В редакторе реестра, вы увидите, что ключи реестра организованы аналогично структуре файлов/папок. В \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion находятся 3-6 папок, относящихся к автозапуску:
"Run"
"RunOnce"
"RunOnce\Setup"
"RunOnceEx"
"RunServices"
"RunServicesOnce"
Приложения в этих папках запускаются сразу после загрузки системы. Другая аналогичная ветвь реестра, содержащая эти 3-6 ключей автозапуска - \HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion.
Вам может понадобиться проверить каждую из этих программ. Общее количество программ автозапуска отличается в зависимости от системы и часто пропорционально количеству иконок в system tray. System tray обычно расположен в нижнем правом углу рабочего стола Windows и содержит маленькие иконки около часов.
Эти приложения обычно являются исполняемыми файлами Windows с расширением .EXE, и поэтому должны иметь свойства файла (File Properties), которые имеет обычный исполняемый файл Windows. Вы можете проверить каждый файл, прописанный в реестре автозапуска, открыв Windows Explorer, чтобы посмотреть свойства каждого из них. Для этого, нажмите правой кнопкой мыши на файл, выберите "Properties", и затем посмотрите содержимое в закладке "Version" каждого файла. "Company" и "Product Version" часто дают много информации о файле. Строки реестра, не содержащие полного пути к файлам, соответствуют файлам, лежащим в директории Windows, Windows\System, или Windows\System32. Помните о том, что некоторое malware устанавливает атрибут Hidden на файлы, которые оно помещает в систему. В этом случае, нужно установить в Windows Explorer показ скрытых файлов (Tools->Folder Options, закладка View, затем выберите Show hidden files and folders).
Если папки содержат необычные строки, такие как ошибочные названия компаний, грамматические ошибки, это должно дать вам дополнительный повод для исследования такого приложения. Почитайте инструкции или поищите в поисковых системах. Если обнаружите, что эти файлы упоминаются как злонамеренные, можете начинать удалять ссылки на них. Позвольте напомнить вам еще раз, что ошибочное удаление критичных строк в реестре может привести к нежелательным результатам. Важно тщательно проанализировать и убедиться, что ссылки, которые вы удаляете из системы, являются ссылками на файл malware.
Другой путь получения контроля над системой для malware - изменение ассоциаций для часто используемых расширений файлов. Windows, как правило, использует ключи HKEY_CLASSES_ROOT для определения, какие приложения или программы должны запускаться для определенных расширений.
Рекомендуется также сделать резервную копию ключа реестра перед тем, как его модифицировать, экспортируя его в файл. Для этого, нажмите кнопкой мыши на ключ(папку) реестра, и в меню `Registry` выберите "Export Registry File". Укажите имя файла и подтвердите, что хотите сохранить его в файл. После создания резервной копии, можно удалить, или модифицировать ключ. Если вы обнаружите, что вы удалили нормальный параметр, не имеющий отношения к malware, вы сможете восстановить его.
Другие расположения автозапуска
Другие места, где можно найти строки автозапуска - System.ini и Win.ini. Malware часто изменяет их, добавляя ссылки на себя в секциях "run=" или "load=". Эти файлы расположены в директории Windows.
Идя тем же путем, как в случае с реестром, вы можете удалить эти строки, после того, как удостоверитесь, что файлы, на которые они ссылаются, злонамеренные. И вновь, сделайте резервную копию этих файлов перед изменением на случай, если эти файлы окажутся не злонамеренными и вам понадобится восстановить их из оригинала.
Все необходимые системные конфигурационные можно открыть, просмотреть и отредактировать с помощью программы Sysedit. Чтобы открыть ее, нажмите "Start", затем "Run", и наберите "Sysedit" в строке "Open:".
Еще одно место, где можно обнаружить строки автозапуска - папка Start -> Programs -> Startup. Эти строки запускаются непосредственно при входе пользователя в систему. Аналогично, сделайте резервную копию перед тем, как что-либо модифицировать.
|
