Любой программе, даже такой вредоносной, как троян или вирус для работы необходимо быть запущенной. Чаще всего вирусам удобнее проделывать свою инициализацию средствами операционной системы. Найдя место прописки строки инициализации вируса можно избавиться и от самого вируса, не прибегая даже к помощи антивирусной программы. Однако, этот путь удаления вируса не всегда помогает и требует от пользователя определенных знаний и квалификации.

Что скрывается в автозагрузке?

Существует несколько способов прописать программу в автозагрузку. Самый простой для вирусописателя способ — скопировать программу или ярлык в папку Автозагрузка (Startup в английской версии)меню программ. В этом случае достаточно удалить ненужную запись из этой папки и файл на который она ссылается. Замечено, что современные вирусописатели предпочитают дублировать способы загрузки своей программы. Удалив ярлык и файл, на который он ссылается из папки Автозагрузка, после следующей загрузки
компьютера Вы скорее всего обнаружите, удаленный Вами ярлык на старом месте.

Windows 95/98/Me

Другой способ, работающий только в операционных системах Windows 95/98/Me запустить вредоносную программу через системный файл autoexec.bat. В Windows Me обработка этого файла уже не производится.

Есть и другие файлы, которые используют для загрузки программ. Стоит упомянуть о системном файле wininit.exe: эта программа тоже запускается в самой начальной стадии загрузки систем Windows 9x/Me в том случае, если в папке Windows присутствует файл wininit.ini, инструкции из которого она и призвана выполнить. В принципе, не только возможна подмена самого файла wininit.exe файлом вируса, но и создание деструктивных инструкций в файле wininit.ini, результатом которых окажется, например, полное удаление папки «Мои докуметы» сразу после загрузки компьютера.

Далее по ходу загрузки операционной системы автоматически исполняется еще один недокументированный командный файл — winstart.bat — если он имеется в директории Windows. Из него так же, как и из autoexec.bat, можно загрузить некоторые резидентные DOS-программы или выполнить последовательность команд (в «Миллениуме» этот файл также не обрабатывается). Не забывайте, что при перезагрузке системы Windows 9х в режим эмуляции MS-DOS используется также пакетный файл dosstart.bat.

Затем при загрузке операционной системы доходит очередь до обработки еще одного конфигурационного файла — system.ini. Напрямую с его помощью можно запустить только одну программу, а именно, оболочку Windows. Изначально такой оболочкой является Проводник
explorer.exe, что вы и можете наблюдать, если посмотрите значение параметра
SHELL в разделе [BOOT], однако ничто не мешает указать дополнительные
программы как аргументы командной строки самого файла explorer.exe — Проводник сам при запуске загрузит эти программы или документы. Впрочем, вполне возможна и замена самой оболочки explorer.exe на любой другой файл, собственно, именно для этого и предназначен этот параметр. Далее в процессе загрузки Windows появляется еще одна возможность запуска программ — доставшийся от Windows 3.11 файл win.ini содержит в разделе [windows] специальные параметры load и run, которые могут использоваться для задания автозапуска (для обеспечения совместимости эти параметры по-прежнему
обрабатываются самыми последними версиями ОС). По умолчанию значением этих параметров должна являться пустая строка.

В последних версиях Windows имеется довольно неплохая утилита для управления программами из автозагрузки — msconfig.exe. С её помощью можно легко увидеть и изменить все параметры автозагрузки.

Всё вышеописанное, за исключением способа с папкой Автозагрузка относилось к самым незащищенным операционным системам Windows 95/98/Me. К вопросам безопасности этих систем можно отнести и совет не открывать целиком диск, где установлена операционная система или папку в которую она установлена для доступа по сети с других компьютеров.

Windows All

Третий, самый распространенный сейчас способ инфицировать компьютер — через реестр.
Этим способом наиболее часто пользуются вредоносные программы (вирусы, трояны, шпионы)

Сперва откройте раздел
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion.

Найдите там подразделы Run, RunOnce, RunOnceEx, RunServices, RunServicesOnce. В этих разделах есть строковые ключи (некоторые разделы пустые), отвечающие за запуск программ. Название ключа может быть произвольным, а в качестве значения у них указывается запускаемая программа, если надо — то с параметрами. Обратите внимание на разделы, в названии которых присутствует «Once«. Это разделы, в которых прописываются программы, запуск которых надо произвести всего один раз. Например, при
установке новых программ некоторые из них прописывают туда ключи, указывающие на какие-нибудь настроечные модули, которые запускаются сразу после перезагрузки компьютера. Такие ключи после своего запуска автоматически удаляются.

Внимательно проверьте, что за программы у вас запускаются. Сразу после установки Windows в разделе Run присутствуют ключи с названиями internat.exe, LoadPowerProfile, ScanRegistry, SystemTray, TaskMonitor. В разделе RunServices — ключ LoadPowerProfile. Другие разделы пустые.
Остальные ключи, которые могут присутствовать у вас в реестре, были добавлены другими установленными программами. Подумайте, все ли они нужны вам при загрузке и лишнее просто удалите. Это позволит значительно ускорить загрузку Windows.

Но это не единственный раздел, откуда запускаются программы. Перейдем к другой ветви, а именно к HKEY_CURRENT_USER и откроем там раздел SOFTWARE\Microsoft\Windows\CurrentVersion. Там есть только два подраздела,
отвечающие за автозагрузку: Run и Runonce. Изначально они пустые, так что все записи там сделаны другими программами.

Для операционных систем Windows 9x возможно загружать программу с помощью драйвера VxD. Полный список загружаемых драйверов находится в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VxD. В Windows NT/2000 нет VxD драйверов, но в разделе HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SessionManager в параметре BootExecute можно прописать программу, которая будет грузиться еще до загрузки графической оболочки и сервисов.

Совет

Однако, не все вирусы столь примитивны, многие из них создают запасной способ своей загрузки и вычислить все возможные варианты загрузки вируса вручную становится сложно. Для этого необходимо применять антивирусные программы, которые найдут все вирусы сами. Или обратитесь к специалистам.


Перейдя непосредственно по этой ссылке, Вы можете приобрести программу DrWeb. Также Вы можете вызвать наших специалистов для удаления вирусов и вирусной профилактики Ваших компьютеров. Для этого пишите нам на адрес: zakaz@quits.ru.

  Dr. Web online

Вам предоставляется возможность произвести проверку файлов на наличие вирусов
последней версией программы Doctor Web. В состав этой
версии входит самый полный набор баз с записями о вирусах, в том числе и «Горячее дополнение»,
выходящее несколько раз в день.

 

Внимание! Вы можете проверить только тот файл, который укажете
в поле ввода. Удаление вирусов, проверку других файлов, памяти компьютера и загрузочных секторов здесь осуществить
невозможно. Для проведения этих тестов необходимо загрузить программу Doctor Web
для той операционной системы, которая установлена на Вашем компьютере. Сделать это можно
в разделе «Получение программ» на сайте www.drweb.ru

Вы можете проверить сразу несколько файлов, предварительно упаковав их одним
из известных Dr. Web архиваторов: PkZIP,
ARJ или RAR. Выбранный для проверки файл будет
передан на наш сервер. Поэтому чем больше его размер, тем дольше придется ждать…


Похожие темы:

  • Нет похожих страниц