App paths что это за программа

App paths что это за программа

  • Просмотров: 44 437
  • Автор: admin
  • Дата: 25-10-2012
  • У меня что-то происходит с компьютером, скачал в интернете фильм, который только вышел в кинотеатрах, в глубине души понимал, что-то тут не так, но очень хотелось посмотреть новинку. Не обратил внимания даже на то, что скачанный видеофайл весит очень мало – 137 КБ, при попытке посмотреть фильм, мой компьютер завис. Установленный в системе антивирус стал выводить сообщение о том, что в папке C:WindowsAppPatch найден вирус и предлагает его удалить, я соглашаюсь, через некоторое время опять возникает это же сообщение. Пытался эту странную папку C:WindowsAppPatch удалить совсем, но ничего не получается и что интересно, даже в безопасном режиме она не удаляется, всё заканчивается ошибкой. При этом система стала очень долго загружаться, так же не могу войти на некоторые сайты, к примеру в одноклассники — говорят неправильный логин или пароль, рассчитываю на вашу помощь.
  • Письмо № 2 Здравствуйте, скажите пожалуйста как мне быть, сегодня с утра на довольно странном сайте скачал всё же нужную для моей учёбы книгу, которая сейчас продаётся в книжных магазинах за довольно дорогую цену и попытался её открыть. Вдруг мой антивирус ругнулся на папку C:WindowsAppPatch и что-то там удалил, теперь при загрузке операционной системы Windows 7, выходит сообщение: Windows не удалось найти C:WindowsAppPatchhsgpxjt.exe. Операционная система тормозит и зависает, скриншот экрана с данной ошибкой посылаю вам по почте. В интернете нашёл информацию, что данная папка содержит вирусы и её нужно удалить, но удалить не получается даже в безопасном режиме, выходит ошибка. А на вашем сайте говорят, что удалять данную папку нельзя, так как она принадлежит операционной системе, разъясните всё пожалуйста.

Как удалить троян Win32/Spy.Shiz.NCF

Буквально вчера, один мой знакомый попросил меня помочь ему решить аналогичную проблему. Windows 7 моего приятеля во первых долго загружается, а во вторых работает с сильными зависаниями, установленный антивирус не обновлялся уже год, так как моему другу просто лень продлить подписку. Последним доводом для обращения моего приятеля ко мне стало то, что его жена не смогла попасть на сайт одноклассники.
Итак друзья в первую очередь при таких проблемах вы можете применить Восстановление системы или загрузить компьютер с антивирусного диска и просканировать всю вашу систему на вирусы, о том как скачать такой диск, прожечь на болванку и удалить вирусы из системы Windows, у нас есть несколько пошаговых статей: Как проверить компьютер на вирусы бесплатно, антивирусными дисками трёх различных производителей.
Мы же с вами попробуем удалить вирус вручную, так интереснее. Включаем компьютер моего друга, загрузка операционной системы на самом деле происходит довольно долго, вспомним первое правило вируса попасть в Автозагрузку, а затем уже производить свои деструктивные действия, мне кажется ему это удалось.
В первую очередь проверяем папку Автозагрузка, но в ней ничего нет
C:UsersИмя пользователяAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

Далее проверяем автозагрузку с помощью встроенной в Windows утилиты для управления автозапускаемыми программами, которая называется MSConfig, идём Пуск->Выполнить, набираем msconfig

и вот пожалуйста неизвестный элемент со странным названием userinit находится в Автозагрузке,

исполняемый файл находится по адресу

Данное название вируса matadd.exe случайно сгенерированное системой, можете не заострять на нём внимание, в вашем случае оно будет обязательно другим, но знайте, называется вирус на самом деле Win32/Spy.Shiz.NCF и представляет собой троянскую программу. Пройдём в данную папку и попытаемся его удалить, но к сожалению пока вирус активен у нас ничего не получится или вирусный файл вам удалить удастся, но он через пару секунд воссоздаст себя вновь.
В окне утилиты msconfig снимем галочку с данного элемента userinit,

то есть исключим его из Автозагрузки. К сожалению в большинстве случаев это не будет обозначать то, что вирус при следующей загрузке операционной системы не загрузит свои файлы вновь, так как вирусный файл из папки C:WindowsAppPatch нам удалить не удалось.

Для успешной борьбы с вирусом нам нужен помощник, который:

  • Во-первых сможет нам показать файл вируса находящийся в автозагрузке
  • Во-вторых покажет нам изменения внесённые вирусом в реестр

Полное описание работы с утилитой можно прочесть вот в этой нашей статье Автозагрузка программ в Windows 7
Единственное предостережение, в самом начале установки НЕ выбирайте полную установку, как рекомендуется, а выберите Настройка параметров и снимите галочки со всего, что вам не нужно, оставьте только на пункте Запустить AnVir Task Manager (рекомендуется) и Добавить иконку на рабочий стол.

После установки программы запускаем её и видим такую картину, вирусом в реестр внесено целых пять изменений. Снять галочки и тем самым удалить изменения произведённые вирусом в реестре не получается.

Давайте узнаем насколько вирус проник в нашу систему. Наводим мышь на имя вирусного ключа Load, щёлкаем правой мышью и выбираем в меню Перейти->Показать файл в проводнике

и сразу попадаем в нашу папку с вирусным файлом C:WindowsAppPatch matadd.exe .

Так же смотрим расположение записей вируса в реестре. Видим вирусная программа внесла свои изменения в два раздела реестра, смотрим подробно и сразу удаляем .
Щёлкаем правой мышью на созданном вирусом ключе Load и выбираем в меню Перейти->Открыть расположение записи в реестре.

Читайте также:  Телефон висит на загрузке

Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionWindows
Добавлено два ключа, удаляем их
Load REG_SZ C:WINDOWSapppatchmatadd.exe
Run REG_SZ C:WINDOWSapppatchmatadd.exe

Щёлкаем правой мышью на созданном вирусом ключе userinit и выбираем в меню Перейти->Открыть расположение записи в реестре

Раздел
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
Добавлен ключ, так же удаляем его
userinit REG_SZ C:Windowsapppatchmatadd.exe

При удалении созданных вирусной программой ключей реестра, вирус тут же попытается создать их вновь, о чём нас сразу предупредит наш AnVir Task Manager таким вот окном, нажмём Удалитьи защитим реестр.

Не будь у нас программы AnVir или подобной ей, мы бы никак не смогли воспрепятствовать созданию новых вирусных ключей в реестре.
После удаления данных записей в реестре, обратите внимание как выглядит наша Автозагрузка, в ней ничего кроме нашей программы AnVir Task Manager нет.

Но это ещё не всё друзья, сейчас нам нужно проверить весь реестр на название нашего вируса matadd.exe, щёлкаем на разделе реестра, который мы ещё не смотрели HKEY_LOCAL_MACHINE правой кнопкой мыши и выбираем Найти , вставляем поле поиска названия нашего вируса matadd.exe и жмём Найти далее

и такие ключи находятся в разделе реестра, ответственного за параметры загрузки операционной системы — Winlogon
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon

  • Примечание: Вирусом изменены ключи ответственные за загрузку системы, но совсем ключи system и userinit из реестра удалять как в предыдущих случаях нельзя, из них нужно удалить неверные параметры :

System REG_SZ C:WINDOWSapppatchmatadd.exe
Userinit REG_SZ C:Windowssystem32userinit.exe, C:WINDOWSapppatchmatadd.exe

Должно быть, вот так
System REG_SZ
Userinit REG_SZ C:Windowssystem32userinit.exe,

остальное удаляем и два наши параметра реестра должны выглядеть вот так.

После очистки реестра обязательно перезагружаемся и запросто удаляем вирусный файл matadd.exe из папки C:WINDOWSapppatch .

Так же просматриваем папки временных файлов, откуда очень часто запускают исполняемые файлы вирусы.

C:USERSимя пользователяAppDataLocalTemp, кстати из папки Temp удалите всё.

Корень системного диска, обычно (С:). Ну и конечно нужно проверить всю систему своим антивирусом. Или скачать антивирусную утилиту Dr.Web CureIt или антивирусными утилитами от Microsoft.

Теперь, можно сказать мы избавили нашу операционную систему от вируса, даже не прибегая к безопасному режиму. Если у вас не получится удалить вирусный файл из папки C:WindowsAppPatch, значит вы не полностью очистили реестр, что то пропустили.

. when altering one’s mind becomes as easy as programming a computer, what does it mean to be human.

четверг, 23 сентября 2010 г.

1.1: Регистрация приложений

Эта статья обсуждает, как приложения могут предоставлять системе информацию о себе, необходимую для задействования некоторых сценариев. Эта информация включает в себя информацию, необходимую для нахождения приложения, действия (verbs), которые поддерживает приложение, и типы файлов, которые приложение может обрабатывать.

Эта статья организована так:

  • Поиск исполняемого файла приложения
  • Регистрация приложения
  • Использование подключа реестра App Paths
  • Использование подключа реестра Applications
  • Регистрация действий (Verbs) и другой информации о файловых ассоциациях
  • Регистрация воспринимаемого (perceived) типа
  • Связанные темы
  • Примечание: Приложения также могут быть зарегистрированы в апплетах Панели управления Set Program Access and Computer Defaults (SPAD) и Set Your Default Programs (SYDP) Control Panels. Для получения информации о SPAD и SYDP — см. Guidelines for File Associations and Default Programs и Set Program Access and Computer Defaults (SPAD).

    Поиск исполняемого файла приложения

    Когда функция ShellExecuteEx вызывается с именем исполняемого файла в своём параметре lpFile, то она будет искать этот файл в нескольких местах. Мы рекомендуем вам зарегистрировать своё приложение в ключе реестра App Paths, чтобы вам не пришлось модифицировать переменную окружения PATH.

    Файл ищется в таких местах:

    • Текущий каталог.
    • Каталог Windows (без подкаталогов).
    • Каталог WindowsSystem32.
    • Каталоги, указанные в переменной окружения PATH.
    • (Рекомендуется) HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Paths (подключ реестра App Paths).

    Регистрация приложения

    Оба ключа реестра App Paths и Applications используются для регистрации и контроля поведения системы от имени приложений. Ключ App Paths является предпочтительным местом регистрации на компьютерах с Windows XP Service Pack 1 (SP1) и выше.

    Использование подключа реестра App Paths

    Приложение, которое устанавливается для всех пользователей компьютера, может быть зарегистрировано под ключом реестра HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionApp Paths. В Windows 7 и выше, приложение также может быть установлено только для одного пользователя регистрацией в ключе реестра HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionApp Paths.

    Записи под ключом App Paths в основном используются для таких целей:

    • Чтобы указать соответствие между именем исполняемого файла приложения и полным путём к приложению.
    • Чтобы добавлять информацию к переменной окружения PATH индивидуально для приложения и процесса.

    Если имя подключа App Paths соответствует имени файла, то Оболочка выполняет два действия:

    • Запись (Default) используется как полное имя файла.
    • Запись Path этого ключа добавляется к переменной окружения PATH этого процесса. Если это не требуется, то значение Path можно не задавать.

    Потенциальные проблемы, на которые нужно обратить внимание:

    • Оболочка ограничивает длину командной строки до MAX_PATH * 2 символов. Если в ключе реестра задано несколько файлов или их имена очень велики, то имена в конце списка могут быть потеряны, потому что командная строка будет усечена.
    • Некоторые приложения не принимают несколько имён файлов в командной строке.
    • Некоторые приложения, которые принимают несколько файлов, не распознают формат, в котором Оболочка передаёт их имена. Оболочка передаёт список параметров как строку с кавычками, но некоторые приложения ожидают строку без кавычек.
    • Не все элементы, которые таскаются мышью, являются частью файловой системы. Например — принтеры. У таких элементов нет обычного пути Win32, поэтому нельзя предоставить разумное значение параметра lpParameters функции ShellExecuteEx.
    Читайте также:  Крепление для груши боксерской своими руками

    Использование записи DropTarget помогает избежать этих потенциальных проблем, предоставляя доступ ко всем форматам буфера обмена, включая CFSTR_SHELLIDLIST (для длинных списков файлов) и CFSTR_FILECONTENTS (для объектов вне файловой системы).

    Чтобы зарегистрировать и контролировать поведение вашего приложения с помощью ключа App Paths, вам нужно:

    1. Добавить подключ к App Paths, имя которого будет совпадать с именем вашего исполняемого файла, как показано в примере:
    2. См. таблицу ниже для информации по записям в ключе App Paths:
    Запись в реестре Описание
    (Default) Полный путь к исполняемому файлу приложения. Имя приложения, указанного в записи (Default), может быть задано с или без расширения .exe. Если необходимо, то функция ShellExecuteEx добавит расширение, когда будет просматривать ключ App Paths. Запись имеет тип REG_SZ.
    DontUseDesktopChangeRouter Является обязательным для приложений-отладчиков, чтобы избежать взаимной блокировки (deadlock) при отладке процесса Проводника Windows. Однако установка записи DontUseDesktopChangeRouter приводит к несколько менее эффективной обработке уведомлений об изменениях. Запись имеет тип REG_DWORD с допустимым значением $1.
    DropTarget Является class identifier (CLSID). Запись DropTarget содержит CLSID объекта (обычно типа local server, а не in-process server), который реализует интерфейс IDropTarget. По-умолчанию, когда drop target является исполняемым файлом и значение DropTarget не указано, то Оболочка конвертирует список перетаскиваемых файлов в один параметр командной строки и передаёт его в функцию ShellExecuteEx через аргумент lpParameters.
    Path Предоставляет строку (в форме списка каталогов, разделённых точкой с запятой. Этот список добавляется к переменной окружения PATH, когда запускается приложение. Запись имеет тип REG_SZ. В Windows 7 и выше тип может быть REG_EXPAND_SZ, и часто является REG_EXPAND_SZ %ProgramFiles%.

    Примечание: В дополнение к распознаваемым Оболочкой параметров (Default), Path и DropTarget — приложение может добавлять свои значения к своему подключу в App Paths. Мы поощряем разработчиков приложений использовать подключ App Paths для указания специфичных для приложения пути и данных, вместо того, чтобы добавлять к глобальным данным системы.

    UseUrl Указывает, что ваше приложение может принимать URL (вместо имени файла) в командной строке. Эта запись должна указываться web-браузерами и любой программой, которая может открыть документ прямо из Интернета. Когда функция ShellExecuteEx запускает приложение и значение UseUrl=1 не установлено, то ShellExecuteEx скачивает документ в локальный файл и запускает приложение на локальную копию.

    Например, возможность Web Folders ищет приложения, которые обрабатывают тип файла и отображает зарегистрированное им действие (verb) только если приложение указало запись UseUrl. В этом примере, если действие open для файлов .txt ссылается на notepad.exe и notepad.exe не имеет значения UseUrl=1, то Web Folders не будет показывать действие open для контекстного меню .txt файлов.

    Запись UseUrl имеет тип REG_DWORD и значение $1.

    Использование подключа реестра Applications

    С помощью включения записей реестра под ключом HKEY_CLASSES_ROOTApplicationsApplicationName.exe приложения могут предоставлять такую специфичную для приложения информацию:

    Запись реестра Описание
    shellverb Предоставляет действие (verb) для вызова приложения через OpenWith. Без определения действия, система предполагает, что приложение поддерживает CreateProcess и передаёт имя файла в командной строке. Эта функциональность применима ко всем методам, включая DropTarget, ExecuteCommand и Dynamic Data Exchange (DDE).
    DefaultIcon Позволяет приложению указать иконку, представляющую приложение, вместо первой иконки в исполняемом файле приложения.
    FriendlyAppName Позволяет приложению задать локализуемое имя приложения для показа пользователю, вместо использования информации о версии, которая может быть не локализована. Запрос ассоциации ASSOCSTR использует это значение реестра и откатывается к использованию имени FileDescription из версионной информации. Если и это имя отсутствует, то будет использоваться отображаемое имя файла. Приложениям следует использовать ASSOCSTR_FRIENDLYAPPNAME, чтобы получать эту информацию и корректное поведение.
    SupportedTypes Перечисляет имена типов, которые поддерживаются приложением. Это позволяет приложению быть указанным в каскадном меню диалогового окна Открыть с помощью.
    NoOpenWith Указывает, что для открытия этого типа приложение не задано. Информация об использовании приложений записывается, а затем используется (если эта запись задана) для заполнения списка Рекомендуемые программы, который показывается в каскадном меню Открыть с помощью, что очень заметно. Если для приложения заданы записи OpenWithList или OpenWithProgIDs, то ваше приложение всё равно появится в этом списке, даже если оно укажет запись NoOpenWith.

    Для дальнейшие информации см. "Включение приложения в диалог ‘Открыть с помощью’" и "Исключение приложения из диалога ‘Открыть с помощью’ для файлов без ассоциаций" в Типы файлов.

    Читайте также:  Как переслать переписку в контакте
    IsHostApp Указывает, что процесс является серверным процессом. Например, типа Rundll32.exe или Dllhost.exe. Это означает, что он не должен рассматриваться для закрепления программы в меню Пуск или включения в список Most Frequently Used (MFU). Когда он запускается через ярлык с не пустым списком параметров или явным Application User Model IDs (AppUserModelIDs), то процесс может быть закреплён в меню Пуск (как этот ярлык). Такие ярлыки также являются кандидатами для включения в список MFU. NoStartPage Указывает, что приложение и ярлыки на него должны быть исключены из меню Пуск, из закрепления и включения в список MFU. Эта запись обычно используется для системных утилит, установщиков и удалений программ и readme-файлов. UseExecutableForTaskbarGroupIcon Просит Панель задач использовать иконку по-умолчанию этого приложения, если нет закреплённого ярлыка для этого приложения (вместо иконки окна приложения). TaskbarGroupIcon Указывает иконку, которую следует использовать в Панели задач. Обычно для этого используется иконка окна. Установка записи TaskbarGroupIcon приводит к использованию вместо этого другой иконки из .exe-файла приложения.

    Примеры

    Вот некоторые примеры регистрации приложений через ключ реестра HKEY_CLASSES_ROOTApplicationsApplicationName.exe. Все записи имеют тип REG_SZ, за исключением DefaultIcon, который имеет тип REG_EXPAND_SZ.

    Регистрация действий (Verbs) и другой информации о файловых ассоциациях

    Подключи, зарегистрированные под HKEY_CLASSES_ROOTSystemFileAssociations, позволяют Оболочке определять поведение по-умолчанию для атрибутов файла и использовать разделяемые файловые ассоциации (shared file associations). Когда пользователь изменяет программу по-умолчанию для типа файла, ProgID нового приложения по-умолчанию имеет приоритет для поставки действий (verb) и другой информации. Этот приоритет определяется по его первому положению в списке ассоциаций (association array). Если программа по-умолчанию изменяется, то информация под предыдущим ProgID более не доступна.

    Чтобы быть готовым к последствиям смены программы по-умолчанию, вы можете использовать HKEY_CLASSES_ROOTSystemFileAssociations, чтобы зарегистрировать действия (verb) и другую информацию. Из-за размещения этих регистраций после ProgID в списке ассоциаций, регистрации в этом ключе реестра имеют меньший приоритет. Эти регистрации SystemFileAssociations неизменны, даже когда пользователи меняют свои программы по-умолчанию, и поэтому они предоставляют место для регистрации вторичных действий, которые всегда будут доступны для выбранного типа файла. Для примера см. Регистрация воспринимаемого (perceived) типа ниже.

    Следующий пример показывает, что происходит, когда пользователь запускает апплет Программы по-умолчанию в Панели управления, чтобы изменить программу для открытия файлов .mp3 на App2ProgID. После изменения умолчания действие Verb1 больше не доступно, а действие Verb2 становится действием по-умолчанию.

    На этом шаге мы рассмотрим доступ к переменной окружения PATH .

    Программа установки хранит всю необходимую информацию о приложении в реестре. Все пользовательские данные нужно записывать в раздел HKEY_CURRENT_ USERSOFTWARE . В предыдущих версиях Windows такая информация хранилась в файле Win.ini . Данные приложения записывайте в раздел реестра HKEY_LOCAL_MACHINESOFTWARE , применяя следующий формат:

    Замечание . Замените выделенные курсивом элементы значениями, соответствующими Вашему приложению.

    Переменная окружения PATH

    Каждое запущенное приложение использует свою переменную окружения PATH , в которой хранятся пути к различным каталогам. Операционная система ищет в них файлы, требующиеся приложению. Обычно Windows начинает поиск необходимых программе модулей с системных папок. Но так как приложения устанавливаются в разные каталоги, то путь к их компонентам должен быть указан в переменной PATH , уникальной для данного приложения.

    Например, рассмотрим программу из папки МуАрр , которая использует библиотеку, находящуюся в папке MyDLL . При нормальной компоновке, когда для загрузки динамически подключаемой библиотеки не применяется функция LoadLibrary() , приложение не запустится, если в переменной PATH не указан путь к. нужной DLL . Операционная система будет искать ее только в системных папках и папках из переменной PATH , и если не найдет, то не запустит программу. Поэтому для корректной работы приложения программа установки должна включить папку MyDLL в переменную PATH .

    Чтобы зарегистрировать переменную PATH , программе установки необходимо записать всю нужную информацию в раздел HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Paths . Такую же строку содержит текстовый макрос REGSTR_PATH_APPPATHS из файла Regstr.h . Обратите внимание на то, что имя последнего раздела — Арр Paths — состоит из двух слов.

    Программа установки создает раздел, который называется точно так же, как и исполняемый файл приложения, и помещает в него параметр Path , где указан необходимый путь. Ниже показан пример данного раздела реестра для программы NewApp , хранящейся в папке My Арр .

    В параметре Default указан полный путь к исполняемому файлу. Операционная система обращается к нему, когда пользователь вводит название приложения в диалоговом окне Run ( Выполнить ) . Windows находит это название в разделе Арр Paths и из его параметра Default получает полный путь к файлу.

    Параметр реестра Path содержит переменную окружения PATH приложения NewApp , в которой и указан путь к папке MyDLL . При запуске программы NewApp операционная система ищет в папках из параметра Path нужные DLL . Включая каталог MyDLL в переменную PATH , программа установки гарантирует, что система всегда найдет требуемые для запуска приложения NewApp библиотеки.

    На следующем шаге мы рассмотрим счетчики использования разделяемых модулей .

    Ссылка на основную публикацию
    Adblock detector