На вашем компьютере появилась "новая" программа, которая мешает работать, или рекламная программа. Как с этим бороться? Что делать?
Что бы определить работает ли у вас программа, которую вы не устанавливали, можно, просмотреть те разделы реестра в которых содержатся программы автоматически запускающиеся при старте Windows: строка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" - название раздела реестра. Так же нужно проверить папку: меню Пуск -> Программы -> Автозапуск и файл autoexec.bat (config.sys).
Такие программы как RegEdit.exe, Norton Registry Editor, помогут просмотреть эти разделы и строчки.
Это список разделов, позволяющих автозапуск программы при старте Windows:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runservices
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunservicesOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\Run
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunOnce
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ Current Version\Runservices
HKEY_USERS\какое-то_имя\SOFTWARE\Microsoft\Windows\ CurrentVersion\RunservicesOnce
Во всех этих разделах необходимо просмотреть "Строковые параметры", которые запускают неизвестные программы. Программные закладки не обязательно будут присутствовать в виде exe-файла. Например, программа для скрытой записи нажатий клавиатуры, времени/имени приложений Hookdump, после "работы", оставляет в памяти только dll.
Вы можете переименовать исполняемые файлы с любым расширением или даже убрать таковое, но эти программы все равно будут запустятся из строкового параметра. Но нужно быть осторожным потому, что в этих разделах также запускаются программы, которые необходимы для работы Windows.
Подраздел \SOFTWARE\Microsoft\Windows\CurrentVersion\Run существует не только в разделе HKEY_ LOCAL_MACHINE, а еще и в HKEY_USERS (HKEY_USERS\ .Default\ или HKEY_USERS\.Ваш_логин_при_старте\).
Поэтому, нужно повторить поиск разделов "Run" ("RunOn-ce", "Run... ") еще в двух главных разделах.
И это еще не все, есть еще места, откуда могут стартовать непрошеные гости: Win.ini раздел [windows], строки load, run. Утилитами XRun, Prcview можно просмотреть процессы и удалить ненужную программу.
Можно конечно нажать Ctrl+Alt+Del, но таким образом не все процессы можно увидеть. Поскольку есть способы сделать программы недоступными по Ctrl+Alt+Del. Но это не поможет если ваш компьютенр заражен вирусом.
В какой-то степени процесс отслеживания изменений можно автоматизировать. Например, программа RegTracker из пакета нортоновских утилит, отслеживает все изменения в реестре и INI-файлах.
И еще один щит: для отслеживания изменений, появления новых файлов и т.п. полезно делать "снимок" с помощью программ-ревизоров вроде AVP Inspector-a Касперского.
Источник: http://www.nestor.minsk.by/kg |