Автозагрузка в реестре Windows 7 x64

Автозагрузка — это функция Windows-систем, которая обеспечивает автоматический запуск сервисов и приложений. С одной стороны, до крайности удобный и полезный механизм (хотя с этим можно поспорить), с другой — один из факторов риска, ведь с помощью автозагрузки может запускаться не только кошерный Skype, но и богомерзкий вирус.

Когда-то централизованные контейнеры для хранения данных об автоматически загружающихся сервисах и приложениях, в Windows 7 децентрализовались и разбрелись по углам, усложнив управление автозагрузкой. А в реестре 64-битной версии Windows они и вовсе поразбежались по разделам, связанным с битностью системы. Впрочем, пройдемся по порядку.

1. В 32-битных Windows раздел, в котором хранились данные о программах, запускаемых при регистрации в системе для всех пользователей компьютера, хранился в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. В Windows 7 x86-64 этот путь углубился на один уровень, и теперь инстанс располагается в HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run. При этом ПО, разработанное под платформу x86, запускается из него же. Не спрашивайте, почему. Мы все равно не знаем.

2. Привычный раздел, служащий для однократного (с последующим автоматическим удалением) запуска программ при регистрации пользователей в системе тоже переехал из HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce в HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce. Логично.

3. Помните раздел HKLU\Software\Microsoft\Windows\CurrentVersion\Run, который служил для запуска программ при регистрации текущего пользователя в системе? Из предыдущих двух пунктов сделали вывод, что он тоже перебрался в инстанс Wow6432Node? Как бы не так, изменения не были реализованы настолько системно и однообразно. Инстанс остался на своем месте, с той же функциональностью. Вспоминается детская шутка-загадка, в которой предлагалось сперва угадать домашнее животное на букву «К» из 4 букв (отгадка — Клоп), потом — домашнее животное на букву «Д» (отгадка — Два клопа), а потом животное на букву «Т» (обычно угадывающий сразу же восклицал «Три клопа!», на что ему степенно возражали «Нет, Таракан!»). У Microsoft тоже есть чувство юмора, не правда ли?

4. Тоже самое касается для раздела под однократный запуск для текущего пользователя с последующим удалением: он остался в HKLU\Software\Microsoft\Windows\CurrentVersion\RunOnce.

990x.top

Простой компьютерный блог для души)

HKLM\Software\Wow6432Node\\Microsoft\MediaPlayer\ShimInclusionList\browser.exe — что это?

Приветствую. Данная статья расскажет о странной записи, которую можно обнаружить в одной утилите при проверке компьютера на наличие вирусов.

HKLM\Software\Wow6432Node\\Microsoft\MediaPlayer\ ShimInclusionList\browser.exe — что это такое?

Запись, которая появляется в следствии работы вируса на ПК, который может устанавливать и запускать браузер в фоновом режиме для выполнения определенных действий.

Данная запись может например обнаружиться при использовании утилиты AdwCleaner.

Эта запись означает что на ПК присутствует вирус, который возможно не так просто удалить.

Что это может быть за вирус:

• Показывает рекламу при помощи установки собственного браузера. При этом показывать может в скрытом режиме. Собственный браузер может быть на основе Яндекс Браузер, так как у него название процесса точно такое же (browser.exe).
• Выполнять другие действия, например автоматически просмотр сайтов, какие-то действия на сайтах, например регистрация аккаунтов и прочее.

Как удалить вирус?

Информации в интернете мало. Однако инфа находится даже за 2019 год, поэтому возможно на данный момент — вирус удаляется антивирусными утилитами, ниже я напишу какими стоит проверить. Пока просто проанализируйте некоторые вещи у себя на компьютере:

1. У вас могут быть установлены левые расширения в браузере (чтобы быстро открыть раздел расширений — перейдите по chrome://extensions/). Удалите все левое.
2. Проверьте наличие файла uGyio.exe в папке C:\Users\User\AppData\Local\. Если есть — удаляем.
3. В папке C:\Windows\ могут быть файлы: uninstall Bismilla.exe, uninstall Islamic_.exe, uninstall Muhammad.exe. Также в C:\Users\User\ — файл OfzY.exe. Удаляем все что находим.
4. Откройте в реестре раздел HKLM\SOFTWARE\Wow6432Node\Microsoft\MediaPlayer и посмотрите — если внутри будет раздел ShimInclusionList то удаляем его.

Если при удалении файлов сталкиваетесь с ошибками — удалите принудительно, используя утилиту Unlocker.

1. Можно создать тему на форуме VirusInfo в данном разделе. Или написать уже в существующую, которая находится здесь (однако проблему решить не удалось).
2. Проверь ПК утилитой против опасных вирусов, например трояны, ботнеты, майнеры, утилита называется Dr.Web CureIt!, она уже скачивается с антивирусными базами, скорость проверки зависит от количества файлов на диске. Если у вас SSD, а не жесткий диск (HDD) — то скорость разумеется будет намного быстрее.
3. Проверить ПК утилитами против рекламного/шпионского ПО, которые также удалят все левое ПО — AdwCleaner, HitmanPro, Malwarebytes. Очень желательно проверить именно всеми тремя утилитами, они работают быстро, проверяют автозагрузку, планировщик задач, реестр, дополнения браузеров, список служб, процессов, установленного ПО и многое другое. Реально качественные инструменты, поэтому советую.

Это лучшая утилита против опасных и серьезных вирусов. Для завершения сканирования требуется перезагрузка.

При отсутствии качественного антивируса поставьте бесплатную версию Каспера — Kaspersky Security Cloud Free

Что такое wow6432node microsoft windows currentversion run

Сообщения: 25157
Благодарности: 3792

Конфигурация компьютера
Материнская плата: MSI G41M-P33 Combo
HDD: SSD OCZ-AGILITY3 — 120GB
ОС: Windows 10 Pro x64 (11082)

Реестр 64-разрядных версий Windows подразделяется на 32- и 64-разрядные разделы. Большинство 32-разрядных разделов имеют те же имена, что и их аналоги в 64-разрядном разделе, и наоборот. По умолчанию редактор реестра 64-разрядных версий Windows отображает 32-разрядные разделы в разделе
HKEY_LOCAL_MACHINE\Software\WOW6432Node

Это сообщение посчитали полезным следующие участники:

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.

» width=»100%» style=»BORDER-RIGHT: #719bd9 1px solid; BORDER-LEFT: #719bd9 1px solid; BORDER-BOTTOM: #719bd9 1px solid» cellpadding=»6″ cellspacing=»0″ border=»0″>

Сообщения: 26992
Благодарности: 7877

lapa23, чем смотрите, что он отсутствует? Какова разрядность ОС, на которой смотрите?

Ключ реестра WOW6432Node может быть указан в реестре системы в 32-битной (x86) версии Windows 7

В этой статье устраняется проблема, из-за которой подкайка реестра с меткой Wow6432Node указана в реестре системы на компьютерах x86.

Оригинальная версия продукта: Windows 7 Пакет обновления 1
Исходный номер КБ: 2582176

Симптомы

Рассмотрим следующий сценарий.

Компьютер с 32-битной (x86) платформой Windows 7.

Установите Windows 7 с помощью SP1 или установите Windows 7 RTM, обновленную до SP1.

Нажмите кнопку Начните, введите regedit в поле поиска, чтобы открыть редактор реестра.

Расширь следующий ключ реестра:

В этом сценарии можно заметить подки реестра с меткой Wow6432Node и почувствовать, что система может быть неправильно установлена или обновлена.

Причина

Этот ключ реестра обычно используется для 32-битных приложений на 64-битных машинах. Если они присутствуют на компьютерах x86, они не вызывают проблем, так как они не используются.

Решение

Можно смело игнорировать значение реестра.

Определение платформы Windows 7

Существует ряд средств, которые можно использовать для определения платформы, установленной в системе. Ниже приведены два способа, которые можно использовать для идентификации платформы

Метод 1. Использование средства системной информации для просмотра архитектуры процессора

Нажмите кнопку Начните.

В поле Поиск введите команду MSINFO32 без кавычка.

В левой области щелкните System Summary.

В правой области просмотра записи с меткой System Type.

Если в записи говорится о x86-based PC, это 32-битная платформа. Если в записи говорится о x64-based PC, это 64-битная платформа.

Метод 2. Использование команды Set для отображения архитектуры процессора

Откройте командную команду администрирования

Введите следующую команду:

Если результат PROCESSOR_ARCHITECTURE=x86, это 32-битная платформа. Если результат PROCESSOR_ARCHITECTURE=AMD64, это 64-битная платформа.

«HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\AVP»

Check for malware thoroughly, then run CleanUp as indicated below — then if needed run StartUp
Repair. There is also a link for a Repair Installation if needed (allows you to keep programs and
data).

If you need to check for malware here are my recommendations — these will allow you to do
a thorough check and removal without ending up with a load of spyware programs running
resident which can cause as many issues as the malware and maybe harder to detect as the
cause.

No one program can be relied upon to detect and remove all malware. Added that often easy
to detect malware is often accompanied by a much harder to detect and remove payload. So
its better to be overly thorough now than to pay the high price later. Check with these to an
extreme overkill point and then run the cleanup only when you are very sure the system is clean.

These can be done in Safe Mode — repeatedly tap F8 as you boot however you should also run
them in regular Windows when you can.

Download malwarebytes and scan with it, run MRT, and add Prevx to be sure it is gone.
(If Rootkits run UnHackMe)

Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN

Run the Microsoft Malicious Removal Tool

Start — type in Search box -> MRT find at top of list — Right Click on it — RUN AS ADMIN.

You should be getting this tool and its updates via Windows Updates — if needed you can
download it here.

Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN
(Then run MRT as above.)

also install Prevx to be sure it is all gone.

Download — SAVE — go to where you put it — Right Click on it — RUN AS ADMIN

Try the trial version of Hitman Pro :

Hitman Pro is a second opinion scanner, designed to rescue your computer from malware
(viruses, trojans, rootkits, etc.) that have infected your computer despite all the security
measures you have taken (such as anti virus software, firewalls, etc.).
http://www.surfright.nl/en/hitmanpro

If needed here are some online free scanners to help

After removing any malware :

Also do these to cleanup general corruption and repair/replace damaged/missing
system files.

Start — type this in Search Box -> COMMAND find at top and RIGHT CLICK — RUN AS ADMIN

Enter this at the prompt — sfc /scannow

How to analyze the log file entries that the Microsoft Windows Resource Checker (SFC.exe) program
generates in Windows Vista cbs.log
http://support.microsoft.com/kb/928228

Also run CheckDisk so we can rule out corruption as much as possible.

If any Rootkits are found use this thread and other suggestions. (Run UnHackMe)

If needed AFTER you are sure the machine is clean of all malware. This allows you to keep the
programs and data though redundant backups are always a good idea.

Hope this helps.

Rob Brown — MS MVP — Windows Desktop Experience : Bicycle — Mark Twain said it right.

8 people found this reply helpful

Was this reply helpful?

Sorry this didn’t help.

Great! Thanks for your feedback.

How satisfied are you with this reply?

Thanks for your feedback, it helps us improve the site.

Adblock
detector