Поиск резидентного вредоносного ПО в Windows XP

Сегодня вирусами трудно кого-либо удивить. Все чаще и чаще мы слышим о вирусных атаках. Попробуйте найти владельца компьютера, который ни разу не сталкивался с этой проблемой. Конечно же, для решения этой проблемы существует масса специализированного ПО. Это и резидентные антивирусы (Symantec AntiVirus, Kaspersky AntiVirus, Panda, Bit Defender и многие другие) и специализированное ПО для проактивной защиты (Kaspersky AntiVirus 6.0, Safe’n’Sec). Но что делать, если атака все же увенчалась успехом? Переустанавливать систему? Конечно, это тоже выход. Но, на мой взгляд, выход – крайний! Это все равно, что головную боль лечить гильотиной! Попробуем найти резидентное ПО руками. Именно этому и будет посвящена данная статья.

Но прежде чем мы с вами попробуем это сделать, нужно разобраться с понятием реестра Windows XP.

Реестр Windows XP

Работа с реестром может привести в полное уныние и даже принести вред вашей системе, особенно, если вы никогда не имели с ним дела. Но на самом деле это вовсе не так страшно как кажется. Поэтому в этом разделе мы с вами постараемся понять основы работы с реестром.

С одной стороны реестр это всего лишь хранилище настроек, с другой – именно реестр играет ключевую роль во всех этих настройках. Настройки реестра определяют внешний вид и поведение операционной системы, следовательно, любые атаки на реестр могут привести к краху всей системы. Это придает огромное значение реестру как инструменту для ИТ-профессионалов.

Реестр – иерархическая база данных, которая может быть описана как центральное хранилище конфигурационных данных (терминология Microsoft). Реестр – это фундамент операционной системы. Например, щелкните правой клавишей мыши на файлах различных типов, и вы увидите различные конфигурационные меню. Эти настройки меню хранятся в реестре. Даже Plug-and-Play зависит от реестра.

Следовательно, изменяя реестр, вы можете изменить параметры вашей ОС. Именно это свойство используется вирусописателями, а вы должны понять, что же все-таки произошло и как это исправить.

Вот некоторые из возможностей, которые предоставляет реестр для ИТ-профессионала:

  • Настройка размещения;
  • Перемещение папок;
  • Профили оборудования;
  • Мониторинг производительности;
  • Автозагрузка программ;
  • Изменение настроек Internet Explorer;
  • И многое другое.

Структура реестра

Реестр Microsoft Windows XP имеет многоуровневую структуру, состоящую из четырех нисходящих ступеней:

  1. Hive Keys (ветвь) – верхняя ступень. Всего в реестре Windows XP насчитывается пять ветвей: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG.
  2. Keys (ключи или разделы) назначаются разработчиками исходя из типа данных, представленных внутри ключа. Ключи служат для облегчения доступа к информации и предназначены для ее упорядочивания. Функционально делятся на две категории: определяемые системой (их изменение может привести к отказам

    или сбоям в работе Windows XP) и определяемые пользователем (такие изменения не будут иметь фатальных последствий для ОС).

  3. Subkeys (подразделы). Имена их могут быть определены системой или пользователем.
  4. Value (параметры) – элементы реестра, содержащие информацию, определяющую работу ОС и компьютера в целом. Параметры представляют собой «имя параметра- значение параметра» и различаются по типу хранимых данных.

Типы данных реестра

Таблица 1.

Типы данных реестра Windows XP
Наименование Тип данных Назначение
REG_NONE Неизвестный

Зашифрованные данные

REG_SZ Строковый Текст
REG_EXPAND_SZ Строковый Текст и переменные
REG_BINARY Двоичный Двоичные данные
REG_DWORD Числовой Число
REG_DWORD_BIN_ENDIAN Числовой Число с обратным порядком байтов
REG_LINK Строковый Путь к файлу
REG_MULTI_SZ Многостроковый Массив строк
REG_RESOURCE_LIST Строковый Список ресурсов устройств
REG_FULL_RESOURCE_DESCRIPTOR Строковый Идентификатор ресурса устройства
REG_RESOURCE_REQUIREMENTS_LIST Строковый

Идентификатор ресурса

устройства

Основные стандартные разделы нельзя удалить или переименовать. Некоторые разделы реестра являются энергозависимыми (volatile) и не хранятся в каком-либо файле. Операционная система создает и управляет этими разделами полностью в памяти.

Система создает энергозависимые разделы каждый раз при начальной загрузке. Например, HKEY_LOCAL_MACHINEHARDWARE – раздел реестра, который хранит информацию по физическим устройствам и назначенным им ресурсам. Назначение ресурса и аппаратное обнаружение происходят каждый раз при загрузке системы, поэтому логично, что эти данные не записываются на диск.

Наибольший интерес для нас представляют ветви HKEY_CURRENT_USER и HKEY_LOCAL_MACHINE: Именно в них хранятся настройки, изменение которых способно изменить нашу операционную систему.

Часто для обозначения основных разделов реестра пользуются сокращениями:

HKEY_CLASSES_ROOT – HKCR;

HKEY_CURRENT_USER – HKCU;

HKEY_LOCAL_MACHINE – HKLM;

HKEY_USERS – HKU;

HKEY_CURRENT_CONFIG – HKCC.

Рассмотри эти разделы подробнее.

HKEY_CLASSES_ROOT

Ветвь HKEY_CLASSES_ROOT, в технической документации обычно обозначаемая аббревиатурой HKCR, включает в себя ряд подразделов, в которых содержатся сведения о расширениях всех зарегистрированных в системе типов файлов и данные о СОМсерверах, зарегистрированных на компьютере. Фактически, данную ветвь с функциональной точки зрения можно считать аналогом ключа HKEY_LOCAL_MACHINESoftware. В ней собраны все необходимые операционной системе данные о файловых ассоциациях.

HKEY_CURRENT_USER

В ветви HKEY_CURRENT_USER, обозначаемой в документации аббревиатурой HKCU, содержится информация о пользователе, ведущем на компьютере текущий сеанс работы, который обслуживается реестром. В ее подразделах находится информация о переменных окружения, группах программ данного пользователя, настройках Рабочего стола, цветах экрана, сетевых соединениях, принтерах и дополнительных настройках приложений (переменные окружения используются в Windows XP в сценариях, записях реестра и других приложениях в качестве подстановочных параметров). Эта информация берется из подраздела Security ID (SID) ветви HKEY_USERS для текущего пользователя. В данной ветви собраны все сведения, относящиеся к профилю пользователя, работающего с Windows в настоящий момент.

HKEY_LOCAL_MACHINE

HKEY_LOCAL_MACHINE (HKLM) – ветвь, в которой содержится информация, относящаяся к операционной системе и оборудованию, например тип шины компьютера, общий объем доступной памяти, список загруженных в данный момент времени драйверов устройств, а также сведения о загрузке Windows. Данная ветвь включает наибольшее количество информации в системном реестре Windows XP и нередко используется для тонкой настройки аппаратной конфигурации компьютера. Следует понимать, что хранящиеся в этой ветви данные справедливы для всех профилей зарегистрированных в системе пользователей.

HKEY_USERS

Ветвь HKEY_USERS (HKU) содержит подразделы с информацией обо всех профилях пользователей данного компьютера.

  • Подраздел DEFAULT, в котором хранится используемая конфигурация, когда ни один из пользователей еще не вошел в компьютер.
  • Подраздел, названный в соответствии с security ID текущего пользователя (описание SID см. ниже), это подключ реестра, который содержит конфигурацию текущего пользователя. Если пользователь вошел удаленно, данные для конфигурации пользователя сохраняются в системном реестре местного компьютера. Данные из HKEY_USERS%SID% также размещены в HKEY_CURRENT_USER.
  • Дополнительный подраздел, который имеет имя в соответствии с SID текущего пользователя с суффиксом Classes. Этот раздел содержит классы текущего пользователя. Данные в HKEY_USERS%SID%_Classes также содержатся в HKEY_CLASSES_ROOT.

В Windows XP конфигурация пользователя по умолчанию (default user profile) не хранится в системном реестре. Она находится на системном диске в файле Documents and SettingsDefault UserNtuser.dat.

Куст HKEY_CURRENT_USER является ссылкой на определенный подраздел куста

HKEY_USERS. То есть все изменения в разделах, подразделах и ключах куста HKEY_CURRENT_USER автоматически тут же отображаются в определенном подразделе HKEY_USERS, соответствующем активному пользователю.

В каком же именно разделе HKEY_USERS проводятся изменения? Для этого необходимо узнать SID, соответствующий активному пользователю. Тогда искомый раздел будет именоваться, например, так: HKEY_USERSS-1-5-21-117609710 -1606980848-839522115500 (цифровая часть, вместе с буквой S, и есть SID).

Идентификатор безопасности (SID, security ID) – структура данных переменной длины, которая идентифицирует пользователя, группу или компьютер. Каждая учетная запись в сети имеет уникальный SID. Внутренние процессы в Windows обращаются к SID для получения учетной записи пользователя или имени группы.

Если открыть редактор реестра HKLMSOFTWAREMicrosoftWindows

NTCurrentVersionProfileList и выбрать SID, то посмотрев ProfileImagePath в конце строки найдете имя пользователя.

Увидеть все SID, относящиеся к пользователям компьютера, вы можете раскрыв раздел HKEY_USERS. Но в большинстве случаев знать SID не обязательно.

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet – это тоже ссылка на один из пронумерованных подразделов с именами

HKEY_LOCAL_MACHINESYSTEMControlSet00n, где n – номер. Подразделы

ControlSet00n представляют собой наборы настроек для операционной системы

Windows XP. Большинство систем имеют два управляющих набора: оригинал и резервную копию, использовавшуюся при последнем успешном старте системы. Операционная система Windows XP может обслуживать несколько таких наборов.

Windows XP обслуживает резервные копии так, чтобы можно было отменить изменения конфигурации, которые в противном случае могли бы препятствовать загрузке операционной системы. Windows XP хранит последний набор настроек, который был использован успешно, и настройки по умолчанию. Эти значения сохранены в подключе Select. Имена параметров ключа Select соответственно:

Current – текущие настройки • Default – настройки по умолчанию.

Обратите внимание на параметр LastKnownGood, расположенный там же. При загрузке Windows XP вы можете выбрать пункт меню “Загрузка последней удачной конфигурации”, а действительный номер набора загружаемых настроек будет определен именно этим параметром реестра.

HKEY_CURRENT_CONFIG

Ветвь HKEY_CURRENT_CONFIG (НКСС) содержит подразделы с информацией обо всех профилях оборудования, использующегося в данном сеансе работы. Профили оборудования позволяют выбрать драйверы поддерживаемых устройств для заданного сеанса работы. Эта информация берется из подразделов

HKEY_LOCAL_MACHINESYSTEMCurrentControlSet.

Из каких файлов состоит реестр Windows XP

Файлы реестра Windows XP (имени файла соответствует куст реестра Windows XP):

  • SAM – HKEY_LOCAL_MACHINESAM;
  • SECURITY – HKEY_LOCAL_MACHINESecurity;
  • Software – HKEY_LOCAL_MACHINESoftware;
  • System – HKEY_LOCAL_MACHINESystem;
  • HKEY_CURRENT_CONFIG;
  • Default – HKEY_USERS.DEFAULT.

Файлы Ntuser.dat – HKEY_CURRENT_USER (эти файлы хранятся в С:Documents and Settings%UserName%) и содержат конфигурацию для конкретного пользователя. По умолчанию почти все файлы кустов Default, SAM, Security, Software и System сохраняются в папке %SystemRoot%System32Config.

Папка %SystemRoot%Profiles содержит настройки для каждого пользователя компьютера.

Точный список файлов реестра Windows XP можно посмотреть в ветви реестра HKEY_LOCAL_MACHINESystemCotnrolSetControlHiveList.

При начальной загрузке к этому разделу обращается Configuration Manager, чтобы проинициализировать все основные разделы реестра.

При работе с реестром нам потребуется консоль восстановления. Поэтому рассмотрим процесс ее установки и использования подробнее.

Установка и использование консоли восстановления в Windows XP

Согласно рекомендациям корпорации Майкрософт использование консоли восстановления (Recovery Console) рекомендуется только в том случае, если исчерпаны все остальные возможности (загрузка компьютера в безопасном режиме и другие возможности). Консоль восстановления рассчитана на опытных пользователей. Которые знают основные команды для поиска проблемных драйверов и файлов. Использование консоли восстановления требует наличия прав администратора.

Установка консоли восстановления

Хотя консоль восстановления можно запускать непосредственно с загружаемого дистрибутива Windows XP, все же удобнее настроить ее в качестве одного из пунктов меню загрузки ОС

Для установки консоли восстановления выполните следующие действия.

1. Вставьте компакт-диск Windows ХР.
2. Нажмите кнопку Пуск и выберите команду Выполнить.
3. В окне Открыть введите команду d:i386winnt32.exe /cmdcons, где d – буква дисковода компакт-дисков.
4. Появится диалоговое окно программы установки Windows с кратким описанием консоли восстановления. Чтобы подтвердить установку, нажмите кнопку Да.
5. Перезагрузите компьютер. При последующем запуске компьютера в меню загрузки будет присутствовать пункт «Консоль восстановления Microsoft Windows».

Примечание. Может появится следующее сообщение об ошибке:

Установку невозможно продолжить, поскольку на компьютере установлена более
поздняя версия Windows, чем на компакт-диске.

При возникновении этой проблемы см. следующую статью базы знаний Майкрософт:

898594 ( http://support.microsoft.com/kb/898594/ ).

Использование консоли воссsтановления

Консоль восстановления позволяет включать и отключать системные службы, форматировать диски, читать/писать данные на локальный диск (в том числе с NTFS), а также делать многое другое.

Чтобы запустить консоль восстановления с помощью набора загрузочных дискет или компакт-диска Windows XP, выполните следующие действия.

1. Вставьте компакт-диск Windows XP или загрузочную дискету Windows XP и перезагрузите компьютер. При появлении соответствующего запроса подтвердите загрузку с компакт-диска.
2. При появлении надписи «Вас приветствует мастер установки» нажмите клавишу R, чтобы запустить консоль восстановления.
3. Если на компьютере имеется несколько операционных систем, выберите экземпляр Windows, к которому требуется получить доступ с консоли восстановления.
4. После появления соответствующего запроса введите пароль администратора. Если пароль для учетной записи администратора не назначен, просто нажмите клавишу
ВВОД.
5. В командной строке введите необходимые команды для диагностики и устранения проблем экземпляра Windows XP.Для вывода списка команд консоли восстановления наберите в командной строке recovery console commands или help и нажмите клавишу ВВОД.Для получения сведений о конкретной команде введите в командной строке help имя команды и нажмите клавишу ВВОД.
6. Чтобы завершить работу консоли восстановления и перезагрузить компьютер, введите в командной строке exit и нажмите клавишу ВВОД.

Использование командной строки консоли восстановления

Командная строка консоли восстановления отличается от используемой в Windows. В консоли восстановления имеется собственный интерпретатор команд. Чтобы войти в него, необходимо указать пароль администратора.

Для установки драйвера SCSI или RAID стороннего производителя (если такой драйвер необходим для доступа к жесткому диску), можно нажать клавишу F6 и установить драйвер. Установка драйвера происходит так же, как и в процессе установки операционной системы.

Запуск консоли восстановления длится несколько секунд. В процессе запуска необходимо нажать клавишу с номером нужной ОС Windows (даже если она одна, а затем ВВОД. Если не указать номер, то компьютер перезагрузится и процесс начнется заново.

Когда на экране появится приглашение %SystemRoot% (как правило, C:Windows), можно запускать команды консоли восстановления.

Команды

Ниже приведен список команд, доступных с консоли восстановления.

Attrib Изменить атрибуты файла или подкаталога.
Batch Выполнить команды, содержащиеся в текстовом файле (Inputfile). Параметр Outputfile задает файл для вывода результатов выполнения команд. Если параметр Outputfile пропущен, вывод осуществляется на экран монитора.
Bootcfg Изменить файл Boot.ini с целью настройки процесса загрузки и восстановления.
CD (Chdir) Действует только в пределах системных каталогов текущего экземпляра Windows, съемных носителей, корневого каталога любого раздела жесткого диска или локальных установочных папок.
Chkdsk Использование параметра /p приводит к запуску программы Chkdsk, даже если на диске нет отметки о повреждении. Параметр /r служит для поиска поврежденных секторов и восстановления той части данных, которая может быть прочитана (предполагается использование параметра /p). Программа Chkdsk требует наличия средства Autochk. Она автоматически ищет файл Autochk.exe в папке автозапуска. Если данного файла в папке автозапуска нет, Chkdsk пытается обратиться к компакт-диску Windows XP. Если установочного компакт-диска в дисководе нет, пользователю будет предложено самостоятельно указать место расположения файла Autochk.exe.
Cls Очистить экран.
Copy Копировать файл в указанную папку. По умолчанию копирование не производится на съемные носители и нельзя использовать подстановочные знаки. При копировании с компакт-диска Windows XP сжатый файл автоматически распаковывается.
Del (Delete) Удалить файл. Действует в пределах системных каталогов текущего экземпляра Windows, съемных носителей, корневого каталога любого раздела жесткого
диска и локальных установочных папок. По умолчанию постановочные знаки использовать нельзя.
Dir Отобразить список всех файлов, включая скрытые и системные.
Disable Отключить системную службу или драйвер Windows. Переменная service_or_driver – это имя отключаемой службы или драйвера. Если вы отключаете службу, то перед изменением типа запуска на SERVICE_DISABLED отображается исходный тип запуска службы. Запишите его, чтобы в дальнейшем можно было перезапустить службу с помощью команды enable.
Diskpart Управление разделами в томах жесткого диска. Параметр /add используется для создания нового раздела, а /delete — для удаления существующего. Переменная device – это название устройства для нового раздела (например, deviceharddisk0).Переменная drive – это буква, назначенная удаляемому разделу (например, D). Переменная partition – это соответствующее правилам именования разделов название удаляемого раздела (например, deviceharddisk0partition1); она может использоваться вместо переменной drive. Переменная size служит для указания размера нового раздела (в мегабайтах).
Enable Включить системную службу или драйвер Windows. Переменная service_or_driver – это имя включаемой службы или драйвера, а start_type – тип запуска включаемой службы. Тип запуска может иметь одно из следующих значений.SERVICE_BOOT_START SERVICE_SYSTEM_START SERVICE_AUTO_START

SERVICE_DEMAND_START

Exit Закрыть консоль восстановления и перезагрузить компьютер.
Expand Распаковать сжатый файл. Переменная source – это имя сжатого файла. По умолчанию постановочные знаки использовать нельзя. Переменная destination – это каталог для распакованного файла. По умолчанию этот каталог не может находиться на съемном носителе или иметь атрибут «Только чтение». Для снятия с папки назначения атрибута «Только чтение» служит команда attrib. Параметр /f:filespec используется в том случае, если источник содержит более одного файла Этот параметр допускает использование подстановочных знаков. Параметр /y служит для отмены вывода запроса на подтверждение удаления файлов. Параметр /d указывает, что файлы не должны распаковываться; отображается содержимое исходной папки.
Fixboot Записать новый загрузочный сектор в системный раздел.
Fixmbr Восстановить основную загрузочную запись в загрузочном разделе.Необязательная переменная device служит для указания имени устройства, на котором нужно создать новую основную загрузочную запись. Эта переменная не используется, если целевым является загрузочное устройство.
Format Отформатировать диск. Параметр /q служит для выполнения быстрого форматирования, а параметр /fs — для указания файловой системы.
Help Запуск команды help без указания имени определенной команды в качестве аргумента приводит к отображению всех команд, которые доступны с консоли восстановления.
Listsvc Отобразить все доступные на данном компьютере службы и драйверы.
Logon Отобразить список обнаруженных экземпляров Windows с запросом пароля локального администратора для этих экземпляров. Эта команда служит для перехода в другой экземпляр Windows или другой подкаталог.
Map Отобразить текущие сопоставления устройств. Чтобы использовать пути в формате Advanced RISC Computing (ARC, формат для записей в файле Boot.ini) вместо путей к устройствам в формате Windows, укажите параметр arc.
MD (Mkdir) Действует только в пределах системных каталогов текущего экземпляра
Windows, съемных носителей, корневого каталога любого раздела жесткого диска и локальных установочных папок.
More/Type Отобразить содержимое указанного текстового файла.
Rd (Rmdir) Действует только в пределах системных каталогов текущего экземпляра Windows, съемных носителей, корневого каталога любого раздела жесткого диска и локальных установочных папок.
Ren (Rename) Действует только в пределах системных каталогов текущего экземпляра Windows, съемных носителей, корневого каталога любого раздела жесткого диска и локальных установочных папок. В качестве целевого нельзя указывать новый диск или путь.
Set Служит для отображения и установки переменных среды консоли восстановления.
Systemroot Изменить текущий каталог на %SystemRoot%.

Правила консоли восстановления

При работе в консоли восстановления действует несколько правил среды. Для отображения текущей среды введите команду set. По умолчанию действуют следующие правила.

AllowAllPaths = FALSE Запретить доступ к каталогам, не относящимся к операционной системе, которая была выбрана при входе в консоль восстановления.

AllowRemovableMedia = FALSE Запретить копирование файлов на съемные носители.

AllowWildCards = FALSE Запретить использование подстановочных символов (в т. ч.для команд copy и del).
NoCopyPrompt = FALSE Отображать запрос на подтверждение перезаписи существующего файла.

Удаление консоли восстановления

Чтобы удалить консоль восстановления, выполните следующие действия.

1. Перезагрузите компьютер, выберите в меню Пуск пункт Мой компьютер, а затем два раза щелкните значок жесткого диска, на котором установлена консоль восстановления.
2. В меню Сервис выберите команду Свойства папки и перейдите на вкладку Вид.
3. Выберите вариант Показывать скрытые файлы и папки, снимите флажок Скрывать защищенные системные файлы и нажмите кнопку ОК.
4. В корневой папке диска удалите папку Cmdcons и файл Cmldr.
5. В корневой папке диска щелкните правой кнопкой мыши файл Boot.ini и выберите пункт Свойства.
6. Снимите флажок атрибута Только чтение и нажмите кнопку OК.Предупреждение! Неправильное изменение файла Boot.ini может привести к проблемам с загрузкой компьютера. Удалите только запись, относящуюся к консоли восстановления. После этого снова установите для файла Boot.ini атрибут «Только чтение». Откройте файл Boot.ini с помощью программы «Блокнот» и удалите запись, относящуюся к консоли восстановления. Эта запись выглядит примерно так: C:cmdconsbootsect.dat=”Microsoft Windows Recovery Console” /cmdcons
7. Сохраните и закройте файл.

Установка консоли восстановления в автоматическом режиме

Для установки консоли восстановления в процессе автоматической установки операционной системы Windows необходимо использовать раздел [GuiRunOnce] файла unattend.txt.

Command1=”pathwinnt32 /cmdcons /unattend”

Однако, прежде чем начать работу с реестром, стоит понимать, что некоторые изменения реестра могут оказаться фатальными, поэтому необходимо сделать резервную копию реестра.

Резервное копирование реестра

Перед внесением изменений в реестр делайте резервную копию. Этот вопрос мы рассмотрим прежде всего.

  • Не заменяйте реестр Windows XP реестром другой версии операционных систем Windows 9x или Windows NT.
  • Не оставляйте редактор реестра работающим без присмотра.
  • Для редактирования реестра используйте редактор реестра или другие программы, которые обеспечивают безопасные методы работы с реестром. Существует несколько способов сохранения резервной копии реестра. Рассмотрим некоторые из них:

Сохранение резервной копии реестра

Вариант 1

Примечание. Не используйте этот способ для экспорта всего реестра или его основных разделов (ульев, hive), таких как HKEY_CURRENT_USER и т.п.

  • Запустите REGEDIT. “Пуск-Выполнить-REGEDIT”.
  • Найдите ветвь реестра, содержащую ключ, значение которого вы будете редактировать, и кликните на ней в левой части окна REGEDIT.
  • В главном меню выберите “Файл-Экспорт” и укажите имя файла. Либо кликните правой кнопкой и укажите “Экспортировать”.

Вариант 2

Для резервного копирования всего реестра используйте программу архивации данных

“Программы-Стандартные-Служебные-Архивация данных” или просто %SystemRoot%system32ntbackup.exe

Пошаговые инструкции для архивации реестра Windows XP

  • Войдите в систему с необходимыми правами.
  • Запустите NTbackup (“Архивация данных”).
  • Если NTbackup запустилась в режиме мастера, перейдите в “Расширенный режим”.
  • Выберите закладку “Архивация”.
  • В левом окне найдите и пометьте строку “System State”.
  • Нажмите кнопку “Архивировать” и выберите “Дополнительно”.
  • Снимите “галочку” с пункта “Автоматически архивировать защищенные системные файлы вместе с состоянием системы”. Таким образом, сохранены будут только файлы реестра.
  • На этой же вкладке “Тип архива” установите “Обычный”.
  • “ОК” и нажмите “Архивировать”. После архивации вы сможете просмотреть отчет.
  • Отчеты об архивации накапливаются в папке x:Documents and

    Settings%User%Local SettingsAp-plication DataMicrosoftWindows

NTNTBackupdata в пронумерованных файлах backup01.log, back up02.log и т.д.

Вариант 3

Полностью системный реестр можно заархивировать вручную с помощью консоли восстановления (Recovery Console). Для этого:

• Загрузитесь в Recovery Console. • В командной строке Recovery Console выполните следующие команды: o md tmp

o copy c:windowssystem32configsystem c:windowstmpsystem.bak o copy c:windowssystem32configsoftware c:windowstmpsoftware.bak o copy c:windowssystem32configsam c:windowstmpsam.bak o copy c:windowssystem32configsecurity c:windowstmpsecurity.bak o copy c:windowssystem32configdefault c:windowstmpdefault.bak

Необходимо скопировать сразу все пять файлов системного реестра.

Примечания

  1. Не рекомендуется перемещать сохраненные файлы реестра за пределы папки C:Windows, так как в Recovery Console они могут быть недоступны даже если вы – администратор (если не предпринять особых мер).
  2. Варианты №2 и №3 стоит проводить только если вы ожидаете полного краха системы. Обычно всегда удается загрузить последнюю удачную конфигурацию.
  3. Вариант №2 проще, потому что не требует перезагрузки в режиме Recovery Console для сохранения файлов реестра, но гораздо сложнее для восстановления.
  4. Способ №3 самый простой в плане восстановления, но для его выполнения требуется перезагрузка в режим Recovery Console.

Восстановление реестра в Windows XP

Вариант 1

Для восстановления исходной части реестра, необходимо:

  • Запустить REGEDIT. “Пуск-Выполнить-REGEDIT”.
  • В главном меню выбрать “Файл-Импорт”. Укажите имя файла.

Вариант 2

Пошаговые инструкции для полного восстановления реестра Windows XP:

  1. Войти в систему с необходимыми правами.
  2. Запустить NTbackup.
  3. Если NTbackup запустилась в режиме мастера, нажать кнопку “Расширенный” в окне мастера архивации.
  4. Перейти на вкладку “Восстановление и управление носителем”.
  5. Установить в списке “Установите флажки для всех объектов, которые вы хотите восстановить” флажок для объекта “Состояние системы”.
  6. Отчеты о проделанной работе находятся в папке x:Documents and Settings%User%Local SettingsApplication DataMicrosoftWindows

    NTNTBackupdata в пронумерованных файлах типа backup01.log, backup02.log и т.д.

Манипулирование реестром Windows XP

Структура .reg-файла. REGEDIT – опции командной строки

Знание реестра Windows XP будет неполным, если вы не умеете написать reg-файл. REG-файл – это файл, имеющий определенную структуру и содержащий информацию, которая импортируется в реестр.

Первая строка reg-файла для Windows XP обязательно должна быть такой: Windows Registry Editor Version 5.00 однако REGEDIT от Windows XP понимает и такое:

REGEDIT4.

Обратите внимание на регистр букв. Кроме этого, в первой строке ничего быть не должно.

После текста обязательно должна быть пустая строка.

Затем указывается раздел реестра, в котором надо прописать или изменить какие-то параметры. Название раздела должно быть заключено в квадратные скобки. Затем прописываются параметры и значения по одному параметру в строке. По окончании описания параметров и их значений, необходимо оставить пустую строку и либо закончить файл, либо, если нужно, начать описание для следующего раздела.

Вот пример reg-файла:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE SYSTEM Setup]

“SetupType”=dword:0

“SystemSetupInProgress”=dword:0

“CmdLine”=””

“SystemPrefix”=hex:cc,1b,00,00,00,40,3d,68

“SystemPartition”=” Device HarddiskVo-lume1″

“OsLoaderPath”=” ”

“uniqueid”=”C: WINDOWS LPM”

[HKEY_LOCAL_MACHINE SYSTEM Setup AllowStart]

{…описание параметров…}

Последнюю строку в файле сделайте пустой.

Строковые параметры заключаются в кавычки. Перед числами ставятся указатели на их тип. Например, dword – указывает на тип этого параметра, буквы должны быть обязательно маленькие. После двоеточия следует значение из восьми цифр в шестнадцатеричном формате. Однако большинство параметров dword имеют значение либо 0, либо 1. Пробелы в строке не допускаются.

В реестре существуют параметры “По умолчанию” (Default). Чтобы присвоить им какоето значение через REG-файл, надо добавить такую строку:

@=”какое-либо значение”

Regedit имеет некоторое множество опций командной строки, чтобы автоматизировать его использование в пакетных файлах. Ниже указаны некоторые из вариантов.

regedit.exe [options] [filename];

filename – импортируемый в реестр.reg файл,

/s – подавлять запрос на подтверждение при импорте файла; /e – экспорт раздела реестра в файл.

Пример: regedit /e file.reg HKEY_CURRENT_USER Software Microsoft

Удаление разделов и ключей реестра при помощи .reg-файла

Можно удалять разделы реестра и значения в разделах, не используя REGEDIT. Для удаления раздела нужно использовать тот же самый формат reg-файла, только перед наименованием раздела поставьте знак “минус” (“-“). Например:

REGEDIT5

[-HKEY_LOCAL_MACHINE SYSTEM Test]

Этот же формат используйте для удаления отдельных параметров в выбранных разделах, поставив знак “минус” (“-“) после знака “равно” (“=”):

REGEDIT5

[HKEY_LOCAL_MACHINE SYSTEM Test]

“TestValue” =-

Помните, что прежде, чем проводить какие-либо манипуляции с реестром вручную, рекомендуется сделать резервную копию.

Восстановление поврежденного реестра, когда Windows XP не загружается

Разрушенные файлы системного реестра могут вызывать ряд различных сообщений об ошибках.

Предположим, что с помощью стандартных методов восстановления, описанных выше, запустить Windows XP не удалось, и доступа к системе нет, кроме использования Recovery Console.

Если у вас имеется копия системы, сделанная Automatic System Recovery (ASR), то используйте эту копию, прежде чем попробовать процедуру, описанную далее. Попробуйте при загрузке Windows XP нажать F8 и выбрать вариант “Загрузка последней удачной конфигурации” (Boot Using Last Known Good Configuration). При этом восстанавливаются только данные в разделе реестра HKLM System CurrentControlSet. Любые изменения в других разделах реестра сохраняются. Загрузка последней удачной конфигурации позволяет восстановить реестр в случае неполадок, вызванных, например, новым, несовместимым с имеющимся оборудованием драйвером. Неполадки, возникшие вследствие повреждения или ошибочного удаления драйверов или файлов, не могут быть устранены таким образом.

Примечание: Вы должны будете заменить все 5 ульев системного реестра. Если вы заменяете только один улей или два, то это может вызывать проблемы, так как программное обеспечение и оборудование может иметь параметры настройки во многих местах в системном реестре.

1

Необходимо загрузиться в Recovery Console, создать временную папку, скопировать туда существующие файлы системного реестра, удалить файлы системного реестра и затем скопировать файлы системного реестра из папки Repair в папку System32 Config. Затем можно загрузить Windows XP.

Системный реестр, находящийся в папке Repair, был создан и сохранен при начальной установке Windows XP, поэтому любые изменения, которые были проведены позже, будут утеряны.

Выполните следующие шаги:

  1. Загрузите Recovery Console.
  2. В командной строке выполните следующие действия:
    1. md tmp
    2. copy c: windows system32 config system c: windows tmp system.bak
    3. copy c: windows system32 config software c: windows tmp software.bak
    4. copy c: windows system32 config sam c: windows tmp sam.bak
    5. copy c: windows system32 config security c: windows tmp security.bak
    6. copy c: windows system32 config defa-ult c: windows tmp default.bak
    7. delete c: windows system32 config system
    8. delete c: windows system32 config software
    9. delete c: windows system32 config sam
    10. delete c: windows system32 config security
    11. delete c: windows system32 config default
    12. copy c: windows repair system c: windows system32 config system
    13. copy c: windows repair software c: windows system32 config software
    14. copy c: windows repair sam c: windows system32 config sam
    15. copy c: windows repair security c: windows system32 config security
    16. copy c: windows repair default c: windows system32 config default

2

Чтобы выполнить процедуру, описанную в этом разделе, вы должны войти как администратор или как пользователь, имеющий административные права. Если у вас Windows XP Home Edition, то вы сможете войти как административный пользователь. Но если вы хотите войти как администратор, то вы должны сначала запустить Windows XP Home Edition в безопасном режиме (Safe mode).

Считаем, что у вас файловая система – FAT32.

Выполняем следующие действия:

  1. Перегрузите компьютер.
  2. При загрузке Windows XP нажмите F8.
  3. Выберите безопасный режим.

Если вы используете проводник в качестве файл-менеджера, то придется выполнить несколько действий, чтобы сделать папку System Restore видимой:

  1. Запускаем “Проводник”.
  2. В меню “Сервис” выбираем “Свойства папки” и далее закладку “Вид”.
  3. Раскрываем опцию “Скрытые файлы и папки” и щелкаем на “Показывать скрытые файлы и папки”.
  4. Далее щелкаем на “Применить” и “ОК”.
  5. Открываем раздел жесткого диска, где установлена Windows XP, и находим папку System Volume Information. Это скрытая системная папка. Она содержит одну или более папок с именами вида _restore {GUID}, например, _restore{87BD3667-3246- 476B-923F-F86E30B3E7F8}.
  6. Откройте папку, которая была создана НЕ в текущее время. Это может быть одна или больше папок, имена которых начинаются с RP. Это – точки восстановления.
  7. Откройте выбранную папку и затем папку с именем Snapshot. Например, c: System Volume Information _restore {DBB3294C-F5C9-43A9 -9010-A75010CD2631} RP2 snapshot Repository.
  8. Из папки Snapshot в папку C: Windows Tmp, уже созданную на первом этапе, скопируйте следующие файлы:
    1. _REGISTRY_USER_.DEFAULT
    2. _REGISTRY_MACHINE_SECURITY
    3. _REGISTRY_MACHINE_SOFTWARE
    4. _REGISTRY_MACHINE_SYSTEM
    5. _REGISTRY_MACHINE_SAM

Эти файлы созданы службой восстановления системы – System Restore. Так как мы использовали файлы системного реестра, созданные при начальной установке Windows XP, то полученный системный реестр не знает, что “старые” точки восстановления существуют и доступны. При загрузке Windows XP создана новая папка с новым GUID и с новым System Volume Information, и создана новая точка восстановления, которая включает копию файлов нового системного реестра. Вот почему важно не использовать самую новую папку, особенно если время ее создания – текущее время. Конфигурация существующей системы не знает о предыдущих точках восстановления.

Поэтому нам нужна предыдущая, “старая” копия системного реестра от предыдущей, “старой” точки восстановления, чтобы сделать все предыдущие, “старые” точки восстановления доступными.

Файлы системного реестра были скопированы из папки Snapshot в папку C:WindowsTmp, чтобы сделать их доступными, когда вы перегрузитесь в Recovery Console. Мы будем использовать эти файлы, чтобы заменить ими файлы текущего системного реестра в папке C:WindowsSystem32Config. Дело в том, что в Recovery Console папка с System Volume Information в общем случае недоступна. Если вам нужно иметь доступ ко всем папкам, то вам следует позаботиться об этом заранее.

3

  1. Загрузитесь в Recovery Console.
  2. В командной строке Recovery Console выполните следующие команды:
    1. del c:windowssystem32configsam
    2. del c:windowssystem32configsecurity
    3. del c:windowssystem32configsoftware
    4. del c:windowssystem32configdefault
    5. del c:windowssystem32configsystem
    6. copy c:windowstmp_registry_machine_software c:windowssystem32configsoftware
    7. copy c:windowstmp_registry_machine_system c: windows system32configsystem
    8. copy c:windowstmp_registry_machine_sam c:windowssystem32configsam
    9. copy c:windowstmp_registry_machine_security c:windowssystem32configsecurity
    10. copy c:windowstmp_registry_user_.default c:windowssystem32configdefault
  3. Перегрузите компьютер.

4

Запустите программу “Восстановление системы” (System Restore) или %SystemRoot% System32restorerstrui.exe и выберите “Восстановление более раннего состояния компьютера”.

Для того, чтобы найти вирус, запускаемый в автозагрузке, нужно вначале понять, в какие места реестра может прописаться вредоносное ПО.

Ветви реестра, в которые прописывается вредоносное ПО

Ключ HKCR

В этом ключе прописываются в основном spyware-модули, выполненные в виде COMобъектов. Для вычистки этой ветки лучше воспользоваться spyware-сканером. Также встречаются случаи, когда spyware переопределяет на себя регистрацию какоголибо известного типа файлов. В этом случае можно, например, дважды щелкнув по иконке документа Word, попросить spyware заново зарегистрировать себя в системе и начать творить свое черное дело. Общий рецепт борьбы с этим:

  1. Открываете редактор реестра.
  2. Переходите на ключ HKCR.ext (где .ext – расширение нужного типа файлов).
  3. Смотрите значение ключа по умолчанию (например, Word.Document ).
  4. Идете на ключ HKCRtype (где type – значение ключа по умолчанию, полученное на предыдущем шаге).
  5. Анализируете значения подключей shellopencommand, shelleditcommand, shellprintcommand.

Ключ HKCU

Краткий перечень подвергающихся атаке мест в этом подключе:

  • HKCUSoftwareMicrosoftInternet Explorer, значение SearchURL .
  • HKCUSoftwareMicrosoftInternet ExplorerMain, значения Default_Page_URL , Default_Search_URL , Local Page , Search Bar , Search Page , Start Page .
  • Все подключи ключа HKCUSoftwareMicrosoftInternet ExplorerMenuExt.
  • Ключ HKCUSoftwareMicrosoftInternet ExplorerSearch, значение SearchAssistant .
  • Ключ HKCUSoftwareMicrosoftInternet ExplorerSearchUrl, значение provider.
  • Все подключи и значения HKCUSoftwareMicrosoftInternet ExplorerToolbar (здесь селятся тулбары, как вы догадались).
  • Все значения ключа HKCUSoftwareMicrosoftInternet Explorer URLSearchHooks.
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRun.
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRunonce.
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRunServices
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionRunServicesOnce
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesSystemShell
  • Ключ HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsRun
  • Ключ HKCUSoftwareMicrosoftWindows NTCurrentVersionWindows, значение Load
  • Ключ HKCUSoftwarePoliciesMicrosoftWindowsSystemScripts
  • Ключ HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun

Ключ HKLM

  • Все значения ключа HKLMSOFTWAREMicrosoftInternet Explorer AboutURLs
  • Все подключи HKLMSOFTWAREMicrosoftInternet ExplorerExtensions Ключ HKLMSOFTWAREMicrosoftInternet ExplorerMain, значения

    Default_Page_URL , Default_Search_URL , Local Page , Search Page , Start Page

  • Ключ HKLMSOFTWAREMicrosoftInternet ExplorerSearch, значения CustomizeSearch , SearchAssistant
  • Все значения ключа HKLMSOFTWAREMicrosoftInternet ExplorerToolbar Все подключи ключа

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun
  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnce
  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServices
  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionRunServicesOnce Ключ

    HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelay Load

  • Ключ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWindows, значение AppInit_DLLs
  • Ключ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, значение Userinit
  • Ключ HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, значение Shell
  • Ключ HKLMSoftwarePoliciesMicrosoftWindowsSystemScripts
  • Ключ HKLMSOFTWAREMicrosoftWindowsCurrentVersionPolicies ExplorerRun

Далеко не все места регистрации spyware в реестре перечислены выше. Всего, к сожалению, наверное, никто не знает.

Автозагрузка в Windows XP

Существует много способов автозагрузки программ. Ниже приведены несколько вариантов автоматического запуска программ.

Способы автозагрузки и отключение списков автозагрузки:

Реестр

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun] – программы, запускаемые при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunOnce] – программы, запускаемые только однажды при входе пользователя в систему.

После этого ключи программ автоматически удаляются из данного раздела реестра.

Данный раздел отвечает за запуск программ для всех пользователей системы.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunOnceEx] – программы, которые запускаются только однажды, при загрузке системы. Этот раздел используется при инсталляции программ. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun] – программы, которые запускаются при входе текущего пользователя в систему [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce] – программы, которые запускаются только однажды при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion

RunServices] – программы, которые загружаются при старте системы до входа пользователя в Windows.

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion RunServicesOnce] – программы отсюда загружаются только однажды, при загрузке системы.

Использование групповой политики для автозапуска

Оснастка “Групповая политика” (gpedit.msc). Вкладка “Конфигурация компьютера – Административные шаблоны – Система”. В правой части оснастки нужно перейти на пункт “Запускать указанные программы при входе в систему”. По умолчанию эта политика не задана, но вы можете добавить туда программу, для этого:

  • включите политику;
  • нажмите кнопку “Показать – Добавить”;
  • укажите путь к программе, при этом если запускаемая программа находится в папке ..WINDOWSSystem32, то можно указать только название программы, иначе придется указать полный путь к программе.

При этом в системном реестре в разделе

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies] создается подраздел ExplorerRun с ключами добавленных программ.

Пример:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies

ExplorerRun]

“1”=”notepad.exe” “2”=”iexplore.exe”

В результате для всех пользователей автоматически запустятся программы Notepad и Internet Explorer.

Аналогично задается автозапуск для текущих пользователей, в оснастке “Групповая политика” это путь “Конфигурация пользователя – Административные шаблоны –

Система”, а в реестре раздел

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun]

Примечание: При этом программы из этого списка не отображаются в списке программ доступных для отключения в msconfig.exe, а также определяются не всеми менеджерами автозагрузки.

Автозапуск из особого списка

Программы могут запускаться и из следующего раздела реестра:

[HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersionWindows] Параметры:

“load”=”programma” – программы запускаемые до входа пользователя в систему:

“run”=”programma” – программы запускаемые после входа пользователя в систему. Эти параметры – аналог автозагрузки из Win.ini в Windows 9х.

Не обрабатывать список автозапуска для старых версий

Настраивается с помощью групповой политики: “Конфигурация компьютера –

Административные шаблоны – Система – Не обрабатывать список автозапуска для старых версий”, если эту политику включить, то не будут запускаться программы из следующих разделов реестра:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun] При использовании этой политики в реестре создается следующий ключ:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer]

“DisableLocalMachineRun”=dword:00000001

Аналогично устанавливается политика для текущих пользователей: “Конфигурация пользователя – Административные шаблоны – Система – Не обрабатывать список автозапуска для старых версий”. В реестре эта опция включается в:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies Explorer]

“DisableLocalUserRun”=dword:00000001

Игнорировать списки автозагрузки программ, выполняемых однажды

Настраивается с помощью групповой политики: “Конфигурация компьютера – Административные шаблоны – Система – Не обрабатывать список автозапуска программ, выполняемых однажды”.

Если эту политику включить, то не будут запускаться программы, запускаемые из списка [HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce] Если эта политика включена, в реестре создается следующий ключ: [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer]

“DisableLocalMachineRunOnce”=dword:00000001

Так же настраивается политика для текущих пользователей: “Конфигурация пользователя – Административные шаблоны – Система – Не обрабатывать список автозапуска программ, выполняемых однажды” Параметры реестра:

[HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionpolicies Explorer]

“DisableLocalUserRunOnce”=dword:00000001

Назначенные задания

Программы могут запускаться с помощью “Мастера планирования заданий”. Посмотреть список установленных заданий, а также добавить новое можно так: “Пуск – Все программы – Стандартные – Служебные – Назначенные задания” – при этом откроется папка ..WINDOWSTasks, в которой отображены назначенные задания. Чтобы добавить новое задание, нужно дважды щелкнуть левой кнопкой мыши по значку “Добавить задание”. Запуск программ с помощью этого мастера возможен однократно, при входе в Windows, при включении компьютера, а также по расписанию.

Папка “Автозагрузка”

Папка, в которой хранятся ярлыки для программ, запускаемых после входа пользователя в систему. Ярлыки в эту папку могут добавляться программами при их установке или пользователем самостоятельно. Существует две папки – общая для всех пользователей и индивидуальная для текущего пользователя. По умолчанию эти папки находятся здесь: ..Documents and SettingsAll UsersГлавное менюПрограммыАвтозагрузка – это папка, программы из которой будут запускаться для всех пользователей компьютера. ..Documents and SettingsUsernameГлавное менюПрограммыАвтозагрузка – это папка, программы из которой будут запускаться для текущего пользователя (здесь Username – имя текущего пользователя).

Посмотреть какие программы у вас запускаются таким способом можно открыв меню “Пуск – Все программы – Автозагрузка”. Если вы создадите в этой папке ярлык для какойнибудь программы, она будет запускаться автоматически после входа пользователя в систему. Если при входе пользователя в систему удерживать нажатой клавишу “Shift”, то программы из папок “Автозагрузка” запускаться не будут.

Смена папки автозагрузки

Windows считывает данные о пути к папке “Автозагрузка” из реестра. Этот путь прописан в следующих разделах:

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorer

User Shell Folders]

“Common Startup”=”%ALLUSERSPROFILE%Главное

менюПрограммыАвтозагрузка” – для всех пользователей системы.

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser

Shell Folders]

“Startup”=”%USERPROFILE%Главное менюПрограммыАвтозагрузка”

– для текущего пользователя.

Сменив путь к папке мы получим автозагрузку всех программ из указанной папки.

Пример:

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser

Shell Folders]

“Startup”=”c:mystartup” – система загрузит все программы, ярлыки которых находятся в папке c:mystartup, при этом папка “Автозагрузка” все так же будет отображаться в меню “Пуск”, а если у пользователя в ней ничего не было, то он и не заметит подмены.

Подмена ярлыка для программы из списка автозагрузки

Допустим у вас установлен пакет Adobe Photoshop. Тогда в папке “Автозагрузка” у вас будет находиться ярлык “Adobe Gamma Loader” – этот ярлык устанавливается туда по умолчанию. Но вовсе необязательно этот ярлык ссылается именно на программу, на которую он должен ссылаться – вместо него может быть запущена любая другая программа.

Добавление программы к программе запускаемой из списка автозагрузки

Одновременно с загрузкой какой-либо программы из списка автозагрузки у вас будет стартовать другая программа – дело в том, что можно “склеить” два исполняемых файла в один и они будут запускаться одновременно. Существуют программы для такой “склейки”. Или в автозагрузке будет ссылка на командный файл, из которого будут запускаться как оригинальная программа из списка, так и добавленные посторонние программы.

Существует множество менеджеров автозагрузки от сторонних разработчиков. В качестве примера рассмотрим Autoruns от Sysinternals.

Autoruns

Autoruns

Данная программа позволяет просмотреть, какие объекты автоматически загружаются, а так же увидеть изменения с момента предыдущего просмотра.

  • Logon на данной вкладке можно увидеть результат сканирования стандартных папок Автозагрузки, таких как папка Автозагрузки, ключи реестра и прочее.
  • Explorer служит для того, чтобы увидеть дополнительные возможности, объекты помощи, панели инструментов Explorer’a.
  • Internet Explorer – эта вкладка показывает Browser Helper Objects (BHO’s), панели инструментов Internet Explorer и расширения.
  • Services – все службы Windows services сконфигурированные для автоматического старта при загрузке системы.
  • Drivers. Здесь показаны все драйвера за исключением неактивных.
  • Scheduled Tasks показывает задачи, которые стартуют при загрузке или входе в систему с помощью Планировщика задач.
  • AppInit DLLs – эта вкладка показывает все DLL зарегистрированные приложениями, инициализирующими DLL.
  • Boot Execute. Оригинальные рисунки (отличающиеся от Windows ) которые запускаются во время процесса загрузки.

В заключение хотелось бы отметить, что в пределах одной статьи вряд ли возможно описать все способы автоматической загрузки вредоносного ПО. Однако, даже эти сведения, надеюсь, смогут помочь вам в нелегком деле обеспечения информационной безопасности.

Устранение последствий вирусных атак на Internet Explorer

Вирусные атаки на Internet Explorer происходят, увы, довольно часто. Давайте постараемся рассмотреть параметры реестра, отвечающие за настройку реестра и наиболее подверженные риску.

Атака на меню Файл

Удаление меню файл из окна Internet Explorer

Однажды я столкнулся с интересным поведением Internet Explorer, однако, как выяснилось позже, эти странности затронули не только Internet Explorer, но и меню Explorer (Проводник). В меню перестал отображаться пункт Файл и оно выглядело как на рис.1.

Проводник. Обратите внимание - отсутствует меню Файл

Рисунок 1 Проводник. Обратите внимание – отсутствует меню Файл

В данном случае для восстановления удаленного пункта меню Файл из Internet Explorer нужно удалить параметр NoFileMenu со значением DWORD равным 1 в разделе HKCUSOFTFAREMicrosoftWindowsCurrentVersionPoliciesExplorer. После этого будет восстановлен пункт «Файл» в окне Проводника, Мои документы и других мест, использующих оболочку Windows.

Запрет на создание нового окна

В случае если у вас по какой-то причине нельзя создать новое окно (Файл-Создать-Окно или Ctrl-N), необходимо удалить параметр типа DWORD NoFileNew со значением равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Запрет на расширенное меню для пункта Создать

Если у вас при выборе Файл-Создать-Окно не появляется расширенное меню, включающее в себя команды Сообщение, Объявление, Контакт, Вызов через Интернет необходимо удалить параметр типа DWORD NoExpandedNewMenu со значением равным 1 в разделе HKCUSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer

Открыть (Internet Explorer 4 и выше)

Если пользователь не может открыть страничку (через Файл-Открыть, Ctrl-O, или Ctrl-L), то удалите параметр типа DWORD NoFileOpen со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Сохранить как

Для восстановления удаленного пункта Сохранить как … из меню Файл удалите параметр типа DWORD NoBrowserSaveAs со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Печать и Предварительный просмотр

Чтобы восстановить удаленные пункты Печать и Предварительный просмотр, удалите параметр типа DWORD NoPrinting со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Импорт и экспорт

Если вы хотите восстановить запрещенный пользователю пункт Импорт и экспорт, то удалите параметр типа DWORD DisableImportExportFavorites со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet Explorer

Запрет закрывания страницы

Если пользователь не может закрыть страничку (через Файл-Закрыть, Alt-F4, системное меню или нажимая крестик в верхнем углу), то удалите параметр типа DWORD

NoBrowserClose со значением, равным 1 в разделе

HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Меню Вид

Просмотр HTML-кода

Для восстановления блокированного пункта меню Просмотр HTML-кода удалите параметр типа DWORD NoViewSource со значением равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Во весь экран

Если при выборе Вид-Во весь экран (или F11) Internet Explorer не переходит в режим киоска, то для восстановления такой возможности удалите параметр типа DWORD

NoTheaterMode со значением равным 1 в разделе

HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Избранное

Для восстановления удаленного пункта меню Избранное в Internet Explorer, удалите параметр типа DWORD NoFavorites со значением 1 в разделе

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions. При этом кнопка Избранное также станет доступна на панели инструментов

Меню Сервис

Почта и новости

Для разблокировки пункта Почта и новости удалите параметр типа DWORD RestGoMenu со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Windows Update

В меню Сервис присутствует строка Windows Update. Вредоносное ПО может изменить данную строку на свою. Для такого изменения нужно создать строковый параметр

Windows Update Menu Text с произвольным текстом в разделе

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet Explorer

Если же будет использована пустая строка, то данный пункт будет отсутствовать вообще

Меню Свойства

Свойства обозревателя

Чтобы разрешить доступ к свойствам Internet Explorer (Сервис-Свойства обозревателя), используйте параметр типа DWORD NoBrowserOptions со значением 0 в разделе

HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions (Для запрета используйте значение 1)

IExplorer : Hide General Page from Internet Properties

Спрятать вкладку “Общие” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“GeneralTab”=dword:1

IExplorer : Hide Securiry Page from Internet Properties

Спрятать вкладку “Безопасность” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“SecurityTab”=dword:1

IExplorer : Hide Privacy Page from Internet Properties

Спрятать вкладку “Конфиденциальность” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“PrivacyTab”=dword:1

IExplorer : Hide Content Page from Internet Properties

Спрятать вкладку “Содержание” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“ContentTab”=dword:1

IExplorer : Hide Connections Page from Internet Properties

Cпрятать вкладку “Подключения” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“ConnectionsTab”=dword:1

IExplorer : Hide Programs Page from Internet Properties

Спрятать вкладку “Программы” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“ProgramsTab”=dword:1

IExplorer : Hide Advanced Page from Internet Properties

Спрятать вкладку “Дополнительно” в параметрах Internet Explorer добавить: HKCUSoftwarePoliciesMicrosoftInternet ExplorerControl Panel

“AdvancedTab”=dword:1

IExplorer: Delete Content Advisor Password

Для удаления пароля на изменение настроек свойств обозревателя на закладке Содержание удалите ключ:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesRatings”Key”=-

Справка

Все настройки делаются в разделе HKCUSoftwarePoliciesMicrosoftInternet Explorer при помощи DWORD-параметров

Блокировка пункта Справка

Для снятия блокировки пункта Справка удалите параметр NoHelpMenu со значением, равным 1

Отзывы и предложения

Для открытия подпункта Отзывы и предложения в меню Справка удалите параметр

NoHelpItemSendFeedback со значением, равным 1

Полезный совет

Для открытия скрытого подпункта Полезный совет в меню Справка удалите параметр NoHelpItemTipOfTheDay со значением, равным 1

Контекстное меню в Internet Explorer

Лишние команды в контекстном меню

Если контекстное меню вашего браузера, выпадающего, если нажать правую кнопку мыши на ссылке, содержит слишком много лишних команд, то найдите раздел HKCUSOFTWAREMicrosoftInternet ExplorerMenuExt. Данный раздел содержит подразделы, которые вы можете удалять, изменять, редактировать

Запрет на контекстное меню

Чтобы разрешить вызов контекстного меню правой кнопкой мыши, удалите параметр

типа DWORD NoBrowserContextMenu со значением, равным 1в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Открыть в новом окне

Для восстановления заблокированной возможности открытия страницы в новом окне, когда вы нажимаете правой кнопкой на ссылке и выбераете пункт Открыть в новом окне удалите параметр типа DWORD NoOpeninNewWnd со значением, равным 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Запрет на загрузку файлов

Чтобы восстановить возможность пользователю загружать файлы из интернета, удалите параметр типа DWORD NoSelectDownloadDir со значением 1 в разделе

HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions.

Сохранение странички (Internet Explorer 5 и выше)

Если вы не можете сохранить страничку полностью – с картинками, скриптами, файлами, удалите следующий параметр типа DWORD NoBrowserSaveWebComplete со значением, равным 1 в разделе:

HKCUSoftwarePoliciesMicrosoftInternet ExplorerInfodeliveryRestrictions

Замена заголовка в Internet Explorer

Для восстановления замененного заголовка Internet Explorer удалите строковый параметр Window Title в разделе: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain.

Замена фона в панели инструментов в Internet Explorer

Существует возможность установки своего фона для панели инструментов в Internet

Explorer. Для этого в разделе реестра HKEY_CURRENT_USER SOFTWARE

MicrosoftInternet ExplorerToolbar создайте строковый параметр BackBitmap, значением которого будет полное имя BMP-файла с нужной картинкой – она и замостится мозаикой на панелях окон. Для удаления данного эффекта нужно просто удалить соответствующий параметр.

Установка стартовой странички

В случае если ваша стартовая страница подменена вирусом, найдите следующий строковый параметр: HKEY_CURRENT_USERSoftwareMicrosoftInternet

ExplorerMainStart Page. Удалив раздел Start Page, вы установите значение по умолчанию.

Клавиша F3 (Поиск)

Если у вас заблокирована клавиша F3 в Internet Explorer, которая запускает поиск в

Интернете, то удалите параметр типа DWORD NoFindFiles со значением 1 в разделе HKEY_CURRENT_USERSoftwarePoliciesMicrosoftInternet ExplorerRestrictions.

Кнопки на панели инструментов в Internet Explorer

Если панель инструментов вашего браузера содержит слишком много лишних кнопок, то найдите раздел: HKEY_LOCAL_MACHINE Software MicrosoftInternet Explorer Extensions. Данный раздел содержит подразделы, которые вы можете удалять, изменять, редактировать. Лишние кнопки могут быть невидимы, но присутствовать на панели инструментов. Чтобы просмотреть все существующие кнопки, нажмите правой кнопкой на панели инструментов и выберите команду Настройка

Кнопки Вперед и Назад

Чтобы разблокировать кнопки Вперед и Назад в Internet Explorer, удалите параметр типа

DWORD NoNavButtons со значением 1 в разделе HKCUSoftwarePoliciesMicrosoftInternet ExplorerRestrictions

Строчки для комбобокса Адрес

При нажатии на треугольник в комбобоксе Адрес выпадаетя список вводимых вами адресов.

Вы можете отредактировать этот список (добавить, удалить, изменить). Войдите в раздел: HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs. Там присутствует список ваших адресов, начиная со строкового параметра url1.

IExplorer: Disable the Ability to Customize IE Toolbar

Для запрета возможности изменения панели инструментов IE. Изменить значение ключа с 0 на 1:

HKCU Software Microsoft Windows CurrentVersion Policies

Explorer”NoToolbarCustomize”=dword:1

IExplorer: Disable Internet Explorer Auto-Updates

Для запрета автообновления IE изменить значение с 0 на 1:

HKCU SoftwareMicrosoftInternet ExplorerMain

“NoUpdateCheck”=dword:1

Outlook Express

Замена заголовка в Outlook Express

Для Outlook Express 4

Найдите или создайте следующий строковый параметр:

HKEY_CURRENT_USERSoftwareMicrosoftOutlook ExpressWindowTitle. Создайте новую строку или измените существующую запись на вашу. Удалив раздел WindowTitle, вы установите значение заголовка по умолчанию

Для Outlook Express 5.0 и 6.0

Для Outlook Express 5.0 и 6.0 местоположение ключа изменилось на:

HKEY_CURRENT_USERIdentities{** Identity ID }SoftwareMicrosoftOutlook Express5.0WindowTitle, где { Identity ID **} – ваш идентификатор SID.

Удаление заставки в Outlook Express

Для Outlook Express 4

Найдите или создайте следующий параметр DWORD:

HKEY_CURRENT_USERSoftwareMicrosoftOutlook ExpressNoSplash. Если установите значение параметра равным 1, то заставка появляться не будет. Для появления заставки во время загрузки Outlook Express установите значение параметра в 0

Для Outlook Express 5.0 и 6.0

Для Outlook Express 5.0 и 6.0 местоположение ключа изменилось на:

HKEY_CURRENT_USERIdentities{** Identity ID }SoftwareMicrosoftOutlook Express5.0NoSplash, где { Identity ID **} – ваш идентификатор

Полезные советы

Бывает, что какой-нибудь сайт “прописывался” в вашем Internet Explorer. Ситуация, когда заменяется стартовая страница, довольно стандартная и, как правило, решается удалением из автозагрузки скрипта, reg-файла или программки. Однако возможна ситуация, когда при клике на какую-то произвольную ссылку, переход осуществляется на совершенно другой сайт. Произошло заражение с помощью BHO “Browser Helper Objects”. Это небольшие программы, которые грузятся при запуске Internet Explorer и работают до закрытия программы.

В реестре BHO прописываются по адресу:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionexplorerBrowser Helper Objects. Также могут быть в HKCU и HKU.Default.

В этом разделе вы увидите один или несколько CLSID. Чтобы не удалить полезное, последовательно ищите в реестре записи, содержащие эти CLSID. Информация о них содержится в разделе HKCR. Посмотрите, какая библиотека загружается в этом идентификаторе класса в подразделе InprocServer32, и если вам покажется подозрительной, удалите BHO из всех разделов, где он встречается (рекомендуется сделать резервную копию этих разделов реестра).

Заключение

Надеюсь что эти небольшие советы помогут вам в нелегком деле обеспечения безопасности.

Литература

  1. А.Климов, И. Чеботарев http://www.winhowto.ru/
  2. www.oszone.net

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.