[решено] Как в реестре найти все ключи, отвечающие за автозапуск программ?

mwz · Отправлено: **18:30, 25-03-2017** | #2

Peter15,

Цитата Peter15:

На что ещё могут оканчиваться разделы и как их искать? »

Скачайте утилиту Руссиновича Autoruns (теперь она идёт от имени MS; входит также в состав пакета SysIntrnalsSuite).

Запустите с правами Администратора и посмотрите, в каких ключах реестра и в каких папках (т.е. в "c:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup" — общая для всех пользователей, а также "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup" — индивидуальная для каждого плюс к общей: это не ключи реестра, а именно папки на диске) находится то, что автозапускается на вашем компьютере.

Peter15 · Конфигурация компьютера

А можно как-то сделать, не запуская от админа, т. к. UAC выключен? Дело в том, что есть подозрение на вирусное заражение, подозрительный файл запускался из-под учётной записи ограниченного пользователя и я думаю, он не мог проникнуть туда, куда имеет право доступа администратор.

mwz · Отправлено: **19:15, 25-03-2017** | #4

Цитата Peter15:

т. к. UAC выключен? »

Ну что ж, ССЗБ. Кстати, никто не мешает включить.

Цитата Peter15:

есть подозрение на вирусное заражение »

Самолечение, тем более при неясных симптомах и недостаточном навыке, опасно для жизни. Я бы рекомендовал обратиться в раздел http://forum.oszone.net/forum-87.html — выполнив требования http://forum.oszone.net/thread-98169.html

—
PS
Autoruns.exe можно запустить и с правами обычного пользователя — но тогда он и покажет информацию только о пользователе, от имени которого запущен.

Peter15 · Конфигурация компьютера

Цитата mwz:

Кстати, никто не мешает включить. »

Да, но при этом многие программы не запускаются и не устанавливаются без "админского" пароля. А если UAC выключен, те же программы запросто устанавливаются и работают без повышения прав, т. к. пытаются произвести, насколько я знаю, некоторые действия, требующие админских прав, а система это пресекает.

Цитата mwz:

Самолечение, тем более при неясных симптомах и недостаточном навыке, опасно для жизни. »

Ну если я буду лечиться из-под обычной учётки (править реестр, удалять задания в планировщике задач, удалять файлы), то вряд ли я смогу навредить системе(?). Ведь критические системные файлы я ведь не смогу удалить и отключить и удалить службы, верно?

Цитата mwz:

Autoruns.exe можно запустить и с правами обычного пользователя »

Спасибо, проверю.

mwz · Отправлено: **19:41, 25-03-2017** | #6

Цитата Peter15:

при этом многие программы не запускаются и не устанавливаются без "админского" пароля »

Что-то вы не так излагаете... Если пользователь входит в группу администраторов — то ему не надо каждй раз при установке вводить пароль, а достаточно подтвердить своё намерение нажатием "Я согласен".
А если программа не запускается без административных прав — то либо эти права её действительно нужны (как, например, chkdsk и ряд других), и запуск подтверждается также нажатием "Я согласен", либо это древние программы, которые требуют, чтобы их рабочие файлы находились в папке Program Files, а то в Windows. И там есть несколько путей по изменению такого поведения, лучшее из которых — найти аналоги, рассчитанные на работу в Win-7 и более новых.

Интересно, почему мне уже лет восемь не мешает то, что UAC постоянно включён (моя учётка входит в группу Администраторов)...

Peter15 · Конфигурация компьютера

Попробую объяснить... Пользователь, о котором идёт речь, не входит в группу администраторов. Вот, например, есть установщик игры "Max Payne" (2001), который при включенном UAC (при установке из-под указанного пользователя), зачем-то включает запрос пароля админа с помощью UAC. Если же UAC отключён, программа нормально устанавливается в любую папку без запроса всяких паролей. Вроде так же аналогично с utorrent и StrongDC (правда, utorrent нужно сначала установить из-под админа, затем можно нормально запускать без включенного UAC из-под пользователя, не входящего в группу администраторов. Если же UAC будет включен, то при запуске utorrent из-под пользователя, не входящего в группу администраторов, зачем-то будет требоваться пароль админа).

Казбек · Конфигурация компьютера

Очень удобно получать доступ к утилитам Sysinternals, используя строку Выполнить:

Код:

\\live.sysinternals.com\tools

Или конкретно для Autoruns:

Код:

\\live.sysinternals.com\tools\autoruns.exe

Цитата Peter15:

Как в реестре найти все ключи, отвечающие за автозапуск программ? »

Windows Registry Startup Paths

Вот вам список всех путей, которые использует Autoruns для вкладки Logon из потрясающей книги Маргосиса и Руссиновича:

1

2

Iska · Отправлено: **20:13, 25-03-2017** | #9

Цитата Казбек:

Очень удобно получать доступ к утилитам Sysinternals, используя строку Выполнить: »

Это когда есть а) интернет и б) нормальная поддержка протокола WebDav. Но да — так всегда имеешь доступ к свежей версии.

usbdrive · Отправлено: **01:31, 26-03-2017** | #10

Цитата Peter15:

Читал на большинстве страниц, что раздел должен оканчиваться на Run. Ещё несколько сайтов ссылаются на Runonce. А на одном сайте нашёл, что параметр следует искать по адресу HKLM\...\startupfolder. Может быть, это не всё? На что ещё могут оканчиваться разделы и как их искать? »

Скрытый текст

Ключи реестра и места на диске, с помощью которых программы могут запускаться автоматически при каждой загрузке системы

Logon
%SystemDrive%\Documents and Settings\All Users\Start Menu\Programs\Startup
%SystemDrive%\Documents and Settings\<username>\Start Menu\Programs\Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Common AltStartup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common Startup
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Common AltStartup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders, AltStartup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, Startup
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, AltStartup
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
--
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows, run
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, shell
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, shell
--
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup
HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon
HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff
--
HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd, StartupPrograms
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Runonce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\RunonceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
--
%WinDir%\system.ini
%WinDir%\win.ini
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\system.ini
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\win.ini

Winlogon
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions
--
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, AppSetup
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, GinaDLL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Taskman
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, UIHost
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, VmApplet
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Userinit
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell
--
HKCU\Control Panel\Desktop, SCRNSAVE.EXE
--
HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram, ImageName

AppInit DLLs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, Appinit_Dlls

Explorer
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
--
HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
--
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKCU\Software\Microsoft\Active Setup\Installed Components
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
HKCU\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
--
HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers
HKCU\Software\Classes\Folder\shellex\ColumnHandlers
--
HKLM\SOFTWARE\Microsoft\Ctf\LangBarAddin
HKCU\Software\Microsoft\Ctf\LangBarAddin

Internet Explorer
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
--
HKCU\Software\Microsoft\Internet Explorer\UrlSearchHooks
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
HKCU\Software\Microsoft\Internet Explorer\Explorer Bars
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\Software\Microsoft\Internet Explorer\Extensions
--
HKCU\SOFTWARE\Microsoft\Internet Explorer\MenuExt
--
HKLM\SOFTWARE\Microsoft\Internet Explorer\Plugins
--
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
%WinDir%\Downloaded Program Files
--
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefix
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix

Services
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services

Drivers
HKLM\SYSTEM\CurrentControlSet\Services
HKLM\SYSTEM\ControlSet001\Services
HKLM\SYSTEM\ControlSet002\Services
HKLM\SYSTEM\ControlSet003\Services

Boot Execute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, BootExecute +
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, Execute
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager, SetupExecute

Print Monitors
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Known Dlls
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\KnownDlls

Lsa Providers
HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Authentication Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Notification Packages
HKLM\SYSTEM\CurrentControlSet\Control\Lsa, Security Packages
--
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders, SecurityProviders

Network Providers
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order

WinSock Providers
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5

Image File Execution Options (Debugger)
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Command Processor
HKLM\SOFTWARE\Microsoft\Command Processor, AutoRun
HKCU\Software\Microsoft\Command Processor, AutoRun

Associations
HKLM\SOFTWARE\Classes\*\shell\open\command
HKCU\Software\Classes\*\shell\open\command

Апплеты панели управления (Control Panel Libraries)
%WinDir%\system32
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Control Panel\Cpls

MVB
HKCU\Control Panel\IOProcs, MVB

Applications
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Accessibility\Utility Manager
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\BackupPath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\Cleanuppath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\DefragPath
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug, Debugger
HKLM\SOFTWARE\Microsoft\Windows Script Host
--
Task Scheduler: %WinDir%\Tasks

ICQ Agent Autostart Apps
HKCU\Software\Mirabilis\ICQ\Agent\Apps

(пруф http://www.saule-spb.ru/library/index.html)