на соответствующее приложение ‐ вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.
Добавление программы к программе запускаемой из списка автозагрузки
Модификация предыдущего варианта ‐ одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа ‐ дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Посмотреть список автоматически загружаемых программ можно открыв программу «Сведения о системе» (откройте «Пуск ‐ Все программы ‐ Стандартные ‐ Служебные ‐ Сведения о системе» или наберите msinfo32.exe в командной строке) и перейдя в пункт «Программная среда ‐ Автоматически загружаемые программы». Программа «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка» (рис.6).
Рисунок 6 Автоматически загружаемые программы
Другая программа, позволяющая посмотреть список программ автозагрузки ‐ «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»).
Заключение
Безусловно, сведения, приведенные в данной статье нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегком труде борьбы с вредоносным ПО.
Подписывайтесь на каналы «SecurityLab» в 
Telegram и 
Яндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.
Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное ПО, иногда возникает необходимость вручную посмотреть, где же в реестре стартует то или иное вредоносное ПО. При поиске резидентного вредоносного ПО нас не могут не волновать следующие вопросы:
Рассмотрению данных вопросов и посвящена настоящая статья.
Существует много способов автозагрузки. Мы разберем лишь несколько вариантов. Надеюсь, что это поможет вам в розыске и удалении вредоносного ПО из автозагрузки.
Реестр
В реестре Windows Vista автозагрузка представлена в нескольких ветвях:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при входе в систему. Они запускаются для всех пользователей в системе;
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce] — программы, запускаемые только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Программы в этом разделе запускаются для всех пользователей в системе;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] — программы, запускаемые при входе текущего пользователя в систему;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Например, чтобы автоматически запускать «Блокнот» при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел:
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
и добавляем следующий ключ:
“NOTEPAD.EXE”=”C:WINDOWSSystem32
otepad.exe”
Использование групповой политики для автозапуска
Рис. 1. Использование групповой политики для автозапуска
(для всех пользователей)
Пример
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerRun]
“1”=”notepad.exe”
“2”=”iexplore.exe”
Рис. 2. Использование групповой политики для автозапуска
(для текущего пользователя)
Важно! При этом программы из данного списка не отображаются в списке программ, доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.
Автозапуск из особого списка
Программы могут запускаться и из следующего раздела реестра:
Эти параметры — аналог автозагрузки из Win.ini в Windows 9х.
Пример
Запускаем Internet Explorer до входа пользователя в систему и «Блокнот» после входа пользователя в систему:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows]
“load”=”iexplore.exe”
“run”=”notepad.exe”
Не обрабатывать список автозапуска для старых версий
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
При использовании этой политики в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
“DisableLocalMachineRun”=dword:00000001
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
“DisableLocalUserRun”=dword:00000001
Игнорировать списки автозагрузки программ, выполняемых однократно
Если эту политику включить, то не будут запускаться программы из списка:
[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce].
Если данная политика включена, в реестре создается следующий ключ:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer]
“DisableLocalMachineRunOnce”=dword:00000001
Назначенные задания
При этом откроется окно Планировщика заданий, в котором отображены назначенные задания (рис. 3).
Рис. 3. Окно Планировщика заданий
Чтобы добавить новое задание, нужно из меню Действия выбрать пункт Создать задачу (рис. 4).
Рис. 4. Создание задачи в Планировщике задач
Запуск программ с помощью этого мастера возможен однократно — при входе в Windows, при включении компьютера, а также по расписанию.
Папка «Автозагрузка»
В папке Автозагрузка хранятся ярлыки для программ, запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки: общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:
..UsersAll UsersMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для всех пользователей компьютера;
%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup — это папка, программы из которой будут запускаться для текущего пользователя.
Смена папки автозагрузки
Windows считывает данные о пути к папке Автозагрузка из реестра. Этот путь прописан в следующих разделах:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Common Startup”=“%ProgramData%MicrosoftWindowsStart MenuProgramsStartup” — для всех пользователей системы;
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Startup”=“%USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup” — для текущего пользователя.
Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.
Пример
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders]
“Startup”=”c:mystartup” — система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка Автозагрузка по-прежнему будет отображаться в меню Пуск, а если у пользователя в ней ничего не было, то он и не заметит подмены.
Подмена ярлыка для программы из списка автозагрузки
Допустим, у вас установлен пакет Acrobat. Тогда в папке Автозагрузка у вас будет находиться ярлык Adobe Reader Speed Launch, который устанавливается туда по умолчанию. Но вовсе не обязательно, что этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не отразится.
Добавление программы к программе, запускаемой из списка автозагрузки
Модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа. Дело в том, что можно «склеить» два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой «склейки». Кроме того, ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.
Рис. 5. Группы автозагрузки из реестра и папок Автозагрузка
Другая программа, позволяющая посмотреть список программ автозагрузки, — Настройка системы (для запуска наберите msconfig.exe из командной строки). Эта программа, кроме просмотра списка автозагрузки, предоставляет возможность отключения всех пунктов автозагрузки (вкладка Общие) или выборочных программ (вкладка Автозагрузка).
Безусловно, сведения, приведенные в данной статье, нельзя считать исчерпывающими, однако надеюсь, что они помогут вам в нелегкой борьбе с вредоносным ПО.
При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.
В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:
1. В автозагрузке операционной системы
Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить
В столбце «Команда» не должно быть подозрительных элементов, например C:Program Files
ovirus.exe
Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).
Как альтернативe команде msconfig можно использовать программу XPTweaker.
В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.
Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE
Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.
Дополнительно:
Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun и
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
При нахождении в них подозрительных элементов — мочить гадов! 🙂
2. Вместо проводника
В ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:WINDOWSsystem32h6d8dn.exe или подобную хрень.
Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.
Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.
Нужно посмотреть запись в реестре по адресу HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.
3. Вместе с userinit.exe или uihost.exe
В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.
Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:WINDOWSsystem32userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).
Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
Оригинальные параметры записи в реестре должны быть следующими :
Userinit = C:WINDOWSsystem32userinit.exe
UIHost = logonui.exe
Shell = explorer.exe
Вирус может прописать себя например так :
В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!
После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:WINDOWSsystem32) и explorer.exe (находится в C:WINDOWS) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.
После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:windowssystem32driversetchosts. Удалить все после строки 127.0.0.1 localhost
Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersPersistentRoutes
HKEY_LOCAL_MACHINESYSTEMControlSet ServicesTcpipParameters PersistentRoutes
Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.