Контакты
Главная / Ошибки

Что такое AutoRun? Как пользоваться программой Autoruns? Как работать с программой autoruns

Не знаю, как у Вас, а у меня складывается устойчивое впечатление, что чем меньше программа размером, тем она качественнее и полезнее. За это я и обожаю маленькие программки.

Вот и сегодняшнее описание программы Autoruns, очередное доказательство, что функциональная польза от программы не зависит от её размера.

Autoruns предназначена для отображения абсолютно всех пунктов автозагрузки операционной системы. Естественно, что в ней же можно (и нужно) отключить или вообще удалить лишние записи автоматической загрузки программ, служб, сервисов…

Программа изначально портативна, её нет надобности устанавливать — скачали (235 кб.) и сразу запускаем…

Для более-менее опытных пользователей тут и объяснять дальше нечего — программа нашла и показала нам абсолютно всё, что автоматически загружается вместе с системой.

Осталось немножко проанализировать отображённую информацию и ускорить запуск Windows благодаря отключению всего лишнего. Это не так сложно и страшно, как кажется.



Полезная дополнительная информация на сайте:

Для малоопытных и начинающих хакеров попытаюсь показать и объяснить логику, которой я придерживался отключая или удаляя лишние пункты автозагрузки.

ВНИМАНИЕ! ОБЯЗАТЕЛЬНО! Во избежание проблем при автозагрузке, появлении различных ошибок и так далее…

Во-первых: вместо удаления подозрительных пунктов — отключите их сперва и только через пару дней, если всё работает хорошо, можете их удалить.

Во-вторых: если абсолютно не знаете, что за строчка или программа — не лезьте, не трогайте этот пункт автозагрузки!!!

Итак, у нас в главном окне программы есть куча разных вкладок…

Выберем, например, «Гаджеты боковой панели» . У МЕНЯ НЕТ БОКОВОЙ ПАНЕЛИ! ОНА ОТКЛЮЧЕНА! Какая может быть автозагрузка? Чего автозагрузка?

Ещё полезная дополнительная информация на сайте:

Оказывается там мирно лежит и затормаживает запуск системы гаджет моего антивируса — удаляю его, кликнув ПРАВОЙ кнопкой мыши по строке и выбрав в контекстном меню «Удалить» !

Я не пользуюсь службой «Почта Windows» — удаляю!

Зачем мне целая служба, постоянно работающая, которая следит за выходом обновлений для Skype? Надо будет — я сам в ручном режиме проверю и обновлю эту программу! Удаляю этот пункт!

Опять 25 — служба помощи Windows у меня отключена уже более двух лет назад! И снова этот Skype — его нет у меня в автозагрузке, а тут какой-то пункт есть? Даже не вникаю — удаляю!

Программа для подключения к серверу по протоколу FTP мне в автозагрузке не нужна, я её когда надо, запускаю самостоятельно! Удаляю! Снова боковая панель — удаляю!

Эх, где моя Чапаевская шашка? Заходим на вкладку «Кодеки» и падаем в обморок! Всё, что Вы видите можно отключать от автозагрузки! Абсолютно всё! Почему?

Потому что в любом уважающем себя проигрывателе видео есть свои встроенные кодеки!!! И более того — эти личные кодеки плеера тоже нет надобности все загружать сразу! При запуске видео, плеер сам включит тот кодек, который нужен ему для воспроизведения.

Как я узнал, что это кодеки какого-то плеера? Посмотрел путь к файлу…

Вот так, целых пол часа я и махал шашкой в автозагрузке. После чего перезагрузил систему и проверил все программы, которые мелькали в Autoruns и пункты которых я так жестоко удалял — ВСЁ ЧУДНО РАБОТАЕТ БЕЗ ПРОБЛЕМ!

Ах да, совсем забыл. Там ещё были строки окрашенные в жёлтый цвет с надписью «Не найдено» . Удалил их в первую очередь, даже забыв сделать скриншот. Около семи штук их было!

В операционной системе Windows простейший способ обеспечить автозапуск программы (то есть запуск ее при загрузке ОС) – это поместить ярлык программы в папку .

Узнать, какие программы грузятся «автоматом» (при запуске ОС и входе пользователя в систему), можно при помощи штатной программы Настройка системы (msconfig.exe ; дисковый адрес: Windows XP WINDOWS\pchealth\helpctr\binaries ; Windows Vista \Windows\System32 ).

Узнать, какие службы грузятся «автоматом», можно с помощью элемента оснастки Службы (services.msc ; дисковый адрес – \Windows\System32 ).

Узнать, какие драйверы (не все!) грузятся «автоматом», можно с помощью Диспетчера устройств (devmgmt.msc ; дисковый адрес – \Windows\System32 ): для этого нужно выбрать меню Вид –> Показать скрытые устройства –> Драйверы устройств не Plug and Play/Драйверы несамонастраиваемых устройств .

При установке программного обеспечения (в том числе, ) автозапуск прописывается в следующих разделах :

Предназначение утилиты AutoRuns

Марк Руссинович (Mark Russinovich ) и Брайс Когсвелл (Bryce Cogswell ) разработали утилиту AutoRuns , которая в отображении всевозможных элементов автозагрузки (программ, утилит, служб, драйверов, -библиотек и т.д.) превосходит все штатные средства Windows !

Программа AutoRuns – это своеобразный монитор автозагрузки, который показывает, какие программы настроены на автоматический запуск в процессе загрузки операционной системы и входа пользователя в систему, причем эти программы отображаются в том порядке, в каком ОС Windows обрабатывает их.

Где скачать и как установить программу AutoRuns

– зайдите на страницу Autoruns for Windows ;

– скачайте и распакуйте файл Autoruns.zip (прямая ссылка для скачивания – http://download.sysinternals.com/Files/Autoruns.zip);

– запустите файл autoruns.exe ;

– в окне с лицензионным соглашением License Agreement нажмите Agree (окно с лицензионным соглашением появляется при первом запуске утилиты).

Как пользоваться AutoRuns

Сразу после запуска программа просканирует и выведет сводную информацию об элементах автозагрузки.

Рабочая область программы AutoRuns состоит из окна, разделенного на две части.

В верхней части отображаются элементы автозагрузки: Autorun Entry – Description – Publisher – Image Path .

Вы можете выбрать, какие элементы автозагрузки отображать, выбором соответствующей вкладки: Everything (открывается по умолчанию при запуске утилиты), Logon , Explorer , Internet Explorer , Scheduled Tasks , Services , Drivers , Codecs , Boot Execute , Image Hijacks , AppInit , KnownDLLs , Winlogon , Winsock Providers , Print Monitors , LSA Providers , Network Providers , Sidebar Gadgets .

При выделении какого-либо элемента автозагрузки в нижней части окна появляется его краткое описание.

Выделив любой элемент автозагрузки в верхней части окна AutoRuns и щелкнув его правой кнопкой мыши (или выбрав меню Entry ), вы можете выбрать из контекстного меню нужное действие:

Delete – удалить запись о выделенном элементе автозагрузки из Редактора реестра (при удалении появляется окно Autoruns с сообщением «Are you sure you want to delete autorun of …?» , нажмите Да );

Copy – копировать запись о выделенном элементе автозагрузки в буфер обмена;

Verify – проверить цифровые подписи;

Jump to… – переход к месту хранения записи о выделенном элементе автозагрузки в ;

Search Online… – поиск дополнительных сведений о выделенном элементе автозагрузки в Интернете;

Process Explorer… – если в системе запущена программа , а выделенный исполняемый файл используется каким-либо активным процессом, то при выборе этой опции откроется диалоговое окно свойств процесса, использующего выделенный объект;

Properties… – вызов окна свойств объекта.

Посредством меню User вы можете выбрать нужную учетную запись.

Чтобы скрыть элементы элементы с цифровой подписью Microsoft , выберите меню Options –> Hide Microsoft and Windows Entries (или Hide Windows Entries ). Чтобы изменения вступили в силу, выберите меню File –> Refresh (или нажмите F5 ).

На вкладке Everything снимите флажки напротив опций, помеченных в колонке Image Path красноречивой надписью File not found: …

Использование программы Autorunsc

Autorunsc – это вариант программы Autoruns для работы в .

Синтаксис использования Autoruns :

autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [пользователь]

-a – показывать все элементы;

-b – объекты, исполняемые на ранних стадиях загрузки;

-c – записать выходные данные в CSV -файл;

-d – библиотеки DLL инициализации приложений;

-h – подмены элементов;

-g – подмены элементов;

-h – подмены элементов;

-i – дополнительные компоненты ;

-l – элементы, автоматически запускаемые при входе в систему (этот параметр используется по умолчанию);

-m – не показывать элементы с цифровой подписью Microsoft ;

-n – поставщики протокола Winsock ;

-p – драйверы монитора печати;

-r – поставщики LSA ;

-s – службы в режиме автоматического запуска и неотключенные драйверы;

-t – назначенные задания;

-v – проверять цифровые подписи;

-w – элементы Winlogon ;

пользователь – показывать автоматически запускаемые объекты для указанной учетной записи пользователя.

Разработчики говорят о своей программе так: «Вы, вероятно, удивитесь, как много исполняемых файлов запускается автоматически!» (You"ll probably be surprised at how many executables are launched automatically! ).

Не то слово: запустив утилиту AutoRuns , вы не просто удивитесь, вы будете ошеломлены!..

Примечания

1. Веб-узел Sysinternals был создан в 1996 г. Марком Руссиновичем (Mark Russinovich ) и Брайсом Когсвеллом (Bryce Cogswell ) для размещения созданных ими усовершенствованных сервисных программ и технической информации. В июле 2006 г. корпорация Microsoft приобрела компанию Sysinternals .

Сервисные программы Sysinternals помогают IT -специалистам (разработчикам драйверов, программистам, системным администраторам и просто «продвинутым» пользователям) находить и устранять неисправности, выполнять диагностику операционных систем Windows и прикладного программного обеспечения.

2. Программа AutoRuns работает во всех версиях ОС Windows .

Автозапуск (автозагрузка) программ – это средство, позволяющее без вмешательства человека быстро создать желаемую рабочую среду пользователя путем автоматического старта заранее подготовленного набора программ. В подавляющем большинстве современных домашних компьютеров постоянно выполняется множество автоматически запущенных программ, о существовании которых пользователи не имеют ни малейшего представления. Как и представления о том, откуда эти программы взялись, и зачем они вообще нужны и кому они нужны ли на самом деле? Хотя, для большинства это и не столь важно, до тех пор, пока не возникнут проблемы с повышенным потреблением ресурсов (компьютер стал ”тормозить”), возникновением непомерного интернет-трафика, рекламного спама, вирусного заражения, потерей документов, паролей, денег.

С развитием компьютерных технологий, возможности автоматического запуска постепенно расширялись и достигли такого уровня, что возникла серьезная необходимость контроля со стороны пользователя над процессами автозапуска. Ведь сегодня почти любая программа, начиная от программного обеспечения от производителей оборудования компьютера и завершая бесплатным прикладным ПО, старается осчастливить пользователя постоянными обновлениями, предложениями скидок при переходе на платные продукты, рекламой и т.п. Кроме того, нередко такое, не очень желательное ПО, может заниматься сбором сведений о самом пользователе с отправкой данных через Интернет непонятно кому и непонятно куда. Поэтому, мониторинг автозапуска становится все более востребованным среди пользователей компьютерных систем. Стандартные средства Windows, такие как утилита msconfig.exe или доработанный диспетчер задач Windows 10 c вкладкой ”Автозагрузка” лучше, чем ничего, но все же, более востребованными среди грамотных пользователей становятся программные продукты с возможностью мониторинга максимального числа элементов автозапуска, позволяющие просто, удобно и безопасно управлять автоматически запускающимися процессами начиная от от драйвера и заканчивая скриптами или прикладными программами.

Общие сведения о программе Autoruns.

Autoruns - бесплатная служебная программа из пакета Sysinternals Suite раздела Windows Sysinternals от Microsoft, предназначенная для контроля над автозапуском в среде Windows. Утилита обладает более широким спектром возможностей, чем служебная программа MSConfig , которая входит в состав стандартного программного обеспечения Windows.

Скачать программу можно как в составе пакета Sysinternals Suite, так и отдельным архивом по ссылкам на страницах раздела Windows Sysinternals ресурса Microsoft TechNet. Программа не требует инсталляции в системе, - просто скачайте и распакуйте архив Autoruns.zip в какую либо папку и запустите исполняемый файл autoruns.exe или autoruns64.exe (только для 64-разрядных ОС Windows). В архиве присутствует документация на английском языке autoruns.chm , текстовый файл с кратким описанием и лицензионным соглашением eula.txt и исполняемые файлы для 32-разрядных и 64-разрядных ОС утилиты с графическим интерфейсом Autoruns , и утилиты командной строки Autorunsc .

    Autoruns является одним из самых популярных программных продуктов пакета программ для администрирования и исследования системы Sysinternals Suite, и пожалуй, самым информативным и удобным инструментом для отслеживания точек автоматического запуска процессов в Windows, в том числе, скрытых или необычных, часто используемых вирусами и другим вредоносным программным обеспечением (malware). Autoruns показывает, какие программы настроены на запуск в процессе загрузки, при входе в систему пользователей и возникновении прочих системных событий, причем информация об автоматически стартующих программах отображаются в том порядке, в каком выполняется их запуск.

Поиск и устранение внедрившегося в среду Windows, вредоносного программного обеспечения - это одно из основных направлений использования Autoruns.

Программа позволяет получить полный список точек автозапуска (autostart locations), идентифицировать их местонахождение, исследовать способы и последовательность запуска, обнаружить скрытые точки входа, а также заблокировать, по выбору, автостарт ненужного процесса. Огромные возможности, и удобство использования данной утилиты, сделали просто обязательным включение Autoruns в инструментальный набор средств для практического исследования системы.

Для реализации всех потенциальных возможностей Autoruns, утилита должна выполняться под учетной записью с правами администратора. Кроме работы в среде активной операционной системы (ОС, в которой вы работаете), возможно использование утилиты для анализа точек автозапуска другой ОС, системный каталог которой и каталог с профилем пользователя можно выбрать с помощью главного меню (File - Analyze Offline System ).

После запуска исполняемого файла Autoruns.exe , на экране появится главное окно программы:

Интерфейс программы состоит из пяти частей - строка меню (menu bar), панель инструментов (toolbar), вкладки фильтров источников автозапуска, область вывода данных в виде списка с фиксированными элементами строк, описывающих автоматически запускающийся процесс, и область в нижней части экрана, с детализацией свойств выбранного процесса.

Список точек автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. По умолчанию, открывается вкладка Everything с отображением всех возможных точек автозапуска, отображаемых в главном окне в соответствии с опциями, задаваемыми пунктом Options главного меню. В качестве опций (параметров отображения информации) можно выбрать:

Include Empty Location - показ пустых разделов. Обычно, данная опция выключена.
Hide Microsoft and Windows Entries - скрыть точки автозапуска продуктов Microsoft и процессов самой Windows
Hide Windows Entries - скрыть точки автозапуска, используемые самой Windows
Verify Code Signature - Проверить цифровые подписи программных модулей. Статус проверки будет отображаться в колонке автора программы Publisher и может быть Verified - прошел проверку и Not Verified - не прошел. Для проверки цифровых подписей необходим доступ в Интернет.

При изменении параметров отображения, необходимо обновить экран (нажать F5 ).

Информация о точках автозапуска в окне данных разбита на несколько колонок

Autorun Entry - имя программы. Каждая программа сопровождается значением точки автозапуска (ключ реестра, папка автозапуска, папка задач планировщика). Записи об исполняемом файле соответствует признак включения/отключения автозапуска. Наличие галочки перед именем означает, что процесс будет запущен, отсутствие - процесс заблокирован. Если блокируемый процесс уже выполняется, то отключение автозапуска будет действовать для следующей перезагрузки системы. Процесс блокировки может представлять собой отключение драйвера или службы через реестр, удаление ярлыка из папки автозагрузки, отключение выполнения задачи планировщиком.
Description - краткое описание автоматически запускаемого процесса.
Publisher - Автор программы. Признак проверки цифровой подписи может выводиться как часть колонки Publisher (Veryfied, или Not Veryfied). Наличие и достоверность цифровой подписи является признаком того, что данный процесс не является вредоносным. Недостоверность или отсутствие цифровой подписи, как правило, должно привлечь внимание к данной записи. Однако, неподписанные файлы далеко не всегда могут быть вирусом или другим нежелательным ПО, поскольку наличие цифровой подписи не является обязательным стандартом для производителей программных продуктов.
Image Path - путь и имя исполняемого файла.

Все элементы автозапуска программа Autoruns разбивает на группы, соответствующие различным категориям автозапуска. Выбор категории осуществляется выбором нужной вкладки:

Everything - выводятся все известные утилите Autoruns точки автозапуска.

Logon - выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой Winlogon (Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки "Автозапуск", разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт User , позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки "Logon" будет изменяться.

Explorer - выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий (Shell Execute Hooks)
Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:

Добавление записи в раздел реестра для автозапуска программ текущего пользователя
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Тот же прием для всех пользователей
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Добавление файла или ссылки на файл вируса в папке "Автозагрузка"
- Добавление записи в раздел параметров службы Winlogon
Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit стандартно принимающий строковое значение
C:\WINDOWS\system32\userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой. Так, например запись C:\WINDOWS\system32\userinit.exe,%TEMP%\svchost.exe обеспечит запуск кроме стандартной программы userinit.exe, еще и svchost.exe, которая никоим образом не может находиться в папке временных файлов \TEMP и вообще запускаться из данной группы точек автозапуска. Все, что записано после userinit.exe, нужно удалить - эти записи обеспечивают запуск вредоносных программ.
userinit.exe выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется Проводник (Explorer.exe) . Проводник реализует графический интерфейс пользователя (GUI) - рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить, то пользователь получает пустой рабочий стол без каких-либо элементов управления.

Для запуска оболочки пользователя используются данные из ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Стандартное строковое значение данного ключа - Explorer.exe . Если же оно отличается, то вероятнее всего, имеет место вирусное заражение.

Вредоносные программы могут использовать также и точки однократного автозапуска (параметры RunOnce, RunOnceEx), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.

Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry - Search Online ) или по контекстному меню правой кнопки мышки. А проще всего - отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com

Internet Explorer - выводится список вспомогательных объектов браузера (BHO - Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель Итернета (браузер).

Использование уязвимостей обозревателей Интернета - это один из самых распространенных способов вирусного заражения. Современный браузер - это фактически сложный программный комплекс, своеобразный интерпретатор содержимого, получаемого из страниц посещаемых сайтов и кроме того - это программный продукт, свойства которого могут быть расширены или изменены с помощью настроек и дополнительных программных модулей, в том числе и внедряемых сторонними разработчиками. Эти свойства обозревателей Интернета используются и создателями вредоносных программ. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. В большинстве случаев признаком нежелательного ПО является неизвестный издатель, информация о котором отображается в поле Publisher .

Services - выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра

HKLM\SYSTEM\CurrentControlSet\Control

HKLM\SYSTEM\CurrentControlSet\Services

Службы, не имеющие описания, цифровой подписи, или имеющие недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места - каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .

Drivers - выводится список драйверов, запуск которых разрешен (параметр Start в разделе реестра, относящегося к драйверу не равен 4 что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов

Scheduled Tasks - выводится список задач, запланированных для выполнения планировщиком (Task Scheduler).
Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.

Image Hijacks - выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением.exe

Appinit DLLs - выводится список всех зарегистрированных в системе DLL. Используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll
Ключ реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.

Known DLLs - список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.

Boot Execute - программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)

Winlogon Notifications - список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом или выходом пользователя из системы (logon/logoff), запуском заставки, завершением работы или перезагрузкой.

Winsock Providers - список провайдеров служб Windows для доступа к сетевым функциям. Обычно - это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.

LSA Providers - список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.

Print Monitors - список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Sidebar Gadgets - список гаджетов установленных пользователями Windows 7 и более поздними ОС

Office - информация о дополнительных модулях офисного программного обеспечения.

Основное меню (menu bar) программы Autoruns .

    Назначение некоторых пунктов меню утилиты Autoruns рассмотрено выше.

    Пункты основного меню File

Find - поиск текста в текущем окне выходных данных Autoruns.
Load - открыть из файла ранее сохраненный отчет Autoruns
Save - сохранить текущий журнал Autoruns.
Compare - сравнение текущего отчета Autoruns с сохраненным ранее. Позволяет быстро определить новые элементы автозапуска, появившиеся с момента сохранения сравниваемого отчета. Новые элементы выделяются зеленым цветом.

Пункты основного меню Entry

    Все пункты меню Entry относятся к выделенному элементу отчета на текущем экране Autoruns. Все опции также доступны из контекстного меню, вызываемого правой кнопкой мышки.

Delete - Удалить элемент автозапуска. Восстановить удаленный элемент средствами самой утилиты Autoruns невозможно. Бездумное удаление критически важных элементов автозапуска может привести к краху системы. Чтобы не удалять элемент, а только заблокировать его, нужно сбросить флажок (убрать галочку) в первой колонке строки данного элемента.
Copy - Копирование данных выделенной строки в буфер обмена.
Verify - Проверить цифровую подпись выделенного элемента.
Jump to - как и в большинстве продуктов Sysinternals, позволяет быстро перейти к тому разделу реестра или каталогу Windows, который связан с данной точкой автозапуска. Очень удобный режим, позволяющий экономить время и нервы при анализе информации. Переход также можно выполнить двойным щелчком на выбранном элементе.
Search Online - Autoruns выполнит запуск обозревателя Интернета и с его помощью выполнит поиск информации о точке автозапуска, связанной с текущим элементом отчета. Используется механизм поиска, на который настроем обозреватель, например, поиск Яндекса
Properties - Отобразить свойства исполняемого файла автоматически запускаемого процесса.
Process Explorer - Запустить утилиту Process Explorer от Sysinternals для отслеживания активности выбранного процесса. Программа Process Explorer должна присутствовать, и должна иметься возможность ее запуска с использованием пути в переменной окружения path

Autorunsc - вариант Autoruns для использования в командной строке.

Autorunsc - это вариант программы Autoruns для работы в командной строке. Удобно использовать для сбора и обработки данных об автоматически запускающихся процессах на удаленных компьютерах, для отслеживания изменений в автозапуске и т.п.

Формат командной строки:

autorunsc [-a[*][b] [c] [d] [e] [g] [h] [i] [k] [l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z ] | [пользователь]]]

Параметры командной строки:

* показывать все элементы;
-b объекты, исполняемые на ранних стадиях загрузки;
-c записать выходные данные в CSV-файл;
-d библиотеки DLL инициализации приложений;
-e надстройки Explorer;
-g мини-приложения (гаджеты) боковой панели;
-h перехватчики файлов-образов (Image hijacks);
-i дополнительные компоненты Internet Explorer
-l элементы, автоматически запускаемые при входе в систему (этот параметр используется по умолчанию);
-m не показывать элементы с цифровой подписью Microsoft;
-n поставщики протокола Winsock;
-p драйверы монитора печати;
-r поставщики LSA;
-s службы в режиме автоматического запуска и неотключенные драйверы;
-t назначенные задания;
-v проверять цифровые подписи;
-w элементы Winlogon;
-x печатать вывод в формате XML;
-z задать для сканирования неактивную систему Windows;
пользователь показывать автоматически запускаемые объекты для указанной учетной записи пользователя.

Примеры использования:

autorunsc /? - отобразить подсказку по использованию программы.

autorunsc –a * - отобразить все элементы автозапуска в данной системе.

autorunsc64.exe -a * |find /i "adobe" - отобразить все элементы автозапуска связанные с программными продуктами Adobe.

autorunsc –a b - отобразить элементы автозапуска связанные с загрузкой данной системы.

autorunsc –s * - отобразить сведения об автоматически запускающихся службах и драйверах.

autorunsc –s * > services.txt - то же, что и в предыдущем примере, но с записью результатов в текстовый файл.

autorunsc64.exe -a w –m - отобразить сведения об элементах автозапуска для Winlogon, исключив записи для программных продуктов Microsoft.

autorunsc64.exe -a w –x - то же, что и в предыдущем примере, но с представлением результатов в XML-формате.

    Одно из основных предназначений Autoruns - поиск и обезвреживание вредоносного программного обеспечения. Мощные возможности исследования и нейтрализации элементов автозапуска позволяют легко справиться с внедрившейся в систему заразой. Любой вирус, лишенный возможности автоматического запуска, становится совершенно безвредным, как например, обычный текстовый файл, хранящийся на компьютере.

При возникновении сомнений в отношении какого-либо элемента автозапуска, приведенного в списке выходных данных Autoruns попробуйте провести подробное его исследование, используя следующие приемы:

Проанализируйте описание, сведения об издателе, наличие и достоверность цифровой подписи.
- Выполните двойной щелчок по исследуемому элементу и проверьте точку его автостарта в реестре или каталоге файловой системы.
- Используйте контекстное меню Search Online или комбинацию клавиш CTRL+M для получения дополнительных сведений по результатам поиска в Интернете.
- Если у вас имеется сохраненный журнал предыдущих сессий - сравните текущие данные с сохраненными (меню File-Compare ).
- Отправьте файл на онлайн проверку VirusTotal.com. Если файл является вредоносным, с большой долей вероятности, служба VirusTotal этот факт подтвердит.
- Для подробного анализа активности подозрительного процесса используйте родственную утилиту от Sysinternals. Можно воспользоваться прямым вызовом утилиты через пункт контекстного меню для выбранного элемента автозапуска.

На сегодняшний день, Autoruns, поддерживаемая разработчиками много лет, является одной из самых эффективных программ для контроля автозапуска. Однако, все более популярными становятся программы мониторинга автозапуска в реальном масштабе времени. Такие программы запускаются автоматически и ведут постоянное наблюдение за состоянием элементов автозапуска, принимая меры при попытке какого-либо ПО ”прописаться” для автоматического старта. Понятное дело, что главными недостатками подобных программ является повышенное потребление ресурсов системы и невозможность полного контроля всех элементов автозапуска. Примером программ мониторинга могут быть бесплатные Anvir Task Manager , отличающийся повышенным потреблением ресурсов, и, менее прожорливый, но значительно уступающий по возможностям PT Startup Monitor .

– небольшая, но очень полезная утилита, с помощью которой вы сможете полностью контролировать автозагрузку Windows. Autoruns позволяет значительно сократить время загрузки операционной системы, а также найти и обезвредить проникший в систему вирус.

Для того, чтобы ускорить процесс загрузки системы, необходимо отключить ненужные приложения. Для этого в программе надо найти соответствующую приложению запись автозапуска и снять галочку напротив нее.

Вы можете скачать русифицированную версию Autoruns. Программа не требует установки: просто распакуйте скаченный архив и запустите исполняемый файл AutoRuns.exe.

Откроется главное окно программы:
Поначалу оно просто поражает количеством представленной информации. Все элементы автозапуска Autoruns разбивает на разделы, соответствующие различным категориям автозапуска. Чтобы перейти к категории достаточно выбрать нужную вкладку (“Вход в систему”, “Проводник”, “Назначенные задания”, “Службы” и т.д.). По умолчанию при запуске открывается вкладка “Все ” с отображением всех существующих точек автозапуска.

Список элементов автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. Информация о точках автозапуска представлена в нескольких колонках:

  • Запись автозапуска (имя программы)
  • Описание (краткое описание запускаемого процесса)
  • Издатель (автор программы. Если программа никем не подписана, то это должно вас насторожить – нередко неподписанные файлы оказываются вирусами)
  • Путь к файлу (путь и имя исполняемого файла)

Некоторые строки в главном окне программы могут быть выделены цветом. Розовым выделяются записи, показавшиеся программе подозрительными. Желтым цветом выделяются те элементы автозапуска, которые не были обнаружены в системе по причине их удаления. Чтобы убрать из автозагрузки ненужное приложение – просто снимаем галочку напротив него.

Одной из основных задач использования Autoruns является поиск и обезвреживание вредоносных программ . Если в списке элементов автозапуска вы обнаружили какую-то подозрительную запись – попробуйте ее подробно проанализировать:

  • Выделите запись и посмотрите описание и сведения об издателе в нижней части окна программы;

  • Щелкните правой клавишей мыши по исследуемой записи и проверьте точку ее автостарта в реестре или каталоге системы (пункты контекстного меню “Перейти к записи”, “Перейти в папку”);

  • Если вы все еще сомневаетесь: вирус перед вами или нет – поищите о нем информацию в интернете (щелкните правой клавишей по записи и выберите пункт “Поиск в Интернете”).

Убедившись, что автозапуск приложения не нужен – снимите с него галку. Если же вам необходимо полностью удалить запись о нем – щелкните по нему правой клавишей и выберите пункт “Удалить”.

Если запущена от имени Администратора, то сверху в строке меню доступен пункт “Пользователь”, с помощью которого можно просматривать параметры автозагрузки других пользователей Windows.

Как вы, наверное, уже поняли: Autoruns – очень полезная утилита. Основное ее предназначение – это увеличение скорости загрузки операционной системы и удаление вирусов, прописавшихся в автозагрузке. Считаю, что она обязательно должна присутствовать в арсенале средств каждого системного администратора.

AutoRuns – это программа, которая предназначается для ОС Windows. Она была создана Sysinternals, после чего её приобрела Microsoft Corporation. С помощью этой утилиты можно регулировать автозагрузку разнообразных элементов операционной системы.

Это приложение показывает все компоненты, которые открываются при запуске ОС и выполняет некоторые другие действия. Отображает свойства каждого элемента системы, параметры его запуска. Autoruns также может отобразить запускаемые программы всей системы или элементы конкретной категории.

Предварительная настройка

Прежде чем опробовать функционал утилиты и проверить автозагрузку необходимо настроить приложение:

В меню опций представляется несколько важных параметров, которые требуют настройки.

Рекомендуется отметить параметры Hide Empty Locations (опция скрывает из списка пустые параметры) и Hide Windows Entries (скрывает параметры, изменение которых наносит повреждение системе). Можно также отметить Hide VirusTotal Clean Entries , который скрывает безопасные элементы. Следует убрать галочку с параметра Hide Microsoft Entries , чтобы приложение показывало дополнительные параметры системы.

После этого нужно настроить опции сканирования:

Рекомендуется отметить пункты Verify code signatures (производит проверку цифровых подписей, которая выявляет потенциально вредоносные элементы в системе), Check VirusTotal.com (выводит отчет о проверке файлов на одноименном сайте) и Submit Unknown Images (отправляет на проверку элементы, о которых не удалось найти информацию).

Лучше не отмечать опцию Scan only per-user locations , чтобы при проверке сканировались элементы всей системы вне зависимости от учётной записи.

Отметив все нужные опции, нужно нажать на «Rescan ».

Последним настраиваются шрифты программы .

Для настройки нужно выбрать в разделе «Options » пункт «Font ». Здесь можно изменить шрифт, стиль и размер всей отображаемой утилитой информации. После завершения настроек нужно обязательно сохранить их. Для этого нужно нажать «OK ».

Интерфейс и параметры автозапуска

Автозапуск приложений – это то, что позволяет автоматически запускать заранее выбранный список программ. Часто на ПК запускаются программы без ведома самого пользователя. Если таких программ становится слишком много, то компьютер начинает работать намного медленнее. В крайних случаях запущенные автоматически вредоносные программы могут собирать сведения о пользователе, пароли и другую важную информацию.

В открытой по умолчанию вкладке «Everything » отображаются все компоненты, которые запускаются при запуске системы.

Строки могут быть разных цветов: желтого, розового и белого.

Строки желтого цвета – это путь к отсутствующему файлу. Выключать автозапуск таких фалов не рекомендуется, лучше всего выяснить их назначение. Для этого нужно выделить эту строку и нажать на неё правой кнопкой мыши. После этого нужно отметить «Search Online ». Второй способ определить назначение — выделить и нажать «Ctrl+M».

Строки розового цвета говорят о том, что у файла отсутствует цифровая подпись. В большинстве случаев такие файлы не представляют опасности, но чаще всего вирусы располагаются именно в них.

Белый цвет означает безопасный файл. Такие элементы имеют цифровую подпись и прописанный путь.

Для начала действия по изменения автозапуска нужно нажать правой кнопкой мыши на нужном элементе, после чего откроется меню. Если нажать на пункт Jump to Entry , откроется окно с местоположением данного файла, Jump to Image показывает папку с файлом.

Кроме этого, в Autoruns присутствуют вкладки: