Как прописывается вирус в автозагрузке что это такое

Обновлено: 28.03.2024

Автозапуск программ Windows — это функция, с помощью которой, приложения запускаются каждый раз при включении компьютера. Это удобно, не нужно включать вручную Skype или любое другое приложение.

Различные Mail агенты и торренты сами автоматически включаются. Но при небольшом объёме оперативной памяти или невнимательном скачивании из сети программ, эта функция может привести к неприятным моментам. Начнут запускаться вредоносные, пожирающие ресурсы, программы.

Чтобы обезопасить себя, необходимо исключить автозапуск нежелательного ПО. А чтобы узнать какие именно приложения работают постоянно в фоновом режиме, нужно попасть в зайти в автозагрузку. Эти и некоторые другие вопросы подробно рассмотрены в статье.

Как отключить нежелательные программы из автозагрузки в Windows 7

Для того чтобы убрать программу из автозапуска на Windows 7:

Какие программы в автозапуске

А также там можно увидеть и другие программы: это могут быть браузеры, различные вирусные приложения или торренты, почтовые клиенты и программы для связи: Skype, Viber, WhatsApp. Естественно, не все программы вредны, как и не все несут пользу при постоянной работе.

Поэтому если возникла необходимость отсортировать автозапуск, либо же для этого есть предпосылки (зависания компьютера), нужно внимательно изучить содержимое, дабы не отключить нужную программу.

Здесь мы не удаляем приложения, а только исключаем их автозагрузку вместе с Виндовс при включении. После того как утилита будет отключена в автозапуске программ, она после перезагрузки просто не включится. Но она никуда не денется и запустить её можно будет вручную в любой момент.

Автозапуск в Диспетчере задач

Самовольное прописывание приложений в автозагрузку

Некоторые компании по разработке ПО ведут настолько агрессивную политику внедрения, что при скачивании какого-либо бесплатного софта в систему могут попасть программы партнёров, без особого разрешения, тихо установиться и прописаться в автозагрузку. Поэтому настройка автозапуска программ Windows — первостепенная задача любого пользователя.

Кроме того, скачав какое-нибудь безобидное приложение и не сняв, галочки в мастере установки на скачивание и установку программ партнёров, можно спокойно получить себе в компьютер комплект приложений для оптимизации ПК.

Но не обольщайтесь, сами по себе эти утилиты не являются вирусными, но они платные – это раз, и два – они, конечно, просканируют вам систему, и покажут, что даже на новом компьютере, с только что установленной лицензионной операционной системой, наличествуют чуть ли не тысячи проблем и уязвимостей.

Как отключить нежелательное ПО из автозагрузки

Совет: при скачивании любой программы, а затем на всех этапах установки внимательно смотрите пункты сменяющих окон мастера установки и отключайте установку нежелательного ПО, чтобы потом не вычищать тонны мусора с компьютера или не удалять их из панели управления.

Реклама не лежит сверху, она обычно скрыта от посторонних глаз. Не соглашайтесь на установку с рекомендованными параметрами, так в основном и попадают в компьютер непонятные приложения, просящие денег. Это как минимум, а как максимум тормозящие систему программы, не говоря уже о вирусах и шпионах.


Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Что такое AutoRuns?

AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.

AutoRuns: основы

На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.


Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.


Во вкладке Explorer (проводник) отображается информация о следующих элементах:

Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).

Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.

Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.

Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.

Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.


Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).


Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.



Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.


Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).

Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.

Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.


Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.

Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.

Как использовать AutoRuns для выявления подозрительного программного обеспечения

Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?


На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.

Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.


Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.



После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.


Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:

Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?

Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.

Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?

Как использовать AutoRuns для удаления вредоносных программ


После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.


Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).


После этого в проводнике Windows будет открыта папка с данным файлом.


Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.

Bf48a5558c8d2b44a37e66390494d08e

Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.



После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.


Теперь вирус можно удалить из проводника Windows.

Советы по использованию AutoRuns от Sysinternals

Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:

Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.

Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.

Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).


Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn'AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.


Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).


В примере ниже мы выбираем результаты, сохраненные в файле clean.


После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.


Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.

Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.

Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.

Как без антивируса найти и удалить вирус на ноутбуке или ПК?

Поиском и удалением вирусов на ПК, ноутбуках и даже сайтах, я занимаюсь уже очень много лет, поэтому чтобы найти вирус в системе, не обязательно использовать программное обеспечение, хотя иногда без него не обойтись.

Сегодня я хочу рассказать как можно найти подозрительные программы (вирус или троян) с помощью обычных встроенных утилит Windows. В этой статье не будет разговоров о том как установить антивирус, и выполнить поиск с помощью программного обеспечения, на моём сайте и так много подобных тем.

Этот вариант не гарантирует полного очищения ноутбука или ПК от вирусов, но буквально за несколько минут даст понять есть ли в самой системе нежелательное программное обеспечение, которое мешает работе вашему компьютеру.

1. Системная папка Windows и основная папка системного диска (Диск C:/)
2. Временные файлы браузера и Windows
3. Папка для загрузки файлов в браузере
4. Корзина
5. Файлы восстановления системы

Как узнать есть ли вирус в системе?

Первый и самый главный способ узнать о наличие вирусов в системе, посмотреть, что именно загружается вместе с запуском Windows. Всё правильно - это Автозагрузка. Причём автозагрузка в Windows бывает двух типов, это автозагрузка приложений из реестра, вторая- загрузка приложений из папки Автозагрузка.

Элементы автозагрузки

В Windows 7, посмотреть элементы автозагрузки можно с помощью утилиты msconfig. Для её запуска необходимо с помощью сочетаний клавиш WIN+R, открыть консоль выполнить.


В консоли пишем команду msconfig, а в новом окне выбираем вкладку Автозагрузка.



В Windows 10 ещё проще, нажимаем на панели задач правой кнопкой мыши, и выбираем пункт "Диспетчер задач", в новом окне мы увидим вкладку Автозагрузка. Как вариант использовать горячую клавишу Ctrl+Shift+Escape


Теперь давайте внимательно посмотрим на элементы (программы), отмеченные галочкой. Ничего не смущает? Мне пришлось самостоятельно имитировать работу вируса, и тем самым мы можем увидеть несколько приложений, которые явно не являются безопасным программным обеспечением.


Как определить что это вирус?

1. Начнём с того , что каждое приложение имеет логическое название: superpuper.exe,trojan123.exe,123.exe, svchost.exe,A12312312.exe,autorun.bat - это точно вирус!

2. Обратите внимание на производителя программы, если в данной ячейке "Нет данных", это не значит , что это вирус. Вредоносное ПО, устанавливает производителя, например Microsoft, но может этого и не делать. Поэтому нужно смотреть на название, и производителя одновременно.

3. Программное обеспечение устанавливается в соответствующую папку, в моём случае это папка C:/Program Files/Название программы

4. Драйвера устанавливаются в папку C:/Windows/System32

  • 123 - 123.exe
  • Пустое значение - svchost.exe
  • Driver.exe
  • Во-первых отсутствует название программы. 123 - таких программ не существует в природе.
  • Во-вторых отсутствует разработчик.
  • В третьих, файл размещается в главной папке диска C:/, вместо Program Files
  • У одного из файлов не указано название элемента автозагрузки

Как удалить?

Во-первых нужно убрать галочки с этих файлов, и нажать кнопку применить (компьютер не перегружать,даже после запроса)


Во-вторых нужно удалить данные файлы, для этого ищем их на диске. В моём случае два вируса лежат на диске C:/


Выделяем их мышкой, и удаляем


Если файлы не удаляются, скорее всего они висят в процессах, т.е на данный момент находятся в рабочем состояние. Как узнать? В диспетчере задач, есть вкладка "Процессы", переходим в неё, и ищем название вредоносного ПО, в моём случае не удаляется файл virus123.exe


Файл Virus123.exe висит в процессах, поэтому он не удаляется. Для того чтобы снять процесс, жмём правой кнопкой мыши по названию файла, и выбираем в меню "Завершить процесс".


Затем удаляем файл на диске. Если же файл по прежнему не удаляется, значит после его завершения, он автоматически запускается и опять висит в процессах.

Для его удаления понадобится действовать очень быстро, снять процесс, и сразу же попытаться удалить файл на диске. Раньше у меня без проблем получалось выполнить данное действие.

Файл Driver.exe в Автозагрузке.

Я не забыл про этот файл, он расположен в системной папке Windows, и на первый взгляд можно перепутать его с каким-нибудь драйвером для оборудования. На самом деле это ни так. Дело в том, что основная часть драйверов не прописываются в автозагрузку, и подгружаются ещё до загрузки оболочки Windows.

У файла Driver.exe "нет данных" от производителя, да и название файла очень странное. Достаточно сравнить с драйверами компании Intel, и Alp Electric. Есть чёткое название, а так же данные производителя.


Вирусы в папке временных файлов

Временные файлы можно поделить на две части:

1. Временные файлы прикладного программного обеспечения
2. Временные файлы браузера (Chrome,Firefox,Yandex и т.д)

Временные файлы хранятся в папке C:/Users/Ваш пользователь/AppData/local/Temp



Из этой папки можно удалить абсолютно всё и ничего не бояться, но ОБЯЗАТЕЛЬНО закрываем все запущенные на данный момент программы (браузер, антивирус,фаервол, и т.д)

Вирусы в корзине

И такое тоже может быть, но в основном они туда попадают после их ручного удаления, поэтому не забываем очистить её простым нажатием правой кнопкой мыши по корзине и выбором пункта меню "Очистить корзину".


Вредоносное ПО в папке с файлами восстановления

Если вирусное ПО уже давно находится в системе, и при этом включена функция восстановления системы, автоматически создаётся копия системных файлов вместе с вирусами.

Если мы временно отключим "Восстановление системы", так же будут удалены вирусы и трояны. Понятное дело, данную функцию можно потом включить. Жмём правой кнопкой мыши по значку "Мой компьютер", в окошке выбираем "Защита системы".


На вкладке "защита системы" выбираем локальный диск C:/ (если защита включена), и нажимаем настроить. Теперь осталось нажать кнопку "Удалить", либо выбрать опцию "Отключить защиту", и нажать кнопку применить.


Все точки восстановления будут удалены, а с ними и вредоносное программное обеспечение. После удаления точек, можем обратно установить опцию "Восстановить параметры системы".

Даже если на вашем ноутбуке или пк не было обнаружено вредоносного ПО, это не значит, что его нет. Не забывайте об антивирусном программном обеспечение, которое на 99% сможет защитить ваш компьютер. Тем кто использует только белые и пушистые сайты, бояться нечего, тем кто постоянно "серфит" по интернету в поисках чего-то нового, обязательно понадобиться по для зашиты ноутбука.

Как отключить баннер? Как удалить вирус? Заблокирован Windows, отправьте СМС и т. п. - Это одни из самых популярных запросов в интернете, не считая чемпионата мира по футболу, евровидения и порно, того, которое совсем не баннер.

Баннер при загрузке

alt
alt

Далее в этой ветке необходимо найти раздел SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon и посмотреть на значение параметра Shell, который в нормальном состоянии должен содержать explorer.exe. Самый распространенный вариант, который мне попадался был windows\system32\user32.exe. Там же заодно не помешает проверить параметр Userinit и убедиться, что никто не пристроился к “c:\windows\system32\userinit.exe,” (запятая в конце обязательна!). Итак, редактируем параметры (при необходимости), в меню выгружаем куст (Unload hive) и перезагружаемся. Теперь при старте системы должен загрузиться родной explorer.

alt

Баннер на экране

AVZ

alt

Далее независимо от того, убрался баннер или нет, запускаем Стандартный скрипт №3 из меню Файл --> Стандартные скрипты. Перед этим желательно выгрузить антивирус и файрвол, а также отключиться от интернета. После выполнения скрипта компьютер следует перезагрузить. В созданном логе также будут присутствовать рекомендации по устранению системных проблем. В случае если вирус заблокировал Диспетчер задач и Редактор реестра или недоступна загрузка в безопасном режиме, открываем меню Файл --> Восстановление системы и отмечаем галочками эти пункты. Остальное можно пока не трогать, особенно если не знаете, что это такое.

alt

Компьютер перезагрузится автоматически. И файл вируса удалится из системы. Однако этот способ может не сработать, если не был убит основной процесс вируса, который может при новой загрузке проверить целостность своих файлов и восстановить удаленные.

HijackThis

alt

alt

Разбираться в результатах поиска бывает затруднительно, поэтому, особенно если у вас проблемы с английским, можно уточнить поиск, явно указав сайт, на котором следует искать. Например, указав в строке поиска site:virusinfo.info, можно подсмотреть, что с подобным файлом делали хелперы и, встретив несколько раз строчку DeleteFile, в которой хелпер удаляет файл с искомым именем, смело сделать также и на своей машине.

alt

Помимо сканера полезно воспользоваться кнопочкой “Open the Misc Tools section”, которая откроет доступ к собственному диспетчеру процессов (“Open process manager”), где также можно методом тыка попытаться убить процесс баннера, сканеру параллельных потоков (“Open ADS spy”), в которых очень любят прятаться враги и просмотреть Ignorelist, поскольку некоторые вирусы научились прятаться при сканировании Hijack’а. В нормальном состоянии в системе не должно быть параллельных потоков, а игнорлист должен быть пустой. Следовательно, если в этих списках кто-то прописался, с большой вероятностью его следует пристрелить на месте.

alt

Ничего не запускается

А если не удается запустить ни AVZ, ни HijackThis? В этом случае действительно ситуация критическая, хоть и не безнадёжная. Иногда помогает простое переименование исполняемых файлов во что-нибудь нейтральное, например, у меня на флешке есть несколько копий HijackThis в папке Rename под именами game.exe и 1.cmd. Помимо переименования AVZ можно найти ее полиморфный вариант, особенность которого заключается в том, что исполняемый файл хранит в себе антивирусные базы. Но чаще всего вирус реагирует не на имя файла, а на заголовок окна, который он получает через функцию FindWindow и GetWindowTitle, поэтому переименование AVZ помогает редко. А вот HT на моей памяти запускался постоянно, либо в нормальном, либо в Rename варианте.

Что делать, если не запускается AVZ, а в логах HT нет ничего подозрительного? Такого практически не может быть. У вируса не так много способов автозапуститься в системе. Он может стартовать как программа, но тогда его обнаружит Hijack, у него может быть свой сервис, но тогда его тоже обязан ловить HT. Вирус может пристроиться параллельным потоком к одному из системных файлов, но тогда его должен увидеть сканер Open ADS spy. Библиотека вируса может запуститься через AppInit_DLLs, но и этот ключ реестра мониторит HT. Однако перед сканированием обязательно стоит проверить IgnoreList, иначе можно долго смотреть на логи, не находя в них ничего подозрительного. Вирус может маскироваться в системе, работать по руткит-технологиям, но таких баннеров я лично не встречал.

Многое может прояснить запуск в безопасном режиме (если безопасный режим недоступен, читай выше, как его включить). Если в этом режиме баннер не выскакивает, то можно без проблем получить и проанализировать лог HT, а также еще лучше сперва установить один из бесплатных антивирусных сканеров типа AVPTools со свежими базами и проверить системный диск. Не сомневаюсь, что он многое найдет, ибо вряд ли китайцы начнут тестировать новый 0day-эксплоит именно на вашем компьютере, а значит велика вероятность того, что информация о вирусе уже занесена в базы сканера. Если же баннер показывается и в безопасном режиме, то практически гарантировано, что он прописался в AppInit_DLLs. Поэтому надо смело загрузиться с LiveCD, открыть редактор реестра и точно так же, как в самом начале мы искали shell, найти в реестре ключ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs. Все, что будет в этом ключе выписать в блокнот и проверить через интернет-поиск каждый файл. Наверняка там найдется что-нибудь нехорошее.

Все запускается, но баннер не обнаруживается!

Бывает и такое. Делаем логи AVZ, анализируем, спрашиваем на форумах. Запускаем HijackThis, проверяем параллельные потоки и игнор-лист, получаем лог. Затем анализируем все вместе, спрашиваем на форумах. Приходит продвинутый пользователь, сносит систему, устанавливает заново операционку с форматированием на низком уровне, и тут при открытии браузера снова появляется баннер. Не может быть? Может! Но на этот раз вирус не стал прятаться в автозагрузке, загружаться в толпе сервисов или библиотек, а записал один маленький скрипт в папку пользовательских файлов браузера или как некое дополнение и стал появляться при выходе в интернет. Таким образом, если баннер появляется только в браузерах, а при их закрытии чудесным образом исчезает, то надо проверять настройки и дополнения.

alt

alt

В FireFox вирус может прописаться в Дополнениях. Чтобы просмотреть их список необходимо выбрать в меню Инструменты --> Дополнения и отключить все, что не вызывает доверия.

alt

Как отключить баннер в Internet Explorer я не знаю, потому что им не пользуюсь. Но в поиске наверняка можно найти и это.

Заключение

Читайте также: