Mange programmer som du installerer automatisk kjøre når du starter datamaskinen og overføre Windows. For de fleste tilfeller er denne type adferd fine. Dessverre, det finnes programmer som ikke er legitimt, for eksempel spyware, hijackers, trojanere, ormer, virus, at belastningen på denne måten også. Det er derfor viktig at du sjekker jevnlig oppstartsregisternøkler regelmessig. Windows ikke tilbyr et program som vil liste programmer som automatisk startet fra noen av disse stedene. Dette programmet, Msconfig.exe, dessverre, men viser bare programmer fra en begrenset mengde oppstartstaster.
Nedenfor er de ulike listen over registernøkler som kan starte et program når Windows starter. Jeg har forsøkt å holde nøklene i nøyaktig samme rekkefølge som de lastes. Husk at noen av tastene er satt til å laste på samme tid, så det er mulig at ordren vil endre på hver oppstart. Disse tastene generelt gjelder for Windows 95, 98, ME, NT, XP, 2000, Windows Vista og Windows 7, og jeg vil merke når det er noe annet.
Ved å slå på datamaskinen disse autostart steder behandles i den følgende rekkefølge:
Windows Boot Device Drivers - Disse driverne er lastet først som de er nødvendige for riktig drift av maskinvare som lagringsenheter. Drivere boot device vil bli plassert under følgende nøkkel og har en startverdi lik 0.
registernøkler: HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Services
Windows vil nå utføre ulike oppgaver, og deretter starte Winlogon prosessen. Winlogon slutt starter tjenestekontrollstyreren som laster tjenester og drivere som er satt til auto-start til Windows Auto-start Services &.; Drivere -Tjenesten Control Manager (SCM) prosess (\\ Windows \\ System32 \\ Services.exe), vil nå lansere noen tjenester eller drivere som er merket med en startverdi på 2.
registernøkler: HKEY_LOCAL_MACHINE \\ System \\ CurrentControlSet \\ Tjenester
RunServicesOnce - Denne tasten er laget for å starte tjenester når en datamaskin starter opp. Disse oppføringene kan også fortsette å kjøre selv etter at du har logget på, men må være gjennomført før HKEY_LOCAL_MACHINE \\ ... \\ RunOnce register kan starte lasting sine programmer
registernøkler. HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunServicesOnce HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunServicesOnce Anmeldelser RunServices - Denne tasten er laget for å starte tjenester i tillegg. Disse oppføringene kan også fortsette å kjøre selv etter at du har logget på, men må være gjennomført før HKEY_LOCAL_MACHINE \\ ... \\ RunOnce register kan starte lasting sine programmer
registernøkler. HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunServices HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunServices
påloggingsskjermen for Windows vises på skjermen. Etter en bruker logger inn resten av tastene fortsette
Varsle -. Denne tasten brukes til å legge til et program som skal kjøre når en bestemt hendelse inntreffer. Hendelser inkluderer pålogging, avlogging, oppstart, avslutning, startscreensaver, og stopscreensaver. Når Winlogon.exe genererer en hendelse som de er oppført, vil Windows se i Varsle registernøkkelen for en DLL som vil håndtere denne hendelsen. Malware er kjent for å bruke denne metoden for å laste seg selv når en bruker logger seg på datamaskinen sin. Legge på en slik måte gjør at malware program for å laste på en slik måte at det ikke er lett å stoppe
registernøkkel. HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Varsle
Userinit Key - Denne nøkkelen spesifiserer hva programmet skal bli lansert rett etter at en bruker logger seg på Windows. Standard program for denne nøkkelen er C: \\ windows \\ system32 \\ userinit.exe. Userinit.exe er et program som gjenoppretter din profil, skrifttyper, farger, etc for brukernavnet ditt. Det er mulig å legge til flere programmer som vil starte fra denne tasten ved å skille programmer med komma. For eksempel:
HKLM \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit = C: \\ windows \\ system32 \\ userinit.exe, c:. \\ Windows \\ badprogram.exe
Dette vil gjøre både programmer lansering når du logger inn og er et felles sted for trojanere, kaprere og spyware å starte fra
registernøkkel. HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\ Userinit Anmeldelser Shell Value - Denne verdien inneholder en liste over kommaseparert verdier som Userinit.exe vil lansere. Standard skall for Windows er explorer.exe, selv om det er legitime erstatninger som er gjort. Når userinit.exe starter skallet, vil det først starter Shell verdien funnet i HKEY_CURRENT_USER. Hvis denne verdien ikke er til stede, vil det deretter starte verdien funnet i HKEY_LOCAL_MACHINE
registernøkkel. HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\\\ Shell HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Winlogon \\\\ Shell
Resten av autostart steder vil nå bli behandlet
RunOnce Local Machine Key -. Disse tastene er laget for å brukes primært av installasjonsprogrammer. Oppføringer i disse tastene er startet en gang og deretter slettes fra nøkkelen. Hvis det er an- utropstegn foregående verdien av nøkkelen, vil oppføringen ikke slettes før etter at programmet er ferdig, ellers vil den bli slettet før programmet kjører. Dette er viktig, fordi hvis utropstegn ikke brukes, og programmet referert i denne nøkkelen ikke klarer å fullføre, vil det ikke kjøre igjen som det vil være slettet. Alle oppføringer i denne nøkkelen er startet synkront i en udefinert rekkefølge. På grunn av dette, må alle programmene i denne nøkkelen være ferdig før noen oppføringer i HKEY_LOCAL_MACHINE \\ ... \\ Run, HKEY_CURRENT_USER \\ ... \\ Run, HKEY_CURRENT_USER \\ ... \\ RunOnce, og Startup mapper kan lastes. RunOnce tastene ignoreres under Windows 2000 og Windows XP i sikkermodus. RunOnce nøkler støttes ikke av Windows NT
registernøkler 3.51: HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunOnce HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunOnceEx Anmeldelser Run - Dette er den vanligste oppstart. steder for programmer for å installere auto start fra. Som standard disse tastene ikke er utført i sikkermodus. Hvis du prefiks verdien av disse tastene med en stjerne, *, vil den kjøre i sikkermodus
registernøkler. HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Run HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Run
Alle brukere Startup Mappe - For Windows XP, 2000 og NT, er denne mappen brukes for programmer som skal være automatisk startet for alle brukere som skal logge inn på denne datamaskinen. Det er generelt finnes på:
Windows XP C: \\ Documents and Settings \\ All Users \\ Start-meny \\ Programmer \\ Oppstart Windows NT C: \\ wont \\ Profiles \\ All Users \\ Start-meny \\ Programmer \\ Oppstart Windows 2000 C: \\ Documents and Settings \\ All Users \\ Start-meny \\ Programmer \\ Oppstart
Brukerprofil Oppstartsmappe - Denne mappen vil bli utført for den enkelte bruker som logger på Denne mappen er vanligvis funnet i.
Win 9X, c ME: \\ Windows \\ Start-meny \\ Programmer \\ Oppstart Windows XP C: \\ Documents and Settings \\ innloggingsnavnet \\ Start-meny \\ Programmer \\ Oppstart
RunOnce Current User Key - Disse tastene er laget for å brukes primært av installasjonsprogrammer. Oppføringer i disse tastene er startet en gang og deretter slettes fra nøkkelen. Hvis det er et utropstegn foregående verdien av nøkkelen, vil oppføringen ikke slettes før etter at programmet er ferdig, ellers vil den bli slettet før programmet kjører. Dette er viktig, fordi hvis utropstegn ikke brukes, og programmet referert i denne nøkkelen ikke klarer å fullføre, vil det ikke kjøre igjen som det vil være slettet. RunOnce tastene ignoreres under Windows 2000 og Windows XP i sikkermodus. RunOnce nøkler støttes ikke av Windows NT
3.51 registernøkkel. HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ RunOnce
Explorer Run - Disse tastene er vanligvis brukt til å laste programmer som en del av en politikk satt på plass . på datamaskinen eller brukeren
registernøkler: HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Policies \\ Explorer \\ Run HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows \\ Currentversion \\ Policies \\ Explorer \\ Run Anmeldelser Load Key - Denne tasten er ikke brukte lenger, men kan brukes til å autostart programmer
registernøkkel:. HKEY_CURRENT_USER \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Windows \\ belastning
AppInit_DLLs - Denne verdien tilsvarer filene som lastes gjennom AppInit_DLLs registerverdi. Den AppInit_DLLs registerverdien inneholder en liste over DLLer som vil bli lastet når user32.dll er lastet. Som de fleste Windows kjør bruke user32.dll, det betyr at alle DLL som er oppført i AppInit_DLLs registernøkkelen vil bli lastet også. Dette gjør det svært vanskelig å fjerne DLL som det vil bli lastet inn i flere prosesser, hvorav noen ikke kan stoppes uten å forårsake ustabilitet i systemet. Den user32.dll filen brukes også av prosesser som er automatisk startet av systemet når du logger deg på. Dette betyr at filene er lastet i AppInit_DLLs verdien vil bli lastet veldig tidlig i Windows oppstart rutine at DLL å skjule seg eller beskytte seg selv før vi har tilgang til systemet
registernøkkel. HKEY_LOCAL_MACHINE \\ Software \\ Microsoft \\ Windows NT \\ Currentversion \\ Windows Anmeldelser ShellServiceObjectDelayLoad - Dette registeret verdi inneholder verdier på en lignende måte som Run-tasten gjør. Forskjellen er at i stedet for å peke på selve filen, peker det til CLSID er InProcServer, som inneholder informasjon om den aktuelle DLL-filen som blir brukt.
Filene under denne nøkkelen er lastet automatisk av Explorer.exe når din datamaskinen starter. Fordi Explorer.exe er skallet for datamaskinen, vil det alltid starte, og dermed alltid å laste filene under denne nøkkelen. Disse filene er derfor lagt tidlig i oppstartsprosessen før menneskelig inngripen skjer
registernøkkel: HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Currentversion \\ ShellServiceObjectDelayLoad Anmeldelser SharedTaskScheduler - Dette avsnittet tilsvarer filene blir lastet via SharedTaskScheduler registerverdi. for XP, NT, 2000 maskiner. Oppføringene i denne registerverdien kjøres automatisk når du starter windows
registernøkkel. HKEY_LOCAL_MACHINE \\ SOFTWARE \\ Microsoft \\ Windows \\ Currentversion \\ Explorer \\ SharedTaskScheduler
Følgende er filer som programmer kan autostart fra ved oppstart:
1. c: \\ autoexec.bat 2. c: \\ config.sys 3. windir \\ wininit.ini - Vanligvis brukes av installasjonsprogrammer å ha en fil løpe en gang og deretter bli slettet. 4. windir \\ Winstart.bat 5. windir \\ win.ini - [windows] " last " 6. windir \\ win.ini - [Windows] " drevet " 7. windir \\ system.ini - [boot] " shell " 8. windir \\ system.ini - [boot] " SCRNSAVE.EXE " 9. windir \\ dosstart.bat - Brukes i Win95 eller 98 når du velger " Start på nytt i MS-DOS-modus " i avslutningsmenyen. 10. windir \\ system \\ Autoexec.nt 11. windir \\ system \\ Config.nt
Selv om det er godt å vite disse detaljene, hvis du bare trenger et program for å raskt skanne disse tastene og produsere en liste for deg, kan du bruke Sysinternals Autoruns program. Mens du er på dette området, bør du bla gjennom noen av de andre gode hjelpemidler Anmeldelser - Lawrence Abrams piper Computer Microsoft Concepts Series BleepingComputer.com. Computer Support & Opplæringsprogrammer for begynnelsen datamaskin brukeren.