Как прописать вирус в автозагрузку

Обновлено: 15.04.2024

Автозагрузка представляет собой функцию Windows, которая запускает любую программу после полной загрузки компьютера. В неё просто вносить новые программы, требующие постоянного включения. Иногда требуется настраивать автоматическую загрузку самому пользователю. После прочтения статьи вы поймете, как добавить программу в автозагрузку.

До начала работы проверьте настройки выбранной программы. Убедитесь, что там не активирована функция, позволяющая запускать программу сразу после включения устройства. Если нашли эту функцию – включите её и перезапустите компьютер.

Как добавить программу в автозагрузку в Windows 7

В случае, если вам никак не удалось найти в настройках эту функцию, программу придется включать своими силами.

С помощью папки "Автозагрузка"

Дальше просто скопируйте файл в папку:

С помощью MSconfig

Как добавить программу в автозагрузку Windows при помощи MSconfig:

3) Поставьте галочки напротив нужных элементов и разрешите автоматическую загрузку:

В этой программе отображаются практически все ключи для запуска, т.к. она тесно взаимодействует с реестром Windows и может собрать все данные из него. Так вы сможете плотно работать с элементами запуска программы во время загрузки операционной системы.

С помощью реестра

Ищем в базе реестра строку активации автоматической загрузки:

· линия HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run вносит изменения в папку автоматической загрузки только для действующего администратора;

· линия HKEY_USER_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run позволяет загружать программное обеспечение любому человеку, находящемуся в текущий момент под своим логином.

С помощью CСleaner

В бесплатной утилите CCleaner легко разобраться с вопросом – как поставить программу в автозагрузку. Данный метод является наиболее простым, по сравнению с предыдущими:

1. Запустите программный продукт. Для скачивания можно выбрать полную версию (необходимо устанавливать) или мобильную (можно не устанавливать);

Как добавить программу в автозагрузку в Windows 10

Начнем с того, что папка автоматической загрузки никуда не делась. Она всего лишь переместилась из пуска в другой файловый объект. Перемещаемся в неё поэтапно (в скобках приведен аналог на английском): Пользователи (Users) - имя вашего пользователя (User_name) - appData – roaming – Microsoft – Windows - Главное меню (Start menu) - Программы (Programms) - Автозагрузка (Startup).

Через некоторое время после успешного ввода команды появится объект хранения мгновенной загрузки, доступный авторизованному пользователю. Далее ярлык программного обеспечения нужно перенести в папку. Оно запуститься само одновременно с включением компьютера и активацией пользовательских данных.

Через планировщик задач

Таким методом любая программа сможет благополучно проходить автоматическую загрузку, спустя какое-то время после включения Windows. Это значительно уменьшает число загрузок после активации компьютера. Следовательно, времени на неё требуется меньше.

Через реестр

Запустить автоматическую загрузку любого программного обеспечения в Windows 10 тоже можно через реестр. С этой целью нужно зажать Windows-R, следом ввести regedit в строку для ввода.

Запустится реестровый редактор. Для того, чтобы добавить программу в автозагрузку, переместитесь в раздел HKEY_CURRENT_USER. А, чтобы открыть доступ всем другим - HKEY_LOCAL_MACHINE.

Когда откроется нужный реестр, вызовите меню правой кнопкой мыши нажмите на соответствующую графу, чтобы создать новый строковый параметр. Разверните этот параметр и напишите подробный путь к выбранной программе.

Сохраните изменения и перезагрузите компьютер, чтобы проверить установку:

С помощью MSconfig

Добавление программы в автозагрузку Windows через MSconfig включает шесть этапов:

5. Раскройте список задач в диспетчере;

6. Выберите строку с нужной программой и активируйте её:

Таким образом, мы рассмотрели все методы, которые помогут вам самостоятельно добавить любое программное обеспечение в автоматическую загрузку в операционной системе Windows. Выбирайте любой понравившийся вам способ, и действуйте.

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Что такое AutoRuns?

AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.

AutoRuns: основы

На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.

Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.

Во вкладке Explorer (проводник) отображается информация о следующих элементах:

Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).

Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.

Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.

Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.

Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.

Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).

Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.

Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.

Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).

Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.

Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.

Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.

Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.

Как использовать AutoRuns для выявления подозрительного программного обеспечения

Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?

На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.

Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.

Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.

После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.

Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:

Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?

Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.

Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?

Как использовать AutoRuns для удаления вредоносных программ

После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.

Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).

После этого в проводнике Windows будет открыта папка с данным файлом.

Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.

Bf48a5558c8d2b44a37e66390494d08e

Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.

После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.

Теперь вирус можно удалить из проводника Windows.

Советы по использованию AutoRuns от Sysinternals

Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:

Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.

Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.

Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).

Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn'AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.

Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).

В примере ниже мы выбираем результаты, сохраненные в файле clean.

После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.

Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.

Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.

Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.

Читайте также:

  
• Асептические и инфицированные раны
  
• Что такое составные вирусы
  
• Сколько жизней унес коронавирус в китае
  
• Вирус любви история любви в контакте
  
• Уход за детьми при гриппе