Hklm software microsoft windows те currentversion winlogon taskman

При заражении компьютера вирусы поступают таким образом, чтобы при загрузке операционной системы они тоже загружались, либо загружалась их самая основная необходимая часть. Для этого они обычно вносят изменения в реестр Windows.

В зависимости от продвинутости создателя вируса это может быть реализовано по-разному. Рассмотрим самые распространенные случаи, где прячутся вирусы:

1. В автозагрузке операционной системы

Проверить это можно с помощью команды msconfig, запущенной через меню Пуск — Выполнить

В столбце «Команда» не должно быть подозрительных элементов, например C:\Program Files\novirus.exe

Команда msconfig позволяет только отображать и отключать ненужные программы из автозагрузки, для полного удаления следов необходимо почистить соответствующие ветки реестра (посмотреть в столбце «Расположение»).

Как альтернативe команде msconfig можно использовать программу XPTweaker.

В разделе «Система» перейти на закладку «Загрузка системы», прокрутить скроллом немного вниз до заголовка «Автозагрузка». Также просмотреть внимательно список загружаемых вместе с операционной системой приложений и при необходимости удалить ненужные. Программа удаляет информацию сразу и в реестре Windows.

Внимание! Для того, чтобы случайно не удалить важный системный процесс Windows — уточните предварительно у компьютерных гуру или найдите ответ через поисковую систему Яндекс или Гугл о неизвестных вам загружаемых приложений, например RTHDCPL.EXE

Данный способ загрузки вируса — самый элементарный. Он легко обнаруживается, и вирус удаляется. Так действовали вирусы 5-10-летней давности.

Дополнительно:

Если вы словили порно-баннер, и нет возможности посмотреть автозагрузку, то, загрузившись с любого загрузочного диска удалите все файлы из директорий C:\Temp, C:\WINDOWS\Temp, C:\Documents and Settings\user\Local Settings\Temp, т.к. существует очень большая вероятность загрузки вируса из этих папок.

Если загрузочный диск позволяет подключиться к удаленному реестру операционной системы (к вашей) — типа ERD, то можно проверить ключи реестра, отвечающие за автозагрузку. Для операционной системы Windows XP это:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run и

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

При нахождении в них подозрительных элементов — мочить гадов! 🙂

2. Вместо проводника

Это очень распространенный случай при заражении вирусами, особо часто он был замечен при установке порно-баннеров на операционную систему. Вирус в этом случае грузится вместо проводника Windows, заменив запись в реестре:

В ветке HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Параметр Shell (reg_sz) вместо значения «explorer.exe» заменяется вирусом на свой, например C:\WINDOWS\system32\h6d8dn.exe или подобную хрень.

Исправить это с наименьшими потерями можно, загрузившись с загрузочного CD-ROM или USB, проверить систему с помощью утилиты от Доктора Веба — launcher.exe. Но только в том случае, если в базе вирусов Доктора Веба есть информация об этом вирусе.

Более действенный и быстрый способ — загрузившись с загрузочного диска запустить программу редактирования реестра с возможностью подключения к удаленному реестру. Для этого идеально подходит сборка ERD.

Нужно посмотреть запись в реестре по адресу HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, исправить «хрень» у записи параметра Shell (reg_sz) на «explorer.exe» и запомнить путь нахождения и имя файла вируса, чтобы удалить его вручную.

3. Вместе с userinit.exe или uihost.exe

В этом случае рабочий стол может отображаться и компьютер может вроде бы нормально работать, но могут быть заблокированы некоторые функции браузера по умолчанию или всех браузеров, невозможность отрыть сайты антивирусных программ и др.

Userinit.exe — программа, которая открывает Рабочий стол и активирует сетевые функции после запуска Windows. Находится он по адресу C:\WINDOWS\system32\userinit.exe. Размер оригинального файла составляет 26,0 КБ (26 624 байт), на диске: 28,0 КБ (28 672 байт).

Некоторые вирусы могут изменить запись в реестре у трех параметров (у всех или только некоторых) Userinit, UIHost и Shell, расположенных по адресу:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Оригинальные параметры записи в реестре должны быть следующими :

Userinit = C:\WINDOWS\system32\userinit.exe
UIHost = logonui.exe
Shell = explorer.exe

Вирус может прописать себя например так :

В данном примере файл gertinw.exe — это 100% вирус! Обязательно запомнить путь к файлу вируса и удалить его!

После удаления нужно заменить файлы userinit.exe, logonui.exe (находятся в C:\WINDOWS\system32\) и explorer.exe (находится в C:\WINDOWS\) на аналогичные файлы из дистрибутива виндовса (найдете поиском), т.к. остатки червя могут находиться в файлах ключей. Или скачайте отсюда.

После нужно проверить файл hosts (открыть любым тестовым редактором) на наличие запретов на известные сайты антивирусных программ: C:\windows\system32\drivers\etc\hosts. Удалить все после строки 127.0.0.1 localhost

Также запрет на загрузку сайтов может быть прописан в реестре по следующим адресам:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet <номера 001 или 002>\Services\Tcpip\Parameters \PersistentRoutes

Удалить их содержимое полностью кроме строки «По умолчанию» с неприсвоенным значением.

Удаляем программы из списка автозагрузки с помощью редактора реестра

Несмотря на то, что сегодня можно скачать массу оптимизаторов, позволяющих убрать программы из автозапуска, а последние версии Windows и вовсе содержат инструменты для управления этим параметром, использование редактора реестра не утрачивает актуальность.

Дело в том, что от большинства вредоносного ПО просто невозможно избавиться другим путём, ведь после удаления оно начнёт снова устанавливается при следующей загрузке. Однако, удаление определённых файлов из реестра позволит раз и навсегда решить проблему.

Где найти разделы реестра, отвечающие за автозагрузку?

« Выполнить » ( R+Win ) – regedit – клавиша Enter. Таким образом вы попадаете в редактор реестра.

Нас интересует папка Run , расположенная в левой части окна. У новичков может уйти достаточно много времени на её поиск, ведь они не знают, что она расположена по одному из следующих путей:

• HKEY_LOCAL_MACHINE – Software – Microsoft – Windows – CurrentVersion — Run

• HKEY_CURRENT_USER — Software – Microsoft –Windows – CurrentVersion – Run

Отмечу, что элементы автозагрузки находятся и в других разделах, но я бы не советовал рядовым пользователям отправляться туда, чтобы не нарушить работу системы.

Попав в нужную папку, вы увидите список файлов. Их имена, как правило, совпадают с названиями программ, загрузка которых и будет происходить при запуске системы. Если ваш компьютер был заражён вредоносным ПО, то здесь вы обнаружите массу названий, состоящих из букв и цифр, расположенных в случайном порядке. Убирайте их все без раздумий, даже если они представляются системными файлами.

Какие программы лучше не трогать?

Ни в коем случае не удаляйте из автозагрузки драйверы, особенно те, которые обеспечивают корректную работу графических процессоров. Это позволит избежать возникновения существенных сбоев и сэкономить время, которые вы бы потратили на возвращение упомянутого ПО в автозапуск.

Есть «хитрые» программы, которые мониторят наличие себя в реестре и добавляются снова в случае удаления. Советую перейти в настройки этого ПО и отключить подобную возможность. Стоит отметить, что аналогичную тактику, чаще всего, используют всякие назойливые бесполезные программы, появившиеся на вашем ПК лишь потому, что вы забыли убрать несколько «галочек» при установке.

Вместо рабочего стола Windows загружается проводник!

В продолжение серии статей о вирусах и последствиях борьбы с ними, хочу рассказать что делать, если вместо рабочего стола Windows вы видите пустой экран или загружается проводник. Рассмотрим случай, когда после загрузки видим пустой рабочий стол, без меню «Пуск», значков и вообще всего нажитого непосильным трудом – одни обои, если они были.

Запускаем рабочий стол Windows вручную

Для начала пробуем запустить рабочий стол вручную. Жмем три волшебных кнопки Ctrl+Alt+Del для вызова диспетчера задач (подразумевается, что он не заблокирован. В противном случае читайте как разблокировать диспетчер задач вручную или с помощью утилиты AVZ .)

В Диспетчере задач идем Файл -> Новая задача (Выполнить. ) и там пишем explorer.exe или просто explorer . Как известно это не только проводник, но также является рабочим столом Windows.

Результатом данного действа может быть ваш любимый рабочий стол (что и требовалось), либо окно проводника (чего никак не ожидали увидеть).

Вместо рабочего стола загружается проводник

Теперь рассмотрим случай, когда при загрузке вместо рабочего стола загружается окно проводника Windows. Первым делом запускаем редактор реестра, так же как запускали проводник, только вместо explorer пишем regedit .

Переходим в ветку реестра:

Нас интересуют ключи Shell, UIHost и Userinit, в которых должны быть строго такие значения (подразумевается, что Windows установлена на диске С: ):

Переходим в следующую ветку реестра:

И если находим в данной ветке ключ Shell, безжалостно его уничтожаем.

Ищем и удаляем, если есть такие ветки:

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/explorer.exe]

[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Image File Execution Options/iexplorer.exe]

Так же не плохо проверить папку «Documents and Settings\ \Рабочий стол» и удалить там файлы desktop.ini и folder.htt

Выполнив эти действия, вы в 99% восстановите свой рабочий стол. Возможно это не полный перечень действий, и найдутсяе какие-то дополнительные варианты решения проблемы. Буду рад, если вы напишите об этом.

ЕСЛИ СЧИТАЕТЕ СТАТЬЮ ПОЛЕЗНОЙ,
НЕ ЛЕНИТЕСЬ СТАВИТЬ ЛАЙКИ И ДЕЛИТЬСЯ С ДРУЗЬЯМИ.

Автозапуск в MS Windows ­ Дневник ­ Максим Боголепов

Автозапуск в MS Windows

Довольно часто в своей работе мне приходится сталкиваться с компьютерными вирусами. Отмечу, что в последнее время вирусописатели стали отличаться недюжинной смекалкой и даже, я бы сказал, талантом при создании своих деструктивных программ. Еще бы! Человек, запустивший в начале этого года Trojan.Winlock.origin неплохо заработал на беспечности пользователей, которые пренебрегли простейшими правилами безопасности поведения в сети Internet и не устанавливающим на свои компьютеры антивирусы. Справедливости ради стоит отметить, что алгоритмы существующих антивирусных программ, к сожалению, не всегда смогут оперативно и достаточно надежно защитить вашу цифровую вселенную от подобных случаев. Если у пользователя на компьютере появился вирус, он в первую очередь пытается обратиться к специалистам. Надеюсь, что изложенный ниже материал поможет вам в обнаружении способов запуска таких вредоносных программ и излечении вручную операционных систем на базе продуктов MS Windows.

Недавно ко мне принесли компьютер, на котором после загрузки операционной системы появлялись баннеры порнографического содержания и не давали работать. Опустим сейчас вопросы, связанные с тем, каким образом вирус проник на комп и какой браузер был виновным в появлении этой заразы. Когда я сталкиваюсь с подобным, перво-наперво пытаюсь просмотреть список программ, которые запускаются вместе с системой. Но не тут-то было! Ни одна «горячая клавиша» Windows не работала (соответственно была заблокирована кнопка «Пуск»), был отключен «Диспетчер задач» и, как оказалось, не отображались системные и скрытые файлы. Я не мог даже запустить встроенную утилиту msconfig.exe, которая отображает программы в автозагрузке или команду regedit.exe для правки реестра. Замечу, что компьютер больше никаким образом (в безопасном режиме, в режиме загрузки последней удачной конфигурации) загружаться не хотел. Вываливался в «синий экран» и все.

Пришлось загружаться с livecd на основе windows xp (да, да, есть и такие!) и править реестр зараженной системы вручную. Весь материал, описанный ниже, предназначен для продвинутых пользователей и администраторов, которые знают, что такое реестр windows, имеют представление о том, с чем его едят, и представляют себе последствия своих действий.

Для начала – некоторые пояснения насчет структуры реестра windows. В нем существуют ветви SOFTWARE \Microsoft\Windows\CurrentVersion, содержащие несколько групп для автоматического запуска приложений. Эти ветви могут находится как в разделе HKEY _LOCAL_MACHINE, так и в разделе HKEY _CURRENT_USER. Изложение будет общим, и все может быть экстраполировано на оба этих раздела.

Если ОС windows используется как многопользовательская среда, то группы запуска следует искать также и в разделе HKEY _USERS\.Default. Это общий раздел для всех пользователей системы. Если ОС windows работает в однопользовательском режиме, то раздел HKEY _USERS\.Default идентичен разделу HKEY _CURRENT_USER.

Ключи реестра, имеющие область действия «Компьютер» (Local Machine), хранящиеся в разделе HKEY _LOCAL_MACHINE, имеет приоритет над ключами реестра, хранящимися в разделе HKEY _CURRENT_USER и имеющими область действия «Текущий пользователь» (Current User).

Папки автозапуска

Первая папка, которая отрабатывается после завершения загрузки Windows, это папка «Автозагрузка», которая может хранить список ярлыков (*.lnk) приложений или документов. Найти ее можно по пути «Пуск->Все программы->Автозагрузка». Эта папка относится к текущему пользователю. На всякий случай советую проверить в реестре соответствие ее наименования с размещением.

Сначала надо найти в системном реестре ключ HKEY _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, хранящий размещение всех измененных папок, и отыскать там параметр «Startup» строкового типа. Если искомый параметр отсутствует, то ее размещение по умолчанию на жестком диске прописано в системном реестре в параметре «Startup» ключа HKEY _CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Следующая папка — это «Общая» для всех пользователей папка «Автозагрузки» (Common Startup Folder), которая также отрабатывается после загрузки windows в поисках ярлыков с документами или приложениями. Она хранит общие ярлыки для профилей всех пользователей в системе. Ее содержимое отрабатывается, даже если ОС windows работает в однопользовательском режиме.

В системном реестре ее размещение на жестком диске прописано в строковом параметре «Common Startup» ключа HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders, который хранит измененные пути папок. При отсутствии этого параметра следует посмотреть размещение этой папки по умолчанию в параметре «Common Startup» ключа HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders.

Администраторам стоит обратить внимание на содержимое этих папок с целью выявления и удаления подозрительных ярлыков или программ.

Системный реестр – автозапуск, общий для всех версий Windows

Приведу полные пути к ключам автозапуска:

— SOFTWARE \Microsoft\Windows\CurrentVersion\Run;
— SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce;
— SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnceEx;
— SOFTWARE \Microsoft\Windows\CurrentVersion\RunOnce\Setup;
— SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices;
— SOFTWARE \Microsoft\Windows\CurrentVersion\RunServicesOnce,

которые могут содержать строковые параметры, с именами приложений или документов запускающиеся при старте системы. Имена строковых параметров, содержащихся в этих ключах, могут быть произвольными.

Внимательно просмотрите эти ключи на предмет загрузки посторонних программ и сервисов.

Особенности автозапуска в Windows NT/2000/XP

В добавление к вышеперечисленным ключам, для этих ОС windows существует еще один ключ системного реестра – SOFTWARE \Microsoft\Windows NT\CurrentVersion\Windows”, который может находиться в разделах HKEY _LOCAL_MACHINE или HKEY _CURRENT_USER. В нем могут существовать два строковых параметра «Load» и «Run», которые также могут хранить списки приложений для автоматического запуска. Значение по умолчанию для этих параметров – пробел. Программы, запущенные из параметра «Load», минимизируются при запуске.

Так же в этих ОС появляется еще один список автозагрузки программ или документов, запускающихся после регистрации пользователя в системе, который находится в обоих разделах HKEY _LOCAL_MACHINE и HKEY _CURRENT_USER. Он размещается в строковых параметрах ключа SOFTWARE \Microsoft\Windows\CurrentVersion\Policies\Explorer\Run. Имена параметров для этого ключа имеют особенность: они должны быть представлены в виде порядковых номеров, начиная с 1.

Автозапуск при отработке Windows Logon

Отдельная группа Windows Logon для управления инициализацией при регистрации пользователя появляется в Windows NT и далее развивается Microsoft для Windows версий 2000 и XP. Параметры Winlogon находятся в системном реестре в ключе SOFTWARE \Microsoft\Windows NT\CurrentVersion\Winlogon раздела HKEY _LOCAL_MACHINE. Все описываемые ниже параметры, относящиеся к Winlogon, имеют строковый тип.

Параметр «Shell», отвечающий за программную оболочку, присутствует в ветви реестра «Winlogon» в версиях Windows NT, 2000 и XP. Этот строковый параметр определяет список исполнимых файлов, обеспечивающих для операционной системы интерфейс пользователя и которые должны быть запущены вместе с программной оболочкой.

По умолчанию Windows запускает программы, перечисленные в параметре «Userinit», расположенном в ветви «Winlogon», включая и сам «Userinit.exe». Если же по какой-то причине «Winlogon» процесс не смог запустить программы, определенные в параметре «Userinit», тогда «Winlogon» переходит непосредственно к обработке исполнимых файлов, имена которых записаны в параметре «Shell».

Значение по умолчанию параметра «Shell» может варьироваться. Это – «taskman, progman, wowexec» для Windows NT и «Explorer.exe» для Windows 2000, XP.

Этот параметр присутствует в Windows версий NT, 2000 и XP. Он содержит список имен исполнимых файлов, запускаемых Winlogon в системном контексте во время инициализации системы. Этот список можно варьировать, редактируя значение этого параметра.

Значение по умолчанию этого параметра – «lsass.exe, spoolss.exe» для Windows NT, и «lsass.exe» для Windows 2000, XP.

Параметр «VmApplet», запускающий приложение «Панели управления» для настройки конфигурации системы, специфичен для Windows версий 2000 и XP. Он содержит список или один исполнимый файл, которые Winlogon-процесс запускает для того, чтобы пользователь мог скорректировать настройки виртуальной памяти, если на системном томе отсутствует страничный файл подкачки. В этом параметре не обязательно указывать расширения для имен файлов.

Значение по умолчанию этого параметра – «rundll32 shell32, Control_RunDLL «sysdm.cpl»». Не стоит без нужды и изменять значение этого параметра, потому что это может привести к изменению настроек виртуальной памяти в Windows 2000, XP.

«Userinit» (инициализация пользователя) специфичен для версий Windows NT, 2000 и XP. Значение этого параметра содержит исполнимые файлы, которые запускаются процессом WinLogon в контексте пользователя, при регистрации пользователя в системе.

По умолчанию Winlogon запускает «Userinit.exe», который ответственен за запуск программной оболочки и исполняет файлы сценариев для регистрации, переустанавливает сетевые соединения и затем запускает «Explorer.exe».

Значение по умолчанию параметра «Userinit»: «userinit, nddeagnt.exe» для Windows NT, «userinit» для Windows 2000, XP. Приложение «nddeagnt.exe» необходимо для запуска NetDDE — сетевого динамического обмена данными.

Таким образом, внимательно просмотрев все эти ветви автозапуска в ОС windows, я смог понять, откуда стартует вирус (из папок Temporary Internet Files, RECYCLER и System Volume Information) и удалил его из автозагрузки (кстати, он еще подменил собой shell, оттого видимо компьютер и вылетал в синий экран).

________________________
В написании статьи использовались материалы сайта сайт «Компьютерная газета», за авторством Valient Newman aka Black Prince.

Rating: 4.7/5(6 votes cast)