|
Как в реестре найти все ключи, отвечающие за автозапуск программ?
Читал на большинстве страниц, что раздел должен оканчиваться на Run. Ещё несколько сайтов ссылаются на Runonce. А на одном сайте нашёл, что параметр следует искать по адресу HKLM\...\startupfolder. Может быть, это не всё? На что ещё могут оканчиваться разделы и как их искать?
|
Peter15,
Цитата:
Запустите с правами Администратора и посмотрите, в каких ключах реестра и в каких папках (т.е. в "c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" — общая для всех пользователей, а также "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" — индивидуальная для каждого плюс к общей: это не ключи реестра, а именно папки на диске) находится то, что автозапускается на вашем компьютере. |
А можно как-то сделать, не запуская от админа, т. к. UAC выключен? Дело в том, что есть подозрение на вирусное заражение, подозрительный файл запускался из-под учётной записи ограниченного пользователя и я думаю, он не мог проникнуть туда, куда имеет право доступа администратор.
|
Цитата:
Цитата:
— PS Autoruns.exe можно запустить и с правами обычного пользователя — но тогда он и покажет информацию только о пользователе, от имени которого запущен. |
Цитата:
Цитата:
Цитата:
|
Цитата:
А если программа не запускается без административных прав — то либо эти права её действительно нужны (как, например, chkdsk и ряд других), и запуск подтверждается также нажатием "Я согласен", либо это древние программы, которые требуют, чтобы их рабочие файлы находились в папке Program Files, а то в Windows. И там есть несколько путей по изменению такого поведения, лучшее из которых — найти аналоги, рассчитанные на работу в Win-7 и более новых. Интересно, почему мне уже лет восемь не мешает то, что UAC постоянно включён (моя учётка входит в группу Администраторов)... |
Попробую объяснить... Пользователь, о котором идёт речь, не входит в группу администраторов. Вот, например, есть установщик игры "Max Payne" (2001), который при включенном UAC (при установке из-под указанного пользователя), зачем-то включает запрос пароля админа с помощью UAC. Если же UAC отключён, программа нормально устанавливается в любую папку без запроса всяких паролей. Вроде так же аналогично с utorrent и StrongDC (правда, utorrent нужно сначала установить из-под админа, затем можно нормально запускать без включенного UAC из-под пользователя, не входящего в группу администраторов. Если же UAC будет включен, то при запуске utorrent из-под пользователя, не входящего в группу администраторов, зачем-то будет требоваться пароль админа).
|
Очень удобно получать доступ к утилитам Sysinternals, используя строку Выполнить:
Код:
\\live.sysinternals.com\toolsКод:
\\live.sysinternals.com\tools\autoruns.exeЦитата:
Вот вам список всех путей, которые использует Autoruns для вкладки Logon из потрясающей книги Маргосиса и Руссиновича: 1
2
|
Цитата:
|
Цитата:
Скрытый текст
Ключи реестра и места на диске, с помощью которых программы могут запускаться автоматически при каждой загрузке системы
Logon %SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup %SystemDrive%\Documents and Settings\<username>\Start Menu\Programs\Startup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common Startup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common AltStartup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common Startup HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common AltStartup HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AltStartup HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, AltStartup -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices -- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, run -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, shell HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, shell -- HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff -- HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms -- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run -- %WinDir%\system.ini %WinDir%\win.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini Winlogon HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify -- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions -- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, AppSetup HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, GinaDLL HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, shell HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell -- HKCU\Control Panel\Desktop, SCRNSAVE.EXE -- HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram, ImageName AppInit DLLs HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, Appinit_Dlls Explorer HKLM\SOFTWARE\Classes\Protocols\Filter HKLM\SOFTWARE\Classes\Protocols\Handler -- HKCU\Software\Microsoft\Internet Explorer\Desktop\Components -- HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components HKCU\Software\Microsoft\Active Setup\Installed Components -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad HKCU\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved -- HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers HKCU\Software\Classes\Folder\shellex\ColumnHandlers -- HKLM\SOFTWARE\Microsoft\Ctf\LangBarAddin HKCU\Software\Microsoft\Ctf\LangBarAddin Internet Explorer HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects -- HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks -- HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar -- HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars HKCU\Software\Microsoft\Internet Explorer\Explorer Bars -- HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions HKCU\Software\Microsoft\Internet Explorer\Extensions -- HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt -- HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins -- HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units %WinDir%\Downloaded Program Files -- HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix Services HKLM\SYSTEM\CurrentControlSet\Services HKLM\SYSTEM\ControlSet001\Services HKLM\SYSTEM\ControlSet002\Services HKLM\SYSTEM\ControlSet003\Services Drivers HKLM\SYSTEM\CurrentControlSet\Services HKLM\SYSTEM\ControlSet001\Services HKLM\SYSTEM\ControlSet002\Services HKLM\SYSTEM\ControlSet003\Services Boot Execute HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute + HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, Execute HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, SetupExecute Print Monitors HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors Known Dlls HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls Lsa Providers HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Authentication Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Notification Packages HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Security Packages -- HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders, SecurityProviders Network Providers HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order WinSock Providers HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9 HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5 Image File Execution Options (Debugger) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Command Processor HKLM\SOFTWARE\Microsoft\Command Processor, AutoRun HKCU\Software\Microsoft\Command Processor, AutoRun Associations HKLM\SOFTWARE\Classes\*\shell\open\command HKCU\Software\Classes\*\shell\open\command Апплеты панели управления (Control Panel Libraries) %WinDir%\system32 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls MVB HKCU\Control Panel\IOProcs, MVB Applications HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Cleanuppath HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger HKLM\SOFTWARE\Microsoft\Windows Script Host -- Task Scheduler: %WinDir%\Tasks ICQ Agent Autostart Apps HKCU\Software\Mirabilis\ICQ\Agent\Apps (пруф http://www.saule-spb.ru/library/index.html) |
Кстати, немного не по теме: можно как-то отследить, для чего установщику MAx Payne требуются повышенные права? С пониженными правами (при отключенном UAC ) он тоже нормально устанавливается.
|
Цитата:
Проверка прав на установку программы |
| Время: 13:05. |
Время: 13:05.
© OSzone.net 2001-