Autoruns и сравнение файлов

Сравнение снимков автозапуска

В тот момент, когда, как вам известно, ваш компьютер чист от вредителей и хорошо работает, вам следует создать копию базового состояния своей систе­мы, чтобы вы могли воспользоваться преимуществом, связанным с возможно­стью Autoruns сравнивать файлы (File Compare). При сравнении файлов авто­матически помечаются изменения элементов автозапуска, которые произошли с течением времени. Желательно внимательно изучить эти отличия, чтобы оп­ределить их причину и исключить связь с вредителями.

При сравнении файлов выполняется следующая последовательность шагов:

  1. Фиксируется базовое состояние элементов автозапуска системы, путем выбора пункта меню Autoruns File | Save.
  2. Имя файла, предлагаемое по умолчанию, изменяется так, чтобы оно включало дату, тогда файл можно хранить на постоянной основе.
  3. Чтобы проверить, не были ли добавлены вредители, надо выбрать File | Compare и сравнить текущий отчет с ранее сохраненным базовым со­стоянием.
  4. Определяется к чему могут относиться различия, выявленные при срав­нении файлов.
  5. Удаляются все нежелательные автозапуски программ и связанные с ними программные компоненты.

Часто используемые точки запуска

В Symantec составили список чаще всего используемых для запуска про­грамм-вредителей элементов автозапуска. Эти элементы не совпадают с наибо­лее распространенными элементами автозапуска, используемыми легальными программами. Вернее многие из этих элементов автозапуска специально выби­рались как неочевидные с целью противодействия используемым в настоящее время методам обнаружения и удаления.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run
  • HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\ Current Version\Windows
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ Current Version\Policies\Explorer\Run
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunServicesOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\RunOnceEx
  • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ Current Version\Windows
  • HKEY_LOCAL_MACfflNE\Software\Microsoft\WindowsNT\ Current Version\Winlogon
  • HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\ CurrentVersion\Windows\AppInit_DLLs
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Policies\Explorer\Run
  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ Current Version\Explorer\SharedTaskScheduler
  • HKEY_CLASSES_ROOT\comfile\shell\open\command HKEY_CLASSES_ROOT\piffile\shell\open\command
  • HKEY_CIASSES_ROOT\exefile\shell\open\command HKEY_CLASSES_ROOT\txtfile\shell\open\command


2016  Командная строка Windows  
top Яндекс.Метрика