Вопрос такой. Что делать, если случайно запустил вредонос. Всего лишь 1 раз. Взломали автора проги и он стал временно распространять прогу с зловредом.

Самый главный вопрос — чтобы оно не зацепилось в системе. В моменте, допустим, я не вводил пароли и не монтировал VeraCrypt. Т.е. оно не могло ничего сделать в моменте — разве что стащить файлы, но в тот момент только устанавливал систему и важных файлов не было...

Получается в идеале нужно восстанавливать систему из образа... Так же?

Потому что зацепиться оно могло так, что ты не найдешь. И не существует 100% достоверного способа его обнаружить.

Вот способы для зацепления:

Если программа запускалась без прав администратора, это ограничивает её возможности, но персистентность (автозапуск после перезагрузки/входа в систему) она всё равно может сделать на уровне текущего пользователя. Плюс есть риск, что она могла попытаться получить повышение прав через уязвимость/обход UAC — тогда ограничения уже не действуют.

Ниже — основные способы “зацепиться” без админ-прав (в Windows), и где это обычно проверять.

---

Что она может сделать без прав администратора (уровень пользователя)

1) Автозапуск через реестр (HKCU)
Самый частый вариант:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  
  

• HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

Это запускается при входе в аккаунт.

Как смотреть: Диспетчер задач → Автозагрузка (показывает часть), или Sysinternals Autoruns (лучше всего).

2) Папка “Автозагрузка” текущего пользователя
Ярлык/EXE могут положить сюда:

• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

Это тоже выполняется при входе пользователя.

3) Запланированная задача (Task Scheduler) от имени пользователя
Задачу можно создать без админа, если она запускается:

• при входе в систему
  
• по таймеру
  
• при простое

Где смотреть: Планировщик заданий → Библиотека планировщика (и подпапки). Autoruns тоже показывает задачи.

4) WMI-подписки (WMI Event Subscription) в пользовательском контексте
Более “тихий” вариант автозапуска. Не самый частый, но встречается.

Где смотреть: Autoruns (вкладка WMI), либо специализированными утилитами/скриптами (но Autoruns обычно достаточно).

5) “Прилипание” через расширения/плагины приложений
Без админ-прав можно поставить/подменить вещи в профиле пользователя:

• расширения браузера (Chrome/Edge/Firefox) и их политики в пределах профиля
  
• автозагрузка через мессенджеры/игровые лаунчеры/Office add-ins (в каталоге пользователя)
  
• подмена ярлыков/параметров запуска приложений в профиле пользователя

6) Дроп в AppData + запуск через легитимный процесс
Очень типично: файл кладётся в:

• %LOCALAPPDATA%

  
  

• %APPDATA%

и запускается через одну из точек выше.

7) Hijack на уровне пользователя (COM / file association / PATH в профиле)
Иногда делают перехват через:

• per-user COM hijacking (в реестре HKCU)
  
• ассоциации файлов (например, “.txt открывать вот этим”)
  
• пользовательские переменные окружения/порядок поиска

Это сложнее в диагностике, но Autoruns тоже многое подсвечивает (особенно COM).

---

Что обычно требует админ-прав (но могло быть сделано при повышении прав)
Если вдруг она всё же получила админ-доступ, появляются варианты:

• сервис (Windows Service)
  
• драйвер
  
• автозапуск в

  HKLM\...\Run

  
  
• “общая” папка автозагрузки для всех пользователей
  
• изменение политик/защитника/прав
  
• перехват системных DLL/компонентов

---

Как быстро проверить и вычистить (самые практичные шаги)

• Отключить сеть (чтобы не тянула/не передавала данные).
  
• Открыть Sysinternals Autoruns (от Microsoft) и посмотреть вкладки:
  Logon, Scheduled Tasks, Services, Drivers, WMI, Browser Helper Objects/Extensions и т.п.
  Ищите записи из

  %AppData%

  ,

  %LocalAppData%

  , Temp, с “мусорными” именами, без издателя.
  
• Проверить Диспетчер задач → Автозагрузка и Планировщик заданий.
  
• Прогнать Microsoft Defender Offline (офлайн-сканирование) + при желании вторым мнением (Malwarebytes и т.п.).
  
• Если есть подозрения на кражу паролей — сменить пароли (лучше с другого чистого устройства), включить 2FA.

Т.е. куча всего. Антивирус обнаружит только массовые сигнатуры, и то не сразу. Проактивная защита обнаружит только когда сильно системные функции юзаются.

Получается для чего все это сделано? Чтобы заставить платить. Ведь просто так чел. платить не будет — нужно его напугать — а у страха глаза велики. Вот когда риск утрат — чел. готов платить много. А если добровольно — не очень то...