Любимые места вирусов в реестре

Материал из Записки на полях
Перейти к навигации Перейти к поиску

Для обеспечения автозапуска и распространения баннера или вируса он модифицирует следующие ключи реестра: 

[<HKCU>\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] 'Shell' = '<Полный путь к вирусу>'
[<HKCU>\Software\Microsoft\Windows\CurrentVersion\Run] 'Shell2' = '<Полный путь к вирусу>'


В реестре можно найти несколько мест для автозагрузке программ это:

  1. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
  2. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
  3. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx] — программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
  4. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при входе текущего пользователя в систему
  5. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ RunOnce] — программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
  6. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] — программы, которые загружаются при старте системы до входа пользователя в Windows.
  7. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce] — программы отсюда загружаются только один раз, когда загружается система.

Также смотрите (обычно вирусы и баннеры меняют ниже указанные параметры реестра): 

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon в параметре Shell, если что то кроме explorer.exe, то возможно это вредоносная программа.

Файл WINLOGON.EXE всегда расположен в C:\Windows\System32. В случае обнаружения этого файла в любом другом каталоге он должен быть удален. 

   [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
   ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"

Он должен иметь такой вид "Userinit"="С:\WINDOWS\system32\userinit.exe," . После запятой ничего не должно быть.

Если при попытке входа в учетную запись загружается пустой рабочий стол.

Смотрите ветку реестра 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]'''
ключ "Shell"="Explorer.exe"

Если в ключе прописано что-то другое, то замените на указанное выше.

Посмотреть что прописано в ветке 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"

Например, чтобы автоматически запускать программу Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ: "NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"

При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Программы могут запускаться и из следующего раздела реестра: [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]

Параметры: "load"="programma" — программы запускаемые до входа пользователя в систему: "run" ="programma" — программы запускаемые после входа пользователя в систему.

Ниже указанны папки, в которой хранятся ярлыки для программ запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

..\ Documents and Settings\All Users\Главное меню\Программы\Автозагрузка — это папка, программы из которой будут запускаться для всех пользователей компьютера. ..\ Documents and Settings\Username \Главное меню\Программы\Автозагрузка — это папка, программы из которой будут запускаться для текущего пользователя (за место Username Ваш пользователь).


Посмотреть какие программы у вас запускаются таким способом можно открыв меню "Пуск — Все программы — Автозагрузка" (если ярлык на программу не скрыт). Если вы создадите в этой папке ярлык для какой-нибудь программы, она будет запускаться автоматически после входа пользователя в систему. Если при входе пользователя в систему удерживать нажатой клавишу "Shift", то программы из папок "Автозагрузка" запускаться не будут.

Windows считывает данные о пути к папке "Автозагрузка" из реестра. Этот путь прописан в следующих разделах:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]

"Common Startup"="%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка — для всех пользователей системы.

  • [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer \User Shell Folders]

"Startup"="%USERPROFILE%\Главное меню\Программы\Автозагрузка — для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки. Например:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] "Startup"="c:\mystartup — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка "Автозагрузка" все так же будет отображаться в меню "Пуск", а если у пользователя в ней ничего не было, то он и не заметит подмены.

Как посмотреть список программ автозагрузки

Посмотреть список автоматически загружаемых программ можно открыв программу "Сведения о системе" (откройте "Пуск — Все программы — Стандартные — Служебные — Сведения о системе" или наберите msinfo32.exe в командной строке) и перейдя в пункт "Программная среда — Автоматически загружаемые программы"(не пугайтесь программ там будет много). Программа "Свойства системы" отображает группы автозагрузки из реестра и папок "Автозагрузка".

Другая программа, позволяющая посмотреть список программ автозагрузки — "Настройка системы" (для запуска наберите msconfig из командной строки). Эта программа кроме просмотра списка автозагрузки предоставляет возможность отключения всех пунктов автозагрузки (вкладка "Общие") или выборочных программ (вкладка "Автозагрузка").

Ключи реестра автозагрузки:

- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Userinit"="С:\WINDOWS\system32\userinit.exe,"
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
ключ "Shell"="Explorer.exe"
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet]
- [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows, run]
- [HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components]
- [HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager, BootExecute]
- [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xxxxx-xx-xx-xx-xxxxx}]
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup
- C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
- C:\Documents and Settings\имя_пользователя\Главное меню\Программы\Автозагрузка
Источник — https://wiki.freezl.ru/index.php?title=Любимые_места_вирусов_в_реестре&oldid=900