Обсуждение завершено Как отменить автозапуск приложения

  • Автор темы MotherBoard
  • Дата начала
M

MotherBoard

#1
Существуют программы, называемые резидентными, которые автоматически загружаются всякий раз при запуске ОС
Для задания такого режима загрузки есть специальная папка Автозагрузка, размещённая в папке главного меню: ...WINDOWS\ Главное меню\ Автозагрука.
В эту папку пользователь может заносить любую программу, которая необходима ему при каждом сеансе работы с WINDOWS. Однако разработчики приложений предпочитают использовать не эту папку, а вносить соответствующие записи в реестр.

Для автозапуска приложений существует следующий подраздел:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Все приложения, зарегистрированные в этом подразделе, выполняются в процессе каждого запуска WINDOWS. Подраздел Run включает строковые параметры с именами приложений. Значениями параметров являются командные строки для запуска приложений. Чтобы отменить загрузку приложения, необходимо просто удалить параметр из подраздела Run

Рассмотрим пример известного антивирусного пакета AVP, один из модулей которого(Центр управления) резидентно находится в памяти компьютера. Для пользователя это не всегда удобно, например, в случаях, когда необходимо передать управление другой антивирусной программе(не AVP). Собственного средства отключения пакет AVP не содержит.

Чтобы центр управления не загружался бы вместе с загрузкой WINDOWS, поступите следующим образом. Запустите редактор реестра и откройте раздел:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
На правой панели редактора реестра выделите элемент AVPCC и нажмите клавищу Delete, после подтвердите удаление в следующем диалоге, нажав кнопку ДА
Аналогично удалите элемент AVPCC Service, который находится в подразделе RunService раздела CurrentVersion. После этого при новом перезапуске WINDOWS модуль AVР Центр Управления загружаться не будет.

Отметим, что для автозапуска приложений, кроме подразделов Run и RunServices, есть и другие подразделы, перечислим:
Run - содержит параметры приложений, которые выполняются при каждом запуске системы.
RunOnce - содержит параметры приложений, запускаемых один раз при загрузке Windows. После успешного запуска системы записи в этом подразделе удаляются.
RunServices - используется для запуска сетевых или системных сервисов при загрузке Windows. Структура записи такая же, как в подразделе Run
RunServicesOnce - содержит записи для однократного запуска сетевых сервисов(например, при установке сетевых компонентов). После перезагрузки системы записи из этого подраздела удаляются.

Примечание: антивирусный пакет AVP просто взят для примера. Вообще не рекомендуется отключать антивирус подобным методом.
От силы отключаем антивирус только при лечении соответствующими утилитами(правила раздела безопасности). Но сейчас антивирусные программы позволяют отключить себя в самих настройках, не обязательно лезть в реестр.
 
Последнее редактирование модератором:

zaq

Активный пользователь
Сообщения
185
Симпатии
410
Баллы
483
#2
NFORCE4,
А разве родная «msconfig» не выполнит то же самое /не говоря о других утилитах, где есть эта функция/ без необходимости ручной правки реестра?
Или я ошибаюсь?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#3
А разве родная «msconfig» не выполнит то же самое /не говоря о других утилитах, где есть эта функция/ без необходимости ручной правки реестра?
Или я ошибаюсь?
Нет, не ошибаетесь, я думаю автор раскроет и этот момент по мере свободного времени. :)
 

zaq

Активный пользователь
Сообщения
185
Симпатии
410
Баллы
483
#4
Ну, тогда, мне кажется, стОит пересмотреть пример программы, у которой убирается автозапуск.
Как то не в свете направленности форума отключать элемент антивируса
когда необходимо передать другой антивирусной программе(не AVP)
.

А что передать, кстати?
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#6
В своё время, когда я писал функцию редактора автозагрузки для своего твикера, пришлось провести несколько тестов, определял из каких ключей/веток реестра могут быть запущены приложения при входе пользователя в систему.

Рекомендую в первый пост добавить следующие ветки и ключи в реестре
HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
Не спрашивайте почему, просто поверьте, частенько встречал вирусы, может "криво" написаны были :)

HKCU SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

HKCU Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

HKCU "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "Run"
HKLM "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "Run"

HKCU "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "load"
HKLM "Software\Microsoft\Windows NT\CurrentVersion\Windows", запуск из параметра "load"

Ну и всеми известный параметр UserInit :)
HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", запуск из параметра "Userinit"
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#7
Ну и всеми известный параметр UserInit
HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon", запуск из параметра "Userinit"
Ну так не всех профессионалы и смогли догадаться как производится запуск из параметра userinit. ))) Раскройте этот вопрос полнее.
 

K.A.V.

Активный пользователь
Сообщения
20
Симпатии
23
Баллы
393
#8
Ну так не всех профессионалы
Ну я не профессионал, я только учусь :)

Ну так не всех профессионалы и смогли догадаться как производится запуск из параметра userinit. ))) Раскройте этот вопрос полнее.
В реестре есть ветка:
Код:
HKLM "SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
В данной ветке есть 1 параметр - UserInit, который часто используется вирусами для сокрытия своего присутствия в автозагрузке.

Хочу сразу сказать, что данный параметр системный, и удалять его ни в коем случае нельзя!

Стоит проверять значение данного параметра, как только у вас появились подозрения на вирус (ну и так, для профилактики тоже не помешает ;))
По умолчанию (и правильное) значение данного параметра должно быть таким:
Код:
[B]C:[/B]\Windows\System32\userinit.exe,
где C: - системный раздел

Если в значении параметра, после userinit.exe, написано что-то ещё, то необходимо приниматься за лечение своего компьютера.

Из данного параметра могу быть запущены несколько приложений, после каждой команды ставится знак , (чтобы отделить исполнение одной команды от другой)
Вот несколько примеров, как можно прописать команды на запуск из данного параметра:

1. Простой запуск приложения
Код:
C:\Windows\System32\userinit.exe, C:\Windows\System32\MyFile.exe
2. Запуск программы с передачей параметра (как путь к файлу)
Код:
C:\Windows\System32\userinit.exe, regedit /s "C:\MyDir\MyFile.reg"
3. Исполнение JS/VB скриптов
Код:
C:\Windows\System32\userinit.exe, wscript.exe C:\Windows\script.js
Код:
C:\Windows\System32\userinit.exe, wscript.exe C:\Windows\script.vbs
4. Исполнение нескольких приложений
Код:
C:\Windows\System32\userinit.exe, C:\Windows\1.exe, C:\Windows\2.exe, C:\Windows\3.exe
Также хочу заметить, что если файл располагается в системной директории (System32), то вовсе не обязательно прописывать полный путь к файлу, например:
Код:
C:\Windows\System32\userinit.exe, calc.exe
Вот как то так :)
 
M

MotherBoard

#9
Про скрипты..я ещё не программёр, чтобы такое знать!;)
Имею в виду ява скрипты и пр..языки программирования
 

whop

Разработчик
Сообщения
176
Симпатии
111
Баллы
423
#10
У Sysinternals есть бесплатная утилита autoruns, в которой можно посмотреть все программы запущенные на компьютере как классическими способами(из папки автозагрузки т.д.), так и более экзотическими. Советую скачать и посмотреть.
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#11
Про скрипты..я ещё не программёр, чтобы такое знать!
Имею в виду ява скрипты и пр..языки программирования
А зачем их знать? ;) Достаточно помнить, что в значении
Userinit никогда не должно быть ничего лишнего кроме C:\Windows\System32\userinit.exe,

И если что-то есть, то это уже само по себе является сигналом чтобы проверить комп на вирусы. С помощью запуска через параметр Userinit запускаются некоторые виды SMS-вирусов.
 

zaq

Активный пользователь
Сообщения
185
Симпатии
410
Баллы
483
#12
Я снова хочу задать вопрос: насколько правильно с точки зрения безопасности, отключение автозагрузки такой критической для компьютера программы, как антивирус, предложенное в качестве типичного примера.
Это можно понять как рекомендацию.
Ведь собственноручное отключение автозагрузки антивируса это внештатная ситуация, мне думается.
Правильнее, думаю, привести пример с любой другой программой, чье отсутствие в автозагрузке только на благо.
Рассмотрим пример известного антивирусного пакета AVP …
А это какой антивирус?
 

Drongo

Ассоциация VN/VIP
Разработчик
Сообщения
7,844
Симпатии
5,589
Баллы
808
#13
Правильнее, думаю, привести пример с любой другой программой, чье отсутствие в автозагрузке только на благо.
Вообще-то любая другая программа понятие тоже относительное, одному давай в автозагрузку Skype, QIP, Messenger, другой только носом покрутит, поскольку ему эти автозагрузки ненужны вовсе. В целом я согласен, что можно было бы привести пример из более нейтральных программ.
 

zaq

Активный пользователь
Сообщения
185
Симпатии
410
Баллы
483
#14
M

MotherBoard

#16
это антивирус Касперского, раньше он назывался AVP.
Хоть один догадался:)
Ведь в процессах АВЗ и Хиджака есть файлы антивируса которые заканчиваются именно таким именем...
Данный процесс всегда есть в логах, если у клиента антивирус Касперского;)
 

zaq

Активный пользователь
Сообщения
185
Симпатии
410
Баллы
483
#17
Analyzer, Спасибо.
Но Гугль давно подсказал. :)
Недоумение ведь вызвал всего лишь пример со такой старой версией.:)
NFORCE4, спасибо
просто там выше справка
этим вы мне подали мысль, теперь мне есть что почитать.
 
M

MotherBoard

#18
Недоумение ведь вызвал всего лишь пример со такой старой версией.
ХР - тоже каменный век:p Но до сих пор пользуемся...
Безусловно, литература для Windows XP писалась 3-4 года назад.
А антивирусное ПО до сих пор совершенствуется.
 
Сверху Снизу