Совершенно естественными выглядят действия пользователей, которые пытаются хоть как-то ускорить запуск и работу установленной на компьютере версии операционной системы Windows. Вследствие того, что собственные средства системы не позволяют произвести абсолютно полную и тонкую настройку параметров, для таких целей разрабатывается масса специальных приложений. И одно из самых интересных - Autoruns. Как пользоваться программой, задействовав абсолютно все ее возможности в среде Windows, далее и будет рассмотрено. Кроме того, особе внимание обратим на некоторые важные настройки, поскольку чрезмерное увлечение отключением ненужных, как кажется пользователю, компонентов системы может привести к самым непредвиденным последствиям.
Что за программа Autoruns: основное предназначение
Итак, что же это за приложение? Исходя из официального описания разработчика, а также учитывая множество отзывов пользователей и специалистов, в первую очередь приложение относится к инструментам тонкой настройки операционной системы в плане активации или отключения ее компонентов, которые стартуют непосредственно при загрузке, но совершенно не нужны рядовому пользователю. Кроме того, многими отмечается, что приложение способно выступать еще и в роли своего рода информативной утилиты, которая выдает максимально полные отчеты о запущенных службах и процессах. В этом плане она чем-то напоминает небезызвестное приложение Process Explorer. Однако мало кто знает, что данное приложение способно сканировать систему и на предмет наличия вирусных угроз, и на предмет целостности, присутствия или отсутствия некоторых важных файлов. Таким образом, программу Autoruns можно назвать одновременно и оптимизатором, и антивирусом. Насчет второго, конечно, можно поспорить, поскольку приложение выдает уведомления, ссылаясь исключительно на онлайн-ресурсы с антивирусными базами, а не на общепризнанные проверенные средства. Тем не менее приложение достаточно часто выявляет такие скрытые угрозы, которые не определяются ни штатными, ни портативными антивирусными апплетами.
Где скачать приложение?
Что касается загрузки установочного дистрибутива, самым естественным решением выглядит загрузка утилиты непосредственно с сайта разработчика. Не менее часто при задании поиска в интернете можно встретить и ссылки на техническую службу поддержки Microsoft, не говоря уже о бесчисленных ресурсах на просторах Рунета.
Приложение распространяется совершенно бесплатно и включает в себя два основных компонента - Autoruns и Autorunsc (в официальном релизе). Впрочем, рядовому пользователю будет достаточно только первой утилиты.
Примечание: к сожалению, на официальном ресурсе русскоязычная версия этой системной утилиты отсутствует, поэтому скачивать русифицированную модификацию придется из другого источника.
Как установить программу Autoruns для Windows на русском языке?
Теперь предполагаем, что инсталляционный пакет полностью загружен.
Установщик последней модификации 13.91 занимает на диске чуть более 3,6 Мб и включает в себя мануал Autoruns в виде скомпилированного HTML-файла справки (только в официальной версии). Русскоязычная модификация состоит всего из одного EXE-файла.
Для установки/старта программы используется этот исполняемый файл, который в системах Windows седьмой версии и выше (если встроенная регистрационная запись суперпользователя не отключена) следует запустить исключительно от имени администратора. Из полного релиза апплет Autorunsc устанавливать необязательно, поскольку он предназначен для работы с использованием командной строки, а рядовому пользователю достаточно обычного графического интерфейса. Далее следует согласиться с лицензионным соглашением, после чего программа стартует. Обратите внимание, что утилиту в обычном смысле устанавливать не нужно, поскольку она является портативной.
Первый запуск и знакомство с интерфейсом
Наконец, программа запущена. Теперь перейдем непосредственно к тому, как пользоваться Autoruns на русском языке для Windows 7 или любой другой версии системы.
Основное окно по умолчанию отображает все активные текущие процессы. Главная панель включает в себя несколько стандартных меню и специальных вкладок, отвечающих за определенные настройки. Если вы хоть раз использовали приложение очевидное сходство Autoruns с этой утилитой бросается в глаза сразу же. Окно процессов открывается в развернутом виде и содержит информацию не только о названии самого процесса, но и о пути расположения файлов, сведения о цифровых подписях издателей, дате установки (метке времени) и подозрениях на возможное присутствие вирусов (Virus Total).
Предварительная настройка для зарегистрированных на компьютере пользователей
Поскольку инструкция к Autoruns в русскоязычной версии не представлена, можете загрузить англоязычный пакет и почитать ее на английском. Если такое желание отсутствует, перейдем к непосредственной настройке основных компонентов. В первую очередь нужно выбрать пользователя, если регистрационных записей в системе имеется несколько. Для этого служит соответствующее меню на верхней панели. Однако, если пользователь всего один и является, так сказать, сам себе администратором, этого пункта может и не быть.
Основные компоненты меню опций
Говоря о том, как пользоваться Autoruns.exe, нельзя упускать из виду некоторые важные параметры отображения системных компонентов, процессов и служб. Предварительно перейдите в меню выбора и обратите внимание на настройки, выставленные по умолчанию.
Из первых четырех пунктов активированным рекомендуется отставить только сокрытие записей Windows, что позволит не нанести ущерба жизненно важным компонентам самой операционной системы. Все остальное можно будет редактировать, а заодно получить сведения о возможных подозрениях на вирусы.
Примечание: далеко не все процессы системы могут запускать от имени администратора по умолчанию, поэтому в файловом меню программы Autoruns (File), любой отмеченный процесс или службу можно запустить с повышенными привилегиями.
Параметры сканирования
Теперь необходимо настроить опции сканирования, которое впоследствии будет применено для автоматического выявления проблем с возможностью исправления ошибок и сбоев, а также активации дополнительных элементов управления.
Для этого в том же меню выбора следует перейти к соответствующему пункту, а в окне установки опций отметить все строки, кроме первой, чтобы сканирование производилось не только в локации выбранного пользователя, но и во всех других местах (вирусы ведь могут скрываться где угодно). После этого нужно нажать кнопку повторного сканирования и дождаться появления результатов проверки.
Результаты проверки
При обнаружении отсутствующих объектов предупреждения программы будут выданы автоматически.
Так, например, при появлении сообщения, касающегося лаунчера удаленного браузера Opera, в примере выше это свидетельствует о том, что запись в реестре об этом объекте есть, но сам файл отсутствует.
Результаты могут помечены разными цветами, и для них в колонке обнаружения вирусных угроз присутствуют каких-то цифры и числа. Белое выделение соответствует тому, что с процессом, его файлами и дополнительными атрибутами все в порядке.
Розовым помечаются объекты, не имеющие цифровой подписи, а желтым - физически отсутствующие на жестком диске файлы, для которых в реестре остались записи.
В отчете вирусного сканирования первая цифра соответствует числу найденных подозрительных угроз, а вторая - общему числу проверок. Некоторые процессы вирусами могут и не быть. К тому же стоит учитывать и погрешности самого инструментария проверки. Уточнить информацию можно путем клика на выбранном результате, после чего будет произведена переадресация на интернет-ресурс, содержащий подробное описание подозрительного файла или процесса.
Примечание: нередко можно встретить включение в группу риска и некоторых программных продуктов iObit. А вот оптимизаторы, защитники и деинсталляторы этого разработчика лучше не трогать, поскольку вирусами они не являются. Тем не менее, если такие компоненты имеют в отчете цифры красного цвета, их рекомендуется отключить в разделе автозагрузки.
Как пользоваться Autoruns: что удалять или отключать в автозапуске?
Теперь переходим к одному из самых главных разделов - автостарту служб и приложений, которые запускаются вместе с Windows. Разницу в сравнении с системным конфигуратором (msconfig) можно почувствовать сразу. Autorun Manager или средство управления автозагрузкой в описываемой утилите предполагает изначальное отображение всех процессов в главном окне. Чтобы деактивировать какой-то элемент, достаточно просто снять галочку с содержащей его строки. Но как пользоваться Autorun Manager, чтобы случайно не отключить что-то важное? По большому счету, деактивировать можно почти все, оставив только командную строку, антивирус и компоненты, например, относящиеся к работе тачпадов на ноутбуках. Но если действовать грамотно, лучше произвести отключение только помеченных розовым цветом процессов.
Для верности можно посетить вкладку исполняемых апплетов при старте системы. Если там будут показаны пустые локации, их тоже можно удалить или при необходимости найти сведения в онлайн-поиске.
Компоненты входа в систему
На вкладке входа в систему, которая соответствует процессу Logon, отключаются ненужные пользователю элементы, но некоторые из них могут быть деактивированы и в главном окне процессов. Поскольку компоненты Windows не отображаются (эта опция была отключена еще на стадии предварительной настройки), вреда системе вы не нанесете.
Опции «Проводника»
Но, говоря о том, как пользоваться Autoruns, особое внимание стоит обратить на параметры встроенного файлового менеджера, известного под названием «Проводника». Деактивация выбранных компонентов на этой вкладке позволяет изъять их из контекстного меню, что в самой операционной системе можно сделать либо через реестр, либо при помощи сторонних программ. Тут - по желанию.
Параметры Internet Explorer
Теперь несколько слов о том, как пользоваться Autoruns в плане настроек браузера. В принципе, если исходить из статистики, сегодня мало кто из пользователей применяет встроенный в Windows браузер IE или его более продвинутый аналог Edge, поэтому представленные на этой вкладке настройки можно не трогать (или удалить вообще все).
Запланированные задачи, запускаемые службы, компоненты «Офиса», гаджеты и принтеры
Что касается запланированных задач, отключать рекомендуется только те, которые знаете. Если назначение процесса вам не известно, лучше такие компонент без особой надобности не трогать вообще. Со службами особо тоже экспериментировать не следует. Если уж назрела такая необходимость, отключайте, опять же, только те, что знаете или на которых стоят отметки об угрозах. Вкладки драйверов, кодеков, провайдеров или образом лучше не редактировать.
А вот компоненты запуска MS Office можно деактивировать все абсолютно, поскольку в большинстве своем они относятся исключительно к ненужным дополнениям. Наконец, если в не пользуетесь службами печати (нет подключенных принтеров) и боковыми панелями, все элементы соответствующих вкладок тоже можно отключить.
И только после применения всех вышеописанных настроек можно выполнить перезагрузку системы и убедиться, что стартует она намного шустрее, чем до этого.
Возможные ошибки и сбои
Как пользоваться Autoruns, разобрались. Остается сказать несколько слов о возможных ошибках и последствиях отключения некоторых процессов. Многие пользователи жалуются, что иногда невозможным становится откат Windows. По всей видимости, связано это как раз с отключением отвечающей за это службы. При настройке скрывайте системные компоненты, как это было описано выше. Также можно встретить жалобы и на то, что при деактивации служб вроде Mail.Ru Agent программа зависает. В этой ситуации можно посоветовать предварительно отключить автостарт в самом апплете. На крайний случай можете попытаться удалить, а затем переустановить программу, если она вам действительно нужна, а не была инсталлирована в качестве какого-то партнерского ПО. Впрочем, и другие ошибки исправляются подобными методами.
При этом, если хотите обезопасить себя от возможных последствий применения собственных настроек, перед использованием программы сделайте хотя бы резервную копию реестра, воспользовавшись функцией экспорта в самом редакторе (regedit). Восстановить все параметры Windows из созданного REG-файла без задействования автоматического или ручного отката с использованием средств системы из такой копии можно будет элементарно.
Автозапуск (автозагрузка) программ – это средство, позволяющее без вмешательства человека быстро создать желаемую рабочую среду пользователя путем автоматического старта заранее подготовленного набора программ. В подавляющем большинстве современных домашних компьютеров постоянно выполняется множество автоматически запущенных программ, о существовании которых пользователи не имеют ни малейшего представления. Как и представления о том, откуда эти программы взялись, и зачем они вообще нужны и кому они нужны ли на самом деле? Хотя, для большинства это и не столь важно, до тех пор, пока не возникнут проблемы с повышенным потреблением ресурсов (компьютер стал ”тормозить”), возникновением непомерного интернет-трафика, рекламного спама, вирусного заражения, потерей документов, паролей, денег.
С развитием компьютерных технологий, возможности автоматического запуска постепенно расширялись и достигли такого уровня, что возникла серьезная необходимость контроля со стороны пользователя над процессами автозапуска. Ведь сегодня почти любая программа, начиная от программного обеспечения от производителей оборудования компьютера и завершая бесплатным прикладным ПО, старается осчастливить пользователя постоянными обновлениями, предложениями скидок при переходе на платные продукты, рекламой и т.п. Кроме того, нередко такое, не очень желательное ПО, может заниматься сбором сведений о самом пользователе с отправкой данных через Интернет непонятно кому и непонятно куда. Поэтому, мониторинг автозапуска становится все более востребованным среди пользователей компьютерных систем. Стандартные средства Windows, такие как утилита msconfig.exe или доработанный диспетчер задач Windows 10 c вкладкой ”Автозагрузка” лучше, чем ничего, но все же, более востребованными среди грамотных пользователей становятся программные продукты с возможностью мониторинга максимального числа элементов автозапуска, позволяющие просто, удобно и безопасно управлять автоматически запускающимися процессами начиная от от драйвера и заканчивая скриптами или прикладными программами.
Общие сведения о программе Autoruns.
Autoruns - бесплатная служебная программа из пакета Sysinternals Suite раздела Windows Sysinternals от Microsoft, предназначенная для контроля над автозапуском в среде Windows. Утилита обладает более широким спектром возможностей, чем служебная программа MSConfig , которая входит в состав стандартного программного обеспечения Windows.
Скачать программу можно как в составе пакета Sysinternals Suite, так и отдельным архивом по ссылкам на страницах раздела Windows Sysinternals ресурса Microsoft TechNet. Программа не требует инсталляции в системе, - просто скачайте и распакуйте архив Autoruns.zip в какую либо папку и запустите исполняемый файл autoruns.exe или autoruns64.exe (только для 64-разрядных ОС Windows). В архиве присутствует документация на английском языке autoruns.chm , текстовый файл с кратким описанием и лицензионным соглашением eula.txt и исполняемые файлы для 32-разрядных и 64-разрядных ОС утилиты с графическим интерфейсом Autoruns , и утилиты командной строки Autorunsc .
Autoruns является одним из самых популярных программных продуктов пакета программ для администрирования и исследования системы Sysinternals Suite, и пожалуй, самым информативным и удобным инструментом для отслеживания точек автоматического запуска процессов в Windows, в том числе, скрытых или необычных, часто используемых вирусами и другим вредоносным программным обеспечением (malware). Autoruns показывает, какие программы настроены на запуск в процессе загрузки, при входе в систему пользователей и возникновении прочих системных событий, причем информация об автоматически стартующих программах отображаются в том порядке, в каком выполняется их запуск.
Поиск и устранение внедрившегося в среду Windows, вредоносного программного обеспечения - это одно из основных направлений использования Autoruns.
Программа позволяет получить полный список точек автозапуска (autostart locations), идентифицировать их местонахождение, исследовать способы и последовательность запуска, обнаружить скрытые точки входа, а также заблокировать, по выбору, автостарт ненужного процесса. Огромные возможности, и удобство использования данной утилиты, сделали просто обязательным включение Autoruns в инструментальный набор средств для практического исследования системы.
Для реализации всех потенциальных возможностей Autoruns, утилита должна выполняться под учетной записью с правами администратора. Кроме работы в среде активной операционной системы (ОС, в которой вы работаете), возможно использование утилиты для анализа точек автозапуска другой ОС, системный каталог которой и каталог с профилем пользователя можно выбрать с помощью главного меню (File - Analyze Offline System ).
После запуска исполняемого файла Autoruns.exe , на экране появится главное окно программы:
Интерфейс программы состоит из пяти частей - строка меню (menu bar), панель инструментов (toolbar), вкладки фильтров источников автозапуска, область вывода данных в виде списка с фиксированными элементами строк, описывающих автоматически запускающийся процесс, и область в нижней части экрана, с детализацией свойств выбранного процесса.
Список точек автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. По умолчанию, открывается вкладка Everything с отображением всех возможных точек автозапуска, отображаемых в главном окне в соответствии с опциями, задаваемыми пунктом Options главного меню. В качестве опций (параметров отображения информации) можно выбрать:
Include Empty Location
- показ пустых разделов. Обычно, данная опция выключена.
Hide Microsoft and Windows Entries
- скрыть точки автозапуска продуктов Microsoft и процессов самой Windows
Hide Windows Entries
- скрыть точки автозапуска, используемые самой Windows
Verify Code Signature
- Проверить цифровые подписи программных модулей. Статус проверки будет отображаться в колонке автора программы Publisher
и может быть Verified
- прошел проверку и Not Verified
- не прошел. Для проверки цифровых подписей необходим доступ в Интернет.
При изменении параметров отображения, необходимо обновить экран (нажать F5 ).
Информация о точках автозапуска в окне данных разбита на несколько колонок
Autorun Entry
- имя программы. Каждая программа сопровождается значением точки автозапуска (ключ реестра, папка автозапуска, папка задач планировщика). Записи об исполняемом файле соответствует признак включения/отключения автозапуска. Наличие галочки перед именем означает, что процесс будет запущен, отсутствие - процесс заблокирован. Если блокируемый процесс уже выполняется, то отключение автозапуска будет действовать для следующей перезагрузки системы. Процесс блокировки может представлять собой отключение драйвера или службы через реестр, удаление ярлыка из папки автозагрузки, отключение выполнения задачи планировщиком.
Description
- краткое описание автоматически запускаемого процесса.
Publisher
- Автор программы. Признак проверки цифровой подписи может выводиться как часть колонки Publisher (Veryfied, или Not Veryfied). Наличие и достоверность цифровой подписи является признаком того, что данный процесс не является вредоносным. Недостоверность или отсутствие цифровой подписи, как правило, должно привлечь внимание к данной записи. Однако, неподписанные файлы далеко не всегда могут быть вирусом или другим нежелательным ПО, поскольку наличие цифровой подписи не является обязательным стандартом для производителей программных продуктов.
Image Path
- путь и имя исполняемого файла.
Все элементы автозапуска программа Autoruns разбивает на группы, соответствующие различным категориям автозапуска. Выбор категории осуществляется выбором нужной вкладки:
Everything - выводятся все известные утилите Autoruns точки автозапуска.
Logon - выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой Winlogon (Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки "Автозапуск", разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт User , позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки "Logon" будет изменяться.
Explorer
- выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий (Shell Execute Hooks)
Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:
Добавление записи в раздел реестра для автозапуска программ текущего пользователя
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Тот же прием для всех пользователей
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Добавление файла или ссылки на файл вируса в папке "Автозагрузка"
- Добавление записи в раздел параметров службы Winlogon
Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
стандартно принимающий строковое значение
C:\WINDOWS\system32\userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой.
Так, например запись C:\WINDOWS\system32\userinit.exe,%TEMP%\svchost.exe
обеспечит запуск кроме стандартной программы userinit.exe, еще и svchost.exe, которая никоим образом не может находиться в папке временных
файлов \TEMP и вообще запускаться из данной группы точек автозапуска.
Все, что записано после userinit.exe,
нужно удалить - эти записи обеспечивают запуск вредоносных программ.
userinit.exe
выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется Проводник (Explorer.exe)
.
Проводник реализует графический интерфейс пользователя (GUI) - рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить,
то пользователь получает пустой рабочий стол без каких-либо элементов управления.
Для запуска оболочки пользователя используются данные из ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Стандартное строковое значение данного ключа - Explorer.exe
.
Если же оно отличается, то вероятнее всего, имеет место вирусное заражение.
Вредоносные программы могут использовать также и точки однократного автозапуска (параметры RunOnce, RunOnceEx), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.
Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry - Search Online ) или по контекстному меню правой кнопки мышки. А проще всего - отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com
Internet Explorer - выводится список вспомогательных объектов браузера (BHO - Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель Итернета (браузер).
Использование уязвимостей обозревателей Интернета - это один из самых распространенных способов вирусного заражения. Современный браузер - это фактически сложный программный комплекс, своеобразный интерпретатор содержимого, получаемого из страниц посещаемых сайтов и кроме того - это программный продукт, свойства которого могут быть расширены или изменены с помощью настроек и дополнительных программных модулей, в том числе и внедряемых сторонними разработчиками. Эти свойства обозревателей Интернета используются и создателями вредоносных программ. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. В большинстве случаев признаком нежелательного ПО является неизвестный издатель, информация о котором отображается в поле Publisher .
Services - выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра
HKLM\SYSTEM\CurrentControlSet\Control
HKLM\SYSTEM\CurrentControlSet\Services
Службы, не имеющие описания, цифровой подписи, или имеющие недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места - каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .
Drivers - выводится список драйверов, запуск которых разрешен (параметр Start в разделе реестра, относящегося к драйверу не равен 4 что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов
Scheduled Tasks
- выводится список задач, запланированных для выполнения планировщиком (Task Scheduler).
Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.
Image Hijacks - выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением.exe
Appinit DLLs
- выводится список всех зарегистрированных в системе DLL. Используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll
Ключ реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls
обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.
Known DLLs
- список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.
Boot Execute - программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)
Winlogon Notifications - список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом или выходом пользователя из системы (logon/logoff), запуском заставки, завершением работы или перезагрузкой.
Winsock Providers - список провайдеров служб Windows для доступа к сетевым функциям. Обычно - это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.
LSA Providers - список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.
Print Monitors - список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра
HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
Sidebar Gadgets - список гаджетов установленных пользователями Windows 7 и более поздними ОС
Office - информация о дополнительных модулях офисного программного обеспечения.
Основное меню (menu bar) программы Autoruns .
Назначение некоторых пунктов меню утилиты Autoruns рассмотрено выше.
Пункты основного меню File
Find
- поиск текста в текущем окне выходных данных Autoruns.
Load
- открыть из файла ранее сохраненный отчет Autoruns
Save
- сохранить текущий журнал Autoruns.
Compare
- сравнение текущего отчета Autoruns с сохраненным ранее. Позволяет быстро определить новые элементы автозапуска, появившиеся с момента сохранения сравниваемого отчета. Новые элементы выделяются зеленым цветом.
Пункты основного меню Entry
Все пункты меню Entry относятся к выделенному элементу отчета на текущем экране Autoruns. Все опции также доступны из контекстного меню, вызываемого правой кнопкой мышки.
Delete
- Удалить элемент автозапуска. Восстановить удаленный элемент средствами самой утилиты Autoruns невозможно. Бездумное удаление критически важных элементов автозапуска может привести к краху системы. Чтобы не удалять элемент, а только заблокировать его, нужно сбросить флажок (убрать галочку) в первой колонке строки данного элемента.
Copy
- Копирование данных выделенной строки в буфер обмена.
Verify
- Проверить цифровую подпись выделенного элемента.
Jump to
- как и в большинстве продуктов Sysinternals, позволяет быстро перейти к тому разделу реестра или каталогу Windows, который связан с данной точкой автозапуска. Очень удобный режим, позволяющий экономить время и нервы при анализе информации. Переход также можно выполнить двойным щелчком на выбранном элементе.
Search Online
- Autoruns выполнит запуск обозревателя Интернета и с его помощью выполнит поиск информации о точке автозапуска, связанной с текущим элементом отчета.
Используется механизм поиска, на который настроем обозреватель, например, поиск Яндекса
Properties
- Отобразить свойства исполняемого файла автоматически запускаемого процесса.
Process Explorer
- Запустить утилиту Process Explorer
от
Sysinternals для отслеживания активности выбранного процесса. Программа
Process Explorer должна присутствовать, и должна иметься возможность ее
запуска с использованием пути в переменной окружения path
Autorunsc - вариант Autoruns для использования в командной строке.
Autorunsc - это вариант программы Autoruns для работы в командной строке. Удобно использовать для сбора и обработки данных об автоматически запускающихся процессах на удаленных компьютерах, для отслеживания изменений в автозапуске и т.п.
Формат командной строки:
autorunsc [-a[*][b] [c] [d] [e] [g] [h] [i] [k] [l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z
Параметры командной строки:
| * | показывать все элементы; |
| -b | объекты, исполняемые на ранних стадиях загрузки; |
| -c | записать выходные данные в CSV-файл; |
| -d | библиотеки DLL инициализации приложений; |
| -e | надстройки Explorer; |
| -g | мини-приложения (гаджеты) боковой панели; |
| -h | перехватчики файлов-образов (Image hijacks); |
| -i | дополнительные компоненты Internet Explorer |
| -l | элементы, автоматически запускаемые при входе в систему (этот параметр используется по умолчанию); |
| -m | не показывать элементы с цифровой подписью Microsoft; |
| -n | поставщики протокола Winsock; |
| -p | драйверы монитора печати; |
| -r | поставщики LSA; |
| -s | службы в режиме автоматического запуска и неотключенные драйверы; |
| -t | назначенные задания; |
| -v | проверять цифровые подписи; |
| -w | элементы Winlogon; |
| -x | печатать вывод в формате XML; |
| -z | задать для сканирования неактивную систему Windows; |
| пользователь | показывать автоматически запускаемые объекты для указанной учетной записи пользователя. |
Примеры использования:
autorunsc /? - отобразить подсказку по использованию программы.
autorunsc –a * - отобразить все элементы автозапуска в данной системе.
autorunsc64.exe -a * |find /i "adobe" - отобразить все элементы автозапуска связанные с программными продуктами Adobe.
autorunsc –a b - отобразить элементы автозапуска связанные с загрузкой данной системы.
autorunsc –s * - отобразить сведения об автоматически запускающихся службах и драйверах.
autorunsc –s * > services.txt - то же, что и в предыдущем примере, но с записью результатов в текстовый файл.
autorunsc64.exe -a w –m - отобразить сведения об элементах автозапуска для Winlogon, исключив записи для программных продуктов Microsoft.
autorunsc64.exe -a w –x - то же, что и в предыдущем примере, но с представлением результатов в XML-формате.
Одно из основных предназначений Autoruns - поиск и обезвреживание вредоносного программного обеспечения. Мощные возможности исследования и нейтрализации элементов автозапуска позволяют легко справиться с внедрившейся в систему заразой. Любой вирус, лишенный возможности автоматического запуска, становится совершенно безвредным, как например, обычный текстовый файл, хранящийся на компьютере.
При возникновении сомнений в отношении какого-либо элемента автозапуска, приведенного в списке выходных данных Autoruns попробуйте провести подробное его исследование, используя следующие приемы:
Проанализируйте описание, сведения об издателе, наличие и достоверность
цифровой подписи.
- Выполните двойной щелчок по исследуемому элементу и проверьте точку
его автостарта в реестре или каталоге файловой системы.
- Используйте контекстное меню Search Online
или комбинацию
клавиш CTRL+M для получения дополнительных сведений по результатам поиска в
Интернете.
- Если у вас имеется сохраненный журнал предыдущих сессий - сравните
текущие данные с сохраненными (меню File-Compare
).
- Отправьте файл на онлайн проверку VirusTotal.com. Если файл является
вредоносным, с большой долей вероятности, служба VirusTotal этот факт
подтвердит.
- Для подробного анализа активности подозрительного процесса используйте
родственную утилиту
от Sysinternals. Можно воспользоваться прямым вызовом утилиты через пункт
контекстного меню для выбранного элемента автозапуска.
На сегодняшний день, Autoruns, поддерживаемая разработчиками много лет, является одной из самых эффективных программ для контроля автозапуска. Однако, все более популярными становятся программы мониторинга автозапуска в реальном масштабе времени. Такие программы запускаются автоматически и ведут постоянное наблюдение за состоянием элементов автозапуска, принимая меры при попытке какого-либо ПО ”прописаться” для автоматического старта. Понятное дело, что главными недостатками подобных программ является повышенное потребление ресурсов системы и невозможность полного контроля всех элементов автозапуска. Примером программ мониторинга могут быть бесплатные Anvir Task Manager , отличающийся повышенным потреблением ресурсов, и, менее прожорливый, но значительно уступающий по возможностям PT Startup Monitor .
В этом уроке мы узнаем как работать с программой Autoruns.
Autoruns – это утилита, с помощью которой вы сможете управлять автоматической загрузкой драверов, программ сервисов и других компонентов системы. То есть, при помощи этой утилиты вы можете добавить или удалить определенные программы, которые запускаются автоматически при загрузке операционной системы Windows.
1. Для начала запустим файл exe утилиты Autoruns. Как видите на изображении ниже, у меня он называется «Autoruns_Rus_Setup». У вас он может называться по другому, но ярлык около наименования файла у всех будет одинаковым.
2. Перед вами откроется окно «Лицензионное соглашение AutoRuns ». Нажмите кнопку «Принять ».
3. Далее перед вами откроется уже основное окно, в котором вы можете видеть все запущенные на вашем ПК программы, модули, системные службы, драйверы.
4. Как видите по фотографии ниже, вы можете использовать вкладки, которые сортируют запущенные сервисы по разделам.
5. Для того, чтобы узнать свойства любого объекта достаточно нажать на него левой кнопкой мыши и в левом нижнем углу утилиты вы увидите: размер объекта, время и дата создания, версию, путь расположения файла (объекта).
Определенные советы о том, какую из программ, модулей, драйверов и т.д. удалять из автозагрузки, а какую оставить я вам не буду, поскольку это индивидуальный подход и стоит отталкивать от ваших предпочтений, технических характеристик ПК. Лучше всего расставьте приоритеты и оставьте только те объекты из списка, которыми вы пользуетесь с самого начала загрузки Windows.
6. Для того, чтобы удалить программу из автозапуска нужно кликнуть правой кнопкой мыши по ней и в появившемся меню выбрать «Удалить ».
7.Далее появится новое окно, в котором у вас попросят подтвердить, согласны ли вы удалить запись автозапуска. Просто нажмите «Да ».
С помощью таких не сложных манипуляций вы можете значительно ускорить загрузку вашей операционной системы Windows (уменьшить время загрузки), методом избавления от не нужных программ, сервисов и т.д. Только внимательно отнеситесь к этому делу.
Спасибо за внимание. Основные азы пользования утилитой AutoRuns рассмотрены.
AutoRun -это программа,используемая в некоторых версиях операционной системы Windows,и которая позволяет системе автоматически установить новую программу для пользователя.В отличие от ранних версий ОС и некоторых других ОС программ, которые требуют от пользователя компьютера, активно прилагать усилия,чтобы установить программу на компьютер.Процесс autorun обычно используется для компакт-дисков (CD) или другого оборудования,которое используется для установки программы на компьютер. AutoRun позволяет обнаружить наличие установки на таком оборудовании,а затем позволяет программе быть легко установленной на компьютере.
Иногда используется как синоним понятия AutoPlay, Автозагрузка - это не то же самое. AutoPlay был синонимично в ранних версиях OS программ,но с тех пор он был организован как отдельная функция автоматического воспроизведения медиа-файлов.AutoRun , с другой стороны,для автоматической установки программ и не влияет на диски или другие форматы,которые содержат мультимедийные данные, такие как видео и музыка.
Когда устройство подключено к компьютеру,который содержит программы,такие как компакт-диск вставленные в дисковод на компьютере или флэш-накопитель USB в порт USB на компьютере, затем операционная система компьютера,как правило, обнаруживает,что устройство.Это вызывает уведомление,которое будет отправлено OS, которая, в свою очередь, начинает процесс автозапуска.Процесс начинается с выявления ОС режима автозапуска если он отключен на компьютере;если это так, то процесс должен идти дальше.
Пока автозапуск включен на компьютере,операционная система ищет файл AutoRun в корневом каталоге программы на носителе. Этот файл позволяет OS легко запустить и установить программу. Как правило,на рабочем столе пользователя появляется всплывающее окно,указывающее,что программа будет устанавливаться автоматически,позволяя пользователю отменить установку или одобрить её.Помимо этого,пользователь не обязательно должен взаимодействовать с установкой программы, хотя большинство программ будет также предоставлять лицензионное соглашение с конечным пользователем (EULA), которое должно быть принято, и может позволить пользователю изменить некоторые аспекты установки.
Без этой возможности в ОС компьютера,программы должны быть установлены вручную.Некоторые пользователи предпочитают устанавливать программы вручную, что позволяет им более легко контролировать, куда и где будет установлена программа,и обычно это не требует больших усилий. В ранних версиях OS, тем не менее, преимущества автоматической установки было гораздо больше, и процесс был введён для уменьшения технической поддержки на вопросы клиентов,касающихся установки программ.
Из тех программ, к которым быстро привыкаешь, настолько они полезны. Утилита не только помогает управлять приложениями в автозагрузке, но и позволяет решить целый ряд проблем, типичных для компьютеров под управлением Windows.
Секрет успеха Autoruns очень прост: это средство сочетает функциональность Диспетчера задач (Task Manager) и утилиты «Службы» (Services) с некоторыми дополнительными возможностями в одном удобном приложении.
К сожалению, многие пользователи об Autoruns не знают или просто не умеют пользоваться этой утилитой. Для тех, кто познакомился с Autoruns впервые - или просто хочет освежить в памяти уже известную информацию - предлагаю пять полезных советов по использованию этого инструмента.
1. Не полагайтесь исключительно на Autoruns в деле защиты от сетевых угроз
Да, Autoruns позволяет предотвратить автоматический запуск вредоносных, шпионских программ и некоторых вирусов, но это не значит, что утилита может обеспечить всестороннюю защиту системы от киберугроз. На самом деле, Autoruns вообще не следует рассматривать в качестве средства обеспечения безопасности. Программа может временно помочь в защите от вирусов и вредоносного ПО, но не способна предотвратить их проникновение в систему. Единственный по-настоящему разумный способ применения Autoruns для борьбы с вирусами - временное отключение подозрительных приложений для их последующего удаления.
2. Используйте Autoruns для управления программами в автозагрузке
Нет смысла добавлять и удалять программы из папки «Автозагрузка» (Startup) вручную, если есть Autoruns. Утилита справляется с этой задачей куда эффективнее. С помощью Autoruns можно посмотреть список всех запущенных программ и включить или отключить ненужные. При этом отключенные приложения из списка не удаляются, так что впоследствии их очень легко снова включить. Это избавляет от необходимости искать исполняемый файл программы и создавать ярлык в папке «Автозагрузка». К тому же, Autoruns позволяет управлять приложениями, которые в обычном режиме скрыты от пользователя.
3. Используйте Autoruns для управления дополнениями Internet Explorer
Некоторые дополнения Internet Explorer могут нарушить нормальную работу системы, и мне не раз приходилось сталкиваться с такими ситуациями. Самый простой способ отключить неисправную панель инструментов или плагин - через Autoruns. Это особенно удобно в том случае, если дополнение препятствует запуску IE. Просто откройте Autoruns, перейдите на вкладку «Internet Explorer» и отключите подозрительный плагин. Если неизвестно, какое именно дополнение является источником неполадок, отключите их все, кроме одного, и попробуйте запустить . Если браузер не запустится, значит, именно это дополнение и виновато. Отключите его, включите все остальные и перезапустите IE, а неисправный плагин удалите или попробуйте переустановить.
4. Ищите справочную информацию в Интернете
В Autoruns есть замечательная встроенная функция поиска, позволяющая выделить объект и поискать связанную с ним информацию в Интернете. Это особенно актуально, если никаких сведений о процессе не указано (разве что раздел в реестре, и все). Прежде чем предпринимать какие-либо действия, нажмите на объекте правой кнопкой мыши и выберите опцию «Search Online» (Искать в Интернете). Autoruns перенаправит вас в браузер со списком результатов поиска по точному имени объекта. Это поможет вам понять, какую именно функцию выполняет данный процесс. К примеру, на вкладке «Everything» (Все) есть объект «pku2u.dll». Если выделить его и воспользоваться поиском в Интернете, можно узнать, что эта библиотека DLL является неотъемлемым компонентом , а значит, удалять или отключать ее не следует.
5. Сохраняйте настройки
Я очень часто пользуюсь функцией сохранения, загрузки и экспорта настроек Autoruns.
Это позволяет применять различные конфигурации автозагрузки на одном компьютере. Чтобы воспользоваться данной возможностью, настройте Autoruns для выполнения определенной задачи и сохраните конфигурацию через меню «File | Save» (Файл | Сохранить). Настройки будут сохранены в файле с расширением «.arn». Чтобы загрузить определенную конфигурацию, воспользуйтесь меню «File | Open» (Файл | Открыть) и выберите нужные файл настроек. Обязательно имейте в запасе хоть один файл с проверенной рабочей конфигурацией Autoruns. Он пригодится не только для восстановления настроек в случае какого-либо сбоя, но и для сравнения с текущей конфигурацией, которое можно выполнить с помощью опции «File | Compare» (Файл | Сравнить). Выберите файл для сравнения и нажмите «Открыть» (Open). Все новые объекты, отсутствующие в исходной конфигурации, будут выделены зеленым цветом. Это очень удобно, поскольку позволяет быстро удалить ненужные объекты, которых нет в проверенной конфигурации.
Палочка-выручалочка
Утилита Sysinternals Autoruns должна быть в арсенале каждого уважающего себя администратора. Она не только помогает бороться с вредоносными программами и вирусами, но также позволяет осуществлять тонкую настройку приложений в автозагрузке Windows. При правильном использовании Autoruns помогает поддерживать нормальную бесперебойную работу системы.