Итак, в Windows NT могут иметь место дополнительные параметры автозапуска в
разделах реестра: HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Run и HKEY_LOCAL_MACHINE\ Software\Microsoft\Windows NT\CurrentVersion\Windows\Run.
В разделе HKEY_CURRENT_USER\ Software\Microsoft\Windows NT\ CurrentVersion\Windows или в HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows могут
присутствовать строковые параметры Load (программы, запуск которых в нем
прописан, загружаются минимизированными) и Run, в которые при установке Windows
NT поверх Windows 9x переносится соответствующий список программ автозапуска из
аналогичных параметров файла win.ini.
К этим параметрам реестра применимы те же правила написания, что и к
соответствующим параметрам win.ini. Если же наследования этого списка из
предыдущей ОС не происходит, то по умолчанию значением этих параметров является
пробел.
В разделе HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon также содержится ряд строковых параметров, отвечающих за
автозапуск различных приложений при входе пользователя в систему:
Userinit - определяет список программ, запускаемых процессом WinLogon в
контексте пользователя при его регистрации в системе. По умолчанию это
userinit.exe, nddeagnt.exe для Windows NT и userinit.exe для Windows 2000 / XP.
Shell - задает оболочку (вернее, список программ, формирующих пользовательский
интерфейс) Windows (по умолчанию taskman, progman, wowexec для Windows NT и
explorer.exe для Windows 2000 / XP).
System - определяет список программ, запускаемых процессом WinLogon в контексте
системы во время ее инициализации. По умолчанию - lsass.exe, spoolss.exe для
Windows NT и lsass.exe для Windows 2000 / XP.
VmApplet - определяет список программ или программу, запускаемую процессом
WinLogon для оперативной настройки параметров виртуальной памяти -по умолчанию
его значение rundll32 shell32, Control_
RunDLL "sysdm.cpl".
Неявные способы автозагрузки
К сожалению, операционные системы семейства Windows и их
внутреннее устройство довольно сложны для рядового пользователя - к копанию в
реестре расположен далеко не каждый. Тем более, что помимо вышеперечисленных
способов автозапуска программ на старте системы существует еще и такой вариант,
как запуск исполнимого модуля одной программы при загрузке другого, вполне
легитимного приложения.
Подобный симбиоз (или, скорее, что-то типа паразитирования) можно наблюдать при
использовании утилит класса ad-ware, то есть таких программ, в которых вы
расплачиваетесь с их авторами не живыми деньгами, а своими нервными клетками,
попорченными из-за просмотра рекламных баннеров внутри интерфейса самой
программы.
Подобных модулей-баннерососов создано уже довольно много, и отловить их вручную
слишком сложно даже для опытного пользователя, а потому всегда полезно
периодически сканировать систему не только антивирусным сканером, но программами
типа Ad-Aware
www.lavasoft.de/free.html, или Opt Out
grc.com/optout.htm, или SpyBot - Search & Destroy (security.kolla.de),
призванными находить и удалять из системы эти модули.
Такие программы обычно абсолютно бесплатны и имеют в своих постоянно обновляемых
базах данных информацию о десятках известных шпионско-рекламных модулях и даже
троянских вирусах. Учтите только, что некоторые программы не работают без таких
"пауков" (тот же ReGet) - в этом случае можно либо заблокировать баннеры
персональным файрволлом, например, AtGuard или Norton Internet Security, либо
найти альтернативную программу аналогичного назначения, но уже без
мерзопакостной нагрузки.
Всеми обожаемый браузер от повсеместно любимой корпорации Microsoft также имеет
мало известную, но достаточно коварную возможность вместе со своим запуском
загружать посторонние модули, так называемые Browser Helper Objects (BHO) -
небольшие программы, не имеющие пользовательского интерфейса и автоматически
запускаемые вместе с Internet Explorer.
Эти самые BHO могут быть как действительно ценными дополнениями (например,
модуль, который прописывает в систему программа FlashGet), так и зловредными
троянскими вирусами или шпионскими модулями, а потому при проверке автозагрузки
нелишним будет проконтролировать и список установленных в системе BHO. Список
этот можно увидеть в разделе реестра HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects.
Подозрительные или явно зловредные Browser Helper Objects можно удалить из этого
списка (ленивым пользователям желательно предварительно сделать резервную копию
реестра, а добросовестным - обязательно) - это их полностью дезактивирует.
Например, если в этом разделе вы обнаружите подраздел HKEY_LOCAL_MACHINE\SOFTWARE\
Microsoft\Windows\CurrentVersion\ Explorer\Browser Helper Objects\{A5366673-E8CA-11D3-
9CD9-0090271D075B}
то произведите поиск во всем реестре найденного идентификатора Browser Helper
Objects - {A5366673-E8CA-11D3-9CD9-0090271D075B} - обнаружите его упоминание
также и в разделе HKEY_CLASSES_ROOT\CLSID\
{A5366673-E8CA-11D3-9CD9-0090271D075B}.
Просмотрите все содержимое найденного раздела, чтобы определить, к какой
программе относится этот Browser Helper Objects. В данном случае вы найдете
такую запись: HKEY_CLASSES_ROOT\CLSID\
{A5366673-E8CA-11D3-9CD9-0090271D075B}\
InprocServer32@= "C:\PROGRAM FILES\FLASHGET\
JCCATCH.DLL", - из которой можно сделать вывод, что обнаруженный Browser Helper
Objects создан программой FlashGet (менеджер закачек) и никакой угрозы
совершенно не представляет.
Если же обнаружится упоминание библиотеки непонятного происхождения (например, в
свойствах этого файла нет никаких данных о его разработчике), то попробуйте
удалить в реестре все упоминания данного Browser Helper Objects - скорее всего,
именно он и является причиной неприятностей.
Удобнее же всего для поиска и идентификации установленных Browser Helper Objects
использовать специально для этого предназначенные программы, такие как BHODemon
(http://www.definitivesolutions.com/)
или BHOCaptor (http://www.xcaptor.org/),
которые выдадут всю информацию об установленных модулях Browser Helper Objects и
помогут деактивировать подозрительные модули.
Конечно, существуют и другие доступные способы загрузить программный код без
ведома пользователя, например, с помощью плагина какой-либо программы, хотя бы
того же всеми любимого браузера Internet Explorer. Файлы подключаемых
модулей-плагинов Internet Explorer находятся в папке \Program Files\Internet
Explorer\Plugins, по свойствам каждого файла можно выяснить его предназначение.
Не исключено также, что зловредной программе удастся прописать себя в системе
как системный драйвер или сервис, одним словом, борьба с вирусами или другими,
запускающимися без ведома пользователя программами, весьма и весьма непроста.
С некоторой натяжкой, правда, к автозапуску можно отнести еще и возможность
использования файла autorun.inf в корневой директории жесткого диска
В особо же тяжелых случаях советую попробовать определить имя исполнимого
файла непонятно каким образом запущенного процесса с помощью программы типа
TaskInfo (www.iarsn.com/download.html),
а затем произвести тщательный поиск этого файла на диске и его упоминаний в
системном реестре. Утилита эта вообще очень примечательна.
Она в реальном времени показывает информацию обо всех запущенных процессах
(использование памяти и CPU, открытые файлы, используемые библиотеки и прочее).
Иконка программы помещается в системный трей и показывает загрузку процессора. С
ее помощью также можно устанавливать уровень приоритета для запущенных
приложений.
Эта программа позволяет не только просмотреть почти все способы автозагрузки, но
обладает еще целым рядом полезных функций. Например, с помощью утилиты Starter
вы легко отредактируете любую запись в реестре, относящуюся к автоматически
загружаемым программам, удалите, временно отключите или добавите в автозагрузку
любое новое приложение или документ.
Также эта программа позволяет делать резервную копию автозагрузочных разделов
реестра в виде текстового файла, документа HTML или стандартного reg-файла и,
естественно, восстанавливать их из нее. Любую замеченную в автозагрузке
программу можно запустить непосредственно из интерфейса Starter, просмотреть
свойства исполнимого файла этой программы и открыть ее папку на диске.
Кроме того, с помощью Starter можно просмотреть и список запущенных процессов,
задать любому из них нужный приоритет или принудительно выгрузить его из памяти.
Словом, возможностей даже у далеко не идеального, на мой взгляд, Starter гораздо
больше, чем у msconfig (впрочем, msconfig - более универсальная программа,
призванная решать и другие задачи настройки системы), а пользоваться ей заметно
удобнее, что, конечно, не исключает наличия и более продвинутых утилит
мониторинга автозагрузки.
Поэтому я советую при активной работе с автозагрузкой пользоваться именно
такими, более мощными программами.
