Идея написания сводного руководства по самостоятельному обнаружению вирусов на станциях под управлением Windows зрела на протяжении достаточно длительного времени и обуславливалась, прежде всего необходимостью составить и время от времени дополнять справочник возможных расположений запуска вирусного кода. Лейтмотивом этой идеи является необходимость непосредственного, то есть самостоятельного (ручного) анализа системы в случаях, когда имеется подозрение, что автоматические методы (утилиты/антивирусы), не в состоянии обнаружить работающий в системе вредоносный код. Обнаружение вируса собственными силами — вот тот уровень, который не будет лишним для любого технического специалиста по операционным системам Windows. Хотелось бы сделать небольшое отступление и пару слов сказать на счет самих антивирусных продуктов. Надо заметить, что эти, самые надежные по мнению большинства, помощники в борьбе с вредоносным кодом, вообще-то не являются панацеей от заражения операционной системы. Повидавшая виды практика помнит случаи, когда грамотно написанный вредоносный код, учитывающий эвристические особенности определенных «региональных» антивирусов, долгое время оставался незамеченным на критически важных корпоративных системах. В этом то и заключается парадокс зараженной системы, в которой установлен авторитетный антивирус с актуальными антивирусными базами. Подобный курьез говорит о том, что если вирус использует хотя бы мало-мальски оригинальный код, методы маскировки, различные виды упаковок, алгоритмы противодействия, то антивирусу бывает сложно обнаружить его, либо он не может деактивировать и удалить уже находящийся и функционирующий в системе вредоносный код, и это не смотря на продвинутые методы контроля системы с перехватом различных системных вызовов и прочие виды глубокой системной интеграции. Подобных доводов можно привести множество, но все они сводятся к одному единственному выводу.
Невозможно обеспечить 100% антивирусную защиту автоматизированными средствами.
И именно в свете сего немаловажного обстоятельства, в критические моменты встает необходимость уметь собственноручно обнаруживать и удалять вредоносный код, и именно поэтому данная статья будет посвящена изложению методов обнаружения без использования каких-либо антивирусных средств, исключением у нас будут, разве что, небольшие сопутствующие утилиты.
«Все течет, все меняется» (© Гераклит), и операционные системы из этого постулата, конечно же, не исключение. На протяжении всей истории развития операционных систем Windows, идет их постоянное видоизменение, одни системные механизмы перестают эксплуатироваться, долгое время присутствуя в системе в виде рудиментов совместимости и в последствии исчезая, другие же появляются. Происходит бесконечное движение, вирусописатели подстраиваются под эволюционирующую среду, переписывая код, использующий устаревающие механизмы, начинают искать и эксплуатировать другие, обретающие актуальность. Учитывая меняющиеся от версии к версии особенности операционных систем и достаточно большое количество потенциальных точек активации вредоносного кода, статья эта никогда не будет завершена полностью и конечно же не будет претендовать на полное руководство по выбранной тематике. Однако, по мере получения новых знаний, будет время от времени мною дорабатываться в бесконечной попытке соответствовать современным реалиям.
Перед тем как мы начнем работать с довольно сложной темой под названием обнаружение вируса, хотелось бы отдельно сказать вот еще о чем.
Во избежание разночтения и неправильного трактования некоторых моих выражений, под понятием вирус в данной статье будет подразумеваться любой вид вредоносного кода.
Дело в том, что с момента зарождения эры компьютерных вирусов, специалистами по безопасности было введено в оборот такое великое многообразие терминов и определений, что классификация в рамках небольшой статьи выглядела бы, откровенно говоря, излишней, учитывая и тот факт, что в свете характера статьи для нас фактически не так уж и важно, как зовется та или иная разновидность вредоносного кода. В разнообразных материалах, посвященных теме компьютерных вирусов, встречаются оригинальные определения, специалисты по безопасности называют программное обеспечение, которое выполняет деструктивные действия различными именами. На заре операционной системы MS-DOS
вирусами называли программы, которые реплицировали собственный код в обнаруживаемые исполняемые модули и загрузочный сектор. С появлением линейки операционных систем Windows, вредоносный код обрел истинное многообразие, на свет появилось большое количество всевозможных алгоритмических отклонений, таких как руткиты (rootkit), трояны (troyan), шпионы (spyware), рекламные программы (adware), вымогатели (ransomware), сетевые черви (worms) и прочее, прочее, прочее. И все эти вариации на вирусную тему имеют различное предназначение. Часто термины ассоциируются неправильно, и вещи называются не своими именами, в дополнение, ко всему этому многообразию применяются второстепенные термины, такие как вредоносный код, зловред, вредонос. Поэтому, дабы не вводить читателя в заблуждение, я буду использовать определение «вирус» применительно к любому вредоносному коду, поэтому встречая в тексте термин вирус, подразумеваем любой вид вредоносного кода.
По каким косвенным признакам пользователь может обнаружить вирус в операционной системе? Дело в том, что какого-то единого, вполне определенного и однозначного симптома заражения системы вирусом не существует, однако общими следствиями вирусной активности могут быть:
- Низкая производительность операционной системы;
- Низкая производительность отдельных приложений;
- Часто возникающие ошибки в приложениях;
- Отображение посторонних информационных окон;
- Блокировка рабочего стола пользователя различными информационными окнами;
- Блокировка страницы (вкладки) браузера различными информационными окнами;
- Блокировка доступа к определенным ресурсам в сети Интернет (например, к сайтам антивирусных лабораторий);
- Автоматический запуск разнообразных программ;
- Отказ в изменении некоторых настроек операционной системы (даже под учетной записью локального администратора);
- Загруженная сеть, наличие интенсивного трафика на интерфейсах в моменты бездействия;
- Иная подозрительная (отклоненная от штатной) активность операционной системы;
Внимательно изучив описанные выше первичные признаки, можно сделать однозначный вывод что зачастую довольно сложно отличить вирусную активность от типовых сбоев, вызванных аппаратными и программными проблемами. Обычно в случае подозрения на аномальную активность, пользователь прибегает к помощи антивирусов, но что же делать ему в ситуации, когда работающий антивирус при сканировании не может детектировать в системе никакой вирусной активности, а «глюки» сохраняются и подозрение на вирус остается?! В этом случае можно попробовать переустановить операционную систему, выбор безусловно за вами, но в этом случае вы теряете уникальную возможность саморазвития, не получаете дополнительных знаний по компьютерным вирусам, исключаете возможность обнаружить новые виды вирусной активности. Может все же стоит попробовать «пройтись по системе» самостоятельно с целью обнаружения вируса, изучив возможные местоположения запуска и модификации? Хорошо, для начала требуется усвоить одно простое правильно:
Компьютерный вирус — код, способный (несанкционированно, без ведома пользователя) копировать самого себя в любом доступном виде, модифицируя требуемым образом различные системные области: регионы виртуальной памяти, системный реестр, загрузочный сектор диска/раздела, файловую систему. Может содержать деструктивную нагрузку.
Большинство вирусов рассчитаны на многократное исполнение, поэтому обычно оставляют свою копию в файловой системе в виде отдельного файла (группы файлов), с целью в дальнейшем иметь возможность запускаться многократно в автоматическом режиме. Применительно к операционной системе Windows, вирус представляется обычно в виде отдельного файла с расширением, идентифицирующим исполняемый различными подсистемами операционной системы код, вот некоторые из этих расширений: .exe
, .dll
, .sys
, .ocx
, .js
, .ps1
, .wht
, .com
, .bat
, .vbs
и прч. Некоторые вирусы, активизирующиеся в системе, не оставляют свои запускаемые копии, а просто проводят модификации определенных ключей реестра или ключевых конфигурационных файлов с целью решения собственных задач. Следуя этой логике, в целях обнаружения вируса, мы будем искать наличие подозрительных данных в физических секторах диска, файловой системе, реестре и оперативной памяти. Но ведь не придется же нам парсить полностью все эти компоненты в поисках вирусного кода? Хотя идея и неплоха но конечно же нет, мы будем пытаться обнаружить вирус в строго предопределенных местах: в тех расположениях в операционной системе, откуда, по задумке разработчиков, средствами самой системы могут запускаться различные исполняемые модули и где могут находиться важные для системы данные в виде файлов конфигурации различного назначения. Не лишним будет и умение отличать вирусный код от легального, знание о том, какие именно данные являются вполне безобидными, а какие из них подозрительны, то есть с большой вероятностью могут представлять вредоносный код.
Еще одним немаловажным аспектом является наличие сторонней среды, то есть операционной системы, заведомо чистой от различного рода вирусов. Делается это с тем расчетом, что некоторые особо продвинутые вирусы могут маскировать свою активность в системе, перехватывая вызовы различных функций Windows API. Поэтому, с целью получения чистой тестовой среды, мы можем:
- Запуститься в обычном режиме загрузки под учетной записью с правами локального администратора.
- Загрузиться в защищенный режим; Большинство вирусов в защищенном режиме не запускаются.
- Загрузиться с внешнего диска LiveCD, содержащего среду Windows PE (Portable Executable), в состав которой входят средства работы с физическими секторами диска, файловой системой и системным реестром.
Сокращения, используемые далее в данной статье:
Сокращение | Полное наименование |
---|---|
HKCR | HKEY_CLASSES_ROOT |
HKCU | HKEY_CURRENT_USER |
HKLM | HKEY_LOCAL_MACHINE |
HCU | HKEY_USERS |
В статье я постарался свести максимальное количество известных мне методов загрузки вирусов в операционной системе Windows.
Автозагрузка
Конечно же, первое по популярности расположение в операционной системе это автозагрузка. Автозагрузка — специализированное расположение в операционной системе, описываемое соответствующими ключами реестра а так же определенными каталогами в файловой системе, которое предназначается для автоматической загрузки исполняемых модулей на этапе загрузки операционной системы. Большой процент вирусов пытается прописать себя именно в автозагрузку методом модификации соответствующих ключей и расположений. Поэтому, для того, чтобы обнаружить вирус, достаточно пристально изучить списки программ, загружающихся с помощью данного системного механизма.
Автозагрузка в реестре
Windows 7:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
Определяет общесистемную ветку реестра, содержащую записи о программам, запускаемых при входе в систему любого пользователя. - HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun
Определяет пользовательскую ветку реестра, содержащую записи о программах, запускаемых при входе в систему конкретного пользователя. - HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
Определяет общесистемную ветку реестра, содержащую записи о 32-битных программах, загружаемых при входе в 64-битную систему любого пользователя. - HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Определяет общесистемную ветку реестра, содержащие записи о программам, запускаемых при входе в систему разово, то есть единожды. После единственного запуска ключи программ автоматически удаляются операционной системой из данного раздела. - HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
Определяет ветку реестра конкретного пользователя, содержащую записи о программах, запускаемых при входе в систему конкретного пользователя разово, то есть единожды. После единственного запуска ключи программ автоматически удаляются операционной системой из данного раздела. - HKEY_USERSSID_пользователяSoftwareMicrosoftWindowsCurrentVersionRun
Содержит копию основной ветви автозагрузки для пользователя системы, определяемого конкретным SID-идентификатором. Например HKEY_USERSS-1-5-21-792320725-696519568-570327587-7793SoftwareMicrosoftWindowsCurrentVersionRun. Если Вы проверяете систему из защищенного режима, либо с LiveCD, то не поленитесь проверить данный раздел для SID пользователя, который, предположительно, подхватил заразу.
Индивидуальные пути Windows 98/98SE/ME:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunServices
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
Индивидуальные пути Windows XP:
- HKCUSOFTWAREMicrosoftWindows NTCurrentVersionWindowsRun
Автозагрузка групповой политики (в реестре)
В системе присутствуют ключи реестра, которые используются для загрузки программ как части групповой политики компьютера/пользователя. Если политики не заданы, что обычно имеет место быть в случае типовой домашней станции, то подраздел пуст. Записи в нем создаются только по определенным условиям, например при использовании локальной или доменной групповой политики для загрузки программ. Программы из списка автозагрузки с использованием групповой политики не отображаются во вкладке Автозагрузка в утилите msconfig.exe
, могу предположить что и другие менеджеры автозагрузки могут не отображать эти записи, по этой то причине с целью обнаружения вируса, стоит заглянуть непосредственно в следующие ключи реестра:
- HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
Автозагрузка в файловой системе
Однако, автозагрузка вовсе не ограничивается ключами реестра. Как мы все прекрасно знаем, в Windows существует еще один (пожалуй основной) способ автоматически загрузить программу при старте операционной системы. В интерфейсе пользователя присутствует раздел Автозагрузка, который аккумулирует списки программ из специализированных расположений в файловой системе: каталогов с именем Startup
в профиле конкретного пользователя и профиле пользователя по-умолчанию. Помещая в это расположение ярлык программы либо непосредственно саму программу, можно легко добиться автозагрузки программы на стадии запуска. Меня всегда вот удивляло, почему нельзя универсализировать механизмы реестровой автозагрузки и пользовательской и объединить их? Почему в Windows присутствует именно несколько различных методов загрузки, мало того, что представлены специальные ветви реестра, так еще и предоставили каталоги? Немного поразмыслив, понял, что механизм с реестром позиционируется как «системный», а механизм с автозагрузкой в качестве «пользовательского», чтобы пользователю можно было тривиально, в два клика обеспечить своему приложению автозапуск. Представляете ситуацию объединения этих механизмов.. неподготовленный (рядовой) пользователь получал бы возможность видеть все специализированные утилиты, которые загружаются через реестр и мог бы (не)преднамеренно просто их поудалять. К тому же, не каждая программа способна загрузиться посредством записи в ключах реестра.
Конечно же, и этот механизм не смог обойтись без внимания вирусописателей, и некоторые вирусы используют механизм автозагрузки из каталога для добавления исполняемых модулей при первичном получении управления собственным кодом. Поэтому специалисту не лишним будет проверить следующие местоположения:
Версия | Размещение |
---|---|
Windows Vista/7 | Для текущего пользователя: %APPDATA%MicrosoftWindowsStart MenuProgramsStartup Для всех пользователей системы: %ProgramData%MicrosoftWindowsStart MenuProgramsStartup |
Windows 2000/XP | Для текущего пользователя: %UserProfile%Start MenuProgramsStartup Для всех пользователей системы: %AllUsersProfile%Start MenuProgramsStartup |
Однако описанные местоположения могут быть изменены через ключи реестра.
Для всех пользователей системы:
- ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerUser Shell Folders,
параметрCommon Startup
= %ProgramData%MicrosoftWindowsStart MenuProgramsStartup
Для текущего пользователя системы:
- ключ HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Folders,
параметрStartup
= %USERPROFILE%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Поэтому стоит иногда заглядывать в упомянутые ключи с целью проверки корректных значений установленных путей как составляющей общей стратегии по обнаружению вируса.
Загрузка на ранних стадиях
По задумке разработчиков некоторые сервисные утилиты, к примеру дефрагментаторы, программы проверки дисков, антивирусные сканеры, должны запускаться на раннем этапе процесса загрузки Windows, когда стартовали драйвера этапа загрузки (тип BOOT_START) и этапа системы (тип SYSTEM_START), но еще не инициализирован файл подкачки, переменные среды и не запущены некоторые подсистемы. В данной точке Диспетчер сеансов (Session Manager, smss.exe) только начинает разбирать переменные окружения пользовательского режима, поэтому никаких других процессов, понятное дело, еще не запущено. Однако, на данном этапе возможен запуск специально написанных образов, поддерживающих нативный (native) режим (использующих функции Native API).
Загрузка через Диспетчер сеансов настраивается в ключе реестра:
- ключ HKLMSystemCurrentControlSetControlSession Manager,
параметрBootExecute
= autocheck autochk *
Если в данном параметре Вы обнаружили дополнительные образы загрузки, присмотритесь к ним внимательнее, а что если это вирус? Только не удаляйте значение по умолчанию (autocheck autochk *), оно указывает на запуск утилиты проверки диска autochk
с модификатором autocheck, которая проверяет значение грязного бита (dirty bit), сообщающего о необходимости проверки раздела диска на наличие ошибок.
Hosts
Файл hosts — это системный конфигурационный (текстовый) файл, содержащий локальную базу доменных имен, используемую системой в процессе сопоставления имени хоста с IP-адресом и предназначающуюся для обеспечения возможности пользовательской настройки адресов отдельных узлов сети. Его еще можно назвать своеобразным локальным DNS-сервером. Предположим, у пользователя или какой-нибудь программы появится необходимость привязать имя домена example.com к IP-адресу 1.2.3.4, то он сможет это сделать именно благодаря внесению изменений в файл hosts. Запрос к записям из файла hosts имеет приоритет перед обращением к прописанным в системе DNS-серверам, что является немаловажным фактором. Надо ли объяснять, что для вирусов это достаточно интересная точка перенаправления трафика и модификация файла вирусом может привести к подмене адреса определенного доверенного узла. Существует категория вирусов, которая модифицирует файл hosts для маршрутизации запросов на фишинговые (поддельные) сайты, в точности эмитирующие страницы оригинальных сайтов [социальных сетей] с целью кражи паролей учетных записей, показа рекламных страниц, либо просто с целью блокировки доступа к определенным ресурсам. Поэтому, обнаружение в файле hosts сторонних записей может свидетельствовать о наличии в системе вредоносного кода, либо о разовой модификации записей вредоносным кодом, что может указывать на существование в системе серьезной уязвимости безопасности. Файл hosts по-умолчанию размещается в папке %SystemRoot%System32Driversetc и оригинальное его содержимое выглядит следующим образом:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
# Copyright (c) 1993—2009 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a ‘#’ symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host # localhost name resolution is handled within DNS itself. # 127.0.0.1 localhost # ::1 localhost |
Видите, все закомментировано (лидирующий символ #
в начале строки). В Windows 7 в файле hosts нет и одной реальной записи, только лишь примеры использования. В предыдущих версиях Windows правильный файл может содержать записи об интерфейсе локальной петли (localhost
), но не более.
А вот как выглядит модифицированный вирусом тот же файл hosts:
... 1.2.3.4 my.mail.ru 1.2.3.4 m.my.mail.ru 1.2.3.4 vk.com 1.2.3.4 ok.ru 1.2.3.4 m.vk.com 1.2.3.4 odnoklassniki.ru 1.2.3.4 vk.com 1.2.3.4 www.odnoklassniki.ru 1.2.3.4 m.odnoklassniki.ru 1.2.3.4 ok.ru 1.2.3.4 m.ok.ru 1.2.3.4 www.odnoklassniki.ru ... |
Можно увидеть, что доменные имена крупных российских социальных сетей перенаправлены на некий неизвестный хост 1.2.3.4. Поэтому, если Вы обнаружили в файле hosts подозрительные записи, которых Вы уж точно не добавляли, то можете их смело удалять. Однако, в случае, если они через некоторое время появляются вновь, можно с уверенностью говорить о наличии в системе активного вируса, одним из функциональных особенностей которого является периодическое обновление данных файла. Поскольку это не место загрузки вируса, а место модификации, то надо сперва обнаружить в системе сам активный код вируса и устранить причину, а затем уже следствие.
Ко всему прочему, само местоположение файла hosts в рамках системы может быть подвергнуто атаке и изменено. Задается оно соответствующим параметром в ветви реестра:
- ключ HKLMSystemCurrentControlSetServicesTcpipParameters,
параметрDatabasePath
= %SystemRoot%System32driversetc
..но вредоносный код, получивший привилегии локального администратора, может изменить значение параметра на собственное, ссылающееся совершенно в другое местоположение файловой системы. Обязательно проверьте данный параметр, и если Вы обнаружите в параметре DatabasePath
что-либо отличное от вышеуказанного значения, то стоит заменить значение на базовое.
DNS
DNS
(Domain Name System) — распределенная система доменных имен, которая используется для сопоставления IP-адреса с именем хоста (фактически получения IP-адреса на основе заданного имени). Для большинства рабочих окружений на основе операционной системы Windows это основной метод разрешения внешних (по отношению к локальной сети) имен хостов. Конечно же, он имеет меньший приоритет по сравнению с вышеописанным файлом hosts, тем не менее используется очень часто. С помощью (локального|внешнего) сервера DNS разрешаются символические имена узлов (например datadump.ru), к которым Вы обращаетесь в локальной|внешней сети, и которые не были разрешены другими, более приоритетными, методами. Существует категория вирусов, которые преднамеренно модифицируют параметры реестра, относящиеся к настройкам DNS-серверов с целью перенаправления сетевого трафика скомпрометированной машины на собственные сервера имен. В операционной системе Windows настройки DNS-серверов, к которым обращается модуль разрешения имен, хранятся в специальном ключе реестра:
- HKLMSYSTEMCurrentControlSetServicesTcpipParameters
параметры DhcpNameServer
и NameServer
которого должны содержать исключительно DNS-сервера, предоставляемые вашим локальным сетевым подключенным сетевым оборудованием (роутером/маршрутизатором), контроллером домена либо провайдером-поставщиком услуг доступа к сети Интернет.
Дополнительно, я бы проверил одноименные параметры для адаптеров и интерфейсов в следующих ключах реестра:
- HKLMSYSTEMCurrentControlSetServicesTcpipParametersAdapters{GUID}
- HKLMSYSTEMCurrentControlSetServicesTcpipParametersInterfaces{GUID}
Для того, чтобы проверить корректность адресов DNS-серверов, Вы должны просто-напросто знать адреса «своих» серверов, обычно это адреса из частных диапазонов подсетей: 192.168.0.0/16, 172.16.0.0/12 и 10.0.0.0/8, но не во всех случаях.
Для того, чтобы можно было посмотреть адреса DNS-серверов, можно выполнить из консоли (cmd) следующую команду:
ipconfig /all
которая сгенерирует вывод информации обо всех сетевых интерфейсах, сконфигурированных в вашей операционной системе:
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
. . . Ethernet adapter Подключение по локальной сети: DNS-суффикс подключения . . . . . : domain.com Описание. . . . . . . . . . . . . : Intel(R) 82579LM Gigabit Network Connection Физический адрес. . . . . . . . . : 24-BE-05-17-5D-79 DHCP включен. . . . . . . . . . . : Да Автонастройка включена. . . . . . : Да IPv4-адрес. . . . . . . . . . . . : 172.16.5.16(Основной) Маска подсети . . . . . . . . . . : 255.255.255.128 Аренда получена. . . . . . . . . . : 24 февраля 2016 г. 9:15:55 Срок аренды истекает. . . . . . . . . . : 4 марта 2016 г. 9:16:02 Основной шлюз. . . . . . . . . : 172.16.5.126 DHCP-сервер. . . . . . . . . . . : 172.16.2.197 DNS-серверы. . . . . . . . . . . : 172.16.0.23 172.16.1.23 NetBios через TCP/IP. . . . . . . . : Включен . . . |
Для того, чтобы найти в этом огромном потоке информации интересующие нас DNS-сервера, Вы можете найти в выводе тот интерфейс, который «смотрит» у вас в сеть Интернет, и изучить сопоставленные с ним параметры конфигурации. Стоит обратить внимание на значение параметра «DNS-серверы». Если Вы вдруг обнаружили «левые» адреса серверов, принадлежность которых сложно установить, то можете смело их удалять, либо менять на корректные.
Оболочка (Проводник)
С тех давних пор, как мир обленился и основная масса пользователей отказалась от текстового интерфейса в пользу графического, классическое понимание оболочки (shell
) определенным образом трансформировалось и в дополнение к своим типичным консольным характеристикам текстового режима приобрело дополнительные особенности в виде графической среды взаимодействия с операционной системой. Графическая оболочка пользовательского интерфейса операционной системы Windows, иначе называемая Проводником и представленная в системе файлом explorer.exe, включает в себя функционал различных элементов интерфейса пользователя, как то: рабочий стол, меню пуск, проводник (файловый менеджер), панель инструментов и некоторые другие элементы взаимодействия. Однако в Windows с целью расширения целевого применения операционной системы в качестве различных однооконных киосков, не стали жестко закреплять «родную» пользовательскую оболочку explorer.exe и дали пользователю свободу конфигурировать альтернативную оболочку посредством ключей реестра, чем и не преминули воспользоваться вирусописатели.
В реестре за настройку пользовательской оболочки отвечает ключ:
- ключ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,
параметрShell
= explorer.exe
Помимо оболочки есть еще параметр userinit
, который описывает программы, загружаемые процессом Winlogon на этапе входа пользователя в систему. По умолчанию, Winlogon запускает модуль под названием Userinit.exe, который запускает скрипты стадии загрузки, а уже только затем вызывает оболочку пользовательского интерфейса explorer.exe. Настройка хранится в том же ключе в параметре Userinit:
- ключ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon,
параметрUserinit
= C:Windowssystem32userinit.exe,
Обнаружение вируса в данном случае сводится к проверке наличия сторонних записей в данных ключах реестра.
Конфигурационные ini-файлы
Вплоть до современных версий в системе Windows все еще присутствует такой рудимент из прошлого, как конфигурационные ini-файлы. Речь у нас идет о следующих файлах:
- %SystemRoot%system.ini
- %SystemRoot%win.ini
В старых версиях Windows ini-файлы активно использовались в качестве основного механизма конфигурации системы, в том числе и для автозагрузки. В современных же версиях Windows система загружает некоторые параметры из указанных ini-файлов в реестр, используя так называемое отображение (сопоставление), задаваемое в следующем ключе реестра:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionIniFileMapping
Отображение (маппинг) осуществляется следующим образом:
- Переменные Run и Load из секций
[boot]
,[windows]
файла win.ini, проецируются в ключ реестра HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows. Таким образом, данные параметры операционная система обрабатывает как элементы автозагрузки, то есть как если бы они находились в секции[windows]
файла win.ini. - Переменная Shell из файла system.ini проецируется в HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon.
Отображение используется в целях совместимости с устаревшим программным обеспечением, которое знает про существование ini-файлов, однако не имеет никакого представления о том, что такое реестр. В случае подобного кода, который работает через совместимые функции Win16/Win32 API, функции эти получают информацию не из описанных файлов напрямую, а уже из соответствующих сопоставленных ключей реестра. Как мы можем догадаться, механизм этот оставлен разработчиками исключительно в целях совместимости с устаревшим интерфейсом Win16
, который не рекомендуется к использованию в современных реалиях Win32
. Но, как говорится, что работает, то может быть использовано, поэтому вирусы иногда задействуют данный механизм.
Фильтры выполнения оболочки
Так называемые фильтры выполнения оболочки (Shell Execute Hooks) предоставляют программный метод, который расширяет функционал системных функций ShellExecute
и ShellExecuteEx
. Конфигурацию фильтров в реестре можно найти в разделах:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
- HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks
Записи зачастую содержат идентификаторы CLSID
, ссылающиеся на ключи HKLMSOFTWAREClassesCLSID{CLSID}, в которых в параметрах InprocServer32
содержится информация о конкретном исполняемом модуле фильтра.
Фильтры выполнения оболочки не рекомендованы к использованию начиная с Windows Vista.
Объекты загрузки оболочки
Объекты загрузки оболочки (SSO/Shell Service Object) — это библиотеки, которые в процессе загрузки пользовательского окружения загружаются системной программой оболочки explorer.exe в качестве так называемых собственных расширений проводника. Функционируют в контексте родительского процесса проводника (explorer.exe) и загружаются до авторизации пользователя в системе.
В реестре представлены ключами:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellServiceObjects
- HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionExplorerShellServiceObjects
В дополнение к вышеописанным, имеются еще так называемые объекты отложенной загрузки оболочки (SSODL/Shell Service Object Delay Load), обычно представляющие из себя типичные библиотеки DLL. Описываются ключом реестра:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad
параметры данного раздела — это имена объектов оболочки, которые записываются в форме:
Имя_объекта
= CLSID (например: WebCheck
= {E6FB5E20-DE35-11CF-9C87-00AA005127ED})
Как мы видим, имена ссылаются на идентификаторы CLSID, которые можно найти в разделе HKLMSOFTWAREClassesCLSID{CLSID}, где информация о местоположении исполняемого файла оболочки содержится в параметре InprocServer32
.
Уведомления оболочки
В Windows имеется механизм под названием Winlogon Notification Packages или Уведомления оболочки. Механизм уведомлений используются для запуска программ при возникновении предопределенных системных событий. События подразделяются на: вход (logon), выход (logoff), запуск (startup), завершение (shutdown), запуск хранителя экрана (startscreensaver) и останов хранителя экрана (stopscreensaver). Когда модуль Winlogon стартует, он проверяет реестр и загружает зарегистрированные пакеты уведомления оболочки (представленные в виде .dll
-библиотек). Приведенные события генерируются самим процессом Winlogon.exe на разных стадиях своего функционирования. Когда событие возникает, Winlogon в параметрах ключа Notify
ищет функцию обработчика того или иного события. Вирусы обычно загружают себя по событию входа пользователя (logon) в операционную систему.
Ответственный ключ реестра:
- HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify
Модули (библиотеки) инициализации приложений
App Init DLLs
— это системный механизм, который позволяет загружать произвольный список библиотек в адресное пространство каждого пользовательского процесса, использующего библиотеку user32.dll (а её функции используют практически все программы). Все начинается с загрузки user32.dll. Поскольку это типовая библиотека, входящая в состав базового набора поддержки подсистемы Win32 API, она загружается стандартным механизмом LoadLibrary
. Загрузчик образа вызывает функцию DllEntryPoint
библиотеки user32.dll, которая в недрах своего алгоритма содержит процедуру сканирования ключа реестра AppInit_Dll
, которая загружает все перечисленные в ключе библиотеки в виртуальное адресное пространство процесса, а затем поочередно вызывает для каждой из них процедуру инициализации. Именно таким образом перечисленные библиотеки получают управление. Этот механизм так же носит название DLL injection
, или внедрение динамической библиотеки. Естественно, если какое-либо приложение не использует стандартную библиотеку user32.dll, то никакие библиотеки, описанные в ключе AppInit_Dll в его адресное пространство загружены не будут. Согласитесь, что подобный функционал очень интересен для разнообразного злонамеренного кода. Поэтому, после всех проблем, которые доставил данный механизм в плане безопасности операционной системы, начиная с Windows 7 разработчики решили добавить необходимость подписания кода загружаемых библиотек. А в последствии грозятся и вовсе перейти на загрузку только лишь подписанных библиотек.
Later versions of Windows will load only code-signed AppInit DLLs and will not include a registry key to disable this requirement.
Информация об активном механизме, а так же списках загружаемых библиотек хранится в следующих ключах.
- для 32-битных DLL, функционирующих в 32-битной системе:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
параметрAppInit_DLLs
- Для 64-битных DLL, функционирующих в 64-битной системе:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows
параметрAppInit_DLLs
- Для 32-битных DLL, функционирующих в 64-битной системе:
HKLMSOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionWindows
параметрAppInit_DLLs
Параметр содержит множество значений, разделенных пробелом либо запятой, каждое из которых описывает отдельную библиотеку.
Работать с данным ключам надо предельно внимательно, и хорошо себе представлять происходящее. Дело в том, что параметр может содержать модули вполне легальных приложений (антивирусы, клиенты виртуализации и прочее). Поэтому, не стоит спешить с массовым удалением всех присутствующих программ, и следует быть предельно аккуратным с очисткой данного параметра. Я думаю, в самом общем случае, алгоритм обнаружения вируса и очистки должен быть следующим: находим первую запись, определяем [гуглим] принадлежность модуля, если вирус — удаляем, если легальный — оставляем, и так по всем записям списка.
Известные библиотеки
В операционных системах Windows (начиная с Windows 95/NT) присутствует механизм под названием KnownDLL
(известные библиотеки), в основном предназначающийся для кеширования часто используемых системных DLL с целью сокращения общего времени загрузки приложений (увеличения производительности). Помимо основного применения, механизм обеспечивает довольно интересный дополнительный функционал, который позиционируется как средство обеспечения безопасности. Оно позволяет предотвращать такой хитрый трюк, как загрузка дубликатов известных системных библиотек непосредственно из директории самого приложения. Поместил злоумышленник, к примеру, свою копию библиотеки wininet.dll в директорию приложения, которое данную библиотеку использует, и по идее данная библиотека должна загрузиться приоритетно, поскольку находится в директории загружаемого приложения, ан нет, механизм KnownDLL
загрузит её из %SystemRoot%System32wininet.dll. Когда загрузчик образов подготавливает бинарный файл к выполнению, он смотрит в таблицу импорта и перечисляет библиотеки, которые используются загружаемым приложением. Для каждой библиотеки, которую загрузчик находит в таблице импорта, он пытается спроецировать библиотеку в адресное пространство процесса, для того, чтобы сделать функции библиотеки доступными основному приложению. Однако на этом же этапе загрузчик просматривает контейнер системных объектов KnownDLL
и ищет в нем объект с именем KnownDlls<имя_библиотеки>
, в случае существования которого, вместо подгрузки DLL непосредственно из текущего местоположения, загрузчик использует информацию объекта.
Описание секций присутствует в ключе реестра:
- HKLMSystemCurrentControlSetControlSession ManagerKnownDLLs
Если Вы внимательно изучите содержимое ключа, то заметите, что все перечисленные в нем DLL не имеют полного пути, поскольку по задумке разработчиков располагаются в директории %SystemRoot%System32 (задается ключом DllDirectory
). Это поднимает уровень безопасности, поскольку теперь чтобы вирусу прикинуться известной библиотекой и использовать механизм KnownDLL, ему потребуются еще и права записи на системную папку. Создание секций KnownDlls<имя_библиотеки> для каждой DLL происходит на этапе загрузки операционной системы специализированным кодом, который просматривает описанный выше ключ и создает соответствующие секции. Поэтому, обнаружение вируса, использующего механизм KnownDLL
, сводится к просмотру записей о библиотеках в описанном выше ключе и удалении модулей, вызывающих подозрение.
Параметры загрузки образов
Среди множества прочих, в системе реализован механизм под названием параметры загрузки образов (IFEO, Image File Execution Options), позволяющий контролировать некоторые аспекты запуска исполняемых образов (исполняемых файлов). Фактически он предоставлен разработчиками в целях отладки собственных программ. Одной из особенностей данного механизма является возможность перехватывать вызовы к исполняемому образу (программе), что дает неограниченные возможности по полному контролю запускаемого приложения, в том числе подмене его собственным кодом.
Настройки параметров загрузки хранятся в ключах реестра:
- HKLMSOFTWAREMicrosoftWindows NTCurrentVersionImage File Execution Options;
- HKLMSOFTWAREWow6432NodeMicrosoftWindows NTCurrentVersionImage File Execution Options;
Данные разделы реестра содержат подключи, указывающие на имена загружаемых образов, которые, в свою очередь, содержат параметры, описывающие разнообразные опции для запуска той или иной программы. В контексте текущей статьи все параметры описывать нет никакого резона, скажу только, что со стороны вредоносного кода интересным будет использование параметра Debugger
, который должен указывать, по версии разработчиков, на отладчик, запускаемый каждый раз, когда описанное приложение будет стартовать. Иными словами, например, если в ключе explorer.exe
создать параметр Debugger
(типа REG_SZ) и присвоить ему значение myapp.exe, то каждый раз при загрузке системой проводника будет запускаться указанное приложение с параметрами командной строки, указывающими на исходную программы и переданные уже ей параметры. Таким вот незатейливым способом вирусы могут подменять различные ключевые системные модули собственными. В этом случае, подозрительным с точки зрения безопасности будет факт присутствия в каком-либо модуле параметра Debugger
, указывающего на подозрительное приложение.
Зачастую таким образом вирусами перехватывается запуск проводника (explorer.exe), поэтому при нахождении в описанных выше ключах реестра подключа explorer.exe
можете смело его удалять.
Предзагрузка командного интерпретатора
Если командный интерпретатор (cmd.exe) запускается без параметра командной строки /D, то код интерпретатора вначале проверяет следующие ключи реестра:
- ключ HKLMSoftwareMicrosoftCommand Processor,
параметрAutoRun
- ключ HKCUSoftwareMicrosoftCommand Processor,
параметрAutoRun
..и если параметр AutoRun
присутствует хотя бы в одном из описанных ключей, то указанный в параметре исполняемый образ загружается непосредственно перед загрузкой самого cmd.exe. Параметры пользователя имеют приоритет перед параметрами компьютера. Данную особенность активно эксплуатируют разного рода вирусы, поэтому стоит проверять вышеуказанные ключи реестра в обязательном порядке.
Планировщик заданий (Shared Task Scheduler) — системный компонент, предоставляющий возможность планирования выполнения заданий (программ или скриптов) в системе на основе большого количества всевозможных критериев. Другими словами, планировщик заданий отвечает за автоматический запуск пользовательских и системных задач, запланированных по определенным условиям. Подобные задания зачастую связаны с запуском внешних приложений, поэтому не сложно догадаться, что это достаточно интересный механизм для некоторых категорий вирусов. К примеру, код вируса может создать собственную задачу, которая будет с определенной периодичностью подменять системные DNS-сервера (кстати воочию подобное наблюдал).
Для контроля заданий нам потребуется запустить планировщик. Запускается планировщик заданий разными способами, но один из самых универсальных это запуск через цепочку Панель управления — Администрирование — Планировщик заданий. При запуске планировщика в Windows 7 открывается стандартный интерфейс апплета:
Для просмотра сторонних запланированных задач, выделяем пункт Библиотека планировщика заданий 1
, затем ставим курсор (выделяем) на пункт задания в области списка заданий 2
, смотрим вкладку действия 3
для каждого заинтересовавшего нас задания, с целью выяснить, какие же действия оно выполняет. Откровенно подозрительными обычно являются задания, которые производят запуск исполняемых модулей неизвестного назначения (с невнятными именами) из таких местоположений, как %LOCALAPPDATA% и вложенных подкаталогов (например: C:Users<имя_пользователя>AppdataLocalwupdatewupdate.exe). При обнаружении подобного подозрительного или откровенно вредоносного задания, просто удаляем его из списка задач.
Windows Vista+:
Начиная с версии Windows Vista, задачи создаются в виде отдельных файлов формата XML (с расширением .xml
). Размещаются планируемые задачи в нескольких местоположениях операционной системы:
- Каталог C:WindowsSystem32Tasks;
- Каталог C:WindowsTasks;
- Ключ реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionScheduleTaskcacheTasks;
- Ключ реестра HKLMSoftwareMicrosoftWindows NTCurrentVersionScheduleTaskcacheTree;
Windows 2000/XP:
В данных версиях операционных систем задачи можно было найти в реестре, в следующей ветви:
HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerSharedTaskScheduler
Службы [Сервисы] и драйверы
Службы (Сервисы) — это приложения, автоматически или по возникновению определенных событий, запускаемые в фоновом режиме на различных стадиях загрузки операционной системы, обеспечивающие основные функциональные возможности ОС. Как правило, службы (сервисы) не взаимодействуют с графическим интерфейсом пользователя, поэтому говорится, что они не имеют графического интерфейса, и работа их в большинстве случаев не заметна для пользователя. Служба, в зависимости от настроек, может быть запущена автоматически при загрузке операционной системы, поэтому начать функционирование она может до того момента, как пользователем будет произведен вход в Windows. Основная задача по обнаружению вируса, который установил в систему собственную службу, состоит в том, чтобы просмотреть весь список запускаемых служб и детально изучить его на предмет наличия подозрительных сервисов. С этой целью можно использовать знакомую уже многим оснастку Службы, вызвав её следующим образом:
Нажать комбинацию Win + R и вписать в строку services.msc
, затем нажать ОК. После этого мы видим примерно следующее:
Для полноты восприятия переключаемся в стандартный вид (1), далее сортируем службы по столбцу «Состояние», просто щелкнув на нём (2), тем самым выстроив сначала службы, которые в данный момент работают. И среди работающих служб начинаем искать те, которые могут показаться нам подозрительными. В случае нахождения подозрительной службы можно попробовать её выделить (3), нажать правую кнопку и попытаться остановить (4), выбрав одноименный пункт меню. После остановки службы можно зайти в «Свойства» и изменить Типа запуска (StartUp Type) на Отключено (Disabled), перезагрузив затем операционную систему.
На самом деле, можно смело утверждать, что практически с нулевой вероятностью «родные» системные сервисы от Microsoft вызовут у нас подозрение, поэтому хорошая практика, в данном случае, состоит в том, чтобы отфильтровать как-либо образом сторонние службы, написанные третьими лицами и вот уже среди них провести проверку. Визуально отличить стороннюю службу (коей обычно и является вирус) от системной можно при наличии определенных знаний, но не у всех они имеются, поэтому существует более надежный и простой способ с участием утилиты msconfig (Конфигурация системы). Из командной строки с правами локального администратора запускаем команду:
msconfig
открывается окно утилиты конфигурирования системы. Переходим во вкладку «Службы» — выделяем чекбокс Не отображать службы Microsoft, затем щелкаем по столбцу «Состояние», дабы отсортировать работающие службы в начало списка. В итоге у нас получится список из служб сторонних разработчиков такого вот примерно вида:
А вот уже среди отфильтрованных (оставшихся) служб можно проводить детальный анализ.
Скрытые службы
На самом деле иногда все бывает гораздо сложнее, поскольку при определенных настройках безопасности службы и применении некоторых других методов, сервисы могут быть «скрыты». Подобные скрытые службы Вы не обнаружите при помощи традиционного инструментария (например: оснастка «Службы»). Исходя из этого более надежным, на мой взгляд, решением видится самостоятельный анализ ветви реестра текущей конфигурации:
- HKLMSYSTEMCurrentControlSetServices
В данном разделе реестра определены и службы и драйвера, инсталлированные в данный момент в операционной системе
Каждый ключ реестра в данной ветви — это запись о драйвере либо сервисе, который определен в операционной системе. В каждом ключе может содержать вложенные ключи, которые описывают дополнительные параметры конфигурации драйвера/службы.
На что стоит обращать внимание:
- параметр
Description
— содержит либо осмысленное имя службы/драйвера, либо указание на библиотеку вида @%SystemRoot%system32AxInstSV.dll,-104. - параметр
DisplayName
— содержит либо осмысленное отображаемое имя службы/драйвера, либо указание на библиотеку. - параметр
DriverPackageId
— содержит указание на .inf-файл драйвера. - параметр
ImagePath
— содержит полный путь и имя файла образа загрузки для службы/драйвера. Многие службы группируются в рамках единого процесса svchost.exe, в этом случае содержат что-то вроде: %SystemRoot%system32svchost.exe -k AxInstSVGroup. Зачастую у драйверов имя файла образа имеет расширение .sys, у служб обычно .exe, но это не обязательное правило.
Алгоритм нахождения сторонних записей состоит в прохождении каждого ключа и беглого анализа содержимого. В случае, если Вам показалась странной какой-либо ключ, не спешите удалять его, поскольку он может оказаться важным системным драйвером/службой. В случае неясности, перво-наперво, было бы логичным проконсультироваться у поисковиков на предмет получения дополнительных знаний
Если уж быть совсем скрупулезным, не лишним будет просмотр и сопутствующих ветви реестра различных вариантов конфигурации (хотя это не обязательно):
- HKLMSYSTEMControlSet001Services
- HKLMSYSTEMControlSet002Services
- HKLMSYSTEMControlSet003Services
С появлением 64-битных сборок Windows, процедура запуска не подписанного драйвера крайне осложнилась, а затем эту возможность перевели в предзагрузку. Теперь, чтобы запустить драйвера в 64-битной системе, необходимо наличие у него цифровой подписи. В связи со всеми этими нововведениями, протащить в систему сторонний драйвер стало достаточно проблематично. Конечно же, возможно имеются доступные открытые ключи, которыми можно подписывать собственные драйвера, однако непонятна их дальнейшая судьба в случае их активной эксплуатации. Основываясь на данных фактах, можно предположить, что в будущем использование драйверов с вредоносным кодом и вовсе сойдет на нет.
В случае обнаружения службы/драйвера вируса полностью удалить её из системы можно либо удалением соответствующего ключа реестра, либо командой:
sc delete имя_службы
Internet Explorer
Безо всякого сарказма это браузер с мировым именем На этой содержательной фразе можно было бы и остановиться, однако даже столь емкий термин не может в полной мере отразить весь тот огромный узел разнородных проблем, которых породили разработчики браузера самим фактом его создания. Пожалуй, можно смело утверждать, что браузер корпорации Microsoft является самой большой дырой в безопасности системы (на 2016 год почти восемь сотен обнаруженных уязвимостей). Восхождение звездного продукта началось с вытеснения в 1997 году конкурента под названием Netscape Navigator. Стратегическое решение было принято в связи со всё возрастающей ролью сети Интернет, и необходимостью более глубокой внутренней интеграцией обозревателя в систему. Вероятно, сама идея была действительно хорошая, поскольку продукт получился весьма функциональным, но как в последствии стало ясно, с очень непродуманной архитектурой. Практически постоянно можно наблюдать обход настроек безопасности, неправильную обработку внешних файлов, спуфинг, неавторизованную установку расширений. Зачастую уязвимости связаны с внешними плагинами типа Flash Player
и Java
, однако отсутствие изоляции процессов и собственной (встроенной) обработки флеш и явы делает сам браузер беспомощным. Последнее время Microsoft работают над новым браузером, который будет носить название Edge, вот только будет ли он сохранять совместимость?
Подключаемые протоколы
В браузере Internet Explorer есть возможность добавлять так называемые подключаемые протоколы, которые могут быть сконфигурированы пользователем в дополнение к стандартным. Протоколы предназначены для расширения функционала браузера и фактически позволяют определить метод доступа к внешним ресурсам исходя из пользовательских критериев, то есть по вашему собственному протоколу, задавая специфический префикс URL
. Протокол сопоставляет поведение браузера и логики работы с символической короткой строкой вида mailto:
или http:
.
- ветвь HKLMSOFTWAREClassesPROTOCOLS содержит описание специализированных фильтров и обработчиков.
- подветвь HKLMSOFTWAREClassesPROTOCOLSHandler содержит подключи, описывающие обработчики протоколов. подключи представляют собой имена обработчиков, в которых имеется параметр
CLSID
, указывающий на соответствующийCLSID
обработчика. - подветвь HKLMSOFTWAREClassesPROTOCOLSFilter содержит подключи, описывающие фильтры протоколов. подключи представляют собой имена фильтров, в которых содержится параметр
CLSID
, указываются на соответствующий CLSID фильтра.
Как мы видим, классически все эти указанные в подразделах CLSID указывают на тот же CLSID
в ключе HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{CLSID}, а вот уже внутри информация о местоположении самого исполняемого модуля содержится в параметре InprocServer32
. Обнаружение вируса сводится к просмотру и нахождению подозрительных обработчиков и фильтров.
Элементы управления ActiveX для Internet Explorer
ActiveX — это механизм (дополнение), благодаря которому Internet Explorer может использовать другие системные приложения. При помощи него обеспечивается расширение функциональных возможностей браузера и, тем самым, достигается «лучшее взаимодействие» с веб-ресурсом. Например, через IE онлайновый антивирус посредством собственного ActiveX-компонента сканирует локальные файлы [на машине], сайт Microsoft Update устанавливает через свой ActiveX-компонент обновления безопасности в систему, ресурс может вызывать Windows Media Player для проигрывания звуковых форматов, вызывать QuickTime для воспроизведения анимации и так далее. Конечно же, данной технологией не могли не заинтересоваться вирусописатели, разрабатывающие вредоносные ActiveX-компоненты, которые обычно устанавливаются для последующей загрузки дополнительного программного обеспечения без вашего ведома. Все элементы ActiveX
, которые инсталлируются через Internet Explorer, попадают сперва в директорию %Windir%Downloaded Program Files. Обычно это модули типов .exe
, .dll
, .ocx
, .cab
и сопутствующие .inf
. Кроме самого исполняемого модуля (или архива), сюда же попадает и .inf-файл, описывающий процесс инсталляции, при участии которого и выполняется установка ActiveX-компонента в систему. Устанавливаемые таким образом элементы могут регистрировать себя в системе в качестве полноценных приложений. Для самостоятельного поиска вируса нам потребуется простой механизм по изучению списка ActiveX-элементов, установленных в системе. Существует ключ реестра, который содержит списки идентификаторов ActiveX, установленных для IE:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionExtPreApproved
Однако ключ (как всегда) содержит одни лишь голые идентификаторы, поэтому для установления ассоциации с исполняемыми модулями нам (опять) предстоит вручную проверять каждое значение CLSID
в другом ключе реестра HKEY_CLASSES_ROOTCLSID и изучать для каждого CLSID
подключ InprocServer32
.
Общие параметры сети в Internet Explorer
Разнообразные настройки для сети Интернет можно обнаружить в следующем ключе:
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings
В ключе содержится большое количество параметров, и ниже посмотрим на какие же подключи стоит обратить особое внимание.
Сайты и протоколы Internet Explorer
Сайты и протоколы, добавленные в зону «Надежные узлы» (Trusted Zone). Обычно добавление в данную зону позволяет перечисленным в списке сайтам обходить некоторые виды проверок безопасности, то есть считаться более доверенными.
Используемые ключи реестра:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomains
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapProtocolDefaults
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet SettingsZoneMapProtocolDefaults
Об обнаружении вируса в системе может говорить наличие в описанных выше ключах записей о сторонних (неизвестных вам) ресурсах, назначение которых пользователю сложно определить.
Настройки прокси сервера
В ключе:
- HKCUSOFTWAREMicrosoftWindowsCurrentVersionInternet Settings
..параметр ProxyServer
обычно отсутствует. В случае же наличия параметра следует понять, легальный ли это прокси и нужен ли он вам в работе?
Browser Helper Objects (BHO)
Browser Helper Object (Объект помощи браузеру, помощник браузера) — исполняемый модуль DLL, написанный в виде плагина для браузера Internet Explorer, предназначающийся для обеспечения дополнительного функционала, стандартно не поддерживаемого браузером. Вне зависимости от расширения практически всегда представляют собой обычные DLL библиотеки, которые загружаются вместе с браузером и работают в контексте основного процесса браузера. По этой причине разнообразная подозрительная активность зачастую остается незамеченной некоторыми персональными фаерволами. Вирусы могут инсталлировать BHO
, отслеживающие защищенные соединения и мониторящие пароли, либо записывающие активность пользователя при посещении определенных интернет-ресурсов. С точки зрения вируса подключить BHO
к браузеру Internet Explorer достаточно просто, для этого достаточно стандартными средствами зарегистрировать класс BHO и прописать ссылку на него в специальном ключе реестра:
- HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
- HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects
подразделы ключа имеют имя-значение GUID
и ссылаются на одноименный компонент.
Плагины Internet Explorer
Плагины Internet Explorer — это небольшие программные модули, загружаемые при старте браузера с целью добавления браузеру определенных функциональных возможностей. Обычно используются для визуализации различного нестандартного контента: проигрывания специфических форматов видео, аудио и прочих.
Используемый ключ реестра:
- HKLMSOFTWAREMicrosoftInternet ExplorerPlugins
подразделы описывают различные разделы плагинов.
Панели инструментов Internet Explorer
Панели инструментов Internet Explorer — это дополнения для браузера, которые позволяют создавать и добавлять отдельные пользовательские панели, наборы инструментов или даже отдельностоящие панели рабочего стола в различные местоположения окна браузера: командную строку, строку закладок, меню, системную панель задач, а так же в прочие управляющие элементы. Распространены ситуации, когда панели инструментов создаются установленными в браузер BHO.
Ответственные ключи реестра:
- HKLMSOFTWAREMicrosoftInternet ExplorerToolbar
- HKCUSOFTWAREMicrosoftInternet ExplorerToolbar
- HKLMSOFTWAREWow6432NodeMicrosoftInternet ExplorerToolbar
содержит подразделы в виде GUID
, которые ссылаются непосредственно на компоненты.
Расширения Internet Explorer
Расширения для Internet Explorer (Addons, Аддоны) — это специальная категория дополнений, которые используются для добавления элементов к пользовательскому интерфейсу браузера. Возможна модификация главной панели инструментов с целью реализации на этой панели разнообразных отдельностоящих кнопок и полноценных меню. Кнопки панели инструментов могут запускать приложение, скрипт или открывать новую панель. Меню (иногда называемые сервисами), могут создавать пользовательское подменю в меню «Сервис» или «Справка» на панели инструментов браузера. Очевидно, что меню (сервисы) и кнопки сами по себе опасности не представляют ровно до того момента, пока не будет задействован их (возможный) деструктивный функционал, например непосредственным нажатием на компонент. Ведь это всего лишь ссылки, но вот после нажатия (активации) ссылка вызывает закрепленную функциональную процедуру, которая не всегда может выполнять легитимные действия.
С определенной версии IE все расширения браузера можно увидеть в подразделе «Панели инструментов и расширения» специализированного апплета Надстройки
, до которого можно добраться через «Свойства обозревателя» — «Программы»- «Настроить надстройки»:
Другой способ предусматривает запуск браузера Internet Explorer из командной строки с параметром -extoff
:
iexplore.exe -extoff
Поскольку при подобном типе запуска браузер позволяет увидеть все без исключения (и нормальные и скрытые) расширения.
Используемые ключи реестра:
- HKLMSOFTWAREMicrosoftInternet ExplorerExtensions
- HKCUSOFTWAREMicrosoftInternet ExplorerExtensions
- HKLMSOFTWAREWow6432NodeMicrosoftInternet ExplorerExtensions
Подразделы представляют из себя (традиционно) идентификаторы CLSID
, в которых вложенными ключами описываются расширения.
Пункты меню Internet Explorer
Возможно добавить дополнительные пункты в контекстное меню браузера Internet Explorer. Обычно этот тип меню можно увидеть, нажав правую кнопку мыши на какой-либо активной ссылке, расположенной на странице, отображаемой в данный момент в окне браузера.
В реестре настройка меню представлена по следующему пути:
- HKCUSOFTWAREMicrosoftInternet ExplorerMenuExt
- HKLMSOFTWAREMicrosoftInternet ExplorerMenuExt
Подразделы имеют наименование пунктов меню. Параметр «по умолчанию» каждого подраздела указывает на функциональный модуль, ответственный за конкретный пункт меню.
Дополнительные параметры Internet Explorer
С определенной версии IE существует возможность модифицировать содержимое вкладки Дополнительно в свойствах обозревателя (Свойства обозревателя — Дополнительно), добавив туда новую группу настроек.
Ответственный ключ реестра:
- HKLMSOFTWAREMicrosoftInternet ExplorerAdvancedOptions
подключи описывают группы параметров во вкладке Дополнительно.
Стартовая страница
Стартовая (начальная) страница отображается в первой (самой левой) стартовой вкладке окна браузера непосредственно после запуска.
Используемые ключи и параметры реестра:
- ключ HKLMSOFTWAREMicrosoftInternet ExplorerMain,
параметрStart Page
- ключ HKCUSOFTWAREMicrosoftInternet ExplorerMain,
параметрStart Page
- ключ HKEY_USERSSID_пользователяSOFTWAREMicrosoftInternet ExplorerMain,
параметрStartPage
Страница поиска
- HKLMSOFTWAREMicrosoftInternet ExplorerMain,
параметрSearch Page
- HKCUSOFTWAREMicrosoftInternet ExplorerMain,
параметрSearch Page
Страница по умолчанию
Страница по умолчанию — страница, открываемая при нажатии на пиктограмму с изображением «домика» (располагающуюся справа от строки адреса).
Используемые ключи и параметры реестра:
- HKLMSOFTWAREMicrosoftInternet ExplorerMain,
параметрDefault_Page_URL
- HKCUSOFTWAREMicrosoftInternet ExplorerMain,
параметрDefault_Page_URL
= что-то вроде http://go.microsoft.com/fwlink/p/?LinkId=255141
Префикс по умолчанию
Описывает префикс, который добавляется к адресу при отсутствии явного указания префикса URL пользователем в строке адреса. Обычно в IE используется приставка http://
.
Используемый ключ и параметр реестра:
- HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLDefaultPrefix,
параметр@
=http:// - HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionURLPrefixes,
параметрыftp
,home
,mosaic
,www
Трансляция неизвестных адресов
Интерфейс IURLSearchHook
раскрывает метод, используемый браузером для трансляции адресов, содержащих неизвестный или не указанный (не конкретизированный) непосредственно протокол. Примером может служить ситуация, когда в адресной строке браузера вводится адрес, не содержащий префикса http://
. Для начала Internet Explorer пытается самостоятельно определить протокол используя оригинальный адрес. В ситуации, когда браузер не имеет возможности определить протокол адреса в адресной строке, он вызывает URLSearchHook
, создает объекты URL Search Hook (которые зарегистрированы в системе) и вызывает для каждого объекта метод трансляции до тех пор, пока URL не будет оттранслирован или все фильтры не будут обработаны.
Настройка трансляции производится в ключе реестра:
- HKCUSOFTWAREMicrosoftInternet ExplorerURLSearchHooks
Параметры имеют имена CLSID
, ссылающиеся на ключи HKLMSOFTWAREClassesCLSID{CLSID}, в которых в параметрах InprocServer32
содержится информация о трансляторе. По-умолчанию это C:WindowsSystem32ieframe.dll.
Устаревшие (необрабатываемые, исключенные) настройки Internet Explorer
Данная группа параметров активно использовалась в устаревших ныне версиях браузера (5/6/7/8) и в современных либо не используется, либо заменена другими механизмами конфигурирования:
- HKLMSOFTWAREMicrosoftInternet ExplorerSearch,
параметрSearchAssistant
- HKLMSOFTWAREMicrosoftInternet ExplorerSearch,
параметрCustomizeSearch
- HKCUSOFTWAREMicrosoftInternet ExplorerSearch,
параметрCustomizeSearch
Передача запроса поисковой системе. Когда в адресной строке браузера IE вводится что-либо, не соответствующее формату типового URL-адреса, то браузер передает строку заданной по умолчанию поисковой системе. Для подобных целей используется ключ реестра:
- HKCUSOFTWAREMicrosoftInternet ExplorerSearchURL,
параметрDefault
или ((По умолчанию)
)
Собственный заголовок окна. В старых версиях IE у окна браузера постоянно выводился заголовок, так вот для того, что бы иметь возможность задавать собственный заголовок окна браузера, был введен специализированный параметр реестра:
- HKCUSOFTWAREMicrosoftInternet ExplorerMain,
параметрWindow Title
Отображение результатов поиска в главном окне/окне поиска браузера. Еще один устаревший параметр, который позволял изменить стиль отображения результатов поиска:
- HKCUSOFTWAREMicrosoftInternet ExplorerMain,
параметрSearch Bar
Ориентировочно до версии IE6 в коде обозревателя присутствовал Мастер подключения к Интернету:
- HKCUSOFTWAREMicrosoftInternet Connection Wizard,
параметрShellNext
где он теперь?
Локальная групповая политика
Время от времени модификации вредоносным кодом подвергаются файлы локальной групповой политики. В принципе, это достаточно привлекательный системный механизм для вирусописателей, поскольку модифицировав каким-либо образом локальную групповую политику, можно добиться автоматического внесения изменений в реестр. Например, на практике попадались методы заражения, которые подразумевали модификацию локальной групповой политики (а именно файла registry.pol) с целью последующего внесения изменений в те или иные ключи реестра. Например, часть конфигурации локальной групповой политики под названием «локальный компьютер» располагается по пути:
- %SystemRoot%System32GroupPolicyMachineregistry.pol
.. и если вредоносный код добавит туда, скажем, исключения для того же Защитника Windows или брендмауэра, то данные исключения каждый раз при применении групповой политики будут добавляться в соответствующие ключи реестра. Поэтому, лишний раз не поленитесь проверить содержимое файла registry.pol на предмет наличия подозрительных записей, и при обнаружении таковых, можно смело удалять последний.
Многоуровневый поставщик услуг
Winsock LSP
(Layered Service Provider) — многоуровневый поставщик услуг, Windows Sockets версии 2.0, предоставляющий возможность пользователю подключать собственные библиотеки DLL для обработки вызовов Windows Sockets API. Обычно поставщик занимается обработкой низкоуровневых задач, связанных с сетевым трафиком. Поставщик обрабатывает данные, передаваемые по протоколу TCP/IP
, который используется для связи с локальной сетью и сетью Интернет. В процессе приема/передачи данных по протоколу TCP/IP, информация последовательно проходит по цепочке через все зарегистрированные в стеке TCP/IP поставщики (по структуре обычные DLL-библиотеки, которые используют Winsock API). Каждый поставщик может как угодно модифицировать проходящие данные и адреса. Таким образом, механизм LSP
используется для вполне легитимных действий над трафиком и пространством имен, таких как подсчет трафика, антивирусная проверка, фильтрация контента, поэтому, например, многие антивирусы и фаерволы могут на вполне легальных основаниях находиться в стеке TCP/IP в качестве поставщиков услуг. Однако, некоторые вирусы могут добавлять свои модули в цепочку обработки.
Список поставщиков услуг хранится в специальной базе, которую можно найти в реестре в следующем разделе:
HKLMSystemCurrentControlSetServicesWinsock2Parameters
Не редка ситуация, когда Вы каким-либо образом нашли и удалили из цепочки модуль вируса, который находился в стеке поставщиков, однако не произвели коррекцию самой цепочки, в этом случае цепочка обработки рвется, и работа по протоколу TCP/IP с локальной сетью и сетью Интернет становится невозможной. Бывают и случаи удаления вредоносной DLL из файловой системы без должной коррекции (отмены регистрации провайдера) базы провайдеров, которые тоже не приводят ни к чему хорошему. Для восстановления (корректировки) цепочки провайдеров существуют утилиты LSP-Fix
и AVZ
(является полноценным сканером), которые проходят по цепочке разделов реестра Winsock2
и восстанавливают корректные связи.
Конечно, в случае с Windows Sockets 2.0 все далеко не так радужно. Чаще всего, в случае проблем с работоспособностью локальной сети и интернет, выполняют восстановление по заданному системному шаблону, однако этот шаблон надо знать, поскольку неправильные действия с базой поставщиков могут привести к полной неработоспособности сетевого интерфейса.
В Windows 7/8 технология LSP
всё еще функционирует, однако не рекомендуется к использованию! Это объясняется тем, что начиная с Windows Vista разработчики активно продвигают новую технологию под названием «Платформа фильтрации Windows» (Windows Filtering Platform, WFP
), которая предназначена для обработки, отслеживания и перехвата сетевого трафика на всех уровнях сетевого стека, а так же призвана заменить все существующие технологии фильтрации в стеке TCP/IP. Существующие и разрабатываемые драйвера и приложения обработки пакетов предлагается портировать под новую технологию.
Компоненты Active Setup
Active Setup (Активная настройка/Набор активирования/Активный набор) — системный механизм, предназначенный для разового выполнения команд на этапе первичного входа пользователя в систему. Команды выполняются единожды, то есть при всех последующих входах пользователя команда исполняться уже не будет. Конфигурация каждого компонента Active Setup делится на машинную и пользовательскую части, которые расположены в разных ветвях реестра. Поэтому, когда пользователь входит в систему, Active Setup проверяет наличие идентификатора GUID
каждого [заданного для установки] компонента в пользовательской части соответствующего ключа реестра и если GUID
отсутствует, то выполняется команда, ассоциированная с компонентом, а по завершении процесса GUID компонента добавляется в пользовательскую часть реестра. Механизм может производить установку пакетов .msi
. Работу механизма Active Setup мы можем, к примеру, лицезреть когда впервые авторизуемся в операционной системе: наблюдаем первичную настройку обозревателя Internet Explorer, проявляющую себя в появлении небольших окон установки в левом верхнем углу рабочего стола пользователя. Механизм может эксплуатироваться вирусами, поэтому поиск вируса в данном случае сводится к проверке машинной части ключей реестра Active Setup. Информация о машинной части размещается в реестре в ключе:
- HKLMSOFTWAREMicrosoftActive SetupInstalled Components
- HKLMSOFTWAREWow6432NodeMicrosoftActive SetupInstalled Components
Содержит подключи в виде идентификаторов GUID
, которые и описывают (содержат параметры) установленные в системе компоненты. Лечение сводится к обходу всех представленных в ключе идентификаторов и проверке вложенных параметров (таких как stubpath
), содержащих полные пути к исполняемым образам компонентов.
Содержание
- Автозагрузка в реестре Windows 7 x64
- 990x.top
- Простой компьютерный блог для души)
- HKLMSoftwareWow6432NodeMicrosoftMediaPlayerShimInclusionListbrowser.exe — что это?
- HKLMSoftwareWow6432NodeMicrosoftMediaPlayer ShimInclusionListbrowser.exe — что это такое?
- Как удалить вирус?
- Что такое wow6432node microsoft windows currentversion run
- Ключ реестра WOW6432Node может быть указан в реестре системы в 32-битной (x86) версии Windows 7
- Симптомы
- Причина
- Решение
- Определение платформы Windows 7
- Метод 1. Использование средства системной информации для просмотра архитектуры процессора
- Метод 2. Использование команды Set для отображения архитектуры процессора
- «HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunAVP»
Автозагрузка в реестре Windows 7 x64
Автозагрузка — это функция Windows-систем, которая обеспечивает автоматический запуск сервисов и приложений. С одной стороны, до крайности удобный и полезный механизм (хотя с этим можно поспорить), с другой — один из факторов риска, ведь с помощью автозагрузки может запускаться не только кошерный Skype, но и богомерзкий вирус.
Когда-то централизованные контейнеры для хранения данных об автоматически загружающихся сервисах и приложениях, в Windows 7 децентрализовались и разбрелись по углам, усложнив управление автозагрузкой. А в реестре 64-битной версии Windows они и вовсе поразбежались по разделам, связанным с битностью системы. Впрочем, пройдемся по порядку.
1. В 32-битных Windows раздел, в котором хранились данные о программах, запускаемых при регистрации в системе для всех пользователей компьютера, хранился в HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. В Windows 7 x86-64 этот путь углубился на один уровень, и теперь инстанс располагается в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun. При этом ПО, разработанное под платформу x86, запускается из него же. Не спрашивайте, почему. Мы все равно не знаем.
2. Привычный раздел, служащий для однократного (с последующим автоматическим удалением) запуска программ при регистрации пользователей в системе тоже переехал из HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce. Логично.
3. Помните раздел HKLUSoftwareMicrosoftWindowsCurrentVersionRun, который служил для запуска программ при регистрации текущего пользователя в системе? Из предыдущих двух пунктов сделали вывод, что он тоже перебрался в инстанс Wow6432Node? Как бы не так, изменения не были реализованы настолько системно и однообразно. Инстанс остался на своем месте, с той же функциональностью. Вспоминается детская шутка-загадка, в которой предлагалось сперва угадать домашнее животное на букву «К» из 4 букв (отгадка — Клоп), потом — домашнее животное на букву «Д» (отгадка — Два клопа), а потом животное на букву «Т» (обычно угадывающий сразу же восклицал «Три клопа!», на что ему степенно возражали «Нет, Таракан!»). У Microsoft тоже есть чувство юмора, не правда ли?
4. Тоже самое касается для раздела под однократный запуск для текущего пользователя с последующим удалением: он остался в HKLUSoftwareMicrosoftWindowsCurrentVersionRunOnce.
990x.top
Простой компьютерный блог для души)
Приветствую. Данная статья расскажет о странной записи, которую можно обнаружить в одной утилите при проверке компьютера на наличие вирусов.
Запись, которая появляется в следствии работы вируса на ПК, который может устанавливать и запускать браузер в фоновом режиме для выполнения определенных действий.
Данная запись может например обнаружиться при использовании утилиты AdwCleaner.
Эта запись означает что на ПК присутствует вирус, который возможно не так просто удалить.
Что это может быть за вирус:
- Показывает рекламу при помощи установки собственного браузера. При этом показывать может в скрытом режиме. Собственный браузер может быть на основе Яндекс Браузер, так как у него название процесса точно такое же (browser.exe).
- Выполнять другие действия, например автоматически просмотр сайтов, какие-то действия на сайтах, например регистрация аккаунтов и прочее.
Как удалить вирус?
Информации в интернете мало. Однако инфа находится даже за 2019 год, поэтому возможно на данный момент — вирус удаляется антивирусными утилитами, ниже я напишу какими стоит проверить. Пока просто проанализируйте некоторые вещи у себя на компьютере:
- У вас могут быть установлены левые расширения в браузере (чтобы быстро открыть раздел расширений — перейдите по chrome://extensions/). Удалите все левое.
- Проверьте наличие файла uGyio.exe в папке C:UsersUserAppDataLocal. Если есть — удаляем.
- В папке C:Windows могут быть файлы: uninstall Bismilla.exe, uninstall Islamic_.exe, uninstall Muhammad.exe. Также в C:UsersUser — файл OfzY.exe. Удаляем все что находим.
- Откройте в реестре раздел HKLMSOFTWAREWow6432NodeMicrosoftMediaPlayer и посмотрите — если внутри будет раздел ShimInclusionList то удаляем его.
Если при удалении файлов сталкиваетесь с ошибками — удалите принудительно, используя утилиту Unlocker.
- Можно создать тему на форуме VirusInfo в данном разделе. Или написать уже в существующую, которая находится здесь (однако проблему решить не удалось).
- Проверь ПК утилитой против опасных вирусов, например трояны, ботнеты, майнеры, утилита называется Dr.Web CureIt!, она уже скачивается с антивирусными базами, скорость проверки зависит от количества файлов на диске. Если у вас SSD, а не жесткий диск (HDD) — то скорость разумеется будет намного быстрее.
- Проверить ПК утилитами против рекламного/шпионского ПО, которые также удалят все левое ПО — AdwCleaner, HitmanPro, Malwarebytes. Очень желательно проверить именно всеми тремя утилитами, они работают быстро, проверяют автозагрузку, планировщик задач, реестр, дополнения браузеров, список служб, процессов, установленного ПО и многое другое. Реально качественные инструменты, поэтому советую.
Это лучшая утилита против опасных и серьезных вирусов. Для завершения сканирования требуется перезагрузка.
При отсутствии качественного антивируса поставьте бесплатную версию Каспера — Kaspersky Security Cloud Free
Что такое wow6432node microsoft windows currentversion run
Сообщения: 25157
Благодарности: 3792
Конфигурация компьютера | |
Материнская плата: MSI G41M-P33 Combo | |
HDD: SSD OCZ-AGILITY3 — 120GB | |
ОС: Windows 10 Pro x64 (11082) |
Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINESoftwareWOW6432Node
Это сообщение посчитали полезным следующие участники:
Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.
» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>
Сообщения: 26992
Благодарности: 7877
lapa23, чем смотрите, что он отсутствует? Какова разрядность ОС, на которой смотрите?
Ключ реестра WOW6432Node может быть указан в реестре системы в 32-битной (x86) версии Windows 7
В этой статье устраняется проблема, из-за которой подкайка реестра с меткой Wow6432Node указана в реестре системы на компьютерах x86.
Оригинальная версия продукта: Windows 7 Пакет обновления 1
Исходный номер КБ: 2582176
Симптомы
Рассмотрим следующий сценарий.
Компьютер с 32-битной (x86) платформой Windows 7.
Установите Windows 7 с помощью SP1 или установите Windows 7 RTM, обновленную до SP1.
Нажмите кнопку Начните, введите regedit в поле поиска, чтобы открыть редактор реестра.
Расширь следующий ключ реестра:
В этом сценарии можно заметить подки реестра с меткой Wow6432Node и почувствовать, что система может быть неправильно установлена или обновлена.
Причина
Этот ключ реестра обычно используется для 32-битных приложений на 64-битных машинах. Если они присутствуют на компьютерах x86, они не вызывают проблем, так как они не используются.
Решение
Можно смело игнорировать значение реестра.
Определение платформы Windows 7
Существует ряд средств, которые можно использовать для определения платформы, установленной в системе. Ниже приведены два способа, которые можно использовать для идентификации платформы
Метод 1. Использование средства системной информации для просмотра архитектуры процессора
Нажмите кнопку Начните.
В поле Поиск введите команду MSINFO32 без кавычка.
В левой области щелкните System Summary.
В правой области просмотра записи с меткой System Type.
Если в записи говорится о x86-based PC, это 32-битная платформа. Если в записи говорится о x64-based PC, это 64-битная платформа.
Метод 2. Использование команды Set для отображения архитектуры процессора
Откройте командную команду администрирования
Введите следующую команду:
Если результат PROCESSOR_ARCHITECTURE=x86, это 32-битная платформа. Если результат PROCESSOR_ARCHITECTURE=AMD64, это 64-битная платформа.
«HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun\AVP»
Check for malware thoroughly, then run CleanUp as indicated below — then if needed run StartUp
Repair. There is also a link for a Repair Installation if needed (allows you to keep programs and
data).
If you need to check for malware here are my recommendations — these will allow you to do
a thorough check and removal without ending up with a load of spyware programs running
resident which can cause as many issues as the malware and maybe harder to detect as the
cause.
No one program can be relied upon to detect and remove all malware. Added that often easy
to detect malware is often accompanied by a much harder to detect and remove payload. So
its better to be overly thorough now than to pay the high price later. Check with these to an
extreme overkill point and then run the cleanup only when you are very sure the system is clean.
These can be done in Safe Mode — repeatedly tap F8 as you boot however you should also run
them in regular Windows when you can.
Download malwarebytes and scan with it, run MRT, and add Prevx to be sure it is gone.
(If Rootkits run UnHackMe)
Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN
Run the Microsoft Malicious Removal Tool
Start — type in Search box -> MRT find at top of list — Right Click on it — RUN AS ADMIN.
You should be getting this tool and its updates via Windows Updates — if needed you can
download it here.
Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN
(Then run MRT as above.)
also install Prevx to be sure it is all gone.
Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN
Try the trial version of Hitman Pro :
Hitman Pro is a second opinion scanner, designed to rescue your computer from malware
(viruses, trojans, rootkits, etc.) that have infected your computer despite all the security
measures you have taken (such as anti virus software, firewalls, etc.).
http://www.surfright.nl/en/hitmanpro
If needed here are some online free scanners to help
After removing any malware :
Also do these to cleanup general corruption and repair/replace damaged/missing
system files.
Start — type this in Search Box -> COMMAND find at top and RIGHT CLICK — RUN AS ADMIN
Enter this at the prompt — sfc /scannow
How to analyze the log file entries that the Microsoft Windows Resource Checker (SFC.exe) program
generates in Windows Vista cbs.log
http://support.microsoft.com/kb/928228
Also run CheckDisk so we can rule out corruption as much as possible.
If any Rootkits are found use this thread and other suggestions. (Run UnHackMe)
If needed AFTER you are sure the machine is clean of all malware. This allows you to keep the
programs and data though redundant backups are always a good idea.
Hope this helps.
Rob Brown — MS MVP — Windows Desktop Experience : Bicycle — Mark Twain said it right.
8 people found this reply helpful
Was this reply helpful?
Sorry this didn’t help.
Great! Thanks for your feedback.
How satisfied are you with this reply?
Thanks for your feedback, it helps us improve the site.
Adblock
detector
Аннотация
В данной статье описано, как разделы реестра Run, RunOnce, RunServices, RunServicesOnce и RunOnceSetup связаны друг с другом и с папкой «Автозагрузка». Также в статье описывается порядок загрузки данных разделов.
Сведения, содержащиеся в этой статье, являются дополнением к следующей статье базы знаний Майкрософт:
137367 Назначение разделов «Run» системного реестра WindowsСм. в данной статье подробные сведения о каждом из этих разделов.
Дополнительная информация
В операционных системах Microsoft Windows 95, Windows 98 и Windows Millennium Edition (Me), в которых поддерживаются все разделы, данные разделы загружаются в следующем порядке:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices
<Запрос на вход>
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Папка «Автозагрузка»
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnceЗа исключением раздела HKEY_LOCAL_MACHINE…RunOnce, все разделы и записи в них загружаются асинхронно. Таким образом, все записи в разделах RunServices и RunServicesOnce могут выполняться одновременно.
Записи раздела HKEY_LOCAL_MACHINE…RunOnce загружаются синхронно, в неопределенном порядке.
Поскольку раздел HKEY_LOCAL_MACHINE…RunOnce загружается синхронно, все его записи должны быть загружены до того, как загрузятся записи разделов HKEY_LOCAL_MACHINE…Run, HKEY_CURRENT_USER…Run, HKEY_CURRENT_USER…RunOnce и папки «Автозагрузка».
Разделы RunServicesOnce и RunServices загружаются до входа пользователя в систему Windows 95, Windows 98 или Windows Me. Поскольку эти два раздела запускаются неодновременно с диалоговым окном входа в систему, их запуск может продолжаться и после входа пользователя. Однако, поскольку раздел HKEY_LOCAL_MACHINE…RunOnce должен загружаться синхронно, его записи не начнут загружаться, пока не закончится загрузка разделов RunServicesOnce и RunServices.
Так как конфигурация системы может быть различной (например, компьютер может быть сконфигурирован на автоматический вход в систему), следует иметь в виду, что загрузка приложения, которое зависит от других приложений, выполняющихся по завершении загрузки данных разделов, начнется только после полной загрузки этих приложений. В остальном же приведенное выше описание относится также к Microsoft Windows NT 4.0, Windows 2000 и Windows XP.
Примечания.
-
Система Windows NT 3.51 не поддерживает разделы RunOnce.
-
При запуске Windows 2000 и Windows XP в безопасном режиме разделы RunOnce игнорируются.
Ссылки
Дополнительные сведения о разделе реестра RunOnceEx см. в следующей статье базы знаний Майкрософт:
232487 Описание раздела реестра RunOnceEx (эта ссылка может указывать на содержимое полностью или частично на английском языке)Дополнительные сведения см. также в следующей статье базы знаний Майкрософт:
137367Назначение разделов «Run» системного реестра Windows
Нужна дополнительная помощь?
В этой статье подробно об автозагрузке в Windows 10 — где может быть прописан автоматический запуск программ; как удалить, отключить или наоборот добавить программу в автозагрузку; о том, где находится папка автозагрузки в «десятке», а заодно о паре бесплатных утилит, позволяющих более удобно всем этим управлять.
Программы в автозагрузке — это то ПО, которое запускается при входе в систему и может служить для самых разных целей: это антивирус, мессенджеры, сервисы облачного хранения данных — для многих из них вы можете видеть значки в области уведомлений справа внизу. Однако, точно так же в автозагрузку могут добавляться и вредоносные программы. Более того, даже избыток «полезных» элементов, запускаемых автоматически, может приводить к тому, что компьютер работает медленнее, а вам, возможно, стоит удалить из автозагрузки какие-то необязательные из них.
- Автозагрузка приложений в параметрах Windows 10
- Просмотр и отключение программ автозагрузки в диспетчере задач
- Где находится папка Автозагрузка Windows 10
- Автозагрузка программ в реестре
- Планировщик заданий
- Sysinternals Autoruns и другие утилиты для управления автозагрузкой
- Видео инструкция
Внимание: в последних версиях Windows 10 программы, которые не были закрыты при завершении работы, автоматически запускаются при следующем входе в систему и это не автозагрузка. Подробнее: Как отключить перезапуск программ при входе в Windows 10.
Просмотр и отключение программ в автозагрузке в параметрах Windows 10
Один из самых простых способов просмотреть программы в автозагрузке Windows 10 — использовать соответствующих пункт в Параметрах:
- Откройте Параметры Windows 10 (клавиши Win+I или через меню Пуск).
- Перейдите в раздел Приложения — Автозагрузка.
- Ознакомьтесь со списком программ в автозагрузке, отключите ненужные.
Если вы не знаете, что можно отключить, а чего лучше не отключать, в общих чертах ситуация следующая: даже отключив все элементы, вы не навредите системе, но может оказаться, что какие-то постоянно нужные программы (мессенджеры, антивирусы, программы облачных хранилищ) придется запускать вручную. В любом случае, можете смело экспериментировать.
Автозагрузка в диспетчере задач
Следующее расположение, где можно изучить программы в автозагрузке Windows 10 — диспетчер задач, который легко запустить через контекстное меню кнопки Пуск, открываемое по правому клику. В диспетчере задач нажмите кнопку «Подробнее» внизу (если такая там присутствует), а затем откройте вкладку «Автозагрузка».
Вы увидите список программ в автозагрузке для текущего пользователя (в этот список они берутся из реестра и из системной папки «Автозагрузка»). Кликнув по любой из программ правой кнопкой мыши, вы можете отключить или включить ее запуск, открыть расположение исполняемого файла или, при необходимости, найти информацию об этой программе в Интернете. Также в колонке «Влияние на запуск» можно оценить, насколько указанная программа влияет на время загрузки системы. Правда здесь стоит отметить, что «Высокое» не обязательно означает, что запускаемая программа в действительности тормозит ваш компьютер.
Папка автозагрузки в Windows 10
Частый вопрос, который задавался и по поводу предыдущей версии ОС — где находится папка автозагрузки в новой системе. Находится она в следующем расположении:
%userprofile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Достаточно ввести указанный путь в адресную строку проводника и нажать Enter. Еще один простой способ открыть эту папку — нажать клавиши Win+R и ввести в окно «Выполнить» следующее: shell:startup после чего нажмите Ок, сразу откроется папка с ярлыками программ для автозапуска.
Чтобы добавить программу в автозагрузку, вы можете просто создать ярлык для этой программы в указанной папке. Примечание: по некоторым отзывам, это не всегда срабатывает — в этом случае помогает добавление программа в раздел автозагрузки в реестре Windows 10.
Автоматически запускаемые программы в реестре
Запустите редактор реестра, нажав клавиши Win+R и введя regedit в поле «Выполнить». После этого перейдите к разделу (папке)
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
В правой части редактора реестра вы увидите список программ, запускаемых для текущего пользователя при входе в систему. Вы можете удалить их, или добавить программу в автозагрузку, нажав по пустому месту в правой части редактора правой кнопкой мыши — создать — строковый параметр. Задайте параметру любое желаемое имя, после чего дважды кликните по нему и укажите путь к исполняемому файлу программы в качестве значения.
Это не единственный раздел, программы в автозагрузке могут также находиться в следующих разделах реестра Windows 10 (учитывайте, что последние два раздела могут отсутствовать на вашей системе):
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
Изменять список можно аналогичным способом.
Планировщик заданий Windows 10
Следующее место, откуда может запускаться различное ПО — планировщик заданий, открыть который можно, нажав по кнопке поиска в панели задач и начав вводить название утилиты.
Обратите внимание на библиотеку планировщика заданий — в ней находятся программы и команды, автоматически выполняемые при определенных событиях, в том числе и при входе в систему. Вы можете изучить список, удалить какие-либо задания или добавить свои.
Более подробно об использовании инструмента вы можете прочитать в статье про использование планировщика заданий.
Sysinternals Autoruns и другие утилиты для контроля программ в автозагрузке
Существует множество различных бесплатных программ, позволяющих просматривать или удалять программы из автозагрузки, лучшая из них, на мой взгляд — Autoruns от Microsoft Sysinternals, доступная на официальном сайте https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
Программа не требует установки на компьютер и совместима со всеми последними версиями ОС, включая Windows 10. После запуска вы получите полный список всего, что запускается системой — программы, службы, библиотеки, задания планировщика и многое другое.
При этом, для элементов доступны такие функции как (неполный список):
- Проверка на вирусы с помощью VirusTotal
- Открытие места расположения программы (Jump to image)
- Открытие места, где программа прописана для автоматического запуска (пункт Jump to Entry)
- Поиск информации о процессе в Интернете
- Удаление программы из автозагрузки
Отдельно в Autoruns можно просмотреть и дополнительные элементы, такие как запускаемые службы, выполняемые при входе в систему задачи, элементы планировщика заданий и отключить их при необходимости.
Возможно, для начинающего пользователя программа может показаться сложной и не совсем понятной, но инструмент действительно мощный, рекомендую. Также управление программами в автозагрузке присутствует почти в любых утилитах для очистки и оптимизации системы, о которых подробнее в обзоре Лучшие программы для очистки Windows 10.
Видео инструкция
Если у вас остаются вопросы, имеющие отношение к затронутой теме — задавайте ниже в комментариях, а я постараюсь ответить на них.
Skip to content
- ТВикинариум
- Форум
- Поддержка
- PRO
- Войти
Автозапуск программ в реестре [Решено]
Цитата: Павел (Koriss_) от 20.11.2020, 09:10Здравствуйте🖐. Куда гадят программы в реестр для автозапуска? Просто не все они в диспетчере задач, да и просто интересно откуда их Win 10 Tweaker выпиливает.
Здравствуйте🖐. Куда гадят программы в реестр для автозапуска? Просто не все они в диспетчере задач, да и просто интересно откуда их Win 10 Tweaker выпиливает.
Цитата: ЯR от 20.11.2020, 10:09Добрый день!
В самом реестре, знаю о двух расположениях, где прописываются программы в автозагрузке:HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunТакже, + задания в Планировщике задач. И, это далеко не весь список Автозагрузки Windows.
Добрый день!
В самом реестре, знаю о двух расположениях, где прописываются программы в автозагрузке:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
Также, + задания в Планировщике задач. И, это далеко не весь список Автозагрузки Windows.
Цитата: Сергей от 20.11.2020, 10:10Добрый 🖐
Ещё папкаC:Users%username%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Добрый 🖐
Ещё папка СкопированоC:Users%username%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup
Цитата: Павел (Koriss_) от 20.11.2020, 14:47Сергей, получается туда можно закинуть ярлык и не париться?
Яр, спасибо, буду знать.
Сергей, получается туда можно закинуть ярлык и не париться?
Яр, спасибо, буду знать.
Цитата: Nikitos от 20.11.2020, 14:57Здравствуйте
Основные:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceВ реестре Windows 7, 8 во всех пользовательских профилях, для 32-64 разрядных ОС:
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRunДля 64 разрядных ОС:
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnceДополнительные:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupfolder
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg
HKEY_CURRENT_USER
— программы запускаются при входе текущего пользователя
HKEY_LOCAL_MACHINE
— программы запускаются при входе в систему
Run
— программы запускаются всегда
RunOnce
— программы запускаются только один раз, после этого ключи программ автоматически удаляются из данного раздела реестра.
Здравствуйте
Основные:
СкопированоHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
СкопированоHKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
В реестре Windows 7, 8 во всех пользовательских профилях, для 32-64 разрядных ОС:
СкопированоHKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
Для 64 разрядных ОС:
СкопированоHKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce
Дополнительные:
СкопированоHKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupfolder
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg
СкопированоHKEY_CURRENT_USER
— программы запускаются при входе текущего пользователя
СкопированоHKEY_LOCAL_MACHINE
— программы запускаются при входе в систему
СкопированоRun
— программы запускаются всегда
СкопированоRunOnce
— программы запускаются только один раз, после этого ключи программ автоматически удаляются из данного раздела реестра.
Цитата: Сергей от 20.11.2020, 15:08Сергей, получается туда можно закинуть ярлык и не париться?
Яр, спасибо, буду знать.Да, Павел, можно. Но лучше через Win 10 Tweaker в Автозагрузку закинуть.
Сергей, получается туда можно закинуть ярлык и не париться?
Яр, спасибо, буду знать.
Да, Павел, можно. Но лучше через Win 10 Tweaker в Автозагрузку закинуть.
Цитата: Adler от 20.11.2020, 15:18Добрый день.
Самый «феншуйно» правильный запуск — через планировщик, а потом уже, по убыванию «феншуйности», идут реестр и папка автозапуска.
Добрый день.
Самый «феншуйно» правильный запуск — через планировщик, а потом уже, по убыванию «феншуйности», идут реестр и папка автозапуска.
Цитата: Павел (Koriss_) от 22.11.2020, 11:52Спасибо огромное вам всем за ответы, думаю тему можно закрывать.
Спасибо огромное вам всем за ответы, думаю тему можно закрывать.
Цитата: XpucT от 22.11.2020, 12:51Павел (Koriss_), привет 🖐
Цитата: Adler от 20.11.2020, 15:18Добрый день.
Самый «феншуйно» правильный запуск — через планировщик, а потом уже, по убыванию «феншуйности», идут реестр и папка автозапуска.Поясню ответ коллеги.
Через реестр вариант не очень, потому что серьёзные программы требуют административных привилегий, а значит просто так прописать их в реестр, даже в HKLM, не вариант. Только в Планировщик. Только оттуда программа гарантированно будет запускаться и выполняться с любыми привилегиями. Ну, как любыми…. с системными не прокатит, тут уже нужно кое-что серьёзнее. Но в 99.99999% случаев более чем достаточно именно через Планировщик.
Павел (Koriss_), привет 🖐
Цитата: Adler от 20.11.2020, 15:18Добрый день.
Самый «феншуйно» правильный запуск — через планировщик, а потом уже, по убыванию «феншуйности», идут реестр и папка автозапуска.
Поясню ответ коллеги.
Через реестр вариант не очень, потому что серьёзные программы требуют административных привилегий, а значит просто так прописать их в реестр, даже в HKLM, не вариант. Только в Планировщик. Только оттуда программа гарантированно будет запускаться и выполняться с любыми привилегиями. Ну, как любыми…. с системными не прокатит, тут уже нужно кое-что серьёзнее. Но в 99.99999% случаев более чем достаточно именно через Планировщик.
Содержание
- Автозагрузка в реестре Windows 7 x64
- Все о Автозагрузке Windows 10.
- Где хранятся записи Автозагрузки в Windows 10.
- Папка Автозагрузка в Windows 10.
- Открыть папку Автозапуск для текущего пользователя
- Открыть папку Автозапуск для всех пользователей
- Места для хранения записей Автозагрузки: Реестр
- Ключи Автозагрузки (индивидуальные пользовательские)
- Ключи Автозагрузки (все пользователи)
- Другие ключи автозагрузки.
- Shell записи, связанные с автозагрузкой, например, элементы отображаемые при нажатии правой кнопкой мыши на файлы или папки.
- Следующие ключи указывают на драйверы, которые загружаются при запуске.
- Автозагрузка Разное.
- Места хранения записей для Автозагрузки в Windows 10: Редактор групповой политики
- Места хранения записей для Автозагрузки в Windows 10: Планировщик Задач
- Автозагрузка Windows
- Автозагрузка Windows
- Автозагрузка Windows, настройка в реестре.
- Автозагрузка программ для текущего пользователя.
- Автозагрузка программ для всех пользователей.
- Добавление автозагрузки в реестре Windows:
- Удаление автозагрузки в реестре Windows:
- Автозагрузка Windows, настройка групповой политики
- Автозагрузка Windows, настройка планировщика задач
- Автозагрузка Windows, настройка конфигурации системы
- Похожие записи
- Hklm software wow6432node microsoft windows currentversion run
- Answered by:
- Question
- Answers
- All replies
- Hklm software wow6432node microsoft windows currentversion run
- Лучший отвечающий
- Вопрос
Автозагрузка в реестре Windows 7 x64
Автозагрузка — это функция Windows-систем, которая обеспечивает автоматический запуск сервисов и приложений. С одной стороны, до крайности удобный и полезный механизм (хотя с этим можно поспорить), с другой — один из факторов риска, ведь с помощью автозагрузки может запускаться не только кошерный Skype, но и богомерзкий вирус.
Когда-то централизованные контейнеры для хранения данных об автоматически загружающихся сервисах и приложениях, в Windows 7 децентрализовались и разбрелись по углам, усложнив управление автозагрузкой. А в реестре 64-битной версии Windows они и вовсе поразбежались по разделам, связанным с битностью системы. Впрочем, пройдемся по порядку.
1. В 32-битных Windows раздел, в котором хранились данные о программах, запускаемых при регистрации в системе для всех пользователей компьютера, хранился в HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. В Windows 7 x86-64 этот путь углубился на один уровень, и теперь инстанс располагается в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun. При этом ПО, разработанное под платформу x86, запускается из него же. Не спрашивайте, почему. Мы все равно не знаем.
2. Привычный раздел, служащий для однократного (с последующим автоматическим удалением) запуска программ при регистрации пользователей в системе тоже переехал из HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce. Логично.
3. Помните раздел HKLUSoftwareMicrosoftWindowsCurrentVersionRun, который служил для запуска программ при регистрации текущего пользователя в системе? Из предыдущих двух пунктов сделали вывод, что он тоже перебрался в инстанс Wow6432Node? Как бы не так, изменения не были реализованы настолько системно и однообразно. Инстанс остался на своем месте, с той же функциональностью. Вспоминается детская шутка-загадка, в которой предлагалось сперва угадать домашнее животное на букву «К» из 4 букв (отгадка — Клоп), потом — домашнее животное на букву «Д» (отгадка — Два клопа), а потом животное на букву «Т» (обычно угадывающий сразу же восклицал «Три клопа!», на что ему степенно возражали «Нет, Таракан!»). У Microsoft тоже есть чувство юмора, не правда ли?
4. Тоже самое касается для раздела под однократный запуск для текущего пользователя с последующим удалением: он остался в HKLUSoftwareMicrosoftWindowsCurrentVersionRunOnce.
Источник
Все о Автозагрузке Windows 10.
Публикация: 26 April 2018 Обновлено: 25 April 2019
Windows 10, поставляется с опциями для автозапуска пользовательских файлов или программ при старте операционной системы.
Это хорошо с одной стороны, так как это позволяет пользователям выбрать программы, которые будут загружаться после старта Windows. Автозагрузка, например, просто необходима таким программам как Антивирус, для обеспечения безопасности, сразу после загрузки Системы.
Но с другой стороны, не все так радужно так как программы могут сами добавляться в Автозагрузку во время установки.
Где хранятся записи Автозагрузки в Windows 10.
В пользу того что организация Автозагрузки является довольно сложной говорит тот факт, что Windows поддерживает записи автозагрузки как для отдельных пользователей, так и для всех пользователей системы, а если установлена 64-разрядная версия Windows10, то используется, еще одна эксклюзивная запись для 64-битных версий.
Места хранения записей для Автозагрузки можно разделить на три группы
Вы можете также использовать групповую политику для добавления программ в автозапуск (только если они есть в реестре Windows).
Папка Автозагрузка в Windows 10.
Папка Автозагрузка идеально подходит, когда речь идет о добавлении пользовательских программ в автозагрузку. Кроме того, очень легко добавить или удалить ярлык программы из автозагрузки.
Чтобы доступ к папке проще, Microsoft добавила ключевые слова, которые помогут вам открыть их быстро. Просто скопируйте в Адресную строку Проводника, один из представленных ниже вариантов.
Открыть папку Автозапуск для текущего пользователя
Открыть папку Автозапуск для всех пользователей
Места для хранения записей Автозагрузки: Реестр
Большая часть записей автозагрузки находятся в реестре Windows.
Ключи Автозагрузки (индивидуальные пользовательские)
Ключи Автозагрузки (все пользователи)
Другие ключи автозагрузки.
Незадокументированно.
Shell записи, связанные с автозагрузкой, например, элементы отображаемые при нажатии правой кнопкой мыши на файлы или папки.
Следующие ключи указывают на драйверы, которые загружаются при запуске.
Автозагрузка Разное.
Места хранения записей для Автозагрузки в Windows 10: Редактор групповой политики
Редактор групповой политики доступен только в профессиональных версиях Windows, в то время как ключи реестра, связанные с политикой доступны во всех версиях.
Перейдите к следующим ключам, используя структуру дерева слева, чтобы проверить, изменять, добавлять или удалять записи с помощью политик.
Конфигурация компьютера → Административные шаблоны → Система → Вход в систему → Выполнить эти программы при входе в систему
Конфигурация пользователя → Административные шаблоны → Система → Вход в систему → Выполнить эти программы при входе в систему
Соответствующие ключи реестра:
Места хранения записей для Автозагрузки в Windows 10: Планировщик Задач
Вы можете открыть планировщик задач Windows для управления задачами на операционной системе Windows, выполните следующие
Вы также можете проверить задачи с помощью Проводника Windows / File Explorer.
Файлы
Следующие файлы могут быть использованы для автозагрузки программ на старте Windows.
Надеюсь информация представленная в статье будет полезной!
Источник
Автозагрузка Windows
Автозагрузка Windows
В данной статье мы рассмотрим, как настроить автозагрузку программ в Windows. Как нам известно иногда некоторые программы при установке добавляются в авто загрузку Windows, при этом очень мешаю в работе за компьютером. Также многие вредоносные программы добавляются без ведома пользователя в авто загрузку Windows.
Существую множество способов настройки автозагрузки в Windows:
Автозагрузка Windows, настройка в реестре.
Есть 4 ветки в реестре (на самом деле больше и ниже мы рассмотрим), приступим к рассмотрению.
Автозагрузка программ для текущего пользователя.
[ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun ] – в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему.
[ HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce ] ‐ в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему только один раз, после чего автоматически удаляются с ветки реестра.
Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра
[HKEY_CURRENT_USERSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun]
[HKEY_CURRENT_USERSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce]
Автозагрузка программ для всех пользователей.
[ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun ] – в данной ветке реестра находятся программы, которые запускаются при входе в систему для всех пользователей.
[ HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce ] — в данной ветке реестра находятся программы, которые запускаются при входе всех пользователей в систему только один раз, после чего автоматически удаляются с ветки реестра.
Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun]
[HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce]
Пример добавления автозагрузки программы с помощью реестра.
Добавление автозагрузки в реестре Windows:
Допустим при старте нам нужно чтобы автоматически загружался блокнот.
Решение данной задачи
Для этого нужно вызвать редактор реестра, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем regedit и нажимаем Enter или заходим в пуск выполнить и набираем regedit и нажимаем Enter. После чего у нас появиться программа редактор реестра
После чего заходим в раздел [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun]
Теперь после загрузки Windows у нас будет загружаться блокнот.
Удаление автозагрузки в реестре Windows:
Допустим нам нужно из авто загрузки удалить блокнот.
Также заходим в раздел [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] находим там параметр notepad у правой клавишей мыши удаляем его.
Автозагрузка Windows, настройка групповой политики
Для это открываем оснастку «Групповая политика», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем gpedit.msc и нажимаем Enter или заходим в пуск выполнить и набираем gpedit.msc и нажимаем Enter. После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики».
После чего как мы включили политику «Выполнять эти программы при входе в систему» и нажали клавишу «Применить», мы можем вносить программы, которые будут автоматически запускаться, нажав кнопку «Показать» и указываем путь к программе, которую хотим автоматически запустить при старте Windows.
При этом в системном реестре в разделе [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с ключами добавленных программ.
Автозагрузка Windows, настройка планировщика задач
Для это открываем оснастку «Планировщика задач», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем taskschd.msc и нажимаем Enter или заходим в пуск выполнить и набираем taskschd.msc и нажимаем Enter. После чего у нас появиться программа редактор реестра «Планировщика задач».
Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу». Дальше действуем по следующему плану:
Автозагрузка Windows, настройка конфигурации системы
Для это открываем оснастку «Конфигурация Системы», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем msconfig и нажимаем Enter или заходим в пуск выполнить и набираем msconfig и нажимаем Enter. После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики». Здесь необходимо перейти во вкладку «Автозагрузка» и убрать галочки с программ, которые вы не хотите видеть в автозагрузке. Далее нажать «ОК» и перезагрузить компьютер.
Заключение
Надеюсь что данная статья поможет вам в настройке автозагрузки Windows.
Похожие записи
Официальное изображение Samsung Galaxy Note 8 попало в сеть
Официальное изображение Samsung Galaxy Note 8 попало в сеть В сети появилось качественное изображение Samsung Galaxy Note 8, так называемый «пресс-рендер». Предположительно, изображение получено из официального источника, то есть от.
Tesla Model S разгоняется до 100 км/ч за 2.5 секунды
Tesla Model S разгоняется до 100 км/ч за 2.5 секунды Американский производитель электромобилей продолжает наращивать емкость аккумуляторных батарей. На этой неделе в продажу поступила версия P100D лифтбека Tesla Model S, способная проехать.
Роскачество разработало стандарт качества мобильных приложений
Роскачество разработало стандарт качества мобильных приложений Российская система качества (Роскачество) разработала проект государственного стандарта и методики тестирования мобильных приложений. Исследования качества мобильных сервисов позволят оценить потребительские характеристики наиболее популярных у россиян.
Крупнейшая атака компьютерного вируса в истории. Взломаны МВД, «МегаФон» и тысячи компаний
Крупнейшая атака компьютерного вируса в истории 12 мая стало для множества пользователей компьютеров по всему миру: одновременная масштабная кибератака коснулась как обычных пользователей, так и организаций — в том числе крупных, например, российское Министерство внутренних.
Источник
Hklm software wow6432node microsoft windows currentversion run
This forum has migrated to Microsoft Q&A. Visit Microsoft Q&A to post new questions.
Answered by:
Question
looking to delete regkey from all PC’s HKLM.
there are multiple entries under [HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun]
I only want to delete one of them ‘ «Adobe ARM»=»»C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe»»
Answers
This will delete the value inside Adobe ARM.
In addition to Mahdi Tehrani’s suggestion, you could also create a Registry preference item which allow you to create, update, replace, and delete keys and values (including name, type, and data) in the Windows registry.
For your inofrmation, please refer to the following article to learn more:
Configure a Registry Item
The key path is: SOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
This will delete the value inside Adobe ARM.
In addition to Mahdi Tehrani’s suggestion, you could also create a Registry preference item which allow you to create, update, replace, and delete keys and values (including name, type, and data) in the Windows registry.
For your inofrmation, please refer to the following article to learn more:
Configure a Registry Item
The key path is: SOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
The script which I provided simply delete the value of «Adobe ARM» in your registry and keep the rest of the entries in RUN node untouched. What you have to do is to save the code as a .BAT file and deploy it using Start-up script to your clients. If you need more information on how to deploy start up scripts refer to below links:
However using GP Preferences can achieve what you are looking for as Lany suggested but keep in mind that if you have Windows XP clients, GP Preferences will be unable to apply to them unless you install appropriate KB.
Источник
Hklm software wow6432node microsoft windows currentversion run
Этот форум закрыт. Спасибо за участие!
Лучший отвечающий
Вопрос
Перестала запускаться одна программа (автозагрузка прописана через реестр). ОСь: Win7 64bit
Есть ветви реестра для автозагрузки программ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Во всех ветках есть записи для загрузки и некоторые из них нормально грузятся(и 32-битные и 64-битные), а некоторые нет(проверял только 32-битные). Столкнулся с таким глюком: после прописания туда приложения, для некоторых программ(мне удалось таким опытным путем найти новых 3 штуки в качестве примера) запуск во время входа в систему буквально подвисает, далее через минут 3-4-5 некоторые программы всё же запустятся, а некоторые так и нет. Причём если в реестре есть ещё программы для загрузки, то их загрузка приостанавливается. Т.е. некая программа останавливает или приостанавливает всю автозагрузку. Но при этом если её запускать вручную(через Explorer) всегда запускается нормально и без проблем.
Источник
Автозагрузка — это функция Windows-систем, которая обеспечивает автоматический запуск сервисов и приложений. С одной стороны, до крайности удобный и полезный механизм (хотя с этим можно поспорить), с другой — один из факторов риска, ведь с помощью автозагрузки может запускаться не только кошерный Skype, но и богомерзкий вирус.
Когда-то централизованные контейнеры для хранения данных об автоматически загружающихся сервисах и приложениях, в Windows 7 децентрализовались и разбрелись по углам, усложнив управление автозагрузкой. А в реестре 64-битной версии Windows они и вовсе поразбежались по разделам, связанным с битностью системы. Впрочем, пройдемся по порядку.
1. В 32-битных Windows раздел, в котором хранились данные о программах, запускаемых при регистрации в системе для всех пользователей компьютера, хранился в HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun. В Windows 7 x86-64 этот путь углубился на один уровень, и теперь инстанс располагается в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun. При этом ПО, разработанное под платформу x86, запускается из него же. Не спрашивайте, почему. Мы все равно не знаем.
2. Привычный раздел, служащий для однократного (с последующим автоматическим удалением) запуска программ при регистрации пользователей в системе тоже переехал из HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce в HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRunOnce. Логично.
3. Помните раздел HKLUSoftwareMicrosoftWindowsCurrentVersionRun, который служил для запуска программ при регистрации текущего пользователя в системе? Из предыдущих двух пунктов сделали вывод, что он тоже перебрался в инстанс Wow6432Node? Как бы не так, изменения не были реализованы настолько системно и однообразно. Инстанс остался на своем месте, с той же функциональностью. Вспоминается детская шутка-загадка, в которой предлагалось сперва угадать домашнее животное на букву «К» из 4 букв (отгадка — Клоп), потом — домашнее животное на букву «Д» (отгадка — Два клопа), а потом животное на букву «Т» (обычно угадывающий сразу же восклицал «Три клопа!», на что ему степенно возражали «Нет, Таракан!»). У Microsoft тоже есть чувство юмора, не правда ли?
4. Тоже самое касается для раздела под однократный запуск для текущего пользователя с последующим удалением: он остался в HKLUSoftwareMicrosoftWindowsCurrentVersionRunOnce.
Такие дела.
Microsoft уже осведомлена о проблеме
Пользователи Windows сообщают о надоедливой проблеме с браузером Microsoft Edge, из-за которой он неоднократно появлялся на десктопе, несмотря на удаление ярлыка браузера вручную.
Компания Microsoft уже заявила, что знает о проблеме, но многие считают, что это может быть лишь одной из попыток склонить пользователей Windows к фирменному браузеру.
Отзывы это вызывает весьма негативные. Например, один из пользователей Reddit написал: «Edge во второй раз вернулся на мой рабочий стол. Когда Microsoft поймет, что Edge никому не нравится?». Другой пользователь ответил ему: «Они уже понимают, что Edge никому не нравится и не нужен. Вот почему они это делают».
Другие пользователи поделились, что проблема возникает каждый раз при обновлении Edge, что приводит к добавлению ярлыка на рабочий стол. Кроме того, в отчётах утверждается, что удаление ярлыка просто приводит к воссозданию нового, поэтому многие просто скрывают его. Чаще всего от такой назойливости страдают пользователи Windows 10 и Windows 11.
Проблема касается не только тех, кто выбрал браузер конкурентов Microsoft. Например, ещё один из пользователей Reddit пожаловался: «Я продолжаю удалять ярлык, но он постоянно переустанавливается. Edge — мой браузер по умолчанию, но необходимость всегда удалять его с рабочего стола довольно раздражает».
Независимый консультант на форуме сообщества Microsoft Грег Кармак предложил обходной путь для решения проблемы, отметив, что можно отключить автозагрузку Edge в диспетчере задач, которая, по-видимому, продолжает возвращать ярлык после каждого перезапуска.
25 января 2023 в 21:34
| Теги: Windows, Microsoft
| Источник: MSPowerUser
- Remove From My Forums
-
Вопрос
-
Приветствую.
Перестала запускаться одна программа (автозагрузка прописана через реестр). ОСь: Win7 64bit
Есть ветви реестра для автозагрузки программ:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunВо всех ветках есть записи для загрузки и некоторые из них нормально грузятся(и 32-битные и 64-битные), а некоторые нет(проверял только 32-битные). Столкнулся с таким глюком: после прописания туда приложения, для некоторых
программ(мне удалось таким опытным путем найти новых 3 штуки в качестве примера) запуск во время входа в систему буквально подвисает, далее через минут 3-4-5 некоторые программы
всё же запустятся, а некоторые так и нет. Причём если в реестре есть ещё программы для загрузки, то их загрузка приостанавливается. Т.е. некая программа останавливает или приостанавливает всю автозагрузку. Но при этом
если её запускать вручную(через Explorer) всегда запускается нормально и без проблем.Далее самое интересное. Если поменять путь к программе — буквально изменить одну папку, то начинает всё работать отлично, но опять же для некоторых программ это не срабатывает. Далее, если перекинуть запись
из одной ветки в другую(к примеру из Wow6432Node), то также всё начинает работать, опять же не для всех программ.Что это за ГЛЮКИ такие?
-
Изменен тип
13 января 2014 г. 7:49
Тема переведена в разряд обсуждений по причине отсутствия активности. -
Изменен тип
Dmitriy VereshchakMicrosoft contingent staff
20 января 2014 г. 5:53
Вопрос решен
-
Изменен тип
Ответы
-
Актуален. Но больше для Microsoft, чтобы эти глюки исключить. Я решил вопрос перенесением программы для запуска в другой каталог.
Как добиться возникновения ошибки в тестовой среде? По шагам расписать точно не смогу. Глюк он и есть глюк. Попробуйте вручную подобавлять в эти 3 ветки разные программы для загрузки с разными путями. Вероятно сами и увидите этот глюк.
-
Помечено в качестве ответа
Dmitriy VereshchakMicrosoft contingent staff
20 января 2014 г. 5:53
-
Помечено в качестве ответа