Компьютер только включился, а он уже тормозит. Вентиляторы шумят, мышь двигается с задержкой, а диспетчер задач показывает 80% занятой оперативной памяти. Знакомая картина? Самое обидное, что в списке запущенных программ — только браузер и пара иконок в трее. Куда уходят гигабайты?
Ответ прост: в тайную автозагрузку. Это те программы, которые не светятся в стандартном списке автозагрузки, но исправно стартуют вместе с Windows и пожирают оперативку. Они маскируются, прячутся в системных службах, планировщике задач и глубоких уголках реестра. Сегодня снимем с них маски и отправим в нокаут.
🔥 Больше секретов Windows и лайфхаков для ускорения ПК — в нашем канале «Не баг, а фича». Подписывайтесь, чтобы не пропустить новые разборы!
👉 МАХ | Telegram
Почему программы прячутся в автозагрузке
Разработчикам выгодно, чтобы их творение висело в памяти постоянно. Мессенджеры хотят мгновенно доставлять уведомления, обновляторы — проверять новые версии, драйверы — ждать подключения устройств. Но есть и те, кто прячется намеренно: рекламные модули, шпионские агенты, трояны. Они маскируются, чтобы пользователь не смог их отключить.
По данным Microsoft, существуют десятки легитимных способов запустить программу автоматически, не используя стандартную папку автозагрузки или раздел реестра Run . И каждый из этих способов может быть использован как полезным софтом, так и вредоносным.
Топ-5 тайных убежищ автозагрузки
1. Планировщик задач (Task Scheduler)
Самое популярное место для скрытого запуска. Через планировщик можно настроить старт программы при загрузке системы, при входе пользователя, при подключении питания или даже при простаивании компьютера.
Как работает: Программа создает задачу с триггером "At system startup" или "At logon". При этом в списке автозагрузки в диспетчере задач она не отображается. Многие легитимные обновляторы (Google Update, Adobe Updater) используют именно этот метод.
Опасность: Планировщик позволяет запускать программы с повышенными привилегиями, от имени системы, что делает его идеальным инструментом для маскировки шпионов .
2. Службы Windows (Services)
Службы — это программы, которые стартуют до входа пользователя в систему. Они работают в фоне и не имеют интерфейса. Некоторые программы маскируются под системные службы, чтобы оставаться незамеченными.
Как работает: Программа регистрирует себя как службу с типом запуска "Автоматически". После перезагрузки она стартует еще до появления рабочего стола и висит в памяти, потребляя ресурсы.
Пример из практики: В обсуждениях на GitHub пользователи жаловались на программу winws.exe, которая создавала службу zapret dpi bypass с автоматическим запуском. Даже когда пользователь вручную отключал службу, после перезагрузки тип запуска снова становился автоматическим . Такое поведение — верный признак того, что программа не хочет, чтобы её отключали.
3. Ветки реестра RunOnce и RunServices
Стандартный Run знают многие. Но есть и скрытые разделы:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce — программы, которые запускаются один раз при следующей загрузке, а затем удаляются из списка.
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices — запуск программ в качестве сервисов еще до входа пользователя.
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce — то же самое, но для текущего пользователя.
Особенность: RunOnce удобен для установщиков — программа запускается один раз после перезагрузки, делает свои дела и самоуничтожается. Но этим же пользуются и шпионы, которые после первой загрузки переписывают себя в другое место .
4. Параметры Winlogon и Userinit
Это уже высший пилотаж маскировки. В реестре есть ключи, отвечающие за запуск критических системных процессов. Если прописать туда свою программу, она будет грузиться вместе с самой системой.
Где искать:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
По умолчанию там прописан userinit.exe,. Но злоумышленники могут добавить через запятую свою программу . В результате она будет запускаться при каждой загрузке, и стандартные утилиты её не покажут.
Что такое Userinit: Это программа, которая инициализирует пользовательскую среду при входе в систему. Если туда добавить вредоносный код, он получит те же права, что и сам Windows.
5. AppInit_DLLs — скрытая загрузка библиотек
Самый коварный метод. В реестре есть параметр HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppInit_DLLs. В него можно прописать путь к DLL-библиотеке, которая будет загружаться во все процессы, использующие библиотеку User32.dll .
Последствия: Любая программа, которая работает с графическим интерфейсом (а это практически всё), будет загружать эту DLL. Вы не увидите отдельного процесса в диспетчере задач, но память будет утекать, а процессор — греться. Исследователи шпионского ПО описывали случай, когда вредоносная библиотека qwe7972.dll грузилась именно через AppInit_DLLs и писала зашифрованные данные в INI-файл .
Где еще прячутся программы
- Папка автозагрузки в скрытой локации. Сама папка Startup существует, но находится глубоко: C:\Пользователи\Имя\AppData\Roaming\Microsoft\Windows\Главное меню\Программы\Автозагрузка . Туда можно положить ярлык, и программа запустится, но в стандартном списке автозагрузки она может не отображаться.
- Драйверы. Некоторые программы устанавливают свои драйверы, которые грузятся на самом раннем этапе загрузки системы. Обычный пользователь их никогда не увидит.
- Browser Helper Objects (BHO). Это надстройки для браузера, которые грузятся вместе с Internet Explorer и могут висеть в памяти, даже если браузер закрыт.
Как найти всех скрытых вампиров
Стандартный диспетчер задач и msconfig показывают лишь верхушку айсберга. Для полноценной охоты нужно тяжелое вооружение.
Autoruns от Sysinternals
Это лучшее оружие против скрытой автозагрузки. Программа сканирует все возможные места запуска: от реестра до планировщика задач, от драйверов до кодекоа . Она показывает даже те программы, о существовании которых вы не подозревали.
Как пользоваться: Скачать с официального сайта Microsoft, запустить от имени администратора, подождать сканирования. Программа выдаст список из сотен позиций. Нужно снять галочки с тех, что вызывают подозрение. Autoruns подсвечивает разные цвета: желтым — те, что не от Microsoft, розовым — те, у которых нет цифровой подписи.
Process Explorer
Еще один инструмент от Sysinternals. Позволяет увидеть иерархию процессов и посмотреть, какие именно DLL загружены в каждый процесс. Если обнаружите, что explorer.exe загружает подозрительную библиотеку из папки Temp — это повод бить тревогу.
Встроенный диспетчер задач (расширенный режим)
В Windows 10 и 11 в диспетчере задач есть вкладка "Автозагрузка". Там видна лишь часть программ. Но если перейти на вкладку "Подробности" и добавить столбец "Имя пользователя", можно увидеть процессы, запущенные от имени SYSTEM — это часто службы и скрытые компоненты.
Планировщик задач
Запустите taskschd.msc и пройдитесь по библиотеке планировщика. Обратите внимание на задачи с триггерами "При запуске системы" и "При входе пользователя". Изучите, что именно они запускают. Если увидите задачу от неизвестного издателя, ведущую на странный исполняемый файл — отключайте смело.
Реестр вручную
Для особо подозрительных можно залезть в реестр:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
- HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run (для 32-битных программ на 64-битной системе)
Службы
Запустите services.msc и просмотрите список служб. Особое внимание на те, у которых тип запуска "Автоматически", а описание отсутствует или выглядит подозрительно. Проверяйте имя исполняемого файла — если он лежит не в System32, а в папке Program Files или, тем более, Temp, это подозрительно.
Реальные истории охоты
Случай с keylogger
Пользователь на форуме Microsoft описал ситуацию: программа-кейлоггер запускалась при старте Windows, но её не было видно ни в msconfig, ни в стандартных разделах реестра. Оказалось, она прописалась в параметр Userinit раздела Winlogon. После удаления оттуда проблема исчезла .
Случай с winws.exe
Пользователь GitHub обнаружил, что программа zapret создает службу, которая после каждого выключения и включения компьютера восстанавливает автоматический запуск, даже если пользователь вручную перевел её в ручной режим . Такое поведение характерно для программ, которые не хотят, чтобы их отключали.
Случай с qwe7972.dll
Исследователь шпионского ПО нашел на своем компьютере библиотеку с подозрительным именем, которая грузилась во все процессы через AppInit_DLLs и писала зашифрованные данные. Антивирус Нортон её не видел, только Касперский опознал угрозу .
🔥 Хотите получить готовый чек-лист по проверке всех 15 скрытых мест автозагрузки и научиться отличать системные процессы от шпионских?
👉 Присоединяйтесь: МАХ | Telegram. Только там выкладываем скриншоты с разбором реальных примеров!
Что можно отключить без страха
Не всё, что прячется, — зло. Многие системные службы тоже стартуют автоматически, но они нужны Windows. Однако есть кандидаты, которых можно смело отправлять в отставку.
SysMain (бывший Superfetch)
Служба, которая анализирует, какие программы вы чаще всего запускаете, и заранее грузит их в память.
На старых компьютерах с HDD и малым объемом ОЗУ она может приносить пользу. Но на современных SSD и при 16+ ГБ памяти она часто только жрет ресурсы. Отключение SysMain освобождает оперативку и снижает нагрузку на диск.
Как отключить: services.msc → найти SysMain → остановить → тип запуска — "Отключена".
Программы-обновляторы
Google Update, Adobe Updater, Apple Push — эти службы висят в памяти постоянно, хотя обновления проверяют раз в неделю. Можно отключить их автозагрузку, а запускать вручную раз в месяц.
Телеметрия и сбор данных
Windows собирает диагностические данные и отправляет их Microsoft. Это тоже скрытые службы, которые можно отключить через настройки конфиденциальности.
Безопасное отключение
Главное правило: не отключайте то, в чем не уверены. Если имя процесса выглядит как системное (например, svchost.exe), это еще не значит, что его можно трогать. svchost — это контейнер для множества служб, и отключение важной службы может привести к нестабильности.
Техника безопасного отключения:
- Сделайте точку восстановления системы.
- Отключайте по одной программе.
- Перезагружайтесь и проверяйте, всё ли работает.
- Если система загружается с ошибками — включайте обратно.
Для этого и нужен Autoruns: он позволяет отключать, а не удалять. В любой момент можно поставить галочку обратно.
Мифы о скрытой автозагрузке
Миф 1: Чистка реестра программами типа CCleaner удаляет всё лишнее.
Реальность: CCleaner чистит только самые известные ветки. Планировщик задач, AppInit_DLLs и Winlogon он не трогает.
Миф 2: Если программа не видна в автозагрузке, значит её там нет.
Реальность: Существуют десятки мест, где может прятаться программа. Отсутствие в стандартном списке ничего не гарантирует.
Миф 3: Антивирус покажет все скрытые программы.
Реальность: Антивирус ищет вредоносное ПО по сигнатурам и поведению. Легитимные программы, которые просто плохо написаны и жрут память, он не тронет.
Профилактика: как не допустить заселения скрытых вампиров
- Внимательно устанавливайте программы. Всегда выбирайте "Выборочную установку" и снимайте галочки с дополнительного ПО. Особенно это касается бесплатных утилит и "лекарств" из торрентов.
- Следите за разрешениями. Если программа просит права администратора без причины — это повод задуматься.
- Регулярно проверяйте Autoruns. Раз в месяц запускать сканирование и смотреть, не появилось ли новых подозрительных записей.
- Используйте встроенные средства Windows. В "Параметрах" → "Приложения" → "Автозагрузка" есть базовый список. Но для глубокой проверки нужен Autoruns.