Registry monitor что это в автозагрузке

Registry monitor что это в автозагрузке

Registry Monitor (или regmon для краткости) — незаменимый помощник всех исследователей реестра. Программа была написана программистами Mark Russinovich и Bryce Cogswell. Официальный сайт программы http://www.sysinternals.com.

Эта программа позволяет отследить ВСЕ обращения к реестру. Неважно, что вы делаете: устанавливаете какой-то софт, работаете с программами или просто запускаете их, Windows постоянно обращается к реестру. И все эти обращения можно зафиксировать с помощью Regmon. Теперь, проведя любые изменения в настройках системы, вы сможете узнать, где именно в реестре они отражаются. А куда в реестре обращается при запуске ваша любимая программа? И не прописывает ли при установке свежескачанная утилитка какой-нибудь непонятный файл в автозагрузку ;)? А сколько раз бывало, что заканчивался срок работы триальной программы, и для дальнейшей работы она требовала регистрации. Посмотрите с помощью Regmon, куда она обращается при запуске, и вы без труда найдете в реестре параметр, где указана дата инсталляции. Ну, а дальше все в ваших руках.

Возможности программы большие, но не безграничные. Программа только отслеживает обращения к реестру.

Найти программу можно на сайте http://www.sysinternals.com

RegClean 4.1a

RegClean — это утилита от Майкрософт для работы с реестром. Рекомендуется для содержания реестра в надлежащем порядке

RegClean анализирует ключи реестра, расположенные в разделе HKEY_CLASSES_ROOT и находит ключи, содержащие ошибочные значения. RegClean записывает эти значения в файл Undo*.reg, имеющий следующий формат — после Undo записывается имя компьютера, дата и время:
Undo SASHA 20020721 110917.Reg
Затем RegClean удаляет ошибочные записи из реестра

RegClean не является универсальной программой для лечения и восстановления реестра и не способна находить и исправлять ошибки в других разделах

Скачать программу можно по адресу http://winchanger.narod.ru/regclean.zip стали возникать ошибки, и вы думаете, что это произошло из-за удаленных записей реестра, то можете восстановить прежние параметры, щелкнув два раза на сохраненном файле Undo.reg

RegShot

RegShot — маленькая утилита, позволяющая быстро сделать снимки рееста и сравнить их. Все изменения в реестре можно сохранить в файле. Удобно, если вы хотите знать, какие изменения в реестр вносит новая программа при инсталяции

Порядок работы с программой читайте в файле readme.txt

Монитор реестра (Registry Monitor)

Свободно распространяемая на www.sysinternals.com утилита Registry Monitor предоставляет возможность собрать информацию об обращениях к реестру Windows. Утилита RegMon записывает в log-файл абсолютно все обращения к реестру, включая обращения самой системы и всего программного обеспечения, которое работает на момент сбора данных. Программа имеет настраиваемый фильтр, при помощи которого можно собрать информацию об обращениях к реестру только одной или нескольких программ, либо исключить из наблюдения определенные программы.

Интерфейс утилиты RegMon достаточно прост и будет подробно рассмотрен в этой статье. Будут даны рекомендации по способам фильтрации собранной информации, по решению конкретных вопросов, связанных с определением конкретных разделов реестра, к которым обращается программа.

Интерфейс RegMon

Внешний вид Registry Monitor показан на рисунке 1.

Интерфейс Registry Monitor

• Open — открывает ранее собранный и сохраненный лог-файл для анализа в Registry Monitor-е. Будьте внимательны, открывая лог, текущие собранные данные будут потеряны, поэтому, если они нужны, то сохраните предварительно собранные данные в файл.
• Save — сохраняет собранные данные в файл.
• Save as. — сохраняет собранные данные в файл.
• Process Properties. — свойства процесса. Если в окне, где отображены собранные данные, выделить любую строку, то данный пункт меню станет доступен и при его выборе откроется окно с информацией о том процессе, обращение которого к реестру выделено. Пример окна с информацией о процессе показан ниже.

Информация о процессе

• Copy — копирует в буфер обмена выделенную строку.
• Delete — удаляет выбранную строку.
• Include Process — быстрая настрока фильтра. После применения этого пункта меню будут отслеживаться обращения к реестру только указанного процесса. Чтобы отменить эту настройку исправьте фильтр (о чем будет рассказано ниже).
• Exclude Process — исключить процесс. Обращения данного процесса более не будут попадать в собранные данные и он, таким образом, будет исключен из мониторинга.
• Include Patch — будут собираться данные только при обращении к выделенному в момент применения команды меню разделу реестра и его подразделам. Для отмены отслеживания только определенного раздела реестра исправьте фильтр, о чем более подробно будет рассказано далее.
• Find. — поиск строки в собранных данных в окне Registry Monitor.
• Regedit Jump. — если выделить в окне Registry Monitor строку и выбрать этот пункт меню, то будет запущен редактор реестра RegEdit и в нем будет автоматически развернуто дерево разделов того раздела, имя которого находится в выделенной строке Registry Monitor-а. Двойной клик мышью по любой строке собранных данных в RegMon выполняет такое же действие, т.е. открывает RegEdit сразу на том ключе, к которому было зафиксировано обращение процесса.
• Clear Display — очищает экран от собранных данных. Будьте осторожны, если данные представляют интерес, то не забудьте предварительно сохранить их в файл.

• Log Opens — включает или отключает сбор информации о процессах, которые открывают ключи реестра.
• Log Reads — включает или отключает сбор информации о процессах, которые читают ключи реестра.
• Log Writes — включает или отключает сбор информации о процессах, которые пишут в ключи реестра.
• Log Successes — включает или отключает сбор информации о процессах, любое обращение которых к реестру было удачно (т.е., к примеру, процесс смог успешно считать или записать значение).
• Log Errors — включает или отключает сбор информации о процессах, любое обращение которых к реестру закончилось ошибкой (например, процесс не нашел определенный ключ реестра).

Пример работы с RegMon

RegMon может быть применен для решения практически любых задач, когда есть интерес узнать, куда, к каким ключам реестра программа обращается в ходе своей работы. Иногда требуется выяснить, где хранятся настройки программы, какие ключи используются в ходе ее работы. Это бывает полезно для решения проблем при настройке безопасности, при настройке экспорта ключей реестра для создания резервных копий настройки программного обеспечения, для внесения изменений в настройки программы, которые не документированы производителем, и доступ к которым есть только через реестр и т.д.

Для примера я решил выяснить, где Outlook Express хранит правила для сортировки сообщений. Это позволит настроить автоматический экспорт нужной ветки реестра и всегда иметь архивную копию правил сортировки. Наличие такой копии позволит восстановить правила сортировки за пару минут, что при большом количестве правил сэкономит очень много времени.

Итак, запустим RegMon. Настраивать пока фильтр не будем. Включим опцию Always On Top , чтобы окно RegMon не «убегало» на задний план. При запущенном RegMon-е откроем Outlook Express. Сразу после окончания его загрузки нажмем кнопку Capture или выберем пункт меню File — Capture Events , чтобы остановить сбор данных. Пример окна Registry Monitor после запуска Outlook Express с остановленным процессом сбора информации показан ниже.

Предварительный сбор

В данном случае интересны обращения к реестру только процесса msimn.exe, поэтому щелкнем на нем правой кнопкой и выберем Include Process , либо выберем в меню Edit — Include Process . На запрос о том, хотим ли мы применить этот фильтр к уже собранным данным можно ответить и положительно и отрицательно, это не имеет значения. Теперь нужно очистить окно Registry Monitor. Для этого выберите Edit — Clear Display . Последний штрих в подготовке сбора данных — донастройка фильтра. Для этого выберем Options — Filter/Highlight . В настройке фильтра, внизу, снимем все галки за исключением Log Writes и Log Successes , настроив, таким образом, отсеивание всех обращений к реестру за исключением успешной записи в реестр значений процессом msimn.exe. Пример настройки фильтра показан ниже.

Настройка фильтра

После того, как фильтр настроен, нужно создать в Outlook Express правило для почты. Чтобы создать правило в Outlook Express выберите Сервис — Правила для сообщений — Почта . В открывшемся окне создайте правило. Пример уже созданного правила показан на следующем рисунке.

Правило в Outlook Express

После того, как правило настроено, нажмите OK в этом окне. Вы вернетесь в окно, показанное ниже.

Правила в Outlook Express

Теперь проверьте, что в Registry Monitor включен сбор данных и окно очищено от собранных ранее данных. После нажатия в окне, показанном на рисунке 4, кнопки OK Outlook Express запишет в реестр созданное правило. Нажмите OK . Registry Monitor соберет данные об успешной записи в реестр процессом msimn.exe информации. Окно RegMon-а с собранной информацией показано на следующем рисунке.

Информация собрана

Таким образом, мы получили информацию о разделе, в котором Outlook Express хранит настройки правил. Сохранение одного правила потребовало записи 23 значений. Теперь нужно найти самый верхний раздел реестра из тех, имена которых сейчас находятся в столбце Path Registry Monitor. Подведите курсор поочереди к каждому значению в столбце Path и во всплывающей подсказке будет выведен путь к разделу реестра. Найдите самую короткую запись. В данном случае это HKEY_CURRENT_USER\Identities\\Software\Microsoft\Outlook Express\5.0\Rules\Mail\000 . Щелкните в окне Registry Monitor по записи с самым коротким путем два раза левой кнопкой мыши. Откроется редактор реестра, в котором автоматически будет развернуто дерево разделов до раздела, по которому был выполнен двойной щелчок. Окно реестра показано на следующем рисунке.

Раздел реестра

Таким образом, мы выяснили где Outlook Express хранит настройки правил. Теперь при написании скрипта для ежедневного бэкапа можно будет включить в него строку, которая выполнит экспорт правил Outlook Express в reg-файл, который затем будет помещен в резервную копию на сервер или на другой носитель.

Рассмотренный пример не самый сложный, он призван показать методику работы с Registry Monitor, поняв которую найти все ключи программы в реестре становится не такой уж и сложной задачей.

Ссылки по теме

Управление реестром Windows

Реестр — это база данных операционной системы, где Windows хранит практически все свои настройки. Изучив структуру и описание реестра любой пользователь сможет осуществить тонкую настройку системы. Через реестр можно управлять автозагрузкой программ и даже экраном приветствия Windows.

Справочник CMD

• Администрирование компьютера
  • Системное администрирование
  • Управление файлами
  • Администрирование пользователей
  • Диагностика сети
  • Управление сетью
  • Управление Active Directory

  Новые материалы

  • Speedtest CLI — тест скорости интернета из командной строки
  • Обновление прикладных решений 1С Предприятие 8
  • Восстановление Windows Server с резервной копии на новый SSD
  • Подключение не защищено, как обновить сертификат
  • Завершение сеанса удаленного рабочего стола сервера RDS
  • Клонирование данных накопителя c битыми секторами на новый SSD
  • План восстановления системы MS Server с поврежденными секторами SSD
  • Обслуживание серверов от Smart1C — контроль за состоянием SSD
  • Запуск тонкого и веб-клиента 1С Предприятие 8 от Smart1C
  • Антивирусная защита организаций
  • Оптимизация базы программы 1С:Бухгалтерия 3.0
  • Кейс от Smart1C — Оптимизация 1С Бухгалтерия 3.0
  • УНФ 1.6 как добавить поле Код в табличную часть документа Заказ покупателя
  • Как копировать настройки пользователей в программе 1С УНФ 1.6
  • Вывод поля Артикул в табличных частях документов Заказ покупателя и Счет на оплату в УНФ 1.6
  • Настройка серверов
  • Windows 10 — все секреты
  • 1С:Предприятие 8
  • Оптимизация Windows 7
  • Управление реестром
  • Windows 2008
  • Windows Sysinternals
  • Статьи про CMD
  • Remote Desktop Services
  • Все про Windows 8
  • Интересные обзоры

  Популярное

  • NET USE — подключение\отключение сетевых дисков через командную строку
  • NET USER — управление учетными записями пользователей
  • ROUTE — управление таблицей IP маршрутизации в Windows
  • TRACERT — трассировка маршрута прохождения пакетов ICMP
  • Команда Ping — проверка работоспособности сети
  • Как запустить командную строку Windows 10 от имени администратора
  • NET TIME — синхронизация времени компьютера
  • Запуск командной строки в Windows 7
  • NETSTAT — статистика активных подключений TCP
  • Управление службами через CMD
  • MD — создание папки через cmd
  • CD — команда для смены текущего каталога
  • Msg — отправка сообщений пользователю
  • Запуск командной строки Windows 7 с правами администратора
  • Mstsc — подключение к удаленному рабочему столу Windows

  Registry monitor что это в автозагрузке

  На одной из залитых машин на работе я обнаружил подозрительный процесс Monitor.exe, запущен он был с правами пользователя и поэтому вызвал еще больше подозрений. Копания в сети дали более детальную информацию о том, кто это такой.

  Сразу хочу успокоить что он оказался не вирусом. Файл размещен в папке C:\WINDOWS\PixArt\PAC207\. Размещение его меня также смутило.

  В сети нашел еще несколько мест размещения этого засранца.

  Так же в этой папке такие файлы:
  AmCap.exe, CtlStiSc.bat, Monitor.ini, p00001m3.bmp, p00001p3.bmp, p00002m3.bmp, p00002p3.bmp, p00003m3.bmp, p00003p3.bmp, p00004m3.bmp, p00004p3.bmp, p00005m3.bmp, p00005p3.bmp, p00006m3.bmp, p00006p3.bmp, PASnap.exe.

  В описании файла было следующее:

  • Product name Registry Monitor
  • Company name PixArt Imaging Incorporation
  • Internal name Registry Monitor
  • Legal copyright Copyright (c) 1998-2006 PixArt Imaging Incorporation. All rights reserved.
  • File version 0001.0004.2006.1103

  Насколько смог понять этот файл как и сам каталог \WINDOWS\PixArt\Pac7302 устанавливается вместе с установкой WEB-камеры ilook от Genius. Оказалось это кусок программного обеспечения Genius, может устанавливатся вмесе с дровами на векамеры. У меня он встал с камерой Genius eMessenger 310. Народ в сети считает, что он без палева фоткает что происходит на компе. Антивирусы ничего плохого в этом файле не видят.

  Бывали случаи, когда он мешает установке программы 3DMax. Файл можно погасить в диспетчере задач и в msconfig. Я его удалил вместе с папкой, на работе камеры это никак не сказалось.

  Milk skin отбеливающий крем для лица www.lightcream.ru.
  Автор: admin | 20.12.2012 | Камменты: 6

  Комментарии

  У меня так же есть такая папка, но удаление из неё вообще всех файлов и даже её самой ни к чему не привело. Макс всё равно не устанавливается и просит отключить monitor. В диспетчере его тоже нет и в msconfig тоже. Как быть?

  Удалить из автозагрузки и удалить проще всего с помощью “Антивирусная утилита AVZ”: скачать её можно здесь: https://www.z-oleg.com/secur/avz/download.php здесь-же и подробное описание.
  Запускаем утилиту,в разделе “Сервис” выбираем подраздел “Менеджер автозапуска” в открывшемся окне “менеджера автозапуска” выбираем раздел “Run”, снимаем галочку или вызываем проводник(правой клавишей мышки) и отправляем файл(в данном случаи)” С:\Windows\PixArt\PAC7302\Monitor.exe” между прочим это путь там где он находится(от куда его можно удалить на прямую), “Копировать в карантин”.

  я делал так, удалял драйвер веб камеры, ставил мах а потом заново ставил дрова на вебку и все нормально работает.

  Чтобы процесс Monitor.exe был виден в диспетчере – поставить галку “Отображать процессы всех пользователей”. Остановить процесс и ставить Max.

  Друзья у меня тоже ничего не отображалось в процессах.Win10 в диспетчере задач во вкладке процессы ничего не показывал.Нашел этот процесс во вкладке подробнее.у всех по разному бывает у меня это была программа “эдвансет систем кер” (Advancet systemCare)завершил этот процесс и установка пошла.

  Похожие публикации:

  1. L2tp и pppoe что лучше
  2. Как посмотреть версию windows 11
  3. Как узнать какой directx стоит
  4. Почему долго сохраняется файл excel