Позвольте представить - Менеджер автозапуска "OSAM" (Online Solutions Autorun Manager), с помощью которого можно определить наличие в системе скрытых процессов, троянов и произвести их удаление. Из плюсов - имеет анализатор достоверности происхождения запущенных процессов (технология, схожая с технологией "Инсайт", применямой в продуктах Нортон 2009), переход из окна программы в поисковую систему "Гугл" для получения информации о ключах реестра и файлах, создание удобочитаемого отчета в формате *.html. Ниже рассмотрим пример работы программы, а пока, - описание с оф. сайта.

OSAM является мощным и надежным инструментом для контроля за "чистотой" автоматически загружающихся или запускающихся в определенных условиях (без ведома пользователя) программ и компонентов.

С помощью менеджера "OSAM" можно сразу же, сделав всего лишь один клик мышью, получить полную и достоверную информацию обо всех компонентах, которые стартуют вместе с системой и тем или иным образом могут влиять на ее функции.

Скриншоты:

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Функциональные возможности:

поддержка практически всех известных способов автоматической загрузки через системный реестр или специальные каталоги;
автоматическое определение "особенностей" настроек конкретной системы пользователя;
проверка цифровых подписей файлов;
цветовое выделение статусов файлов для быстрого и наглядного восприятия;
фильтрация по статусам обнаруженных объектов;
поиск по маскам, используя любой из параметров, во всех режимах отображения;
вывод дополнительной информации для каждого типа объекта;
вывод полной информации о файлах, проверка их наличия и возможности доступа к ним;
временное отключение объектов реестра или файлов без создания каких-либо дополнительных ключей или подпапок;
генерация файла отчета двух видов (текстовый и html) со всей информацией об автозагрузке. Уникальные возможности:

противодействие руткитам (rootkits) путем обнаружения скрытых ключей и записей в реестре, благодаря технологии прямого разбора данных реестра без использования системных функций ОС;
полноценная поддержка удаления и восстановления LSP-фильтров (Layered Service Provider) с перестройкой цепочки провайдеров;
поддержка NSP-провайдеров (Namespace Provider) с перестройкой цепочки провайдеров. Преимущества:

абсолютно бесплатное приложение!
группировка по файловым объектам позволяет сразу же найти все ссылки на автоматическую загрузку какого-либо конкретного файла;
постоянное пополнение информации о возможных способах автозагрузки, посредством анализа "дикого" (in-the-wild) вредоносного ПО;
полная поддержка unicode (любых национальных символов, имен файлов и записей в реестре);
поддержка визуальных тем (skins) для тех пользователей, кому не безразлично, как именно выглядит их любимая программа.Совместимость:
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
Microsoft Windows VistaДомашняя страница OSAM: Autorun Manager v4.0 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Скачать:

Установочный пакет OSAM: Autorun Manager v4.0 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Переносимая (Portable) версия OSAM: Autorun Manager v4.0 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Итак, будем исходить из того, что Вы установили Online Solutions Autorun Manager (OSAM) или в наличии есть его portable-версия.

1. Запускаете OSAM и жмете кнопку "Настройки" в верхнем меню программы:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

2. В открывшемся окне настроек необходимо изменить значение параметра "Отключить объекты, использующие драйвер" на вариант "Всегда", как это показано ниже:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

3. Теперь просмотрите список объектов и найдите среди них подозрительные DLL-файлы по следующим ключам реестра:
Internet Explorer section:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Winlogon section:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Explorer section:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
Подозрительные DLL-файлы содержат случайный ("бредовый") набор символов в своем имени и примерно выглядят так: nnnkLcCU.dll, opNdccDV.dll, hgGxyXQH.dll, yfcfqtfd.dll, cbxvttsR.dll, pmnkLCSk.dll. Все они должны располагаться в системной директории WINDOWS\system32

Используйте OSAM Online Malware Scanner, если не уверены в правильности выбора. Сканер покажет доверенные приложения, уровень риска, зараженные и подозрительные процессы / приложения и т. д.:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

4. Отключите Trojan-записи путем снятия флажков рядом с именами этих файлов;

5. После того, как отключите необходимые элементы, нажмите кнопку "ОК":

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вы увидите список отключенных пунктов (нажмите кнопку "Закрыть"), и затем отобразится следующее сообщение:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нажмите кнопку "Перезагрузить сейчас".

После того как ваш компьютер будет перезагружен, Vundo TROJAN можно считать обезвреженным.

6. Запустите OSAM заново - вы увидите отчет об удаленных файлах.
7. Нажмите кнопку "Настройки", чтобы изменить значение параметра "Отключить объекты, использующие драйвер" в положение "Только для неудаляемых объектов".
8. Также вы можете использовать функцию "Переход к файлу" для удаления троянских неактивных файлов:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

9. Затем используйте функцию "Удалить из хранилища" для удаления неактивных пунктов из списка объектов автозагрузки:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Примечание: обратите внимание на меню фильтр, позволяющее оставить для показа только зараженные файлы, как это показано на изображении, или иным способом:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Краткая схема действий:

1. Отключаем вирусный объект в OSAM'е.
2. Перезагружаем компьютер.
3. Удаляем отключенный файл с диска.
4. Удаляем отключенный объект в OSAM'е (функция "Delete from storage").

Подробная схема действий:

1. Запустите OSAM и дождитесь, пока его сканирование закончится. OSAM выведет вам список всех файлов, запускающихся на вашей системе автоматически.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

2. Вам также будет предложено просканировать все автоматически запускающиеся файлы на вирусы (подробнее о функции онлайн сканера здесь ([Ссылки могут видеть только зарегистрированные и активированные пользователи])). Это облегчит обнаружение вирусов, так как большая часть файлов сразу же приобретет статус Trusted ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), что позволит автоматически исключить их из списка подозреваемых объектов.

После этого вы также можете нажать на кнопку "Filters" (6-ая по счету кнопка в верхнем меню программы) и временно отключить вывод неопасных файлов, убрав галочки рядом со статусами Trusted, Checked:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Тогда все доверенные/проверенные файлы пропадут из списка и не будут вам мешать в процессе поиска вредоносных.

3. Файлы со статусом Unknown [Ссылки могут видеть только зарегистрированные и активированные пользователи] (неизвестные файлы).

Среди них могут быть как нормальные файлы, так и вирусные. Поэтому, если вы до конца не уверенны в их надежности, попробуйте просто пересканироваться через какое-то время - ваши неизвестные файлы будут также добавлены в базу (либо доверенных программ, либо вредоносных).

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

4. Теперь пройдитесь по всему списку файлов и отключите вредоносные объекты, убрав рядом с ними галочку (вредоносные объекты отмечены статусом Malware [Ссылки могут видеть только зарегистрированные и активированные пользователи]).
И затем нажмите на кнопку "Apply":

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Если у вас несколько вредоносных объектов, то в некоторых случаях очень важно не нажимать кнопку Apply, пока вы не убрали галочку рядом со всеми из них. Так как, если какой-либо компонент вируса останется активным, он снова может восстановить все остальные.

5. После этого перезагружаем компьютер.
После чего, вирус больше не будет активен.

6. Снова запускаем OSAM и удаляем отключенные, уже не активные файлы вируса с диска.

Для того, чтобы их было проще найти, можно воспользоваться одной из функций OSAM'а, кликнув по отключенному объекту правой кнопкой мыши и выбрав в контекстном меню "Jump to file":

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Автоматически откроется папка с необходимым нам файлом - удаляем его.

7. Осталось удалить отключенные объекты из списка OSAM'а (так как он сохраняет всё, что вы отключили, на случай, если вы захотите когда-нибудь что-то восстановить).

Для удаления нужно кликнуть по отключенному объекту правой кнопкой мыши и выбрать в контекстном меню "Delete from storage":

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Вам нужна функция удаления через драйвер.

Перед тем, как отключать вирусные объекты (пункт 4 подробной инструкции выше), сделайте следующее:

Зайдите в настройки OSAM'а и нажмите на кнопку "Settings" в его верхнем меню:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

И измените опцию "Disable objects using the driver" на вариант "Always":

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Далее всё делаем так, как описано выше, с той лишь разницей, что после нажатия на кнопку "Apply" вы увидите окно со списком всех отключаемых вами объектов (чтобы вы могли еще раз удостовериться в том, что не выбрано ничего лишнего). И затем - сообщение с предложением о перезагрузке:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нажимаем на "Reboot now" (после чего компьютер автоматически перезагрузится).

В последней версии OSAM была реализована дополнительная функция проверки системы на присутствие в ней автозагружающихся вирусов и вредоносных программ. Эта функция позволяет проверить все приложения вашей автозагрузки на вирусы. А также отправить файлы, вызвавшие у вас подозрение, на их анализ, чтобы помочь вам принять правильное решение по поводу их нужности или удаления.

Как это работает

После сканирования вы увидите окошко, предлагающее проверить все файлы с помощью онлайн сканера.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Нажмите Next, если вы хотите воспользоваться этой возможностью (или Cancel, чтобы отменить эту проверку). OSAM выведет список ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) всех файлов вашей автозагрузки (если какие-то файлы вы проверять не хотите - уберите около них галочку). На данном этапе сами файлы не отсылаются, они лишь сверяются с теми, которые уже есть в антивирусной базе. Поэтому продолжительность процесса проверки - несколько секунд (и трафика при этом используется минимально).

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Когда прогресс дойдет до конца и кнопка Next опять загорится, статусы файлов в колонке Risk изменяться в соответствии с полученными результатами ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Если же какие-то файлы не были найдены в базе, и у них остался статус Unknown (неизвестный), OSAM предложит ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) вам отправить их уже на глубокий анализ.
Снова жмем Next, чтобы посмотреть список ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) отправляемых файлов (он будет уже ощутимо меньших размеров; и размер собранного архива указан после слов Expected size:...). Нажимаем Next для отправки ([Ссылки могут видеть только зарегистрированные и активированные пользователи]).
Через некоторое время вам останется только обновить результаты для файлов, оставшихся в списке с неизвестным статусом (Unknown или Not checked). Это можно сделать, например, кликнув по нужному файлу правой кнопкой мыши и выбрав в контекстном меню пункт: Scan using Online Malware Scanner. Либо повторив процедуру, описанную выше.



Если вы хотите проверить/отправить один или несколько файлов

Кликните по нужному файлу правой кнопкой мыши и выберите в контекстном меню пункт: Scan using Online Malware Scanner.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Чтобы проверить подобным образом несколько файлов: отметьте нужные в списке, удерживая клавишу Ctrl.



Где находится информация о найденной вредоносной программе

Помимо индикатора красного цвета около самого файла ([Ссылки могут видеть только зарегистрированные и активированные пользователи]), более подробная информация появится в деталях этого файла, в новом разделе Malware Scan Information:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Поэтому перед удалением вредоносного файла, лучше туда всё-таки заглянуть: аналитик в некоторых случаях может оставить там свои рекомендации. Например, отметить, что этот вирус распространяется через USB-флешки (чтобы вы знали о том, что, возможно, вам нужно вылечить вашу флешку) или, если это файловый вирус, заражающий исполняемые файлы системы (Hidrag, Sality, Polipos и пр.), вы бы знали о том, что у вас, скорее всего, заражено много программ, а не только те, которые есть в автозагрузке, и что вам нужно их вылечить, а не удалить.



Как отключить автоматическое предложение о проверке файлов

Откройте настройки программы: кнопка Settings в верхнем меню OSAM.
И снимите галочку для пункта: Ask for Online Malware Scanning.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Также нужно отметить, что в плане удобства использования онлайн сканер еще не доработан. В ближайшее время разработчики постараются усовершенствовать процесс этой проверки и сделать его более понятным для пользователя.

В новой версии OSAM стала доступной функция: "Dump file as", которую можно найти для каждого файла в контекстном меню по правой кнопке мыши:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Эта функция позволяет сохранить копию любого файла в любое желаемое для вас место, даже в тех случаях, когда файл активно скрывается (т. е. не виден с помощью проводника: Explorer'а, FAR'а, Total Commander'а и прочих файловых менеджеров) или открыт на эксклюзивный доступ (т.е. заблокирован системой и его нельзя открыть, скопировать, посмотреть свойства и т.п.). Разумеется, копия скрывающегося файла после такого сохранения уже будет видна и доступна в любом проводнике.

Визуально это работает примерно так же, как работает "Сохранить как..." в любой другой программе. К сохраненным таким образом файлам автоматически добавляется расширение .dmp, которое вы можете в любой момент поменять на настоящее расширение файла (.exe, .dll, .sys...). Так как, не смотря на измененное расширение и "страшное" слово dump, сам файл никак не изменяется.

Также нужно отметить, что если вы сохраняете с помощью этой функции компонент руткита, в некоторых случаях лучше назвать файл каким-нибудь нейтральным именем (например: virus, malware, [Ссылки могут видеть только зарегистрированные и активированные пользователи] xxx). Потому что некоторые руткиты скрывают свои файлы/папки не по конкретному пути, а используя "маски" своих собственных имен.

Как пример: активный HackerDefender таким способом скрывает все файлы с именем hxdef100. И если вы переименуете любой нормальный файл на hxdef100 (даже не важно с каким расширением) - этот файл тоже станет невидимым, хотя к вирусу он не имеет никакого отношения.

Для чего это нужно

Суть этой функции отражает само название данного топика: доступ к заблокированным и скрытым файлам.

Как пример: если у вас установлен Alcohol 120% или Daemon Tools, то, возможно, вы уже задавались вопросом, что это за файл sptd.sys, который нельзя скопировать, открыть, посмотреть его свойства, отослать на virustotal, в вирлаб и т. п... Теперь, с помощью OSAM, вы легко можете сделать копию этого файла и затем проанализировать его так, как вы бы этого хотели.

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи]) [Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

23.10.2008 7:34:10 Фильтр HTTP файл [Ссылки могут видеть только зарегистрированные и активированные пользователи] - вероятно модифицированный Win32/Packed.Themida При скачке портейбл версии НОД хричит))))
З.Ы. Not found files(голубенькие) можно смело отключать?

Бальзам,
1. NOD32 дает 100% фолс. Что тут посоветовать? Только отправить файл в вирлаб, чтобы пофиксили;

2. "Смело" ничего отключать не стоит, иначе рискуешь не загрузиться в очередной раз. По сути - это вмешательство в реестр, а в него без нужды - лучше не лезть, а уж "не зная броду"... и подавно. В любом случае крайне не рекомендуется трогать разделы, которые отметил "красным":

[Ссылки могут видеть только зарегистрированные и активированные пользователи] ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

georgy_n, поясню вопрос, я перевёл название голубеньких файлов, как "не найденные файлы". Хотел уточнить где они не найдены - в реестре или в базе OSAMa/ Если это пустые записи реестра или записи без соответствия, то их можно(вроде) отключить. Если это записи, которым не найдено соответствие в базе, тогда лучше не трогать. Проясниш ситуацию, в хелпе что-то не нашёл сразу?

NOD32 дает 100% фолс. Что тут посоветовать? Только отправить файл в вирлаб, чтобы пофиксили Откровенный оффтоп, если честно, но
Themida - коммерческая утилита-протектор. Ее цель - защитить программный код от его изучения, модификации, взлома путем запутывания. Если исходный код, написанный программистом, и полученный после компилляции, относительно легко читаем в программе-дизассемблере (соответственно, его легко изменить, "взломать"), то тот же код, обработанный Themida, превращается в "кашу", разобраться в которой довольно трудно.


Применяя Themida автор полезной программы может существенно усложнить ее взлом, защитив тем самым свою программу от пиратства.

Автор вируса обрабатывает свое творение с другой целью: чтобы получить вредоносный код, распознать который антивирусу будет очень сложно. Таким образом реализуется обфускация кода.

Алгоритм "распутывания" сложен, да и сама дешифровка занимает относительно много времени.
Некоторые антивирусы поддерживают Themida и могут добраться до распутанного содержимого, а некоторые поступают проще: по некоторым признакам определяют, что файл обработан Themida, и автоматически называют его вредным, не осложняя себе жизнь анализом собственно содержания файла. Так что НОД преудпреждает, что мы на свой страх и риск пропускаем данный архив)))

1. Если вы видите в списке файлов автозагрузки компоненты программы, которую вы какое-то время назад деинсталлировали/удалили - смело от них избавляемся. Так как очень многие программы "любят" оставлять после себя самые различные свои файлы и записи в реестре. И нет никакой необходимости тратить на их обработку ресурсы системы.

2. В первую очередь стоит обратить внимание на объекты раздела Internet Explorer, на ряд объектов раздела Logon (если точнее: на ключи Run и папки StartUp) + на то, что запускается в качестве служб - раздел Services. Это наиболее распространенные способы автозагрузки, когда речь идет о нормальных приложениях и программах.

Раздел Logon. Ключи Run.
Наиболее частоиспользуемые из них:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunИ сюда очень любит прописываться то, что в последствии находится в области трея:

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Многие из этих программ абсолютно бесполезны и редко кем-либо используются (различные ассистенты, помощники и приложения для дополнительных настроек, принадлежащие самому разнообразному софту); некоторые системные утилиты, будучи запущенные однажды и оставшиеся тут "навечно" (например, KernelFaultCheck); апдейтеры некоторых программ, проверяющие наличие обновлений (например, RealPlayer, Sun Java, Google); различные "напоминалки" (например, о том, что вам в ближайшее время нужно зарегистрировать какой-либо софт); интерфейс вашего антивируса, файрволла или др. программ, связанных с безопасностью; переключатель языковой раскладки клавиатуры (ctfmon.exe [Ссылки могут видеть только зарегистрированные и активированные пользователи] или то, что его у вас заменяет: например, Punto Switcher); а также огромное количество программ, которые с тем же успехом можно вполне запускать вручную, и только тогда, когда они вам действительно необходимы. Например, мне сложно понять, для чего каждый раз при загрузке системы запускать Nero Home или SnagIt. Неужели они так необходимы на протяжении всего времени, когда вы находитесь за компьютером? Еще можно понять автоматический запуск различных мессенджеров и почтовых программ (хотя я и тут приверженница того, чтобы их точно также запускать только тогда, когда они мне нужны).

Даже, если вы отключите все программы, которые прописаны в ключах Run - с системой ничего страшного случиться не может. И помните, что в случае, если что-либо из отключенного вам снова когда-нибудь вдруг понадобится запускать автоматически, вы легко сможете включить это обратно.

- Вполне допустим вариант оставить здесь только программы, связанные с безопасностью (антивирус/файрволл) и переключатель раскладки клавиатуры.

Раздел Logon. Папки StartUp.
В этих папках обычно лежат .lnk-файлы (ярлыки), опять-таки на самый разнообразный софт (см. ключи Run). Просмотрите весь список и просто решите, что вам необходимо при каждой загрузке системы, а что нет. Если в чем-либо сомневаетесь - не стесняйтесь спрашивать.

Раздел Services (службы).
На тему служб когда-то писала материал для софтбордовского журнала, и он есть вот тут:

Службы Windows, влияющие на безопасность системы
Там кратко описано то, что вообще из себя представляют службы, что и как можно и даже желательно отключать.
Правда, речь там о службах Microsoft, без упоминания каких-либо посторонних. Поэтому всё-таки советую также пройтись глазами по всему списку служб, установленных и работающих на вашем компьютере.
Обычно, из лишнего (из необязательно нужного всем) здесь встречается следующее:

- Различные "License"-службы различных компаний (Adobe, Macromedia, Autodesk и пр.) проверяющие не установлено ли у вас пиратские копии их программного обеспечения.

- Службы, отвечающие за обновления каких-либо продуктов (например, Google).

- Различные службы, появляющиеся после установки расширенных драйверов для аппаратного обеспечения: звуковой и видеокарты, мыши, клавиатуры и пр. (NVIDIA, ASUS, Logitech, ATI, Intel, Creative и пр.) и, как показывает практика, отключение многих из них никак не влияет на работу системы.
Службы (если они не являются вредоносными) лучше отключать через соответствующее системное приложение (services.msc) - так, как это описано здесь. И опять-таки не забывайте, что вы всегда при желании можете включить всё обратно, если когда-нибудь вам это понадобится. И в случае, если вы боитесь что-либо вот так отключать - не бойтесь уточнить любые подробности здесь.

Раздел Internet Explorer
Очень многие из компонентов IE загружаются при старте системы, даже если вы используете альтернативный браузер (Firefox, Opera, Safari). Происходит это из-за того, что Internet Explorer является встроенным браузером в Windows, и он слишком сильно связан с её проводником (попробуйте вместо пути к какой-либо директории ввести в строку проводника адрес любого веб-сайта и нажать ENTER).

Ключи, на которые стоит обратить внимание:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar
HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units
HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions
HKCU\SOFTWARE\Microsoft\Internet Explorer\Extensions
Browser Helper Objects (BHO) и Toolbar - различные панели (тулбары), расширения и плагины браузера. Часто устанавливаются вместе с программным обеспечением, в качестве дополнений. Особенно можно отметить здесь различные поисковые системы (Yahoo, Yandex, Mail.Ru, Rambler, Google и пр.). Не бойтесь удалять их, если они вам не нужны (например, многие оставляют тут только плагин от Adobe Acrobat Reader, для просмотра .PDF файлов).

Distribution Units - программы, установленные через Active-X (пример Active-X установки), как правило, они в последствии находятся в директории WINDOWS\Downloaded Program Files. Например, используются при обновлении Windows через сайт Microsoft, системой webmoney, "одноразовыми" антивирусными он-лайн проверками.

Extensions - различные нестандартные и стандартные кнопки/сервисы на главной панели IE.
По сути, в этих ключах IE можно со спокойной душой отключить всё, оставив только то, что вам действительно нужно (тем более, если вы обычно пользуетесь другим браузером).

3. Немного внимания также стоит уделить записям, подсвеченным голубым цветом (статус "File not found", либо "COM-object registry key not found" - файл или COM-объект не найден - есть только запись в реестре или оставшийся от этого файла ярлык).
Большинство из этих записей можно смело отключать, не боясь причинить вред операционной системе.

- Так как большинство антивирусов не удаляет записи в реестре, оставленные вирусами, на некоторых системах таких вот "голубых" объектов может быть огромное количество (не волнуйтесь, без файлов они не опасны). Но на которые Windows точно также вынуждена тратить небольшое время (так как ей точно также нужно эту запись/ярлык прочитать и попробовать найти искомый файл).

- Также, для примера, подобные голубые строки в разделе Drivers - это в большинстве случаев, драйвера, которые прописываются при установке системы, но не используются ею, если у вас нет соответствующего аппаратного обеспечения.

[Ссылки могут видеть только зарегистрированные и активированные пользователи]

Например, lbrtfdc.sys - это драйвер Toshiba Libretto floppy controller (Toshiba Corp.). Прописывается автоматически (даже если ваш компьютер не от Toshiba) по причине того, что без этой записи Windows намертво зависает на компьютерах Toshiba после своей установки.

Для верности желательно убедиться в том, что у вас действительно нет на диске соответствующего файла или же узнать, для чего использовалась ваша "голубая" запись (вы опять-таки можете сделать это прямо тут, на форуме).

4. Также обратите внимание на .job-файлы (объекты раздела Common > %SystemRoot%\Tasks - задания планировщика Windows). Была поражена насколько часто она бывает не пустая! И наиболее частовстречающиеся здесь файлы:

AppleSoftwareUpdate.job
GoogleUpdateTaskUser.job
Проверка обновлений для Windows Live Toolbar.job

Также отключите то, что вам не нужно.

5. На всякий случай несколько опасных мест, которые трогать очень нежелательно(!):

Раздел Boot Execute - ни в коем случае не отключайте файл autochk.exe (команда для него в реестре выглядит следующим образом: autocheck autochk *) - в противном случае ваша система может больше не загрузиться.

Раздел Common - не трогайте, прописанную здесь по умолчанию ассоциацию к .exe-файлам
(ключ: HKLM\SOFTWARE\Classes\exefile\shell\open\command, запись: {Default}="%1" %*) - в противном случае система больше не сможет запускать файлы с расширением exe.

Раздел Logon - без особой на то необходимости не трогайте объекты Shell и Userinit
(по умолчанию: Userinit=C:\WINDOWS\system32\userinit.exe, Shell=C:\WINDOWS\Explorer.exe) - опять-таки рискуете не загрузить систему.

Раздел Drivers - будьте очень аккуратны с системными драйверами и драйверами вашего аппаратного обеспечения.

Также будьте очень осторожны в разделах: Winlogon, Winsock Providers, Network Providers, LSA Providers.

Так что НОД преудпреждает, что мы на свой страх и риск пропускаем данный архив)))
Я бы сказал, словами автора - NOD32 не утруждает себя анализом содержимого ;-)

я перевёл название голубеньких файлов, как "не найденные файлы". Хотел уточнить где они не найдены - в реестре или в базе OSAMa/ Если это пустые записи реестра или записи без соответствия, то их можно(вроде) отключить. Если это записи, которым не найдено соответствие в базе, тогда лучше не трогать. Проясниш ситуацию, в хелпе что-то не нашёл сразу?Ты перевел совершенно верно. Записи есть в реестре, но нет самих файлов в наличии. У меня таких файлов было с десяток, их отключение к краху системы не привело, тьфу-тьфу-тьфу :-):pivko:

Большинство из этих записей можно смело отключать, не боясь причинить вред операционной системе. О, вот это я и хотел услышать)))))

11 сенября компания Online Solutions представила 5-ю версию Online Solutions Autorun Manager.

Совместимость:


Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows 2003
Microsoft Windows Vista
Microsoft Windows 2008
Microsoft Windows 7

Скачать:

Установочный пакет OSAM: Autorun Manager v5.0 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])

Переносимая (Portable) версия OSAM: Autorun Manager v5.0 ([Ссылки могут видеть только зарегистрированные и активированные пользователи])