Автозагрузка в Windows

Сегодня сложно найти организацию, которая не подвергалась бы вирусным атакам. И хотя практически везде уже установлено антивирусное программное обеспечение, иногда возникает необходимость вручную посмотреть, где же в реестре запускают программы, причем даже не обязательно вредоносные. При поиске резидентных вредоносных программ нас интересуют следующие вопросы.

• Как осуществляется автозагрузка?
• Где найти список программ, загружаемых автоматически?
• Как отключить соответствующий список автозагрузки?

Именно этому будет посвящена данная статья.

Способы автозагрузки

Способов автозагрузки существует много. Ниже приведены некоторые из вариантов. Надеюсь, что это сможет вам помочь в розыске и удалении вредоносных программ из автозагрузки.

Реестр

В реестре Windows 7 автозагрузка представлена в нескольких разделах:

[HKEY_LOCALMACHINE\SOFT-WARE\Microsoft\Windows\CurrentVersion\Run] — программы, запускаемые при регистрации в системе. Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе (см. экран 1).

[HKEY_LOCAL_MACHINE\SOFT-WARE\Microsoft\Windows\CurrentVersion\RunOnce] — программы, запускаемые только один раз при регистрации пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра. Программы, которые запускаются в этом разделе, запускаются для всех пользователей в системе.

[HKEY_CURRENT_USER\Soft-ware\Microsoft\Windows\CurrentVersion\Run] — программы, которые запускаются при регистрации текущего пользователя в системе.

[HKEY_CURRENT_USER\Soft-ware\Microsoft\Windows\CurrentVersion\RunOnce] — программы, которые запускаются только один раз при регистрации текущего пользователя в системе. После этого параметры программ автоматически удаляются из данного раздела реестра. Например, чтобы автоматически запускать приложение «Блокнот» при регистрации текущего пользователя, открываем редактор реестра (regedit.exe), переходим в раздел [HKEY_CUR-RENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий параметр «NOTEPAD.EXE»=»C:\WINDOWS\System32\notepad.exe».

Использование групповой политики для автозапуска

Откройте оснастку «Групповая политика» (gpedit.msc), перейдите в раздел «Конфигурация компьютера, Административные шаблоны, Система». В правой части оснастки перейдите в узел «Вход в систему» (см. экран 2).

По умолчанию эта политика не задана, но можно добавить туда программу: включаем политику, нажимаем кнопку «Показать — Добавить», указываем путь к программе, при этом если запускаемая программа находится в папке WINDOWS\System32\, то можно указать только название программы, иначе придется вводить полный путь к ней. Фактически в данном разделе локальной групповой политики можно указать дополнительную программу или документ, который будет выполняться при регистрации пользователя в системе.

Данный пункт политики доступен в разделах конфигурации компьютера и конфигурации пользователя. Если заданы оба пункта политики, то вначале будет запущена программа, указанная в разделе конфигурации компьютера, а затем уже пользователя. При этом в системном реестре в разделе [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies] создается подраздел\Explorer\Run с параметрами добавленных программ.

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ policies\Explorer\Run] «1»=»notepad.exe»

В итоге при регистрации в системе происходит запуск приложения «Блокнот» (см. экран 3).

Аналогично задается автозапуск для текущих пользователей, в оснастке «Групповая политика» это путь «Конфигурация пользователя — Административные шаблоны — Система» (см.экран 2), а в реестре раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run].

При этом программы из данного списка не отображаются в списке программ, доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Игнорирование списков автозагрузки программ, выполняемых однократно

Настраивается с помощью групповой политики в разделе «Конфигурация компьютера, Административные шаблоны, Система, Вход в систему» через параметр «Не обрабатывать список однократного запуска программ». Если эту политику включить, то не будут запускаться программы из списка [HKEY_LOCAL_MACHINE\
Software\Microsoft\Windows\Current
Version\RunOnce]. Если эта политика включена, в реестре создается следующий параметр:

[HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\ policies\Explorer] «DisableLocalMachineRunOnce»= dword:00000001

Так же настраивается политика для текущих пользователей: «Конфигурация пользователя, Административные шаблоны, Система, Вход в систему», параметр «Не обрабатывать список однократного запуска программ». Параметры реестра:

[HKEY_CURRENT_USER\SOFTWARE\ Microsoft\Windows\CurrentVersion\ policies\Explorer] «DisableLocalUserRunOnce»= dword:00000001

Назначенные задания

Программы могут запускаться с помощью «Планировщика заданий». Посмотреть список установленных заданий, а также добавить новое можно так: указываем в меню «Пуск», «Все программы», «Стандартные», «Служебные», «Планировщик заданий» и видим окно «Планировщика заданий», в котором отображены назначенные задания (см. экран 4).

Чтобы добавить новое задание, нужно в панели «Действия» выбрать пункт «Создать простую задачу» (см. экран 5).

Запуск программ с помощью этого мастера возможен однократно, при регистрации в Windows, при включении компьютера, а также по расписанию.

Папка «Автозагрузка»

Папка, в которой хранятся ярлыки для программ, запускаемых после регистрации пользователя в системе. Ярлыки в эту папку могут добавляться программами при их установке или пользователем. Существует две папки — общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь:

• \Users\All Users\Microsoft\Windows\Start Menu\Programs\Startup — это папка, программы из которой будут запускаться для всех пользователей компьютера;
• %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup — это папка, программы из которой будут запускаться для текущего пользователя.

Посмотреть, какие программы у вас запускаются таким способом, можно, открыв меню «Пуск», далее выбрав «Все программы», «Автозагрузка». Если вы создадите в этой папке ярлык для какой-то программы, она будет запускаться автоматически после регистрации пользователя в системе.

Смена папки автозагрузки

Windows считывает данные о пути к папке «Автозагрузка» из реестра. Этот путь прописан в следующих разделах:

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders] «Common Startup»=»%ProgramData%\Microsoft \ Windows\Start Menu\Programs\Startup» — для всех пользователей системы.
• [HKEY_CURRENT_USER\Soft-ware\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders]»Startup»=»%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup» — для текущего пользователя. Сменив путь к папке, мы получим автозагрузку всех программ из указанной папки.

Пример: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User ShellFolders] «Startup»=»c:\mystartup» — система загрузит все программы, ярлыки которых находятся в папке c:\mystartup\, при этом папка «Автозагрузка» все так же будет отображаться в меню «Пуск», а если у пользователя в ней ничего не было, то он и не заметит подмены.

Скрытые уязвимости

Подмена ярлыка для программы из списка автозагрузки выполняется просто. Допустим, у вас установлено приложение Adobe Acrobat. Тогда в папке «Автозагрузка» у вас будет находиться ярлык «Adobe Reader Speed Launch», он устанавливается туда по умолчанию. Но вовсе не обязательно этот ярлык ссылается именно на соответствующее приложение — вместо него может быть запущена любая другая программа, тем более что на функциональности Acrobat это не скажется.

Добавление программы к программе, запускаемой из списка автозагрузки, есть модификация предыдущего варианта — одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа. Дело в том, что можно «склеить» два исполняемых файла в один, и они будут запускаться одновременно. Существуют специальные программы для такой «склейки». Или ярлык может ссылаться на командный файл, из которого и будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Посмотреть список автоматически загружаемых программ можно, открыв окно «Сведения о системе». Для этого откройте меню «Пуск», «Все программы», «Стандартные», «Служебные», «Сведения о системе» или наберите msinfo32.exe в командной строке и перейдите в раздел «Программная среда — Автоматически загружаемые программы». Приложение «Свойства системы» отображает группы автозагрузки из реестра и папок «Автозагрузка» (см. экран 6).

Другая программа, позволяющая посмотреть список программ автозагрузки, — «Настройка системы» (для запуска наберите msconfig.exe из командной строки). Эта программа, кроме просмотра списка автозагрузки, предоставляет возможность отключить все пункты автозагрузки (вкладка «Общие») или выборочных программ (вкладка «Автозагрузка»).

Сведения, приведенные в данной статье, нельзя считать исчерпывающими, однако, надеюсь, они помогут вам в нелегкой борьбе с вредоносными программами.

Владимир Безмалый — специалист по обеспечению безопасности, MVP Consumer Security

Добавление любой программы в автозагрузку Windows.

Далеко не в каждой установленной программе в настройках есть пункт добавления ее в автозагрузку, то есть в список автоматически запускаемых программ при загрузке системы. Если вам нужно добавить какую-то программу в автозагрузку, то сделать это можно разными способами: использовать сторонние утилиты, воспользоваться встроенными средствами или редактором реестра. Главное не забывать, что чем больше программ в автозагрузке, тем дольше загружается система. В этой статье рассмотрим очень простой способ, который подходит даже совсем неопытным пользователям. Для этого нам нужно найти системную автозагрузочную папку:

Для Windows 7 – Локальный диск (С:) → ProgramData → Microsoft → Windows → Главное меню → Программы → Автозагрузка. Либо можно открыть меню «Пуск» → Все программы → Автозагрузка.

Для Windows 10 – нажатием сочетания клавиш Win + R открываем диалоговое окно «Выполнить», вводим команду shell:startup и нажимаем «ОК» или клавишу Enter.

После чего мы попадаем в нужную нам системную папку автозагрузки.

Открываем папку с установленной программой, которую мы хотим добавить в автозагрузку, например, браузер Mozilla Firefox. Создаем ярлык исполняемого файла (.exe), нажав по нему правой кнопкой мыши и выбрав из контекстного меню «Создать ярлык».

Созданный ярлык, выделив его и зажав левую кнопку мыши, просто перетягиваем в открытую ранее папку «Автозагрузка», либо можно воспользоваться пунктами контекстного меню «Вырезать» и «Вставить».

Вот и все, программа добавлена в автозагрузку и будет запускаться вместе с загрузкой системы. Способ работает в 90% случаев. Если он вам не подошел, придется искать альтернативные способы, например, прописывать программы в автозагрузку с помощью редактора реестра.

Если вам понравилась статья, поставьте лайк, поделитесь в социальных сетях, и не забудьте 👉 подписаться на канал , чтобы не пропустить новые выпуски!

Памятка админа. Windows Server 2008/2012/2016/2019. Полезное.

Windows 8/8.1/2012

Изменить профиль сети с Public на Private в Windows 8.1/Server 2012 R2

PSH> Get-NetConnectionProfile PSH> Set-NetConnectionProfile -InterfaceIndex Num -NetworkCategory Private

Windows Server 2019 core

Core Edition. Установка Features on Demand (FOD) for App Compatibility

The easiest method for installing the Feature on Demand (FoD) package is online via Windows Update. This can be done with the PowerShell command:

PSH> Add-WindowsCapability -Online -Name ServerCore.AppCompatibility

Автозагрузка в Windows Server Core (Hyper-V Server)

Самое простое — через реестр. Например, запуск Far Manager при старте:

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v Far /d «C:\Program Files\Far Manager\Far.exe»

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
«far»=»\»C:\Program Files\Far Manager\Far.exe\»»

Удалённый интерактивный сеанс Powershell

Enter-PSSession -ComputerName SERVERNAME

Управление производительностью процессора Windows Server Core

For example, to adjust the Boost Mode in the Power Saver plan and make that Power Saver is the current plan, run the following commands:

Powercfg -setacvalueindex scheme_current sub_processor PERFBOOSTMODE 1
Powercfg -setactive scheme_current

If your server requires ultra-low latency, invariant CPU frequency (e.g., for repeatable testing), or the highest performance levels, you might not want the processors switching to lower-performance states. For such a server, you can cap the minimum processor performance state at 100 percent by using the following commands:

Powercfg -setacvalueindex scheme_current sub_processor PROCTHROTTLEMIN 100
Powercfg -setactive scheme_current

If your server requires lower energy consumption, you might want to cap the processor performance state at a percentage of maximum. For example, you can restrict the processor to 75 percent of its maximum frequency by using the following commands:

Powercfg -setacvalueindex scheme_current sub_processor PROCTHROTTLEMAX 75
Powercfg -setactive scheme_current

For example, if your server requires ultra-low latency while still wanting to benefit from low power during idle periods, you could quicken the performance state increase for any increase in load and slow the decrease when load goes down. The following commands set the increase policy to «Rocket» for a faster state increase, and set the decrease policy to «Single». The increase and decrease thresholds are set to 10 and 8 respectively.

Powercfg.exe -setacvalueindex scheme_current sub_processor PERFINCPOL 2
Powercfg.exe -setacvalueindex scheme_current sub_processor PERFDECPOL 1
Powercfg.exe -setacvalueindex scheme_current sub_processor PERFINCTHRESHOLD 10
Powercfg.exe -setacvalueindex scheme_current sub_processor PERFDECTHRESHOLD 8
Powercfg.exe /setactive scheme_current

Полезные ссылки

Windows Admin Center

Windows Admin Center runs in a web browser and manages Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 10, and more through the Windows Admin Center gateway installed on Windows Server or Windows 10. The gateway manages servers by using Remote PowerShell and WMI over WinRM. The gateway is included with Windows Admin Center in a single lightweight .msi package that you can download.

Microsoft Software download portal

Включение / выключение Hyper-V

Enable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V –All
Disable-WindowsOptionalFeature -Online -FeatureName Microsoft-Hyper-V-All

Управление локальным/удалённым сервером Hyper-V

Probus ProHVM.
With ProHVM you can manage Hyper-V Servers and virtual machines both locally and remotely. ProHVM enables you to manage multiple versions of Hyper-V in one application, and from almost any version of windows. Use it on Servers, desktops and Core installations both 32 and 64-Bit. Using ProHVM you can connect to and manage Hyper-V servers in other domains and workgroups using different credentials.
It is very useful on installations of free Microsoft Hyper-V Server where you cannot run Microsoft Hyper-V manager locally. ProHVM Standard Is FREE for personal and commercial use!