Я не могу найти программу в списке нигде.
Есть много мест, которые можно использовать для запуска программ при запуске. Вы должны проверить их все, пока не найдете программу, которую вы ищете.
Есть несколько программ, которые позволяют легко проверить места запуска.
msconfig (вкладка «Автозагрузка»):
Автозапуск от SysInternals :
WhatInStartup от NirSoft :
-
Замечания:
- WinPatrol позволяет перемещать программы из «автозагрузки» в «отложенный запуск»
- Вы можете указать время задержки, если вы делаете это.
Сколько существует способов запуска программы при запуске в Windows?
Есть как минимум 17 мест, откуда можно запускать программы. Увидеть ниже.
Места автоматического запуска программ Windows
При включении компьютера следующие места автозапуска обрабатываются в следующем порядке:
Драйверы устройств загрузки Windows
- Эти драйверы загружаются первыми, так как они необходимы для правильной работы оборудования, такого как устройства хранения.
- Драйверы загрузочных устройств будут расположены под следующей клавишей и имеют начальное значение, равное 0.
Ключи реестра:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
Теперь Windows выполнит различные задачи, а затем запустит процесс Winlogon. В конечном итоге Winlogon запускает диспетчер управления службами, который загружает службы и драйверы, настроенные для автоматического запуска.
Службы и драйверы для автозапуска Windows
- Процесс диспетчера управления службами (SCM) (\ Windows \ System32 \ services.exe) теперь будет запускать любые службы или драйверы, помеченные начальным значением 2.
Ключи реестра:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
RunServicesOnce
- Этот ключ предназначен для запуска служб при загрузке компьютера.
- Эти записи также могут продолжать работать даже после входа в систему, но должны быть завершены, прежде чем реестр HKEY_LOCAL_MACHINE ... \ RunOnce сможет начать загрузку своих программ.
Ключи реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
RunServices
- Этот ключ также предназначен для запуска сервисов.
- Эти записи также могут продолжать работать даже после входа в систему, но должны быть завершены, прежде чем реестр HKEY_LOCAL_MACHINE ... \ RunOnce сможет начать загрузку своих программ.
Ключи реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
Приглашение для входа в Windows отображается на экране. После входа пользователя в систему остальные ключи продолжаются.
Поставить в известность
- Этот ключ используется для добавления программы, которая будет запускаться при возникновении определенного события.
- События включают в себя вход в систему, выход из системы, запуск, выключение, запуск заставки и остановку экрана.
- Когда Winlogon.exe генерирует событие, подобное перечисленным, Windows будет искать в разделе реестра Notify DLL, которая будет обрабатывать это событие.
- Известно, что вредоносные программы используют этот метод для загрузки самого себя, когда пользователь входит в систему на своем компьютере. Загрузка таким образом позволяет вредоносной программе загружаться таким образом, что ее нелегко остановить.
Ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Ключ пользователя
- Этот ключ указывает, какую программу следует запускать сразу после входа пользователя в Windows.
- Программа по умолчанию для этого ключа - C: \ windows \ system32 \ userinit.exe. Userinit.exe - это программа, которая восстанавливает ваш профиль, шрифты, цвета и т. Д. Для вашего имени пользователя.
Можно добавить дополнительные программы, которые будут запускаться с этого ключа, разделив их запятой. Например:
HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ Userinit = C: \ windows \ system32 \ userinit.exe, c: \ windows \ badprogram.exe.
Это заставит обе программы запускаться при входе в систему и является обычным местом для запуска троянских программ, угонщиков и шпионских программ. Ключ реестра:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
Shell Value
- Это значение содержит список значений, разделенных запятыми, которые запускает Userinit.exe.
- Оболочкой по умолчанию для Windows является explorer.exe, хотя есть законные замены, которые были сделаны. Когда userinit.exe запускает оболочку, он сначала запускает значение оболочки, найденное в HKEY_CURRENT_USER. Если это значение отсутствует, оно запустит значение, найденное в HKEY_LOCAL_MACHINE.
Ключ реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell
Остальные места автозапуска теперь будут обработаны.
Ключ локальной машины RunOnce
- Эти клавиши предназначены для использования в основном программами установки.
- Записи в этих ключах запускаются один раз, а затем удаляются из ключа.
- Если перед значением ключа стоит восклицательный знак, запись не будет удалена до завершения программы, в противном случае она будет удалена до запуска программы. Это важно, потому что, если восклицательный знак не используется, и программа, на которую ссылается этот ключ, не может быть завершена, она не запустится снова, поскольку она уже была удалена.
- Все записи в этом ключе запускаются синхронно в неопределенном порядке.
- В связи с этим все программы в этом ключе должны быть завершены до того, как любые записи в HKEY_LOCAL_MACHINE ... \ Run, HKEY_CURRENT_USER ... \ Run, HKEY_CURRENT_USER ... \ RunOnce и загрузочные папки могут быть загружены.
- Клавиши RunOnce игнорируются в Windows 2000 и Windows XP в безопасном режиме. Ключи RunOnce не поддерживаются Windows NT 3.51.
Ключи реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
Бежать
- Это наиболее распространенные места запуска программ, из которых устанавливается автозапуск.
- По умолчанию эти ключи не выполняются в безопасном режиме. Если вы добавите звездочку к значению этих клавиш *, оно будет работать в безопасном режиме.
Ключи реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Папка запуска всех пользователей
- В Windows XP, 2000 и NT эта папка используется для программ, которые должны автоматически запускаться для всех пользователей, которые будут входить на этот компьютер.
Обычно он находится по адресу:
Windows XP
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Windows NT
C:\wont\Profiles\All Users\Start Menu\Programs\Startup
Windows 2000
C:\Documents and Settings\All Users\Start Menu\Programs\Startup
Папка запуска профиля пользователя
- Эта папка будет выполнена для конкретного пользователя, который входит в систему.
Эта папка обычно находится в:
- Win 9X, ME
c:\windows\start menu\programs\startup
- Windows XP
C:\Documents and Settings\LoginName\Start Menu\Programs\Startup
Текущий ключ пользователя RunOnce
- Эти клавиши предназначены для использования в основном программами установки.
- Записи в этих ключах запускаются один раз, а затем удаляются из ключа.
- Если перед значением ключа стоит восклицательный знак, запись не будет удалена до завершения программы, в противном случае она будет удалена до запуска программы. Это важно, потому что, если восклицательный знак не используется, и программа, на которую ссылается этот ключ, не может быть завершена, она не запустится снова, поскольку она уже была удалена.
- Клавиши RunOnce игнорируются в Windows 2000 и Windows XP в безопасном режиме.
- Ключи RunOnce не поддерживаются Windows NT 3.51.
Ключ реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Explorer Run
- Эти ключи обычно используются для загрузки программ как часть политики, установленной на компьютере или пользователе.
Ключи реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
Ключ загрузки
- Эта клавиша больше не используется, но может использоваться для автоматического запуска программ.
Ключ реестра:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
AppInit_DLLs
- Это значение соответствует файлам, загружаемым через значение реестра AppInit_DLLs.
- Значение реестра AppInit_DLLs содержит список библиотек, которые будут загружены при загрузке user32.dll.
- Поскольку большинство исполняемых файлов Windows используют user32.dll, это означает, что любая DLL, указанная в разделе реестра AppInit_DLLs, также будет загружена. Это делает очень трудным удаление DLL, так как она будет загружена в несколько процессов, некоторые из которых не могут быть остановлены, не вызывая нестабильность системы.
- Файл user32.dll также используется процессами, которые автоматически запускаются системой при входе в систему. Это означает, что файлы, загруженные в значение AppInit_DLLs, будут загружены в самом начале процедуры запуска Windows, что позволит DLL скрыться или защитить себя, прежде чем мы получим доступ к системе.
Ключ реестра:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows
ShellServiceObjectDelayLoad
- Это значение реестра содержит значения аналогично ключу запуска.
- Разница заключается в том, что вместо указания на сам файл он указывает на InProcServer CLSID, который содержит информацию о конкретном используемом DLL-файле.
- Файлы под этим ключом автоматически загружаются Explorer.exe при запуске компьютера. Поскольку Explorer.exe является оболочкой для вашего компьютера, он всегда запускается, поэтому всегда загружаются файлы под этим ключом. Поэтому эти файлы загружаются на ранних этапах процесса запуска до того, как произойдет вмешательство человека.
Ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
SharedTaskScheduler
- Этот раздел соответствует файлам, загружаемым через значение реестра SharedTaskScheduler для компьютеров XP, NT, 2000.
- Записи в этом значении реестра запускаются автоматически при запуске Windows.
Ключ реестра:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler
Ниже перечислены файлы, с которых программы могут автоматически запускаться при загрузке:
- C: \ autoexec.bat
- c: \ config.sys 3. windir \ wininit.ini - обычно используется программами установки, чтобы один раз запустить файл, а затем удалить его.
- Windir \ Winstart.bat
- windir \ win.ini - [windows] "загрузка"
- windir \ win.ini - [windows] "беги"
- windir \ system.ini - [boot] "shell" 8. windir \ system.ini - [boot] "scrnsave.exe"
- windir \ dosstart.bat - используется в Win95 или 98, когда вы выбираете «Перезапуск в режиме MS-DOS» в меню выключения.
- Windir \ система \ autoexec.nt
- Windir \ система \ config.nt
Места автоматического запуска исходной программы Windows
отказ
Я никоим образом не связан с SysInternals, Nirsoft или WinPatrol, я просто конечный пользователь программного обеспечения.