Автозагрузка windows и autoruns

Массовая проверка объектов автозапуска на вирусы в Autoruns

С помощью программы Autoruns можно запустить массовую проверку всех элементов автозапуска. Выполните следующие шаги:

1. Откройте меню «Options» (Настройки).
2. В контекстном меню выберите пункт «Scan Options…» (Настройки сканирования).
3. В окне «Autoruns Scan Options» поставьте флажок в пункте «Check VirusTotal.com».
4. Нажмите на кнопку «Rescan».

После завершения сканирования, в окне программы в столбце «VirusTotal» появятся результаты проверки элементов автозапуска.

Если в результате проверки обнаружится, что некоторые файлы не прошли проверку, не обязательно считать, что это вирус. Прежде, чем принять решение, поищите подробную информацию об объекте в интернете.

На изображении выше видно, что два антивирусных сканера, что-то нашли в программе Облако Mail.Ru. Понятно, что там вирусов нет, возможно, сканеры ругаются из-за каких-то рекламных предложений.

Introduction

This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.

Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.

You’ll probably be surprised at how many executables are launched
automatically!

AutoRuns управление автозагрузкой 13.98 Portable

AutoRuns — утилита для контроля автозагрузки программ. Она позволяет увидеть, какие программы настроены на запуск в процессе загрузки или входа в систему, причем эти программы отображаются именно в том порядке, в каком система Windows обрабатывает их. Это относится к программам, находящимся в папке автозагрузки или прописанным в разделах реестра Run, RunOnce и других. Autoruns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и т.д. Приложение обладает расширенным функционалом по сравнению со служебной программой MSConfig, входящей в состав Windows. Вы, вероятно, удивитесь, как много исполняемых файлов запускается автоматически!Системные требования:Программа Autoruns работает во всех версиях Windows, включая Windows XP 64-bit Edition (для x64) и Windows Server 2003 64-bit Edition (для x64).Торрент AutoRuns управление автозагрузкой 13.98 Portable подробно:·AutoRuns — бесплатная утилита для операционных систем Microsoft Windows, разработанная Sysinternals, и затем приобретённая Microsoft Corporation, способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонент системы. Autoruns отображает абсолютно всё, что будет запущено на компьютере при старте операционной системы, регистрации пользователя и других событиях. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск, проводить поиск запускаемых программ по всей системе или в указанных категориях (стандартная «Автозагрузка», службы Windows, системный реестр (Run, RunOnce), проводник Windows и других).·AutoRuns проверяет практически все места, из которых происходит автозапуск и автозагрузку программ, DLL-библиотек, драйверов, кодеков, приложений, гаджеты боковой панели, служб и других компонент системы. Показывает, какие программы запускаются в процессе загрузки или входа в систему, причем эти программы отображаются в том порядке, в каком система Windows обрабатывает их. Такие программы могут находиться в папке автозагрузки или быть прописаны в разделах реестра Run, RunOnce и других. Отключив программы или компоненты, которыми вы не пользуетесь регулярно, можно значительно повысить, скорость загрузки операционной системы, скорость доступа к оперативной памяти, скорость операций вычислений. Как следствие более стабильная работа и значительное повышение производительности операционной системы.·AutoRuns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и многие другие. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск. При помощи Autoruns можно не только контролировать автозапуск приложений, но и отключать автозагрузку любого из них. Для этого достаточно убрать соответствующую галочку. Кроме настройки системы, с помощью Autoruns можно отслеживать вредоносные программы, которые как правило, прописывают свои ключи в раздел Автозагрузки реестра операционной системы.Особенности Portable:·Не требует установки (официальная версия).Наличие версий с русским интерфейсом (в папке Ru). Здесь же справка на русском в формате .chm.
Скриншоты AutoRuns управление автозагрузкой 13.98 Portable торрент:

Скачать AutoRuns управление автозагрузкой 13.98 Portable через торрент:

autoruns-13_98-portable.torrent (cкачиваний: 182)

Как посмотреть программы в автозапуске с помощью программы AutoRuns?

Для того, чтобы увидеть самый полный список автозагружаемых программ мы используем бесплатную программу для всех версий Windows — AutoRuns. Особенность AutoRuns в том, что она создана разработчиками Microsoft Windows, а потому имеет полную совместимость со всеми версиями, как 32, так и 64 разрядной версии. Windows XP, 7, 8, 8.1 и 10.

Скачать можно  Размер архива 1251 Кб

После того, как вы скачали на ПК программу Autoruns распакуйте архив. Саму программу устанавливать не нужно, просто запустите файл Autoruns.exe, если у вас 32-разрядная ОС или Autoruns64.exe, если 64 разрядная.

запуск autoruns

(Примечение. Для того, чтобы вы имели возможность включать или отключать элементы автозапуска, щелкните правой кнопкой мыши по иконке программы и выберите пункт меню «Запуск от имени администратора«).

Главное окно программы Autoruns

Главное окно программы autoruns

Перед вами множество вкладок с названиями: Everything, Logon, Explorer и т.п.

Сразу скажу, что главная вкладка Everything — на ней находятся АБСОЛЮТНО ВСЕ элементы автозапуска на вашем компьютере.

Предупреждение. Дальнейшие действия с программой autoruns следует проводить аккуратно. Не удаляйте элемент, если вы не знаете для чего он нужен.

Какие программы в автозапуске можно отключать безболезненно

• Вкладка Logon — стандартные элементы автозапуска Windows. В нее входят ветви реестра, папка автозагрузка, папки автозагрузки в профилях пользователей
• Вкладка Explorer — автозагрузка программ связанных с проводником, обработка контекстного меню файлов
• Вкладка Interner Explorer — автозагрузка расширений для обозревателя Interner Explorer
• Вкладка Sheduled Tasks — задания выполняемые в Windows при включении ПК, при входе определенного пользователя или по расписанию
• Вкладка Services — службы работающие в Windows.

Для того, чтобы убрать отображение системных элементов Windows поставьте галочки как на изображении выше: —

• Hide Windows Entries — будут скрыты элементы Windows
• Hide Microsfot Entries — будут скрыты все элементы в которых разработчиком указана Microsoft.

Соответственно теперь у вас будут отображаться только сторонние программы, не относящиеся к Windows. Любой элемент автозагрузки можно выключить (сняв соответствующую галочку) или удалить целиком. Правая кнопка мыши (ПКМ) — Delete. Операция удаления необратимая, т.е. внести изменения и вернуть как все было вы не сможете.

Прежде чем удалить тот или иной элемент можно попытаться найти о нем информацию в интернете ПКМ — Search Online или проверить его на сервисе VirusTotal ПКМ — Check VirusTotal

Обычно, достаточно убрать программ из вкладок Logon, Tasks и Services, чтобы ускорить работу системы. Остальные вкладки я, как правило, не использую.

Если подозрение на вирусную атаку, то рекомендую обязательно проверять компьютер хорошим антивирусом. Например по этой ссылке можно загрузить Kaspersky Internet Security с почти в 2 месяца. Не забудьте обновить антивирусные базы перед проверкой. По опросам портала Comms это лучший антивирус 2017 года.

Ознакомьтесь также с моим материалом о том, как удалить рекламу в браузерах.

Признаки заражения флешки

Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.

Рассмотрим типичный пример зараженного съемного диска:

На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.

Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).

Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.

Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.

Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:

На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.

AutoRun Pro Enterprise [14.10.0.423 + Rus] (2017) Русский скачать торрент

Описание:

AutoRun Pro Enterprise — это высокофункциональный визуальный инструмент для создания интерфейсов автозагрузочных меню и презентаций профессионального уровня. Скачав утилиту на diakov.net, вы до предела упростите процесс создания и редактирования таких интерфейсов в среде WYSIWYG (получаешь то, что видишь) — клик, перемещение и просмотр результата. Всё легко и быстро!

Легко осваивается, присутствуют демонстрации и мастера работы с проектами. Создание вашего авторана будет ограничиваться только вашей фантазией. Вы без проблем создадите прелоад загрузки диска (с проигрыванием музыки), создавать на диске формы отправки е-mail, открытие сайтов в браузере, по нажатию кнопки запускать необходимую программу или файл, проинтегрировать ваш любимый медиа плеер, для проигрывания музыки или видео прямо в вашем диске,не устанавливая дополнительных программ. Если хотите, то можете поставить защиту на ваш диск, и он запустится только после того как введут правильный пароль, а можно заблокировать диск через определенное количество дней или запусков. Все ограничивается только вашей фантазией.

Основные возможности:

Особенности: • Показ любого документа типа TXT, DOC, HTML с помощью автоматического запуска соответствующих приложений. • Печать любого документа типа TXT, DOC, HTML с помощью автоматического запуска соответствующих приложений. • Можно запускать любую программу. • Запустить браузер по умолчанию по URL на документе. • Отправить по электронной почте. • Интегрированный веб-браузер и внутренние команды. • Встроенный плеер. • Интеграция с Media Player. • Слайд-шоу фотографий (фотоальбом), более 100 стилей. • Цвет фона, цвет градиента и прозрачной форме. • Фоновый звук. • Заставки, звуковые заставки. • Полный фон экрана и логотип. • Лицензионное соглашение. Вы можете показать лицензионное соглашение до того, как файлы запускаются. Пользователь должен принять лицензию, чтобы продолжить. Если пользователь не принимает лицензию, то AutoRun завершает работу досрочно. • Безопасность. Вы можете защитить свой компакт-диск от начала нелицензированных пользователей, требуя от пользователей, чтобы представить имя пользователя и пароль или код для проверки подлинности. • Выход форме. Показать информацию или подтверждения выхода до выхода из программы • Неограниченное количество подпапок. • Изображения включают растровые, иконки, JPEG, EMF, WMF, а так же статичные или анимированные GIF плюс прозрачные PNG изображения. • Шаблон страницы. • Объект шаблона. • CD иконки и значок для папок отображаются в строке заголовка. • Тестирование без записи компакт-дисков. • Прожиг проекта на CD-R/CD-RW непосредственно встроенным CD Burner. • Создать единый исполняемый файл. • Публикация проекта в новую папку. • Создать ISO образ компакт-диска файл. • Установка программного обеспечения • вы можете установить по умолчанию программу для просмотра файлов, если пользователь не указал один на своем компьютере. Например, если вы запускаете PDF файл, вы можете включить Adobe Acrobat Reader программное обеспечение на CD и установить его. Вы можете определить один или несколько файлов, которые будут установлены. • Создание выпадающего меню, панель инструментов и строку состояния для страниц, как и большинство стандартных окон, чтобы сделать вашу страницу более профессиональной. • Создать контекстное меню, вы можете определить во всплывающем меню, которое появляется, когда пользователь нажимает на объект или фон страницы с помощью правой кнопки мыши, как и большинство профессиональных приложений. • Срок годности CD, указывается дата истечения срока для компакт-дисков. • Знания языков программирования не требуется. • Не обязательно делать записи в реестре. • Запускается с компакт-диска без инсталляции.Скриншоты:

Что такое Autorun.inf и зачем он нужен?

Autorun.inf – это файл, который автоматически запускает установку драйверов, приложений, программного обеспечения с накопителя. И изначально был создан для того, чтобы облегчить жизнь простого пользователя, когда тот, например, решит переустановить Windows. Безусловно, авторан полезен, если использовать его по назначению.

Но, как говорится, нет худа без добра… Есть горе-программисты, которые создают вирусы и с помощью Autorun.inf их распространяют. И чаще всего это осуществляется через разнообразные портативные устройства хранения информации, которые как раз и выступают в качестве носителя компьютерного паразита.

Отсюда следует, что сам файл автозапуска абсолютно безвреден и устанавливает лишь то, что было в нём прописано.

Как добавить автозагрузку программ Windows 10

Долго останавливаться на этом не будем. Ранее уже рассматривалось подробно, как добавить приложение в автозагрузку Windows 10. Давайте буквально в двух словах. Добавить программу в автозагрузку действительно просто.

Папка автозагрузки	Берём ярлык нужной Вам программы и переносим его в нужную папку. Она располагается по пути: C:\ Пользователи\ Имя_пользователя\ AppData\ Roaming\ Microsoft\ Windows\ Главное меню\ Программы\ Автозагрузка.
Автозагрузка в реестре	В разделе KEY_CURRENT_USER\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run достаточно создать новый Строковый параметр. Значение которого указываем как путь к выполняемому файлу нужной Вам программы.
Планировщик заданий	Новичку достаточно нажать кнопку Создать простую задачу, и заполнить основные параметры. Укажите Имя, Триггер (когда нужно запускать ), Действие (что нужно сделать), и нажав Обзор в проводнике выберите нужную программу.

Заключение

• Большинство ПО после установки добавляются в автозапуск Windows 10. Особенно различные мессенджеры, лаунчеры и даже браузеры. Как минимум после каждого подключения к сети проверяется наличие обновлений.
• Отключение автозагрузки программ повышает производительность системы в целом. В любом случае на слабых компьютерах нужно отключить всё лишнее. Даже диспетчер задач отображает влияние на запуск системы.
• Сторонние программы также позволяют управлять автозагрузкой Вашего ПК. Для управления автозагрузкой обычно использую классический диспетчер задач. Из сторонних отличная программа CCleaner (заменяет несколько других).

Информация о файле autorun.exe

Процесс AutoPlay Application или AORUS GRAPHICS ENGINE или XTREME GAMING ENGINE или Автозагрузка приложений Windows или Donate или {5F5C2F1E-2CE3-4198-94B3-3C69313D049A или ams60_runtime или Autorun Application

принадлежит программе AutoPlay Media Studio Runtime или AORUS GRAPHICS ENGINE или Autorun Application или Операционная система Microsoft Windows или S.T.A.L.K.E.R. — Call of Chernobyl [by или Microsoft Runtime или Command Modern Air Naval Operations или EVGA GTX (версия 590)

от GIGABYTE Technology Co. или EVGA (www.evga.com) или GIGA-BYTE TECHNOLOGY CO., LTD (www.gigabyte.com) или Matrix Publishing или Microsoft (www.microsoft.com) или Firaxis Games.

Описание: autorun.exe не является важным для Windows и часто вызывает проблемы. Autorun.exe находится в подпапках Windows для хранения временных файлов.
Известны следующие размеры файла для Windows 10/8/7/XP 2,829,312 байт (50% всех случаев), 6,882,816 байт или 2,396,160 байт.  
Это не системный файл Windows. У файла нет информации о создателе этого файла.
Autorun.exe способен записывать ввод данных и мониторить приложения.
Поэтому технический рейтинг надежности 40% опасности.

Рекомендуем: Выявление проблем, связанных с autorun.exe

• Если autorun.exe находится в подпапках «C:\Program Files», тогда рейтинг надежности 22% опасности. Размер файла 80,384 байт (50% всех случаев), 172,176 байт или 6,795,608 байт.
  Это не системный файл Windows. Процесс загружается во время процесса загрузки Windows (Смотрите ключ реестра: User Shell Folders, MACHINE\User Shell Folders, TaskScheduler).
  Вы можете деинсталлировать эту программу из панели инструментов. Нет описания файла.
  Autorun.exe способен мониторить приложения и записывать ввод данных. В случае, если вы испытываете проблемы с использованием autorun.exe, Вы можете искать помощи на сайте Gigabyte, или удалить программу (Пуск > Панель управления > Установка и удаление программ > AORUS GRAPHICS ENGINE или Command: Northern Inferno).
• Если autorun.exe находится на диске C:\, тогда рейтинг надежности 19% опасности. Размер файла 2,415,152 байт (33% всех случаев), 2,640,896 байт или 263,744 байт.
  Это не системный процесс Windows. Поставлена цифровая подпись. Это файл, подписанный Verisign.
  Autorun.exe способен записывать ввод данных и мониторить приложения.
• Если autorun.exe находится в подпапках диска C:\, тогда рейтинг надежности 36% опасности. Размер файла 607,232 байт.
• Если autorun.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 54% опасности. Размер файла 471,040 байт.

Первый запуск и знакомство с интерфейсом

Наконец, программа запущена. Теперь перейдем непосредственно к тому, как пользоваться Autoruns на русском языке для Windows 7 или любой другой версии системы.

Основное окно по умолчанию отображает все активные текущие процессы. Главная панель включает в себя несколько стандартных меню и специальных вкладок, отвечающих за определенные настройки. Если вы хоть раз использовали приложение Process Explorer, очевидное сходство Autoruns с этой утилитой бросается в глаза сразу же. Окно процессов открывается в развернутом виде и содержит информацию не только о названии самого процесса, но и о пути расположения файлов, сведения о цифровых подписях издателей, дате установки (метке времени) и подозрениях на возможное присутствие вирусов (Virus Total).

Работа с программой Autoruns

Интерфейс программы

После запуска окно программы будет выглядеть так:

Программа официально поддерживает только английский язык, но и так разобраться с программой несложно.

Все автозапускаемые сервисы в программе разбиты по разделам (1). Открыв вкладку с нужным разделом, в центре окна появится список относящихся к нему сервисов.

Если открыта вкладка Everything (отображение сервисов сразу со всех разделов), то в списке будет видно разделение по разделам (2). Некоторые сервисы отмечены жёлтым цветом (3). Это значит, что файла для запуска этой программы / службы / сервиса в Windows не существует и осталась лишь запись в реестре. Такие записи можно удалить без последствий. Розовым (4) выделены те сервисы, которые программа считает подозрительными. Однако, не стоит ориентироваться целиком на логику программы, поскольку она часто считает подозрительными даже реально безопасные программы.

Всё, что отмечено галочками (как правило, это более 90% из списка) у вас загружается автоматически либо при старте системы, либо при выполнении иных событий.

Удобнее всего пользоваться основным разделом Everything, поскольку через него выводится сразу всё. Отдельно, как правило, может потребоваться заглянуть в разделы:

• Scheduled Tasks. Программы, запуск которых запланирован через утилиту Windows «Планировщик задач».
• Services. Здесь перечисляются автозапускаемые службы Windows.
• Drivers. Тут будут отображаться загружаемые с Windows драйвера (программы для управления устройствами компьютера).
• Winlogon. Программы, запускаемые при загрузке Windows.
• Logon. Программы, запускаемые при входе пользователя в Windows.

Все остальные разделы проще смотреть через общую вкладку Everything.

Список вывода автозагрузки сделан в виде таблицы. Назначение колонок таблицы:

• Autorun Entry. Здесь указан сам автозапускаемый файл, драйвер, сервис.
• Description. В этой колонке выводится описание к каждому пункту автозагрузки, из которого часто можно увидеть, для чего служит тот или иной пункт.
• Publisher. Издатель файла, т. е. разработчик. Если указано в скобках Verified, значит, издатель проверен, т. е. это оригинальный файл, а не какой-то подменённый (например, вирусом).
• Image Path. Путь к файлу в проводнике Windows.
• Timestamp. Время модификации файла. Иногда здесь может отображаться некорректное время, например, в будущем.
• VirusTotal. Результат проверки файлов автозапуска на возможность заражения через сайт virustotal.com.

Настройка автозагрузки

Чтобы отключить нужные сервисы из автозагрузки просто снимите рядом с ними галочки. Изменения применяются сразу и при следующей загрузке Windows те сервисы, с которых вы ранее сняли галочки уже не будут загружаться.

Работать с автозагрузкой нужно очень внимательно! При отключении многих сервисов ваша система может в итоге не загрузиться!

Настоятельно рекомендую, перед тем как вы начнёте посредством отключения каких-то пунктов из автозагрузки искать источник проблемы, выключить в настройках отображение всех системных сервисов Windows, а именно от компании Microsoft. Для этого откройте меню Options и выберите Hide Microsoft Entries. Пункт Hide Windows Entries выключится автоматически.

Пункт Hide Empty Location оставляйте всегда включённым, поскольку он позволяет скрыть пустые записи.

При отключении сервисов из автозагрузки, соответствующие им записи в реестре Windows всё равно останутся. Чтобы полностью удалить сервис из автозагрузки, кликните по нему правой кнопкой мыши и выберите Delete.

Удалять следует только те пункты автозагрузки, которые остались после удаления самих программ! Удалив что-то из автозагрузки, восстановить это затем уже не получится! Поэтому прежде чем что-то основательно удалять, для начала проверьте работу компьютера просто отключив нужный сервис, не удаляя его.

Чтобы посмотреть, к какому файлу и (или) записи в реестре Windows относится тот или иной пункт автозагрузки, кликните по нему правой кнопкой мыши и выберите один из вариантов: Jump to Entry или Jump to Image.

Выбрав первый вариант, откроется реестр Windows сразу на той записи, которая соответствует выбранному пункту автозапуска.

Выбрав второй вариант, откроется папка проводника Windows с тем файлом, который соответствует выбранному пункту автозапуска.

Это полезно тогда, когда вам нужно знать, что конкретно за файл находится в автозапуске и где он расположен наглядно в проводнике Windows.

Таким образом, вы можете отключать либо ненужные программы, сервисы, драйверы из автозапуска системы, либо методом последовательного отключения (например, по 5-10 шт.) и проверки, находить источник проблемы в работе Windows.

Usage

Simply run Autoruns and it shows you the currently configured
auto-start applications as well as the full list of Registry and file
system locations available for auto-start configuration. Autostart
locations displayed by Autoruns include logon entries, Explorer add-ons,
Internet Explorer add-ons including Browser Helper Objects (BHOs),
Appinit DLLs, image hijacks, boot execute images, Winlogon notification
DLLs, Windows Services and Winsock Layered Service Providers, media
codecs, and more. Switch tabs to view autostarts from different
categories.

To view the properties of an executable configured to run automatically,
select it and use the Properties menu item or toolbar button. If
Process Explorer is
running and there is an active process executing the selected executable
then the Process Explorer menu item in the Entry menu will open
the process properties dialog box for the process executing the selected
image.

Navigate to the Registry or file system location displayed or the
configuration of an auto-start item by selecting the item and using
the Jump to Entry menu item or toolbar button, and navigate to
the location of an autostart image.

To disable an auto-start entry uncheck its check box. To delete an
auto-start configuration entry use the Delete menu item or toolbar
button.

The Options menu includes several display filtering options, such as
only showing non-Windows entries, as well as access to a scan options
dialog from where you can enable signature verification and Virus Total
hash and file submission.

Select entries in the User menu to view auto-starting images for
different user accounts.

More information on display options and additional information is
available in the on-line help.

Как использовать AutoRuns для выявления подозрительного программного обеспечения

Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?

На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.

В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.

Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.

Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание

Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.

После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.

Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:

• — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?

• Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.

• Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?

• Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.

Работа с интерфейсом Autoruns

Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.

Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.

При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.

Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.

Отключение программ и служб из автозагрузки

Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.

Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.

Удаление autorun.inf с помощью аварийного диска

Вообще, конечно, аварийный диск нужно сделать заранее, чтобы в случае чего он был. Но ведь все заранее не предусмотришь, тем более, если с компьютером вы еще пока только знакомитесь…

Более подробно о аварийных Live CD дисках…

1) Для начала нужен диск CD/DVD или флешка.

2) Далее нужно скачать образ диска с системой. Обычно такие диски называются Live. Т.е. благодаря ним можно загрузить операционную систему с CD/DVD диска, практически такую же по возможностям, как если бы она была загружена с вашего жесткого диска.

3) В загруженной операционной системе с Live CD диска мы должны спокойно смочь удалить файл autorun да и многие другие. Будьте аккуратны, когда вы загрузились с такого диска, вы можете удалять абсолютно любые файлы, в том числе и системные.

4) После удаления всех подозрительных файлов, установите антивирус и проверьте полностью ПК.

Выводы статьи

Бесплатная программа Autoruns служит для мониторинга мест автозапуска в операционной системе Windows. С помощью программы можно проанализировать все элементы автозапуска на компьютере, отключить или удалить ненужные объекты автозагрузки, проверить файлы на вирусы на сервисе VirusTotal.

Похожие публикации:

• Ashampoo WinOptimizer 17 — оптимизация и обслуживание Windows
• Auslogics Registry Cleaner для очистки реестра Windows
• Лучшие деинсталляторы — программы для удаления программ
• Acronis True Image WD Edition (бесплатно)
• CCEnhancer — расширение функциональности CCleaner