Управление автозапуском приложений при старте Windows

Подробности

Категория: Компьютер

Опубликовано 30.11.-0001 02:30

Просмотров: 1555

Дорогие друзья! Читатели блога GeoDum.ru!

Как известно, при включении компьютера и запуске установленной на нем операционной системы Windows происходит автоматический запуск ряда программ (Автозагрузка), резидентно размещаемых в оперативной памяти. Перечень этих программ можно увидеть, запустив программу msconfig (Пуск — Выполнить — msconfig) и перейдя на вкладку Автозагрузка, или с помощью других программ (например, Revo Uninstaller).

 

В этом окне можно исключить некоторые программы из автозагрузки. Но по умолчанию программы автозапуска начинают загружаться все одновременно, что приводит к большой загрузке процессора и жесткого диска, что в свою очередь замедляет общую загрузку системы.

Вместе с тем иногда возникает необходимость загрузки хотя бы части из них в определенном пользователем порядке, с задержкой после других программ и при снижении нагрузки на процессор и диск, а также при выполнении определенных условий. Например, когда установлено соединение с Интернетом. Введение задержки автозапуска может уменьшить общее время загрузки системы.

И здесь на помощь приходит бесплатная программа Startup Delayer. Скачать ее последнюю версию можно на сайте разработчика R2 Studios.

Она имеет многоязычный интерфейс, в том числе русский. Он выбирается при первом запуске. Программа автоматически добавляет себя в автозагрузку.

Возможности программы:

При первом запуске программы предлагается выбрать стиль работы:

Здесь внимательно читайте описание и выбирайте, двигая ползунок. Но учтите, что крайнее левое положение ускоряет запуск отдельных программ, но не уменьшает времени запуска всей системы. Лучше всего оставить предложение по умолчанию (30%).

При первом запуске программы конфигурации в средней части главного окна появляется список всех программ в автозагрузке

.

В окне имеются еще две области: в верхней части можно разместить все программы, требующие задержки и установить для них последовательность запуска, в нижней части —  программы, которые вы желаете временно удалить из списка автозагрузки. Перемещение программ между областями производится методом перетаскивания мышкой.

Программа имеет гибкие настройки как для всех приложений автозапуска. так и для отдельных приложений. Для всех программ можно задать общие условия по виду запуска. И вместе с тем у каждой программы можно задать индивидуальные условия по задержке и дополнительные условия. Например:

Короче, весьма полезная программа.

Удачи вам, до новых встреч на страницах моего сайта.

Чтобы быть в курсе новинок сайта, рекомендую подписаться на периодическую еженедельную почтовую рассылку «Сказки Старого Юзера» на портале Subscribe.ru.

Управление автозагрузкой

Управление автозагрузкой

Папка Автозагрузка в меню Пуск — это место, куда обращается большинство людей, если нужно, чтобы система Windows при загрузке автоматически запустила при­ложение. Просто поместите ярлык программы в эту папку, a Windows сделает все остальное. Или удалите существующий ярлык, чтобы программа не запускалась во время загрузки компьютера.

Проблема в том, что кроме папки Автозагрузка существует еще много способов за­дать конфигурацию программ запуска, и если вы пытаетесь решить проблему или просто хотите уменьшить время запуска компьютера, то нужно просмотреть все эти способы. Чтобы увидеть их все в одном месте, откройте инструмент Конфигурация системы (msconfig. exe) и выберите автозагрузку. Уберите галочки с программ, запуск которых вы хотите отменить, и нажмите Применить.

Ниже перечислен список мест, где Windows ищет элементы запуска:

• Папки автозагрузки

На самом деле на жестком диске имеется две такие палки, но в меню Автозагрузка (под словами Все программы в меню Пуск) показаны ярлыки из обеих. Если вам необходимо вплотную заняться очисткой компьютера, то проще открыть Про­водник, чем многократно открывать меню Пуск. Во-первых, ваша личная палка запуска находится здесь:

С:\Users\{username}\AppData\Roaming\Microsoft:\Windows\Start Menu\ Programs\Startup

Программы, указанные в ней, будут загружаться автоматически после входа в систему с вашей учетной записью пользователя. Далее, папка запуска «Все пользователи» находится здесь:

С:\ProgramData\Microsoft\Windows\Star Menu\Programs\Startup

и в ней перечислены программы, которые загружаются автоматически при входе в систему любого пользователя.

• Системный реестр

В системном реестре есть несколько мест, в которых заданы про­граммы запуска. Инсталляторы добавляют свои программы в эти разделы по нескольким причинам: чтобы предотвратить вмешательство, для большей гиб­кости или — в случае вирусов, троянских программ и шпионского ПО — чтобы убрать их с видного места.

Разделы реестра для автозапуска программ

Разделы содержат в себе программы запуска для текущего пользователя:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

А эти содержат в себе программы запуска для всех пользователей:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Если вы используете 64-битную Windows, то тогда могут быть еще такие записи:

HKEY_L0CAL_MACHINE\S0FTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\Run

HKEY_L0CAL_MACHINE\S0FTWARE\Wow6432Node\Microsoft\Windows\ CurrentVersion\RunOnce

Наименование разделов должно говорить само за себя.

Программы, ссылающие­ся на какой-либо из разделов Run, запускаются каждый раз при запуске Windows, и это именно то место, где находится большинство программ автозагрузки. Про­граммы, ссылающиеся на разделы RunOnce, запускаются только один раз, а потом удаляются из разделов.

Окно Службы (services.msc) перечисляет десятки программ, специально раз­работанных для работы в фоновом режиме. Преимущество служб над другими методами автозагрузки состоит в том, что они активны даже тогда, когда ни один пользователь не вошел в систему. Например, веб-сервер может продолжать обслу­живание веб-страниц, когда отображается экран приветствия (входа) в систему.

Автозапуск программ при входе пользователя в систему

Читайте также

(3.22) У меня пусто в «Автозапуске», но некоторые программы продолжают стартовать при входе в Windows.

(3. 22) У меня пусто в «Автозапуске», но некоторые программы продолжают стартовать при входе в Windows. Проверьте следующую ветку реестра, используя regedit или regedt32: [HLKMSOFTWAREMICROSOFTWINDOWSCURRENTVERSIONRUN]. Там находятся значения, каждое из которых соответствует одной запускаемой при старте

3.11. У меня пусто в «Автозапуске», но некоторые программы продолжают стартовать при входе в Windows.

3.11. У меня пусто в «Автозапуске», но некоторые программы продолжают стартовать при входе в Windows. Проверьте следующую ветку реестра, используя regedit [HLKM SOFTWARE MICROSOFT WINDOWS CURRENTVERSION RUN]. Там находятся значения, каждое из которых соответствует одной запускаемой при старте программе.

1.2.5. Использование сеансов. Автозапуск программ и сохранение сеанса

1. 2.5. Использование сеансов. Автозапуск программ и сохранение сеанса Разгар рабочего дня. Запущено много программ, открыто много документов. Вам нужно отлучиться до конца дня, поэтому нужно выключить компьютер. Вам не хочется завтра открывать все эти документы заново?

12.5 Автозапуск сменных носителей

12.5 Автозапуск сменных носителей Когда вы вставляете в компьютер диск, флешку, карту памяти или любое другое устройство с данными, Ubuntu автоматически определяет тип содержимого и предлагает вам открыть соответствующее приложение. Некоторым пользователям это не очень

Автозапуск

Автозапуск С помощью этого системного механизма вы можете настраивать реакцию операционной системы на подключение устройства. По умолчанию стандартная реакция на такие события – появление окна со списком доступных действий.

В случае же ручной настройки, например, если

Новый диалог входа пользователя в систему

Новый диалог входа пользователя в систему В Windows XP появился новый диалог для входа пользователя в систему, применяемый по умолчанию. Если раньше в операционной системе Windows 2000 вас встречало компактное окно для ввода имени пользователя и пароля, то теперь вас ждет красиво

Автозапуск CD-ROM

Автозапуск CD-ROM Отключение стандартного автозапуска компакт-дисковЧтобы отключить автозапуск компакт-диска, устанавливаем значение параметра типа DWORD °AutoRun°, равным 0 в разделе HKLMSYSTEMCurrentControlSetServicesCDRomОтключение нового метода автозапуска компакт-дисковВ Windows XP существует

Коэффициент усиления при дифференциальном входе

Коэффициент усиления при дифференциальном входе Коэффициент усиления при работе в режиме дифференциального входа найдем, установив Vs1=–Vs2=Vs/2. Коэффициент усиления аппроксимируется выражением: Для анализа выберем Vs=1 мВ, задав Vs1=0,5 мВ и f=1 кГц. Воспользовавшись

Коэффициент усиления при общем входе

Коэффициент усиления при общем входе При работе в режиме с общим входом (ОВ) необходимо установить Vs1=Vs2= Vs. Коэффициент усиления в этом режиме можно аппроксимировать выражением: Воспользовавшись известными значениями параметров транзистора, предскажите, каков будет

Автозапуск

Автозапуск Операционная система Windows может автоматически определять программы, в которых будет открываться содержимое компакт-дисков, в зависимости от того, какого типа файлы на них записаны. В системе Windows XP для настройки параметров автозапуска следует выполнить

3.

9. Способы загрузки программ при входе

3.9. Способы загрузки программ при входе Рассмотрим разделы реестра, которые используются для запуска программ и библиотек при входе пользователя в систему. Кроме того, здесь будут описаны и другие параметры, которые могут находиться в этих

Что происходит при первом входе в ICQ?

Что происходит при первом входе в ICQ? В оформлении окна ICQ применяется технология flash-анимации. Поэтому при первом запуске программы из Интернета автоматически скачивается и устанавливается компонент Adobe Flash Player.Об установке этого компонента вам напомнит запрос контроля

Как отключить автозапуск программ

Как отключить автозапуск программ — Через реестр. Для запуска редактора реестра нажимаем «Пуск» — «Выполнить» (в Windows Vista или Windows 7 нажмите комбинацию клавиш win + R) — вписываем команду «regedit» — нажимаем «OK». В открывшемся окне находим

Автозапуск сменных носителей

Автозапуск сменных носителей При подключении flash-устройства или вставке компакт-диска будет автоматически проанализировано его содержимое, после чего появится окно автозапуска, в котором пользователь может выбрать одно из предложенных действий. Например, для дисков с

Автозагрузка Windows | Helpform

В данной статье мы рассмотрим, как настроить автозагрузку программ в Windows. Как нам известно иногда некоторые программы при установке добавляются в авто загрузку Windows, при этом очень мешаю в работе за компьютером. Также многие вредоносные программы добавляются без ведома пользователя в авто загрузку Windows.

                Существую множество способов настройки автозагрузки в Windows:

1. Автозагрузка Windows, настройка в реестре;
2. Автозагрузка Windows, настройка групповой политики;
3. Автозагрузка Windows, настройка планировщика задач;
4. Автозагрузка Windows, настройка конфигурации системы.

1. Автозагрузка Windows, настройка в реестре.

Есть 4 ветки в реестре (на самом деле больше и ниже мы рассмотрим), приступим к рассмотрению.

Автозагрузка программ для

текущего пользователя.

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ] – в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему.

[ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce ] ‐ в данной ветке реестра находятся программы, которые запускаются при входе текущего пользователя в систему только один раз, после чего автоматически удаляются с ветки реестра.

Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра

[HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

[HKEY_CURRENT_USER\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Автозагрузка программ для

всех пользователей.

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ] – в данной ветке реестра находятся программы, которые запускаются при входе в систему для всех пользователей.

[ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce ] — в данной ветке реестра находятся программы, которые запускаются при входе всех пользователей в систему только один раз, после чего автоматически удаляются с ветки реестра.

Если у Вас программное обеспечение 32 битное а Windows 64 бита соответственно нужно смотреть данные ветки реестра

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce]

Пример добавления автозагрузки программы с помощью реестра.

Добавление автозагрузки в реестре Windows:

Допустим при старте нам нужно чтобы автоматически загружался блокнот.

Решение данной задачи

Для этого нужно вызвать редактор реестра, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем regedit и нажимаем Enter или заходим в пуск выполнить и набираем regedit и нажимаем Enter. После чего у нас появиться программа редактор реестра

После чего заходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

В право части программы редактор реестра нажимаем на пустом месте нажимаем правую клавишу мыши Создать -> Строковый параметр, после чего переименовываем его в notepad, потом двойным щелчком мыши нажимаем на параметр notepad и в поле значения указываем путь к данному к блокноту C:\Windows\notepad.exe и нажимаем ОК.

Теперь после загрузки Windows у нас будет загружаться блокнот.

Удаление автозагрузки в реестре Windows:

Допустим нам нужно из авто загрузки удалить блокнот.

Также заходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] находим там параметр notepad у правой клавишей мыши удаляем его.

2. Автозагрузка Windows, настройка групповой политики

Для это открываем оснастку «Групповая политика», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем gpedit.msc и нажимаем Enter или заходим в пуск выполнить и набираем gpedit.msc и нажимаем Enter. После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики».

В левой части окна «Редактор локальной групповой политики» идем по следующему пути Конфигурация компьютера ‐> Административные шаблоны ‐> Система -> Вход в систему после чего в правой части окна нам нужно включить политику «Выполнять эти программы при входе в систему». Для этого нажмите дважды левой клавишей мыши на данную политику и выберете пункт включить. Данный параметр политики задает дополнительные программы или документы, которые Windows запускает автоматически при входе пользователя в систему.

После чего как мы включили политику «Выполнять эти программы при входе в систему» и нажали клавишу «Применить», мы можем вносить программы, которые будут автоматически запускаться, нажав кнопку «Показать» и указываем путь к программе, которую хотим автоматически запустить при старте Windows.

При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел \Explorer\Run с ключами добавленных программ.

Аналогично задается автозапуск Windows можно задать для текущего пользователе, по следующему пути по следующему пути Конфигурация пользователя ‐> Административные шаблоны ‐> Система -> Вход , а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run].

3. Автозагрузка Windows, настройка планировщика задач

Для это открываем оснастку «Планировщика задач», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем taskschd.msc и нажимаем Enter или заходим в пуск выполнить и набираем taskschd.msc и нажимаем Enter. После чего у нас появиться программа редактор реестра «Планировщика задач».

Чтобы добавить новое задание, нужно из меню «Действия» выбрать пункт «Создать простую задачу». Дальше действуем по следующему плану:

1. Вводим новое имя, и нажимаем кнопку Далее;
2. Выбираем пункт «При входе в Windows» -> Далее;
3. Выбираем пункт «Запустить программу» -> Далее;
4. Через обзор выбираем программу -> Далее;
5. Готово.

4. Автозагрузка Windows, настройка конфигурации системы

Для это открываем оснастку «Конфигурация Системы», открыть ее можно следующим образом, нажимаем сочетание клавиш WIN+R и в поле выполнить набираем msconfig и нажимаем Enter или заходим в пуск выполнить и набираем msconfig и нажимаем Enter. После чего у нас появиться программа редактор реестра «Редактор локальной групповой политики». Здесь необходимо перейти во вкладку «Автозагрузка» и убрать галочки с программ, которые вы не хотите видеть в автозагрузке. Далее нажать «ОК» и перезагрузить компьютер.

Заключение

Надеюсь что данная статья поможет вам в настройке автозагрузки Windows.

Как отключить автозапуск и автозагрузку в windows 10

В интернете часто под автозагрузкой и автозапуском подразумевают одно и то же. Это не совсем правильно.

Автозагрузка это загрузка программ, при запуске вашей windows 10.Автозапуск – это автоматический запуск подключаемых внешних носителей.

Например, вы вставили флешку или диск, и они сразу показывают содержимое. Это неправильно. Почему?
Флешку вы, например, могли одолжить с вирусами и при включенном автозапуске все паразиты сразу будут у вас на компьютере или ноутбуке.

Если же автозапуск отключить, то вы сможете сканировать внешние носители установленной антивирусной программой.

Что касается автозагрузки, то множество приложений (программ) автоматически прописываются в ней, тем самым замедляя производительность и уменьшая память.

Поэтому время от времени ее параметры требуется изменить. Теперь подробнее как на windows 10 отключить автозапуск и убрать программы с автозагрузки.

Как в

windows 10 убрать программы из автозагрузки

В отличии от семерки в windows 10 она находится в другом месте – в диспетчере задач. Поэтому откройте его и перейдите на вкладку, которая так и называется автозагрузка.

В нем просто выделяйте программу, которую хотите отключить и внизу щелкайте – отключить.

Так можете убрать все, хоте некоторые все же думаю вам понадобятся. Я, например, всегда держу с десяток, три из которых для улучшения интерфейса – стандартным какой-то для меня мутный.

Средства виндовс правда не лучший вариант для отключения. Намного удобнее пользоваться дополнительными приложениями, например, Рево унисталер или CCleaner.

Пользоваться ими очень просто. Они с русским языком, бесплатные и должны быть у всех, хотя есть аналоги.

Как на

windows 10 отключить автозапуск

Чтобы вы смогли отключить автозапуск, вам придется открыть классическую панель управления своей windows 10 и перейти в раздел «Автозапуск».

После этого просто снимите птичку напротив строки: «использовать автозапуск для всех носителей и устройств».

Вот и вся канитель. Теперь после подключения внешних носителей запускать их будете в ручном режиме.

Есть конечно больше вариантов выполнения этой процедуры, но писаного хватит целиком.

В заключение еще дам совет. Вы знаете, что windows 10 подглядывает за вами используя шпионские модули? Их также можно отключить. Как? Перейдите сюда и все узнаете. Успехов.

Закрытие программ, работающих в фоновом режиме

Обновлен: 7 дней назад

Номер статьи (ID) 23848

Применимо к играм:

Сторонние программы, работающие в фоновом режиме, могут конфликтовать с играми. Выполните следующие действия, чтобы временно закрыть такие программы и установить, являлись ли они источником ошибок.

• Выберите операционную систему

 

Windows 7

Перед тем как попробовать указанные ниже советы, отключите все ненужные программы и перезапустите ваш компьютер.

Определите конфликтующие программы

1. Нажмите комбинацию клавиш Windows + R.
2. Введите msconfig и нажмите клавишу Enter.
3. Выберите опцию Загружать элементы автозагрузки.
4. Откройте вкладку Автозагрузка.
5. Выберите Отключить все.
6. Перезапустите компьютер.

Если затруднение не повторяется, вы можете исключить системные службы из списка потенциальных причин, вызывающих затруднение.

Примечание: чтобы повторно включить автозапуск приложений, последуйте шагам 1-5 и Включите программы.

Windows 8

Перед тем как попробовать указанные ниже советы, отключите все ненужные программы и перезапустите ваш компьютер.

Определите конфликтующие системные службы

1. Нажмите комбинацию клавиш Ctrl + Shift + Esc и откройте Диспетчер задач.
2. Откройте вкладку Автозагрузка.
3. Нажмите правой кнопкой мыши на каждую программу и выберите опцию Отключить.
4. Перезапустите компьютер.

Если затруднение не повторяется, вы можете исключить системные службы из списка потенциальных причин, вызывающих затруднение.

Примечание: чтобы повторно включить автозапуск приложений, последуйте шагам 1-5 и Включите программы.

Windows 10/11

Перед тем как попробовать указанные ниже советы, отключите все ненужные программы и перезапустите ваш компьютер.

Определите конфликтующие программы

1. Нажмите комбинацию клавиш Ctrl + Shift + Esc и откройте Диспетчер задач.
2. Нажмите кнопку Подробнее.
3. Откройте вкладку Автозагрузка.
4. Нажмите правой кнопкой мыши на каждую программу и выберите опцию Отключить.
5. Перезапустите компьютер.

Если это позволило устранить затруднение, поочередно включайте программы, чтобы определить, какая из них вызывает неполадку. Вам будет необходимо перезагружать компьютер после каждого включения программы.

Примечание: чтобы включить программы, следуйте шагам 1-4, выбрав опцию Включить.

Mac

Временное отключение объектов входа

1. Перезагрузите компьютер.
2. Если вы видите окно ввода имени пользователя и пароля, зажмите клавишу Shift, щелкните по кнопке Войти и отпустите клавишу Shift, когда появится панель Dock.
3. Если вы не видите окно ввода имени пользователя и пароля, перезапустите компьютер и зажмите клавишу Shift, когда вы увидите полосу прогресса в окне загрузки. Отпустите клавишу Shift, когда вы увидите рабочий стол.

Определение программ, провоцирующих затруднения

Если вы хотите определить, какие программы вызывают затруднения, выполните следующие действия.

1. Откройте меню Системные настройки и выберите раздел Пользователи и группы.
2. Выберите название вашей учетной записи и выберите Объекты входа.
   Примечание: создайте список приложений в автозагрузке — этот список вам потребуется список для восстановления приложений в автозагрузке.
3. Выберите все приложения и щелкните по кнопке Удалить (-).
4. Перезагрузите компьютер.
5. Откройте меню Пользователи и группы еще раз и восстанавливайте приложения по одному, перезагружая компьютер каждый раз и проверяя, не появились ли затруднения.

Когда вы обнаружите конфликтующую программу, повторите шаги 1–3, но удалив на этот раз лишь несовместимую программу. Свяжитесь с производителем для дальнейшей помощи.

Ничего не помогло?

Если вы попробовали все шаги, но затруднение не было решено, пожалуйста, вы можете обсудить решение затруднения на форуме технической поддержки (World of Warcraft) (StarCraft II) (Diablo III) (Hearthstone) (Heroes of the Storm) (Overwatch) или свяжитесь с нами.

Плюсы и минусы автоматизации: автозагрузка WINDOWS — как разобраться

Автозагрузка программ

В процессе загрузки операционной системы, кроме самой оболочки Windows, обычно загружается еще целый ряд программ — этот процесс называют автозагрузкой, так как он происходит без каких-либо действий пользователя. Это могут быть системные приложения, необходимые для реализации возможностей оборудования или же установленные пользователем прикладные программы, которые необходимы в работе. Сомневаться в пользе такой функции Windows не приходится — загрузка программ через автозапуск способствует реализации всех возможностей компьютера, а пользователь может сходу приступать к выполнению конкретных задач, не теряя время на запуск приложений.

Минусы большого количества программ в списке автозагрузки

Однако за перечисленные преимущества приходится расплачиваться оперативной памятью системы — каждая запущенная программа отнимает ее часть. Каждое уменьшение объема памяти, отводимое на обеспечение работы какой-либо программы, влияет на скорость работы системы в целом — естественно, в сторону замедления. При установке многих широко распространенных программ они оставляют записи в реестре Windows, прописывая там команды на автозагрузку их служебных модулей. Запущенные таким образом модули способствуют быстрому запуску основного приложения, когда пользователь решает его задействовать. Так работают все основные антивирусные программы, офисные приложения — Microsoft Office, Open Office и многие другие. При этом работа служебного модуля происходит в фоновом режиме, его можно наблюдать только через Панель задач по наличию там соответствующего значка. И если таких модулей запущено немало, они замедляют работу компьютера. Находясь в оперативной памяти и занимая там свободное место, служебные модули также отбирают часть ресурсов процессора. Влияют они также на суммарное время стартовой загрузки операционной системы, добавляя к нему лишние секунды и даже минуты.

Как видим, в наличии пользовательских программ и их модулей в автозагрузке есть плюсы и минусы. Но есть еще одна особенность автозапуска, которую можно отнести к безусловным минусам. Помимо так сказать «легальных» программ, которые там прописались с подачи разработчиков и по воле пользователя, некоторые туда стремятся попасть незаметно для него. Такое проникновение в реестр нежелательных «гостей» вызывает неприятие владельца системы, раздражая его непродуктивными задержками в работе.

К сожалению, в последнее время при установке софта заметно, что многие программы пытаются попасть в автозагрузку. В результате можно видеть, что число значков в Панели управления постоянно растет, а загрузка Windows, соответственно, удлиняется. А ведь потребности в автозапуске многих приложений часто просто не существует. Далее мы расскажем, как такое положение можно изменить.

Включать или не включать программу в список автозагрузки

Как правило, при установке новой программы у пользователя присутствует возможность не допустить ее включения в список автозагрузки. Такая возможность заключается в тщательном контроле инсталляции — на экране обычно отображаются все ее этапы. Надо разобраться во всех появляющихся вопросах, отслеживать события и принимать верные решения по возникающим вариантам. Особенно надо подумать при появлении запросов, типа: «Запускать автоматически?» — или сходных, лучше отвечать на него отрицательно. Если пользователь в процессе работы с приложением поймет, что автозапуск необходим, его можно добавить позже.

Даже если программа уже присутствует в автозагрузке, пользователь может удалить ее оттуда в любой последующий момент. В настройках многих приложений имеется возможность выбора способа запуска — автоматически или в ручном режиме, то есть после соответствующей команды. Путем смены способа загрузки в настройках можно исключить программу из автоматически загружаемых модулей.

Редактирование списка автозагрузки с помощью Windows

Но такая простая возможность удаления нежелательного модуля из автозагрузки имеется не всегда. Часто здесь приходит на помощь арсенал самой Windows, ее так называемые стандартные средства, в данном случае — редактор списка автозагрузки. Существуют также специальные утилиты для настройки системы, включая изменение списка приложений в автозапуске. В особо запутанных случаях можно попытаться очистить реестр системы вручную.

Стандартная утилита редактирования настроек Windows вызывается через меню «Пуск» — команда «Выполнить» (или «Run») — затем в поле «Открыть» надо набрать msconfig и нажать «Ок». В появившемся на экране окне «Настройка системы» мы увидим панель «Автозагрузка». Имеющийся там список содержит все программы, которые запускаются в автоматическом режиме. Надо отметить (снять флажки) со всех программ, которые хотим исключить из автозагрузки, затем нажать кнопки «Применить» и «Ок». После выполнения предложенной системой перезагрузки мы увидим, что отмеченные программы исчезли из списка автозапуска.

Если опыт пользователя не позволяет корректно выполнить идентификацию каких-либо программ в меню автозагрузки, надо обратить внимание на путь к приложению, приведенный в поле «Команда» — он укажет на папку приложения.

Как удаление ненужных программ из автозагрузки, так и добавление туда полезных можно произвести через системный реестр. Конечно, для таких действий уже необходимо иметь значительный опыт и навыки работы с реестром. По аналогии с утилитой msconfig, редактор реестра вызывается через меню «Пуск» — «Выполнить», только в поле «Открыть» набираем команду regedit. Откроется окно, содержащее разделы реестра системы. Интересующие нас параметры автозапуска содержатся в ветке HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run — мы увидим строки, относящиеся к каждой автоматически загружаемой программе. Изменяя значения параметров, можно удалять нежелательные приложения из автозагрузки. Здесь же имеется возможность добавления строк с тем, чтобы прописать другие, нужные пользователю программы в автозапуск.

Программы для редактирования списка автозагрузки

Мы упоминали, что редактировать список автозагрузки можно не только посредством утилит, уже содержащихся в Windows — для выполнения изменений в меню автозапуска имеются утилиты сторонних разработчиков. Типичный пример — бесплатная программа Autoruns. От прочих отличается тем, что дает возможность проверки большого количество веток реестра для обнаружения программ, настроенных на запуск параллельно с загрузкой системы. Autoruns удобно отображает список программ, располагая их в порядке обработки их системой. Кроме основного раздела, они показывает загружаемые программы в других ветках. В результате работы утилиты будут отражены приложения, включенные в автозагрузку, с указанием информации о разделах системного реестра, содержащих параметры их запуска и путей к библиотеке приложения или исполняемому файлу. Пользователь может запустить любое приложение прямо из Autoruns, может просматривать его свойства по команде «Properties» и, наконец, отключать автозапуск программы и даже удалять приложение через команду «Delete».

Другой разновидностью утилит, способных выполнять редактирование автозагрузки, является cCleaner. Кроме очистки реестра системы и управления списком программ в автозапуске, она способна удалять ненужные и временные файлы.

Автозагрузка регулируется через подменю «Сервис» — «Автозагрузка». После отображения списка автоматически загружаемых приложений можно отключить любое из них — кликнуть на его названии и нажать кнопку «Выключить». Если необходимость автозапуска появляется снова, можно вернуться в меню и проделать обратную операцию включения. Когда же пользователь уверен в том, что данная программа никогда не понадобится в автозагрузке, можно воспользоваться кнопкой «Удалить». При этом сама программа не деинсталлируется, но больше не будет загружаться автоматически, следовательно, освободится часть ресурсов системы.

Для пытливых и взыскательных пользователей можно порекомендовать еще ряд сходных программ для правки автозагрузки Windows, в частности, такие как CodeStuff Starter, Revo Uninstaller и многие другие.

Что такое установка автозапуска? — MVOrganizing

Что такое установка автозапуска?

AutoRun был введен в Windows 95, чтобы упростить установку приложений для нетехнических пользователей и снизить стоимость звонков в службу поддержки программного обеспечения. Когда правильно сконфигурированный CD-ROM вставляется в привод CD-ROM, Windows обнаруживает прибытие и проверяет содержимое на наличие специального файла, содержащего набор инструкций.

Что такое автозапуск exe при автозагрузке?

Автозапуск.exe не является системным файлом Windows. Autorun.exe имеет цифровую подпись. Это файл, подписанный Verisign. Autorun.exe может записывать ввод с клавиатуры и мыши и отслеживать приложения. Если autorun.exe находится в подпапках в папке профиля пользователя, рейтинг надежности составляет 60% опасности.

Как запустить автозапуск?

Как собрать журналы автозапуска Microsoft

1. Откройте заархивированную папку и запустите Autoruns.exe для 32-битных операционных систем или Autoruns64.exe для 64-битных операционных систем.
2. Когда откроется Autoruns, нажмите Esc, чтобы отменить текущее сканирование.
3. При поиске вредоносного ПО помогает войти в систему как зараженный пользователь.

Как вручную запустить файл автозапуска?

Вставьте диск в дисковод, перейдите в «Мой компьютер» и щелкните правой кнопкой мыши значок дисковода CD / DVD. Выберите «Открыть». Найдите файл setup.exe или что-то подобное. Он может называться «autosetup.exe» или тому подобное.

Почему не работает автозапуск?

Откройте приложение «Настройки» -> «Устройства».Затем выберите «Автовоспроизведение» слева и установите для параметра «Использовать автовоспроизведение для всех носителей и устройств» значение «Вкл.». Откройте Панель управления -> Оборудование и звук -> Автозапуск и отметьте опцию Использовать автозапуск для мультимедиа и устройств. Если это не сработает автоматически, выберите «Открыть диск» и выберите «DVD».

Всегда ли Autorun INF является вирусом?

Windows использует автозапуск. Вирусы и другие вредоносные программы будут пытаться использовать эту функцию для заражения новых компьютеров, когда устройства или носители (например, USB-накопитель) перемещаются между компьютерами.Примечание: файл «autorun. inf »сам по себе не является вредоносным.

Автозапуск INF еще работает?

Для флэш-накопителей USB больше нет возможности запускать программное обеспечение. Однако эта опция все еще доступна, если autorun. inf находится на компакт-диске, а дисковод для компакт-дисков зарегистрирован как несъемный (DRIVEFIXED).

Важен ли Autorun INF?

Автозапуск. inf — это текстовый файл, который может использоваться компонентами AutoRun и AutoPlay операционных систем Microsoft Windows.Компакт-диски с приложениями с функцией автозапуска для автоматического запуска программы, которая затем может направлять пользователя через процесс установки.

Можно удалить вирус автозапуска?

Единственный способ избавиться от автозапуска. inf, чтобы полностью удалить его с помощью окна командной строки и выполнения необходимого синтаксиса для каждого раздела диска. Автозапуск. inf — это червь, который распространяется по всем вашим разделам, создавая свою копию и обычно поступающий с USB-накопителей.

Как убрать автозапуск с USB?

Инструкция по удалению автозапуска. inf вирус с USB-накопителя:

1. Вставьте USB-накопитель в компьютер, появится диалоговое окно, нажмите «Отмена».
2. Введите букву USB-накопителя в командную строку.
3. Введите dir / w / a и нажмите Enter, после чего отобразится список файлов на вашем флеш-накопителе.
4. Если имя вируса autorun.

Стоит ли удалять автозапуск INF?

инф и.EXE-файлы на каждом диске вашего компьютера. Ниже приведено руководство по удалению автозапуска. inf вирус вручную, ручное удаление файла Autorun. inf вирус предлагается только компьютерным экспертам, так как удаление и редактирование реестра Windows может нанести серьезный ущерб системе.

Как исправить автозапуск?

Как удалить вирус автозапуска

1. Шаг 1. Используйте средство поиска файлов Windows, чтобы найти путь к autorun.inf. Перейдите в Пуск> Поиск> Все файлы или папки.
2. Шаг 2: Обнаружение и удаление других автозапусков.inf Файлы.
3. Шаг 3. Очистите реестр с помощью очистителя реестра. Загрузите этот очиститель реестра.

Что делает Autorun INF?

Автозапуск. inf — это текстовый файл, расположенный в корневом каталоге компакт-диска, содержащего ваше приложение. Его основная функция — предоставить системе имя и расположение программы запуска приложения, которая будет запускаться при установке диска.

Что такое червь автозапуска?

Обычно распространяемые через USB-накопители, черви с автоматическим запуском разработаны как «внезапная атака», использующая преимущества функции автозапуска Windows (autorun. inf) для автоматического выполнения вредоносного кода без согласия пользователя при подключении зараженного устройства к компьютеру.

Как запустить Autorun Inf в Windows 10?

Чтобы включить функцию автозапуска для USB-накопителей, выполните следующие действия:

1. В меню «Пуск» Windows щелкните пункт меню «Настройки».
2. Щелкните значок «Устройства».
3. Щелкните параметр AutoPlay в списке слева.
4. Щелкните параметр «Использовать автозапуск для всех носителей и устройств», чтобы включить его.

Как включить автозапуск на USB?

Чтобы разрешить или запретить автоматический запуск съемных носителей или устройств в Windows 10, выполните следующие действия:

1. Открыть настройки.
2. Щелкните «Устройства».
3. Щелкните Автозапуск.
4. Включите или выключите тумблер «Использовать автозапуск для всех носителей и устройств».

Как сделать автозапуск через USB?

Вставьте флешку в порт USB. Когда вы увидите диалоговое окно «Автозапуск», нажмите «Отмена».Откройте «Мой компьютер», щелкните правой кнопкой мыши значок флэш-накопителя и выберите «Свойства». В диалоговом окне «Свойства» выберите вкладку «Автозапуск».

Отключен ли автозапуск Windows 10?

В разделе «Конфигурация компьютера» разверните «Административные шаблоны», разверните «Компоненты Windows» и нажмите «Политики автозапуска». В области сведений дважды щелкните Отключить автозапуск. Нажмите «Включено», а затем выберите «Все диски» в поле «Отключить автозапуск», чтобы отключить автозапуск на всех дисках.

Можно ли отключить автозапуск?

Важно отключить и автозапуск, и автозапуск, так как они имеют разные функции: автозапуск открывает диалоговое окно, предлагающее пользователю что-то сделать со вставленным носителем, тогда как автозапуск просто ищет файл INF и запускает его для установки программного обеспечения.Оба варианта рискованны.

Автозапуск и автозапуск — это одно и то же?

AutoRun — это технология, используемая для автоматического запуска некоторых программ, когда в компьютер вставлен компакт-диск или другой носитель. Автозапуск — это функция Windows, которая позволяет пользователю выбрать, какая программа запускается при вставке определенного типа носителя, такого как музыкальные компакт-диски или DVD-диски с фотографиями.

Ваш компьютер заражен вирусом Autorun.in? Вот как это проверить и удалить

Эндрю Сандерс

Автозапуск.in — это вирус, который обычно распространяется через зараженные внешние устройства, например USB-накопители. Как только зараженный USB-диск попадает в вашу систему, вирус может уничтожить ваш компьютер, самозаполняющихся файлов, уничтожить важные документы и воспроизвести себя, так что его будет трудно удалить.

Как узнать, заразились ли вы

Вот безумная вещь в Autorun. in: хотя основная тактика вируса — автоматический запуск программ, вы можете даже не знать, есть ли он в вашей системе .Программа может как автоматически запускать программы , так и затем определять, какие действия они будут выполнять автоматически.

Таким образом, может автоматически открыться новое окно браузера, которое мгновенно загружает вредоносное ПО, которое автоматически устанавливает себя. Это может произойти через несколько секунд и повторяться до тех пор, пока ваша система не станет практически непригодной для использования.

Если вы заметили, что ряд подозрительных программ запускается автоматически или важные документы таинственным образом исчезают, вам следует принять немедленные меры.

Шаг 1. Следуйте ручному методу

Вы должны начать с того, что убедитесь, что все следы Autorun.in были безопасно удалены из вашей системы. Это требует знания некоторых основных подсказок командной строки Windows.

• Загрузите компьютер в безопасном режиме. и выберите действие «открыть командную строку». Параметр безопасного режима должен появиться в нижней или верхней части экрана BIOS / UEFI, который появляется сразу после включения компьютера.
• Удалите все следующие файлы:
• % Системный% configcsrss.exe
• % WinDir% mediaarona.exe
• % Системный% logon.bat
• % Системный% configautorun.inf
• C: autorun.inf
• D: autorun.inf
• E: autorun.inf
• F: autorun.inf
• файлов inf на всех дисках.

Далее, откройте редактор реестра Windows и удалите следующие параметры:

• [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
• DisableTaskMgr = 1
• [HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]
• NoFolderOptions = 1
• [HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce]
• «Черви» = «% System% logon. летучая мышь »
• Для завершения перезагрузите компьютер

Шаг 2: Установите антивирус и просканируйте

Хотя мы надеемся, что ручного метода будет достаточно для удаления вируса, существует высокая вероятность , что Autorun.in представил вторичные полезные нагрузки (вирусы или вредоносные программы), которые указанный выше метод не удалит.

Лучше всего установить надежное антивирусное решение, чтобы немедленно провести полное сканирование системы. Это позволит искоренить любую другую вредоносную программу, которую могли внедрить хакеры.

Вот лучшие инструменты для работы:

Нортон

Norton имеет феноменальный, отмеченный наградами механизм поиска вирусов . Его усовершенствованная защита в реальном времени SONAR и автоматическое сканирование внешних дисков не дадут Autorun.in возможности обойти систему.

См. Предложения Norton >>>

BullGuard

Платформа Bullguard Premium Protection включает сканер уязвимостей в реальном времени и расширенное обнаружение антивирусов .Он может блокировать Autorun.in и дополнительные полезные данные, которые он мог загрузить.

См. Предложения Bullguard >>>

Авира

Avira заслуживает похвалы за свои функции обнаружения вирусов — хотя я думаю, что Norton и Bullguard — немного лучший выбор. Его удостоенная наград защита от вредоносных программ будет обнаруживать вирусы, трояны и червей, а его алгоритмы с интеллектуальным искусственным интеллектом (AI) и с поддержкой глубокого обучения защитят от новейших угроз.

См. Предложения Avira >>>

Что делать дальше?

Чтобы избежать повторной встречи с вирусом, необходимо:

Отключить автозапуск и конфигурацию автозапуска Windows:

• Щелкните значок «Пуск»
• Введите Gpedit. msc в поле поиска и нажмите «ВВОД».
• В разделе «Конфигурация компьютера» разверните «Административные шаблоны», «Компоненты Windows», а затем выберите «Политики автозапуска».”
• На панели «Подробности» дважды щелкните «Отключить автозапуск».
• Перезагрузите систему.

Никогда не вставляйте ненадежный USB-накопитель в вашу систему:

По понятным причинам вставлять неизвестные USB-накопители — очень рискованное дело. Наличие надлежащей антивирусной защиты должно помочь избежать вероятности того, что программа автозапуска вызовет заражение, но в идеале вы никогда не должны вводить неизвестные внешние устройства в вашу систему в первую очередь.

Что такое автозапуск-вирусы? «Блог Crystal Rich

Autorun-virus — это разновидность вирусов, которые записываются на флешку (или другое внешнее устройство) и заражают компьютер пользователя, когда пользователь открывает флешку в проводнике.

Это новый тип вирусов, появившийся во время широкого распространения флешек, карт памяти и других внешних устройств.

Они имеют точно такой же вредоносный эффект, что и все обычные вирусы, начиная со слежки за вашим компьютером и заканчивая уничтожением ваших данных.

Принцип заражения

Вирус Autorun записывается на флэш-накопитель и делает запись в файле autorun.inf, который запускается при двойном щелчке по флэш-накопителю в проводнике Windows.

autorun.inf — системный файл, который находится в корне диска и сообщает Windows, какие программы запускать автоматически при входе на диск или какую программу отображать в так называемом окне автозапуска — окне со списком действия, отображаемые при подключении флешки. autorun.inf — это скрытый файл, поэтому по умолчанию он не отображается на флэш-накопителе. Чтобы увидеть это (и удалить), вы должны открыть диалоговое окно «Пуск -> Служба -> Параметры папки» в проводнике Windows, затем выбрать вкладку «Просмотр» и установить флажок «Показывать скрытые файлы и папки» в дополнительных параметрах.

Изначально механизм автозапуска был изобретен для привода компакт-дисков, чтобы легальное программное обеспечение, поставляемое на компакт-дисках, запускалось автоматически, когда вы вставляете компакт-диск в свой компьютер или входите в него с помощью проводника Windows.Когда широкое распространение получил новый вид носителей: флешки и внешние жесткие диски USB \ SATA, разработчики Windows «в спешке» передали им эту функцию, но не задумывались о возможных проблемах. В отличие от компакт-диска, легальный файл autorun.inf может быть легко изменен вредоносными программами.

Где «поймать»?

Коварство автозапуска вируса в том, что ваша флешка может быть заражена незаметно, не по вашей вине. Автозапуск-вирус может попасть на вашу флешку несколькими способами:

• В Интернет-кафе;
• В фотоателье, где вы даете распечатать свои фотографии;
• У друга, к которому вы пришли скачать необходимую информацию.

Как бороться с автозапуском-вирусами?

Конечно, обычная установка антивируса может помочь вам победить большинство таких вирусов. Однако количество различных типов автозапускаемых вирусов невероятно, потому что для создания такого вируса не обязательно иметь высокую квалификацию. Кроме того, автозапускные вирусы распространяются в автономном режиме и поэтому могут попасть в техническую службу антивирусных компаний для анализа с серьезной задержкой. Поэтому лучшая защита от таких вирусов — полностью отключить автозапуск.Чтобы отключить автозапуск, вы можете использовать функцию Zentimo «Windows Autorun & Autoplay Configuration».

Функцию «Windows Autorun & Autoplay Configuration» можно найти через локальный или глобальный автозапуск в Zentimo.

Функция автозапуска

— обзор

Автозапуск

В разделе «Защита от этой атаки» главы 1 «Ножовка по USB» мы коснулись автозапуска / автозапуска, настроек по умолчанию и методов ручного управления. В этом разделе мы опишем, как автозапуск взаимодействует с программным интерфейсом Windows (API) для автоматической активации программы.Основная цель автозапуска — автоматизация установки программного обеспечения и мультимедийных приложений. Почти все данные, которые поставляются на CD / DVD, имеют встроенные возможности автозапуска.

Файл с именем autorun.inf отвечает за автоматизацию, возникающую при вставке CD / DVD в компьютер. Этот файл должен находиться в корне диска и может содержать ряд настраиваемых параметров командной строки. Эти параметры будут рассмотрены более подробно в следующих разделах этой главы.Между тем, важно понимать, что, когда функция автозапуска в Windows включена, либо по умолчанию, либо вручную, проводник Windows считывает содержимое файла autorun.inf и автоматически запускает все найденные инструкции. Это та же концепция, которую разработчики U3 намеревались использовать при вставке своих дисков.

Каждый раз, когда съемный носитель вставляется или отключается от компьютера, сообщение WM_DEVICECHANGE отправляется всем работающим приложениям. Это сообщение отправляется всем Windows верхнего уровня в соответствии с их z-порядком. Z-порядок просто относится к размещению окон на экране. Итак, в этом случае окно в самой верхней позиции сначала получает сообщение, а затем остальные окна получают его по очереди. Чтобы просмотреть это взаимодействие, вы можете перехватить это сообщение с помощью следующего API:

Public Declare Function CallWindowProc Lib «user32» Псевдоним «CallWindowProcA» (ByVal lpPrevWndFunc As Long, _

ByVal hWnd As Long, _

ByVal Msg As Long , _

ByVal wParam As Long, _

ByVal lParam As Long) As Long

Параметр ByVal wParam As Long, _ этого сообщения содержит код, который точно определяет, какое событие произошло.Еще одно полезное событие — DBT_DEVICEARRIVAL. Это сообщение отправляется после того, как было вставлено новое устройство или съемный носитель. Приложения получат это сообщение, когда новое подключенное устройство будет готово к использованию. В то же время процесс Windows Explorer отобразит окно автозапуска, в котором пользователю будут предложены варианты действий со вставленным медиафайлом.

Затем оболочка Windows обрабатывает сообщения WM_DEVICECHANGE и отправляет запрос прерывания. Он проверяет реестр, чтобы определить, включена ли функция автозапуска для связанного диска.Если этот параметр включен, ОС Windows пытается найти файл autorun.inf в корневом каталоге вновь подключенного устройства. Как только этот файл будет найден, инструкции, содержащиеся в нем, будут выполнены.

Инструкции, прочитанные из файла autorun.inf, определяют, что будет делать функция автозапуска Windows всякий раз, когда в компьютер вставлен съемный носитель. Этот файл указывает оболочке Windows, что запускать и как загружать данные, содержащиеся на устройстве или диске, с которым он связан.В процессе определения используются следующие критерии.

•

Какие приложения или исполняемые файлы будут запускаться, когда связанный диск обнаружит новый подключенный носитель

•

Значок, который будет отображаться при просмотре диска в проводнике Windows

•

Параметры меню, отображаемые пользователю при щелчке правой кнопкой мыши по диску в проводнике Windows

Автозапуск. inf содержит серию инструкций, которые оболочка Windows выполняет, когда вставлен привод или носитель (CD / DVD). Доступны следующие пять команд:

1.

Значок по умолчанию — в этой строке указывается значок по умолчанию для диска. Пользователь увидит этот значок, щелкнув диск правой кнопкой мыши.

2.

Значок — в этой строке указывается путь и имя файла значка для конкретного приложения для накопителя.

3.

Открыть — в этой строке указывается путь и имя файла приложения, которое будет запускаться при вставке диска.

4.

Shell — Эта строка определяет команду по умолчанию в контекстном меню диска.

5.

Shell \ verb — эту строку можно использовать для добавления параметров в контекстное меню диска, вызываемое правой кнопкой мыши.

Ниже приведен простой пример типичного автозапуска CD / DVD.inf файл. Количество параметров команды, поддерживаемых autorun. inf, не ограничивается доступными программами на компьютере, на котором установлено устройство. Флэш-накопители USB могут быть настроены для предоставления альтернативного репозитория для транспортировки инструментов, которые могут оказаться полезными для автоматического вызова.

[Автозапуск]

Open = reallycool.exe / argument1

Icon = \ foldername \ little.ico

Пункты ниже предоставляют краткое объяснение команд, содержащихся в базовом автозапуске CD / DVD.инф. Дополнительные операторы, необходимые для включения автозапуска специально для стандартного флеш-накопителя, будут предоставлены отдельно в этом разделе.

•

[автозапуск] — сообщает Windows, что нужно прочитать файл как файл autorun.inf.

•

open = — Эта строка сообщает Windows, какое приложение запускать.

•

reallycool.exe — это значение, относящееся к приложению, которое будет автоматически запускаться при обнаружении диска. Windows будет искать этот файл в корневом каталоге вставленного диска. Если вам нужно получить доступ к файлу, расположенному в определенной папке или подкаталоге, вы можете указать путь относительно корня. Примером может быть open =% SystemRoot% \ reallycool.exe.

•

/ аргумент1 — это переключатель, который передается приложению как параметр командной строки. Здесь также можно использовать любой параметр командной строки, поддерживаемый вызываемым приложением.

•

icon = \ foldername \ little.ico — указывает путь, по которому можно найти значок, связанный с диском.

Как указывалось ранее, функция автозапуска была в первую очередь предназначена для автоматического запуска приложений, распространяемых на CD / DVD, но ее также можно использовать для тех же целей на съемных носителях USB. Согласно Microsoft, автозапуск работает на съемных носителях только при соблюдении всех следующих правил. ^Дж

1.

Драйвер устройства должен уведомить операционную систему о том, что диск был вставлен, отправив сообщение WM_DEVICECHANGE.

2.

Файл autorun.inf должен находиться в корневом каталоге вставленного носителя.

3.

Автозапуск должен быть включен через панель управления или реестр Windows.

4.

Никакие другие программы переднего плана не могут быть запущены в системе, которые подавят функцию автозапуска.

В типичном сценарии, когда USB-устройство подключено к машине, драйвер отправляет сообщение WM_DEVICECHANGE в оболочку Windows. Это удовлетворяет первому правилу. Если в корне USB-устройства есть файл autorun.inf, второе правило выполняется. Если в реестре Windows включена функция автозапуска, это правило также выполняется. Четвертое правило не является проблемой, пока не запущены сторонние приложения, которые подавляют функцию автозапуска.

Учитывая предыдущие обстоятельства, допустим, пользователь хочет узнать, что находится на USB-накопителе.Он или она может дважды щелкнуть диск в проводнике Windows, дважды щелкнуть диск в «Мой компьютер» или щелкнуть правой кнопкой мыши диск и выбрать Открыть папку для просмотра файлов. После запуска любой из этих опций будет запущено приложение, которое вызывается в файле autorun.inf.

Файл autorun.inf, используемый на USB-носителях, требует немного другой настройки, чтобы приложение запускалось автоматически. Функция автозапуска для съемных дисков, скорее всего, будет отключена по умолчанию, что требует вмешательства пользователя.Информация, представленная ниже, поможет вам настроить автозапуск специально для съемных носителей.

[Автозапуск]

UseAutoPlay = 1

ShellExecute = reallycool.exe

Shell \ open \ command = reallycool.exe

Icon = foldername \ little.ico

Label = Нажмите на меня!

Действие = Запустить программу для ускорения работы вашего компьютера

Ниже приведены описания командных операторов, использованных в приведенной выше ссылке. Здесь будут описаны только новые элементы, которые ранее не рассматривались в примере автозапуска CD / DVD.

•

UseAutoPlay = 1 — Эта строка позволяет USB обеспечивать функцию меню автовоспроизведения.

•

ShellExecute = reallycool.exe — Эта строка сообщает операционной системе, какой файл выполнить.

•

Shell \ open \ command = reallycool.exe — Эта строка сообщает операционной системе о необходимости зарегистрировать указанный файл как автозапуск, позволяя вредоносной программе загружать его при вызове любого из этих файлов.

•

Этикетка = Нажмите на меня! — Эта строка используется для указания имени диска, которое будет отображаться пользователю при автозапуске и проводнике.

•

Действие = Запустить программу — Эта строка добавляет пункт меню в меню автозапуска, отображаемое пользователю, когда он щелкает правой кнопкой мыши на диске.

Как видите, для включения функции автозапуска со съемного диска требуются дополнительные операторы.После того, как вы создали свой autorun.inf с правильными инструкциями и параметрами, на вашем диске должны отображаться включенные вами параметры. На рисунках 3.1 и 3.2 ниже показан пример этого autorun.inf.

РИСУНОК 3.1. Диалог автовоспроизведения, отображаемый при установке диска

РИСУНОК 3.2. Вид вставленного диска в проводнике (F: диск)

К настоящему времени вы должны иметь разумное представление о том, как автозапуск и автовоспроизведение взаимодействуют с Windows в зависимости от типа используемого носителя.Также важно понимать конкретные примеры ситуаций, в которых они использовались. В следующем разделе будет показано, как создать эксплойт, использующий съемные носители.

Как использовать автозапуск для обнаружения и удаления вредоносных программ в Windows

Понимание того, как использовать автозапуск, означает, что вы сможете определить, заражен ли ваш домашний компьютер нежелательным программным обеспечением.

Примечание: Эта статья предназначена для иллюстрации того, как вредоносные программы могут быть идентифицированы на домашнем ноутбуке или ПК.Для выявления и удаления вредоносных программ в организации необходимо следовать вашему плану реагирования на инциденты.

Что такое автозапуск?

Autoruns — это инструмент Microsoft, который определяет программное обеспечение, настроенное для запуска при загрузке устройства или входе пользователя в свою учетную запись. Законное программное обеспечение часто запускается при включении компьютера — Outlook является ярким примером, поскольку пользователи, проверяющие свою электронную почту, часто являются первым, что люди делают при входе на свое устройство.

Если устройство было взломано, то любое установленное вредоносное ПО также должно выдержать перезагрузку.После выключения компьютера вредоносному ПО требуется механизм для продолжения работы на устройстве. Для этого он может использовать многие законные функции Windows, которые позволяют запускать программное обеспечение при загрузке.

Автозапуск: основы

На изображении ниже мы видим, что Autoruns состоит из нескольких вкладок, каждая из которых содержит данные о механизме автозапуска.

На вкладке Вход в систему отображается информация о стандартных местах загрузки для всех пользователей устройства.Сюда входят места запуска программы, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства. Вредоносные программы часто создают ключ запуска, поэтому при загрузке устройства вредоносное ПО запускается автоматически.

На вкладке Explorer отображается информация о следующих элементах:

• Расширения оболочки — это отдельные плагины для проводника Windows, одним из примеров которых является возможность предварительного просмотра файла PDF.
• Вспомогательные объекты браузера — модули DLL, которые действуют как плагины для Internet Explorer.
• Панели инструментов проводника — это сторонние плагины для Internet Explorer, панель инструментов предоставит вам доступ к сторонней платформе.
• Активное выполнение настройки — Механизм для выполнения команд один раз для каждого пользователя во время входа в систему.

На вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.

Запланированные задачи отображает задачи, которые настроены на запуск при загрузке или входе в систему и являются распространенным методом, используемым различными семействами вредоносных программ.

На вкладке Services отображаются все службы Windows, запуск которых запланирован автоматически при загрузке устройства.

Драйверы позволяют части оборудования взаимодействовать с операционной системой устройства. На вкладке «Драйверы» в автозапуске отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.

Image Hijacks довольно коварны, поскольку в реестре Windows есть ключ для запуска определенного процесса, но вместо этого он перенаправляется для запуска другого вредоносного процесса.

AppInit DLL показывает библиотеки DLL, зарегистрированные как DLL инициализации приложения.

На вкладке Boot Execute отображаются местоположения автозагрузки, связанные с подсистемой диспетчера сеансов (smss.exe).

Известные библиотеки DLL в Windows — это kernel32.dll, ntdll.dll, они позволяют программному обеспечению импортировать определенные функции. Некоторые вредоносные программы устанавливают вредоносные библиотеки DLL, созданные автором вредоносных программ. Они могут располагаться в местах, где вы не ожидаете найти легитимные библиотеки DLL Windows, например в местоположениях временных папок.

Winlogon используется, когда пользователь входит в систему Windows. На этой вкладке отображаются библиотеки DLL, которые регистрируют уведомления о событиях Winlogon.

На вкладке Winsock Providers показаны зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как поставщик Winsock, так как его бывает сложно удалить. Автозапуск может отключить их, но не удалить.

Мониторы печати отображает библиотеки DLL, которые загружаются в службу буферизации печати.Вредоносное ПО может использовать это, установив вредоносную DLL.

Windows Local Security (LSA) Providers поддерживает процессы, связанные с безопасностью и аутентификацией

Как использовать автозапуск для выявления подозрительного ПО

Теперь у нас есть хорошее представление о том, что может обнаружить Autoruns, однако скриншоты, которые мы видели до сих пор, содержат только записи для легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в Autoruns, надежным программным обеспечением или это что-то, что требует дальнейшего расследования, например, вредоносное ПО?

На изображении выше мы видим, что на вкладке «Вход в систему», выделенной красным, был создан ключ запуска для файла с именем «Служба ARP», который можно найти в следующем месте в реестре:

HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run

Это распространенный механизм сохраняемости, используемый вредоносными программами, чтобы выжить после перезагрузки.Мы также видим, что в столбцах «Описание» и «Издатель» эти поля пусты. Хотя отсутствие описания не означает, что файл является вредоносным, тот факт, что он не подписан и отсутствует издатель, означает, что его, безусловно, стоит изучить.

Посмотрев на столбец «Путь к изображению», мы можем увидеть, где установлено программное обеспечение. В этом случае файл находится в папке «program files \ arp service \ arpsv. exe».

Быстрый поиск в Google возвращает только два результата для этого пути к файлу, что не дает мне уверенности в том, что это законное программное обеспечение.

На вкладке запланированных задач мы также можем увидеть два списка, которые относятся к программному обеспечению службы ARP, которое мы идентифицировали.

Щелкнув правой кнопкой мыши на интересующем файле, мы можем отправить файл на веб-сайт virustotal.com. Virustotal — это база данных вредоносных программ, которая сообщает о том, признан ли файл вредоносным несколькими поставщиками антивирусных программ.

После отправки файла в столбце «Общее количество вирусов» будет показано, сколько поставщиков антивирусов классифицировали файл как вредоносный.На изображении ниже мы видим, что у поставщиков 55/76 есть подпись, которая определяет этот файл как вредоносный.

При попытке определить вредоносное ПО с помощью Autoruns следует учитывать несколько ключевых советов:

• Google — ваш друг! Если вы не уверены, выполните поиск по имени файла и местоположению. Спросите себя: это признанное программное обеспечение и работает ли оно из ожидаемого места?
• Проверьте описание на наличие контрольных признаков, таких как неправильная грамматика или, казалось бы, случайно сгенерированные описания — это может указывать на то, что Autoruns обнаружил программное обеспечение, которое вы можете захотеть изучить.
• Найдите временные каталоги. Вредоносное ПО часто устанавливается во временные папки файловой системы. Если у вас есть программное обеспечение, которое запускается при загрузке устройства, то почему оно находится во временной папке?
• Хешируйте файл и проверьте virustotal.com. Если вредоносное ПО было установлено с правами администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, проверив virustotal.

Как использовать автозапуск для удаления вредоносных программ

Сначала убедитесь, что на вашем устройстве запущено вредоносное ПО, что можно сделать, открыв диспетчер задач.Однако я рекомендую использовать Process Hacker, который является одним из моих популярных инструментов для анализа вредоносных программ. После загрузки щелкните правой кнопкой мыши значок на рабочем столе и выберите «Запуск от имени администратора».

После запуска Process Hacker мы можем найти вредоносное ПО, запущенное на устройстве.

Щелкнув вредоносное ПО правой кнопкой мыши, у нас есть возможность найти файл на диске, выбрав «Открыть расположение файла».

Затем откроется путь к файлу в проводнике Windows.

Перетаскивая этот файл в такой инструмент, как PeStudio, мы можем получить хэш файла.

Bf48a5558c8d2b44a37e663

d08e

Переход к virustotal и выполнение поиска хэша покажет, что это RAT (троян удаленного доступа), известный как Nanocore.

Чтобы остановить запуск вредоносной программы, щелкните правой кнопкой мыши имя процесса и выберите «Прекратить».

Затем подтвердите завершение процесса, выбрав «Завершить».

В Autoruns механизмы сохранения, используемые для запуска вредоносного ПО, затем можно удалить, щелкнув правой кнопкой мыши и выбрав «Удалить».

Подтвердите удаление, выбрав «Да». Повторите этот процесс для любых дополнительных механизмов устойчивости, которые были идентифицированы.

Теперь вредоносную программу можно удалить из проводника Windows.

Советы по использованию Sysinternals Autoruns

Я настоятельно не рекомендую использовать автозапуск как единственную форму обнаружения и удаления вредоносного программного обеспечения.Если вы обнаружили и удалили вредоносное ПО с помощью этих методов, вы можете принять во внимание следующие моменты:

Есть ли у вас резервная копия ваших файлов и данных ? Если устройство было взломано, велика вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий означает, что ваше устройство может быть восстановлено, что дает вам уверенность в том, что угроза полностью устранена.

Какое антивирусное программное обеспечение у вас установлено, если оно есть? Если у вас есть какая-то антивирусная программа и вы все еще инфицированы, значит, ваши меры безопасности не сработали, и, возможно, пришло время пересмотреть вопрос об инвестировании во что-то, что даст вам уверенность в том, что ваши данные защищены.

Используйте функцию сравнения автозапуска , чтобы упростить проверку на наличие нежелательного программного обеспечения, сохраняющегося на вашем устройстве. Вы можете сделать это, запустив Autoruns на чистом устройстве, выбрав «Файл», а затем «Сохранить».

Теперь результат будет сохранен как файл «AutoRuns Data» с расширением «.arn’Autoruns». В приведенном ниже примере я сохранил результат как «чистый».

Теперь вы можете сравнить этот вывод с любыми будущими сканированиями, которые вы будете выполнять с помощью Autoruns.Для этого выберите «Файл», а затем «Сравнить».

В приведенном ниже примере я выбираю результат, который назвал «Чистый».

Autoruns будет отображать только все новое программное обеспечение, которое создало механизм сохранения. Это удобно для фильтрации легального программного обеспечения из чистой установки.

Я в основном использую Autoruns для анализа вредоносных программ, однако в этой статье мы продемонстрировали, как они могут обнаруживать несколько способов, которыми вредоносное ПО пытается сохраниться на вашем устройстве.

Что мне еще очень нравится в Autoruns, так это цена! Существует множество бесплатных инструментов, которые могут помочь вам не только с анализом вредоносных программ, но и с системным администратором, поэтому обязательно ознакомьтесь с этой статьей, в которой рассказывается о 21 бесплатном инструменте, который должен знать каждый системный администратор.

Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, вызывает беспокойство, перейдите на веб-сайт Varonis, чтобы узнать, как мы останавливаем живую атаку, а также посмотреть демонстрацию нашего реагирования на обнаружение угроз.

Автозапуск

Дэвид Адамс — 2019-09-11 15:16 (обновлено 2020-03-03 14:59)

Примечание: Продукты на этой странице больше не обслуживаются и могут быть несовместимы с текущими версиями Windows и стандартами программного обеспечения, такими как HTML.

Техническая поддержка для этого бесплатного инструмента отсутствует. .

AutoRun.exe — это исполняемая программа Win32, предназначенная для использования с функциями автозапуска Windows 95, 98, Me, NT4, 2000 и XP. Как вы, вероятно, знаете, эта возможность (если она включена) автоматически запустит исполняемый файл, как только компакт-диск будет вставлен в дисковод для компакт-дисков компьютера.

Одним из ограничений стандартной функции AutoRun является тот факт, что она будет запускать только исполняемые программы; он не будет сам по себе открывать файлы документов, такие как веб-страницы или текстовые файлы.AutoRun.exe предназначен для обхода этого ограничения: он открывает любое количество файлов документов или запускает исполняемые программы. Более того, достаточно умен, чтобы использовать разумную стратегию отката, если никакие документы не могут быть открыты, возможно, потому, что целевая система не имеет необходимой поддержки для этих типов документов.

AutoRun.exe не требует специальных файлов поддержки, кроме обычного файла autorun.inf; фактически, он будет работать даже без этого файла. Его гибкость и небольшой размер (всего 8 КБ) гарантируют, что он загружается очень быстро и подходит практически в любой ситуации, даже если CD-ROM почти заполнен.

Загрузить AutoRun

Как пользоваться

Чтобы использовать AutoRun.exe вместе с функцией автозапуска Windows, вам необходимо изменить файл autorun.inf, чтобы он запускал AutoRun.exe. Обычно все, что требуется, это следующие строки в autorun.inf:

 [автозапуск]
open = autorun.exe  [параметры] имя файла  

В фактическом файле autorun.inf имя_файла должно быть заменено именем файла документа или исполняемого файла, который вы хотите запустить автозапуском.При желании вы можете указать несколько имен файлов, и AutoRun откроет их все.

Примечание Если имя файла содержит пробелы, обязательно заключите его в кавычки, иначе AutoRun.exe попытается открыть каждую часть имени файла как отдельный файл.

Необязательный [параметры] позволяет изменять поведение AutoRun.exe, подавляя сообщения об ошибках, а также некоторые другие вещи. AutoRun.exe также поддерживает расширенный синтаксис, который позволяет передавать аргументы исполняемым программам:

 [автозапуск]
open = автозапуск.exe  [параметры] 

[autorun.tarma]
run1 =  program1   [аргументы] 
run2 =  program2   [аргументы]
... и т.д ...  

Затем включите этот файл autorun.inf и программу AutoRun.exe в корневой каталог образа компакт-диска и добавьте любые другие файлы, которые вам нужны (включая файлы документов или программы, которые должен открывать AutoRun) в соответствующие места. на образе компакт-диска, затем запишите компакт-диск. Очевидно, было бы неплохо сначала протестировать настройку; Самый простой способ сделать это — дважды щелкнуть AutoRun.значок exe; в этом случае специальная функция AutoRun.exe обрабатывает файл autorun.inf вместо Windows.

Дистрибутив AutoRun содержит полное руководство пользователя.

Лучший способ отключить Автозапуск для защиты от зараженных флешек

В моем первом сообщении на тему Autorun / Autoplay «Проверка вашей защиты от вредоносных USB-накопителей» описаны три способа, с помощью которых злоумышленники обманом заставляют людей запускать вредоносное программное обеспечение, находящееся на зараженном USB-накопителе.

Хотя иногда резидентное программное обеспечение флеш-накопителя может работать само по себе (например, флеш-накопители U3) без каких-либо действий со стороны пользователя компьютера (кроме вставки флеш-накопителя USB), более нормальным случаем является то, что человек должен быть обманутым. В моей первой публикации по этой теме есть образец файла autorun.inf, который безопасно иллюстрирует три из этих приемов, и вы можете загрузить этот файл, чтобы проверить, насколько хорошо ваш компьютер защищен от непреднамеренного запуска программного обеспечения с флэш-накопителя. Скорее всего, любой компьютер с Windows будет подвержен хотя бы одной из уловок.

Но не бойтесь, после внесения простых изменений, описанных ниже, единственный способ заразиться зараженным USB-накопителем — вручную найти и запустить вредоносное ПО (run.me.to.see.naked.pix.of. some.celebrity.exe). Вас не обманут.

ОПРЕДЕЛЕНИЕ АВТОЗАПУСКА И АВТОЗАПУСКА

В моем предыдущем посте я не раз говорил о терминах Автозапуск и Автозапуск. Microsoft использует эти термины для обозначения разных вещей в разное время.

Классическое / устаревшее определение Autorun описано Дэном МакКлоем как:

AutoRun — это функция, которая позволяет приводу CD-ROM или фиксированному приводу указать программу или документ, которые должны быть запущены сразу после подключения привода.Автозапуск был разработан, чтобы не работать со съемными дисками, такими как флэш-накопители USB, поскольку эти диски гораздо легче заражаются и передаются на другие компьютеры.

Автозапуск был представлен еще в Windows 95, и его живое воплощение представляет собой файл конфигурации в корневом каталоге съемных носителей (компакт-диски, USB-накопители, внешние жесткие диски и т. Д.) Под названием autorun.inf. Если вы когда-либо вставляли компакт-диск в компьютер с Windows и программа запускалась автоматически, за этим стоял автозапуск.В моей первой публикации на эту тему был представлен образец файла autorun.inf.

Автозапуск впервые появился в Windows XP. В то время как автозапуск буквально запускает программу автоматически, Autoplay возлагает ответственность за нее на пользователя компьютера. Ниже показан образец окна автозапуска, вы, несомненно, видели его много раз.

Когда автовоспроизведение включено, Windows проверяет только что вставленный элемент (съемный носитель) и предлагает выбор программ для обработки различных типов файлов, которые она находит. Автовоспроизведение ищет автозапуск.inf файл тоже. Как мы видели в моем первоначальном сообщении, первым параметром автозапуска можно управлять с помощью директив в файле autorun.inf (это объясняет первый вариант на снимке экрана выше). Однако автозапуск не требует и не зависит от файла autorun.inf (автозапуск нужен).

Автозапуск с самого начала был неправильным термином, единственное, что происходит автоматически, — это отображение окна автозапуска. Лучшим названием было бы AutoDetect, поскольку автоматическая обработка ограничивается определением типов файлов.Игра не происходит автоматически.

ДВА ПОДХОДА

Есть два подхода к защите вашего компьютера от уловок Autorun и Autoplay, которые я описал в моем первом посте на эту тему.

Один из подходов, предложенных Microsoft (которая в первую очередь изобрела проблему), — это отключить какие-то вещи. для разных типов устройств, ошибки в Windows, плохая документация, недостающие патчи, yada yada yada.Жизнь слишком коротка.

К счастью, два технических специалиста, Ник Браун и Эмин Атак, предложили лучшее решение, которое непосредственно нацелено на источник проблемы, файл autorun.inf. Он имеет дело с заболеванием, а не с симптомами. Фактически, если вы используете это решение, вы можете оставить автовоспроизведение (как определено выше) включенным и позволить ему, возможно, выполнять полезную функцию.

Решение Brown / Atac сообщает Windows игнорировать все файлы autorun.inf. Период.

Я тестировал подход Microsoft с Windows XP SP2 и SP3 и подробно остановлюсь на том, где он работает и где падает, в следующей публикации.Это может работать и , но только если крутить как крендель, когда во вторник светит луна. И это не комплексное исправление , лазейки, такие как устройства U3, остаются открытыми. Подход Ника Брауна, с другой стороны, безупречен, он всегда работает, без IF, AND или НО.

Всего несколько дней назад Дэн Гудин в «Реестре» написал «Отключение автозапуска Windows — есть правильный и неправильный способ». Он имел в виду два варианта подхода Microsoft. То, что мистер Гудин считает правильным, я считаю неправильным.

Чтобы проиллюстрировать мою точку зрения, статья базы знаний Майкрософт, которую Гудин называет правильным способом (Как исправить принудительное отключение ключа реестра Autorun в Windows), не предлагает решения для пользователей Windows XP Home Edition. Путь к успеху Microsoft. Напротив, решение Ника Брауна действительно защищает пользователей Home Edition Windows XP.

Статья Гудина также иллюстрирует языковую проблему, которую Microsoft бросила миру, вынудив нас использовать два слова для описания пяти разных вещей.Писал, что Автозапуск по умолчанию включен, что, строго говоря, не так. Например, ни Windows XP SP2, ни SP3 автоматически не запускают программу на USB-накопителе.

РЕАЛИЗАЦИЯ РЕШЕНИЯ НИКА БРАУНА

Решение Ника Брауна требует обновления реестра. Хотя обновление можно удалить, не помешает сначала сделать полную резервную копию реестра. Пользователи Windows XP и Vista могут сделать это с помощью функции восстановления системы.

В XP: Пуск -> Программы -> Стандартные -> Системные инструменты -> Восстановление системы.Щелкните переключатель «Создать точку восстановления» -> введите любое описание (хорошим примером может быть «Перед отключением автозапуска перед запуском реестра»), затем нажмите кнопку «Создать». Это должно занять менее 10 секунд.

В Vista: Пуск -> введите «восстановление системы» в поле поиска -> щелкните ссылку «Открыть защиту системы» -> откроется новое окно «Свойства системы» -> нажмите кнопку «Создать» внизу -> введите любое описание (хорошим примером может быть «перед запуском реестра, чтобы отключить автозапуск»), затем нажмите кнопку «Создать» (не ту же кнопку «Создать», как раньше, а новую).

Записать реестр просто, все, что вам нужно, это три строки, показанные ниже в файле .reg. Затем дважды щелкните файл.

Вы можете скопировать три строки ниже с этой веб-страницы или загрузить файл, используя ссылку внизу этого сообщения. Имя файла не имеет значения, оно не должно заканчиваться на «.reg». Computerworld не позволяет прикреплять файлы, оканчивающиеся на «.reg», к сообщениям в блоге, поэтому тип файла — «.txt», и вам придется переименовать его, чтобы он заканчивался на «.reg «.

REGEDIT4

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ IniFileMapping \ Autorun.inf]

@ =» @ SYS: DoesNotExist «

Обратите внимание, что в файле есть три средние строки строка может переноситься при отображении в веб-браузере, но она должна быть одной строкой в ​​файле .reg.

Ник Браун объясняет, что это делает:

Этот хак заставляет Windows обращаться с AUTORUN.INF как с файл конфигурации из приложения, предшествующего Windows 95… он говорит: «всякий раз, когда вам нужно обрабатывать файл с именем AUTORUN.INF, не используйте значения из файла. Вы найдете альтернативные значения в HKEY_LOCAL_MACHINE \ SOFTWARE \ DoesNotExist». И поскольку этот ключ, э-э, не существует, создается впечатление, что AUTORUN.INF полностью пуст, поэтому ничего не запускается автоматически, и ничего не добавляется к действию двойного щелчка Explorer. Результат: черви не могут войти — если вы не начнете дважды щелкать исполняемые файлы, чтобы увидеть, что они делают …

Текст «DoesNotExist» в третьей строке означает место в реестре, которого не существует.Если этот zap станет очень популярным, вредоносное ПО может его искать, поэтому не помешает его немного изменить. Например, я мог бы использовать что-то вроде

@ = «@ SYS: DoesNotExistMichael»

на своих компьютерах. Чтобы было ясно, это совсем не обязательно. Зап, как показано выше, работает нормально.

Если на вашем компьютере есть файл с точкой reg, просто дважды щелкните по нему.

На компьютере с Windows XP вы увидите следующее предупреждение перед фактическим выполнением zap реестра …

и следующее подтверждение после его выполнения.**

На компьютере с Vista вам сначала придется иметь дело с UAC, как показано ниже.

Затем вы увидите следующее предупреждение перед фактическим выполнением zap …

и последующее подтверждение.

Я читал, что вам, возможно, придется перезапустить Windows, чтобы этот архив реестра полностью вступил в силу. В моем тестировании на машинах XP SP2, XP SP3 и Vista перезагрузка не требовалась.

Флэш-накопитель USB, вставленный в машину XP при выполнении zap, живет по старым правилам до тех пор, пока не будет извлечен, после чего новый шериф берет на себя управление.

НОВЫЙ ШЕРИФ В ГОРОДЕ

Как объяснил Ник Браун, его zap сообщает Windows никогда не обрабатывать файл autorun.inf. Это не влияет на функцию автозапуска Windows. Если автозапуск был вызван до zap реестра, он все равно будет вызываться после этого. Если автовоспроизведение не было задействовано перед запуском, оно останется выключенным после этого.

Zap, однако, отключит возможность файла autorun.inf создавать запись в окне автозапуска (для получения дополнительной информации, включая примеры, см. Мою первую публикацию по этой теме, Проверьте свою защиту от вредоносных USB-накопителей. ).

После zap, двойной щелчок на любой значок диска будет всегда список файлов / папок в проводнике Windows. Это верно для USB-накопителей, компакт-дисков, внешних жестких дисков, сетевых ресурсов и т. Д. Zap также гарантирует, что файлы autorun.inf больше не смогут изменять контекстное меню. Опять же, вы можете увидеть и протестировать эти изменения, используя образец файла autorun.inf из моей первой публикации.

Возможно, наиболее очевидное изменение, которое вносит zap, — это значок и имя диска.Мой тестовый файл autorun.inf меняет имя диска на «Testing AutoRun Stuff». После применения zap реестра Ника Брауна тестовая USB-флешка отображается как «Съемный диск (x)», где x — буква диска. В моем тестовом файле также есть значок Paint, значок диска. После этого значок диска будет отображаться как обычный значок диска Windows.

Эти простые изменения служат отличным «тестером». Вы можете использовать их вместе с моим тестовым файлом autorun.inf, чтобы убедиться, что был применен zap Ника Брауна.

Единственный способ узнать, применялся ли он, — это посмотреть в реестр. Если вы это сделаете, вы должны увидеть что-то вроде того, что показано ниже.

С другой стороны, это изменение реестра на компьютере, где оно уже было сделано, не повредит.

Этот архив реестра не мешает загрузке компьютера с компакт-диска или загрузочного USB-накопителя. Zap вступает в игру только после того, как Windows будет запущена.

ВОССТАНОВЛЕНИЕ СТАРОГО ШЕРИФА

Если вы когда-нибудь захотите отменить это резервное копирование реестра, Ник Браун предлагает:

открыть REGEDIT и перейти к HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersionMilepping \ IniFileMpping.Там будет подключ («папка») под названием Autorun.inf. Удалите это.

Regedit — это редактор реестра Windows. Чтобы запустить его в XP, нажмите «Пуск» -> «Выполнить» -> введите «regedit» без кавычек -> затем нажмите кнопку «ОК». Чтобы запустить его в Vista, нажмите «Пуск» и введите «regedit» в поле поиска.

Просмотр реестра с помощью regedit очень похож на просмотр файлов и папок с помощью проводника Windows. Чтобы удалить подраздел в реестре, щелкните его правой кнопкой мыши и выберите «Удалить» во всплывающем меню.

После удаления подраздела autorun.inf из реестра необходимо перезагрузить компьютер (по крайней мере, в Windows XP), чтобы изменения вступили в силу.

Как и при первоначальном создании zap, рекомендуется сделать резервную копию реестра, предварительно создав точку восстановления.

ДОПОЛНИТЕЛЬНОЕ ЧТЕНИЕ

Для получения дополнительной информации см. Microsoft Windows не отключает автозапуск должным образом (также известное как Техническое предупреждение кибербезопасности TA09-020A) от американской группы по обеспечению готовности к компьютерным чрезвычайным ситуациям (US-CERT).В нем обсуждается записка с Ником Брауном и некоторые недостатки подхода Microsoft.

Еще одним сторонником подхода Ника Брауна был Скотт Данн, который написал в ноябре 2007 г., вскоре после того, как Ник Браун обнародовал свое открытие, один быстрый трюк, предотвращающий атаки AutoRun.

Не могу не отметить, что два технических специалиста (Ник Браун и Эмин Атак) предложили отличное решение, в то время как Microsoft крутит проблему как спагетти, как будто все это было разработано для обеспечения безопасности рабочих мест.

Я перечислю все свои претензии к подходу Microsoft в одной из следующих статей.

Для протокола, я не знаю Ника Брауна. Я никогда не разговаривал с ним, не писал ему по электронной почте и даже не видел его фото. Но когда я вижу хорошую идею, я узнаю ее.

Обновление от 3 февраля 2009 г .: В следующей публикации по этой теме я тестирую zap реестра Ника Брауна на Vista SP1.

* Я использовал термин «материал», потому что Microsoft использует «автозапуск» и «автовоспроизведение» для обозначения любого из пяти различных значений.