Каждому админу приходится столкнуться с вредоносными скриптами, ПО-банерами, которые запускаются при старте окна Windows. Так случается когда сотрудник неосторожно скачивает материалы с различных интернет-ресурсов. И тут у админа появляется нудная работа. Для того чтобы найти месторасположения скрипта или ПО, нужно проверить автозагрузки.

В Windows 7/8 расположение автозагрузок всего несколько.

Автозагрузка профиля учетной записи пользователя

'C:\Users\%UserProfile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup'

Или автозагрузка из меню Пуск. Это то же самое.

scr1 1  scr1 2

Раньше это был самый распространённый путь размещения вредоносных скриптов и ПО. Однако со временем пользователи поумнели и научились сами удалять размещённые в эту папку скрипты и ПО. Разработчики вредоносного ПО больше не размещают своё "зло" в эту папку, разве что дилетанты.

Планировщик заданий Windows

Планировщик заданий Windows не считается автозагрузкой, однако, во время установки какой-либо программы в него может быть записан пакетное событие содержащий скрипт или программу. Так обычно делают многие разработчики вредоносного ПО и даже легальные разработчики, например, компания Adobe или Google.

(Пуск | Все программы | Стандартное | Служебное | Планировщик заданий) Запустите 'Планировщик задании' от имени администратора. Такой вид запуска отобразит все добавленные события.

scr2

Из вышестоящей картины, видно, что в планировщике добавлены три события от Adobe и Google. Они были добавлены после установки браузера Google Chrome и Adobe Flash Player. Их задача как мы видим, это проверять обновление.

Автозагрузка реестра

Реестр самое уязвимое место в плане размещения скриптов и пакетных файлов. Разработчики вредоносного ПО чаще всего используют реестр как источник автозагрузки. Адреса размещения следующие:

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run'

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce'

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices'

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce'

'HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit'

'HKEY_CURRENT_USER\(UserID)\Software\Microsoft\Windows\CurrentVersion\Run'

'HKEY_CURRENT_USER\(UserID)\Software\Microsoft\Windows\CurrentVersion\RunOnce'

'HKEY_CURRENT_USER\(UserID)\Software\Microsoft\Windows\CurrentVersion\RunServices'

'HKEY_CURRENT_USER\(UserID)\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce'

'HKEY_CURRENT_USER\(UserID)\Software\Microsoft\Windows NT\CurrentVersion\Windows'

Нажатием комбинацией клавиш Win+R вызовите окно Выполнить или (Пуск | выполнить) и наберите команду 'regedit'.

scr3 1  scr3 2

Список автозагрузок через Конфигурацию системы 'msconfig'

Также представляется возможным посмотреть список автозагрузок через Конфигурацию системы. Вызвать это окно можно через команду 'msconfig' в окне Выполнить. Но в этом списке отображаются далеко не все автозагрузки, но есть вероятность обнаружить то что мы ищем.

scr4 1  scr4 2

Это статья не является самой исчерпывающей. Безусловно, автозагрузка может быть заложено куда угодно и записано как угодно, но это в том случае если разработчик вредоносного ПО не поленится написать свой путь автозагрузки в системе ПК. Чтобы обезопасить ПК от ПО-банеров, лучше всего ограничить правами учетную запись пользователя или прибегнуть к последней линии обороны — установить антивирус со всеми современными средствами защиты.