Опубликован: 01.02.2012 | Уровень: для всех | Доступ: платный
Самостоятельная работа 5:

Работа с реестром

Вредоносные программы, как и любые программы, для работы нуждаются в запуске. Поэтом они часто используют реестр, в частности, его разделы, отвечающие за автоматический запуск программ при загрузке операционной системы.

  1. Откройте Редактор реестра.
  2. В ветви HKEY_LOCAL_MACHINE выберите Software\ Microsoft\WindowsNT\CurrentVersion\Winlogon.
  3. В правой половине окна появится список ключей для данной ветви. Найдите ключ Userinit и проверьте его содержимое.

    Рис. 23.3.

    Нормальным значением данного ключа является запись C:\WINDOWS\system32\userinit.exe . Наличие в ключе других записей может свидетельствовать о наличии на компьютере вредоносных программ. Для удаления из ключа подозрительной записи щелкните на нем два раза левой кнопкой мыши. После редактирования нажмите ОК.


    Рис. 23.4.

    Далее перейдите в папку, где находится подозрительный файл и удалите его вручную. После этого перезагрузите систему. Если после перезагрузки в ключе удаленное значение не появилось снова – система вылечена.

    Как уже говорилось выше, любимым местом вредоносных программ являются разделы реестра, отвечающие за автозапуск.

    В реестре автозагрузка представлена в нескольких местах:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx - программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run - программы, которые запускаются при входе текущего пользователя в систему
    • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce - программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices - программы, которые загружаются при старте системы до входа пользователя в Windows.
    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce - программы отсюда загружаются только один раз, когда загружается система.
  1. Откройте Редактор реестра
  2. Откройте следующий раздел HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  3. В правой части окна вызовите правой кнопкой мыши контекстное меню и выберите Создать->Строковый параметр

    Рис. 23.5.
  4. Задайте имя для создаваемого параметра.

    Рис. 23.6.
  5. Откройте вновь созданный параметр и задайте ему значение в виде пути к исполняемому файлу Paint - C:\WINDOWS\\System32\mspaint.exe

    Рис. 23.7.
  6. Нажмите ОК и перезагрузите компьютер. Paint загрузится автоматически после загрузки операционной системы.
Роман Скобин
Роман Скобин
Евгений Надбитов
Евгений Надбитов
Константин Устинов
Константин Устинов
Россия
Сергей Егоров
Сергей Егоров
Россия, Москва, Московский энергетический институт (технический университет), 1991