Как отменить автозапуск приложения

Тема в разделе "Microsoft Windows 7", создана пользователем MotherBoard, 19 янв 2010.

  1. MotherBoard
    Онлайн

    MotherBoard Гость

    Существуют программы, называемые резидентными, которые автоматически загружаются всякий раз при запуске ОС
    Для задания такого режима загрузки есть специальная папка Автозагрузка, размещённая в папке главного меню: ...WINDOWS\ Главное меню\ Автозагрука.
    В эту папку пользователь может заносить любую программу, которая необходима ему при каждом сеансе работы с WINDOWS. Однако разработчики приложений предпочитают использовать не эту папку, а вносить соответствующие записи в реестр.

    Для автозапуска приложений существует следующий подраздел:

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    Все приложения, зарегистрированные в этом подразделе, выполняются в процессе каждого запуска WINDOWS. Подраздел Run включает строковые параметры с именами приложений. Значениями параметров являются командные строки для запуска приложений. Чтобы отменить загрузку приложения, необходимо просто удалить параметр из подраздела Run

    Рассмотрим пример известного антивирусного пакета AVP, один из модулей которого(Центр управления) резидентно находится в памяти компьютера. Для пользователя это не всегда удобно, например, в случаях, когда необходимо передать управление другой антивирусной программе(не AVP). Собственного средства отключения пакет AVP не содержит.

    Чтобы центр управления не загружался бы вместе с загрузкой WINDOWS, поступите следующим образом. Запустите редактор реестра и откройте раздел:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    На правой панели редактора реестра выделите элемент AVPCC и нажмите клавищу Delete, после подтвердите удаление в следующем диалоге, нажав кнопку ДА
    Аналогично удалите элемент AVPCC Service, который находится в подразделе RunService раздела CurrentVersion. После этого при новом перезапуске WINDOWS модуль AVР Центр Управления загружаться не будет.

    Отметим, что для автозапуска приложений, кроме подразделов Run и RunServices, есть и другие подразделы, перечислим:
    Run - содержит параметры приложений, которые выполняются при каждом запуске системы.
    RunOnce - содержит параметры приложений, запускаемых один раз при загрузке Windows. После успешного запуска системы записи в этом подразделе удаляются.
    RunServices - используется для запуска сетевых или системных сервисов при загрузке Windows. Структура записи такая же, как в подразделе Run
    RunServicesOnce - содержит записи для однократного запуска сетевых сервисов(например, при установке сетевых компонентов). После перезагрузки системы записи из этого подраздела удаляются.

    Примечание: антивирусный пакет AVP просто взят для примера. Вообще не рекомендуется отключать антивирус подобным методом.
    От силы отключаем антивирус только при лечении соответствующими утилитами(правила раздела безопасности). Но сейчас антивирусные программы позволяют отключить себя в самих настройках, не обязательно лезть в реестр.
     
    Последнее редактирование модератором: 20 янв 2010
  2. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    NFORCE4,
    А разве родная «msconfig» не выполнит то же самое /не говоря о других утилитах, где есть эта функция/ без необходимости ручной правки реестра?
    Или я ошибаюсь?
     
  3. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Нет, не ошибаетесь, я думаю автор раскроет и этот момент по мере свободного времени. :)
     
  4. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    Ну, тогда, мне кажется, стОит пересмотреть пример программы, у которой убирается автозапуск.
    Как то не в свете направленности форума отключать элемент антивируса
    .

    А что передать, кстати?
     
    2 пользователям это понравилось.
  5. MotherBoard
    Онлайн

    MotherBoard Гость

    Поправила! передать управление.....
     
  6. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    В своё время, когда я писал функцию редактора автозагрузки для своего твикера, пришлось провести несколько тестов, определял из каких ключей/веток реестра могут быть запущены приложения при входе пользователя в систему.

    Рекомендую в первый пост добавить следующие ветки и ключи в реестре
    HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    Не спрашивайте почему, просто поверьте, частенько встречал вирусы, может "криво" написаны были :)

    HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
    HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

    HKCU Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
    HKLM Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

    HKCU "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "Run"
    HKLM "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "Run"

    HKCU "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "load"
    HKLM "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "load"

    Ну и всеми известный параметр UserInit :)
    HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", запуск из параметра "Userinit"
     
    6 пользователям это понравилось.
  7. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Ну так не всех профессионалы и смогли догадаться как производится запуск из параметра userinit. ))) Раскройте этот вопрос полнее.
     
    6 пользователям это понравилось.
  8. K.A.V.
    Оффлайн

    K.A.V. Активный пользователь

    Сообщения:
    22
    Симпатии:
    45
    Ну я не профессионал, я только учусь :)

    В реестре есть ветка:
    Код (Text):
    HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
    В данной ветке есть 1 параметр - UserInit, который часто используется вирусами для сокрытия своего присутствия в автозагрузке.

    Хочу сразу сказать, что данный параметр системный, и удалять его ни в коем случае нельзя!

    Стоит проверять значение данного параметра, как только у вас появились подозрения на вирус (ну и так, для профилактики тоже не помешает ;))
    По умолчанию (и правильное) значение данного параметра должно быть таким:
    Код (Text):
    [B]C:[/B]\Windows\System32\userinit.exe,
    где C: - системный раздел

    Если в значении параметра, после userinit.exe, написано что-то ещё, то необходимо приниматься за лечение своего компьютера.

    Из данного параметра могу быть запущены несколько приложений, после каждой команды ставится знак , (чтобы отделить исполнение одной команды от другой)
    Вот несколько примеров, как можно прописать команды на запуск из данного параметра:

    1. Простой запуск приложения
    Код (Text):
    C:\Windows\System32\userinit.exe, C:\Windows\System32\MyFile.exe
    2. Запуск программы с передачей параметра (как путь к файлу)
    Код (Text):
    C:\Windows\System32\userinit.exe, regedit /s "C:\MyDir\MyFile.reg"
    3. Исполнение JS/VB скриптов
    Код (Text):
    C:\Windows\System32\userinit.exe, wscript.exe C:\Windows\script.js
    Код (Text):
    C:\Windows\System32\userinit.exe, wscript.exe C:\Windows\script.vbs
    4. Исполнение нескольких приложений
    Код (Text):
    C:\Windows\System32\userinit.exe, C:\Windows\1.exe, C:\Windows\2.exe, C:\Windows\3.exe
    Также хочу заметить, что если файл располагается в системной директории (System32), то вовсе не обязательно прописывать полный путь к файлу, например:
    Код (Text):
    C:\Windows\System32\userinit.exe, calc.exe
    Вот как то так :)
     
    11 пользователям это понравилось.
  9. MotherBoard
    Онлайн

    MotherBoard Гость

    Про скрипты..я ещё не программёр, чтобы такое знать!;)
    Имею в виду ява скрипты и пр..языки программирования
     
  10. whop
    Оффлайн

    whop Разработчик

    Сообщения:
    177
    Симпатии:
    229
    У Sysinternals есть бесплатная утилита autoruns, в которой можно посмотреть все программы запущенные на компьютере как классическими способами(из папки автозагрузки т.д.), так и более экзотическими. Советую скачать и посмотреть.
     
  11. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    А зачем их знать? ;) Достаточно помнить, что в значении
    Userinit никогда не должно быть ничего лишнего кроме C:\Windows\System32\userinit.exe,

    И если что-то есть, то это уже само по себе является сигналом чтобы проверить комп на вирусы. С помощью запуска через параметр Userinit запускаются некоторые виды SMS-вирусов.
     
    2 пользователям это понравилось.
  12. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    Я снова хочу задать вопрос: насколько правильно с точки зрения безопасности, отключение автозагрузки такой критической для компьютера программы, как антивирус, предложенное в качестве типичного примера.
    Это можно понять как рекомендацию.
    Ведь собственноручное отключение автозагрузки антивируса это внештатная ситуация, мне думается.
    Правильнее, думаю, привести пример с любой другой программой, чье отсутствие в автозагрузке только на благо.
    А это какой антивирус?
     
  13. Drongo
    Оффлайн

    Drongo Ассоциация VN/VIP Разработчик

    Сообщения:
    7.902
    Симпатии:
    8.221
    Вообще-то любая другая программа понятие тоже относительное, одному давай в автозагрузку Skype, QIP, Messenger, другой только носом покрутит, поскольку ему эти автозагрузки ненужны вовсе. В целом я согласен, что можно было бы привести пример из более нейтральных программ.
     
  14. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    Drongo, именно то и имелось ввиду. :)

    Тогда подождем, когда
     
  15. Analyzer
    Оффлайн

    Analyzer Ассоциация VN

    Сообщения:
    113
    Симпатии:
    150
    это антивирус Касперского, раньше он назывался AVP.
     
  16. MotherBoard
    Онлайн

    MotherBoard Гость

    Хоть один догадался:)
    Ведь в процессах АВЗ и Хиджака есть файлы антивируса которые заканчиваются именно таким именем...
    Данный процесс всегда есть в логах, если у клиента антивирус Касперского;)
     
  17. zaq
    Оффлайн

    zaq Активный пользователь

    Сообщения:
    188
    Симпатии:
    821
    Analyzer, Спасибо.
    Но Гугль давно подсказал. :)
    Недоумение ведь вызвал всего лишь пример со такой старой версией.:)
    NFORCE4, спасибо
    этим вы мне подали мысль, теперь мне есть что почитать.
     
  18. MotherBoard
    Онлайн

    MotherBoard Гость

    ХР - тоже каменный век:p Но до сих пор пользуемся...
    Безусловно, литература для Windows XP писалась 3-4 года назад.
    А антивирусное ПО до сих пор совершенствуется.
     
  19. Analyzer
    Оффлайн

    Analyzer Ассоциация VN

    Сообщения:
    113
    Симпатии:
    150
    google наш 2-ой мозг :D
    увидел не отвеченный вопрос ответил.
     
    2 пользователям это понравилось.

Поделиться этой страницей