Сравнение снимков автозапуска
В тот момент, когда, как вам известно, ваш компьютер чист от вредителей и хорошо работает, вам следует создать копию базового состояния своей системы, чтобы вы могли воспользоваться преимуществом, связанным с возможностью Autoruns сравнивать файлы (File Compare). При сравнении файлов автоматически помечаются изменения элементов автозапуска, которые произошли с течением времени. Желательно внимательно изучить эти отличия, чтобы определить их причину и исключить связь с вредителями.
При сравнении файлов выполняется следующая последовательность шагов:
- Фиксируется базовое состояние элементов автозапуска системы, путем выбора пункта меню Autoruns File | Save.
- Имя файла, предлагаемое по умолчанию, изменяется так, чтобы оно включало дату, тогда файл можно хранить на постоянной основе.
- Чтобы проверить, не были ли добавлены вредители, надо выбрать File | Compare и сравнить текущий отчет с ранее сохраненным базовым состоянием.
- Определяется к чему могут относиться различия, выявленные при сравнении файлов.
- Удаляются все нежелательные автозапуски программ и связанные с ними программные компоненты.
Часто используемые точки запуска
В Symantec составили список чаще всего используемых для запуска программ-вредителей элементов автозапуска. Эти элементы не совпадают с наиболее распространенными элементами автозапуска, используемыми легальными программами. Вернее многие из этих элементов автозапуска специально выбирались как неочевидные с целью противодействия используемым в настоящее время методам обнаружения и удаления.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ Current Version\Windows
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ Current Version\Policies\Explorer\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\RunOnceEx
- HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ Current Version\Windows
- HKEY_LOCAL_MACfflNE\Software\Microsoft\WindowsNT\ Current Version\Winlogon
- HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\AppInit_DLLs
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Policies\Explorer\Run
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Explorer\SharedTaskScheduler
- HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_CLASSES_ROOT\piffile\shell\open\command
- HKEY_CIASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\open\command