Как запустить autoruns для windows 10

Управлять автоматической загрузкой с помощью Autoruns очень просто. Также софт отличается расширенным функционалом по сравнению со стандартным средством Windows.

Содержание

  • Учимся пользоваться Autoruns
    • Предварительная настройка
    • Редактируем параметры автозапуска
  • Вопросы и ответы

Как использовать Autoruns

Если вы хотите полностью контролировать работу приложений, сервисов и служб на своем компьютере или ноутбуке, тогда вам обязательно необходимо настроить автозапуск. Autoruns — одно из лучших приложений, которое позволит вам это сделать без особого труда. Именно данной программе и будет посвящена наша сегодняшняя статья. Мы расскажем вам о всех тонкостях и нюансах использования Autoruns.

Скачать последнюю версию Autoruns

От того, насколько хорошо оптимизирована автозагрузка отдельных процессов вашей операционной системы, зависит скорость ее загрузки и быстродействия в целом. Кроме того, именно в автозагрузке могут скрываться вирусы при заражении компьютера. Если в стандартном редакторе автозагрузки Windows можно управлять в основном уже инсталлированными приложениями, то в Autoruns возможности намного шире. Давайте разберем более подробно тот функционал приложения, который может пригодиться рядовому пользователю.

Предварительная настройка

Перед тем, как приступить непосредственно к использованию функций Autoruns, давайте сперва настроим приложение соответствующим образом. Для этого делаем следующие действия:

  1. Запускаем Autoruns от имени администратора. Для этого просто жмем на иконке приложения правой кнопкой мышки и в контекстном меню выбираем строку «Запустить от имени Администратора».
  2. Запускаем Autoruns от имени администратора

  3. После этого нужно нажать на строку «User» в верхней области программы. Откроется дополнительное окошко, в котором вам нужно будет выбрать тот тип пользователей, для которого будет настраиваться автозагрузка. Если вы являетесь единственным пользователем компьютера или ноутбука, тогда достаточно просто выбрать ту учетную запись, в которой содержится выбранное вами имя пользователя. По умолчанию данный параметр находится самым последним в списке.
  4. Выбираем учетную запись пользователя для редактирования в Autoruns

  5. Далее открываем раздел «Options». Для этого просто жмем левой кнопкой мыши на строке с соответствующим названием. В появившемся меню вам нужно активировать параметры следующим образом:
  6. Открываем опции в Autoruns

    Hide Empty Locations — ставим галочку напротив данной строки. Это позволит скрыть из списка пустые параметры.
    Hide Microsoft Entries — по умолчанию напротив данной строки стоит галочка. Вам следует убрать ее. Отключение данной опции позволит отобразить дополнительные параметры Майкрософт.
    Hide Windows Entries — в этой строке мы крайне рекомендуем установить флажок. Таким образом вы скроете жизненно важные параметры, изменив которые можно сильно навредить системе.
    Hide VirusTotal Clean Entries — если вы поставите отметку напротив данной строки, то скроете из списка те файлы, которые ВирусТотал сочтет безопасными. Обратите внимание, что данный параметр будет работать только при условии, что соответствующая опция включена. Об этом мы расскажем ниже.

  7. После того, как настройки отображения будут выставлены корректным образом, переходим к настройкам сканирования. Для этого жмем снова на строку «Options», а после этого кликаем на пункт «Scan Options».
  8. Открываем опции сканирования в Autoruns

  9. Вам необходимо выставить местные параметры следующим образом:
  10. Scan only per-user locations — советуем не устанавливать отметку напротив данной строки, так как в данном случае будут отображаться только те файлы и программы, которые относятся к конкретному пользователю системы. Остальные места не будут проверены. А так как вирусы могут скрываться абсолютно в любом месте, то не стоит ставить галочку напротив данной строки.
    Verify code signatures — эту строку стоит отметить. В этом случае будет производиться проверка цифровых подписей. Это позволит сразу выявить потенциально опасные файлы.
    Check VirusTotal.com — этот пункт мы также настоятельно рекомендуем отметить. Эти действия позволят сразу же выводить на экран отчет о проверке файлов на онлайн-сервисе VirusTotal.
    Submit Unknown Images — этот подраздел относится к предыдущему пункту. В случае, если данные о файле в VirusTotal найти не получится, то они будут отправляться на проверку. Обратите внимание, что в данном случае сканирование элементов может занять несколько больше времени.

  11. После того, как выставите галочки напротив указанных строк, необходимо нажать на кнопку «Rescan» в этом же окне.
  12. Жмем кнопку Rescan в настройках сканирования Autoruns

  13. Последней опцией во вкладке «Options» является строка «Font».
  14. Заходим в настройки шрифтов Autoruns

  15. Тут вы опционально сможете изменить шрифт, стиль и размер отображаемой информации. Выполнив все настройки, не забудьте сохранить результат. Для этого нажмите кнопку «OK» в этом же окне.
  16. Сохраняем настройки шрифтов в Autoruns

Вот собственно и все настройки, которые вам нужно выставить предварительно. Теперь можно перейти непосредственно к редактированию автозапуска.

Редактируем параметры автозапуска

Для редактирования элементов автозапуска в Autoruns присутствуют различные вкладки. Давайте рассмотрим детальнее их назначение и сам процесс изменения параметров.

Lumpics.ru

  1. По умолчанию вы увидите открытую вкладку «Everything». В данной вкладке будут отображены абсолютно все элементы и программы, которые запускаются автоматически при загрузке системы.
  2. Открытая вкладка Everything в Autoruns

  3. Вы можете увидеть строки трех цветов:
  4. Пример строк разных цветов в Autoruns

    Желтый. Данный цвет означает, что к конкретному файлу указан лишь путь в реестре, а сам файл отсутствует. Лучше всего такие файлы не отключать, так как это может привести к различного рода проблемам. Если вы не уверены в назначении таких файлов, тогда выделите строку с его названием, а после этого нажмите правой кнопкой мышки. В появившемся контекстном меню выберите пункт «Search Online». Кроме того, вы можете выделить строку и просто нажать комбинацию клавиш «Ctrl+M».
    Поиск информации о файле онлайн в Autoruns

    Розовый. Этот цвет сигнализирует о том, что у выбранного элемента отсутствует цифровая подпись. По сути, в этом нет ничего страшного, но большинство современных вирусов как раз распространяются без такой подписи.

    Урок: Решаем проблему с проверкой цифровой подписи драйвера

    Белый. Данный цвет — признак того, что с файлом все в порядке. У него присутствует цифровая подпись, прописан путь к самому файлу и к ветке реестра. Но несмотря на все эти факты, подобные файлы все равно могут быть заражены. Об этом мы расскажем далее.

  5. Помимо цвета строки следует обращать внимание на цифры, которые находятся в самом конце. Имеется в виду отчет VirusTotal.
  6. Цифры с показателями отчета VirusTotal в Autoruns

  7. Обратите внимание, что в некоторых случаях данные значения могут быть красными. Первая цифра означает количество найденных подозрений на угрозу, а вторая — общее число проверок. Подобные записи не всегда означают, что выбранный файл является вирусом. Не стоит исключать погрешности и ошибки самого сканирования. Кликнув левой кнопкой мыши по цифрам, вы попадете на сайт с результатами проверки. Тут вы сможете увидеть на что есть подозрения, а также перечень антивирусов, которые проверку проводили.
  8. Детальный отчет о подозрительном файле в Autoruns

  9. Подобные файлы следует исключать из автозагрузки. Для этого достаточно убрать галочку напротив названия файла.
  10. Исключаем файлы из списка автозагрузки Autoruns

  11. Удалять лишние параметры навсегда вообще не рекомендуется, так как вернуть их на место будет проблематично.
  12. Нажав правой кнопкой мыши на любом файле, вы откроете дополнительное контекстное меню. В нем вам следует обратить внимание на следующие пункты:
  13. Jump to Entry. Нажав на данную строчку, вы откроете окно с местоположением выбранного файла в папке автозагрузки или в реестре. Это полезно в ситуациях, когда выбранный файл нужно удалить полностью с компьютера или изменить его имя/значение.
    Выбираем строку Jump to Entry в контекстном меню Autoruns

    Jump to Image. Данная опция открывает окно с папкой, в которую данный файл был инсталлирован по умолчанию.
    Выбираем строку Jump to Image в контекстном меню файла Autoruns

    Search Online. Про данную опцию мы уже упоминали выше. Она позволит отыскать информацию о выбранном элементе в интернете. Данный пункт очень полезен в том случае, когда вы не уверены в том, следует ли отключать выбранный файл для автозагрузки.
    Онлайн поиск информации о файле в Autoruns

  14. Теперь давайте пройдемся по основным вкладкам Autoruns. Мы уже упоминали о том, что во вкладке «Everything» располагаются все элементы автозагрузки. Другие же вкладки позволяют контролировать параметры автозапуска в различных сегментах. Давайте рассмотрим самые важные из них.
  15. Все вкладки в Autoruns

    Logon. В данной вкладке располагаются все приложения, установленные самим пользователем. Поставив или убрав галочки из соответствующих чекбоксов, вы легко сможете включить или отключить автозагрузку выбранного софта.
    Заходим во вкладку Logon в Autoruns

    Explorer. В данной ветке можно отключить лишние приложения из контекстного меню. Это то самое меню, которое возникает при нажатии на файле правой кнопкой мыши. Именно в данной вкладке вы сможете отключить надоедливые и ненужные элементы.
    Заходим во вкладку Explorer в Autoruns

    Internet Explorer. Данный пункт, скорее всего, не нуждается в представлении. Как следует из названия, в этой вкладке находятся все элементы автозагрузки, которые относятся к браузеру Internet Explorer.
    Заходим во вкладку Internet Explorer в Autoruns

    Scheduled Tasks. Тут вы увидите список всех задач, которые были запланированы системой. Сюда входят различные проверки обновлений, дефрагментация жестких дисков и прочие процессы. Вы можете отключить лишние запланированные задачи, однако не отключайте те, назначение которых вам не известно.
    Заходим во вкладку Scheduled Tasks в Autoruns

    Services. Как следует из названия, в данной вкладке находится перечень сервисов, которые автоматически загружаются при запуске системы. Какие из них оставлять, а какие отключать — решать только вам, так как у всех пользователей разные конфигурации и потребности в ПО.
    Заходим во вкладку Services в Autoruns

    Office. Тут можно отключить элементы автозагрузки, которые относятся к софту Microsoft Office. По сути можно отключить все элементы для ускорения загрузки вашей операционной системы.
    Заходим во вкладку Office в Autoruns

    Sidebar Gadgets. К данному разделу относятся все гаджеты дополнительных панелей Windows. В некоторых случаях гаджеты могут загружаться автоматически, но не выполнять никаких практических функций. Если вы не устанавливали их, то скорее всего у вас список будет пуст. Но если же вам необходимо отключить установленные гаджеты, то сделать это можно именно в данной вкладке.
    Заходим во вкладку Sidebar Gadgets в Autoruns

    Print Monitors. Данный модуль позволяет включать и выключать для автозагрузки различные элементы, которые относятся к принтерам и их портам. Если у вас принтер отсутствует, то можете отключить местные параметры.
    Заходим во вкладку Print Monitors в Autoruns

Вот собственно и все параметры, о которых мы хотели бы поведать вам в данной статье. На самом деле вкладок в Autoruns гораздо больше. Однако для их редактирования нужны более глубокие знания, так как необдуманные изменения в большинстве из них могут привести к непредсказуемым последствиям и проблемам с ОС. Поэтому если вы все же решитесь изменять остальные параметры, тогда делайте это осторожно.

Если вы обладатель операционной системы Windows 10, тогда вам может также пригодиться наша специальная статья, в которой затрагивается тема добавления элементов автозагрузки именно для указанной ОС.

Подробнее: Добавление приложений в автозагрузку на Виндовс 10

Если во время использования Autoruns у вас возникнут дополнительные вопросы, тогда смело задавайте их в комментариях к данной статье. Мы с радостью поможем вам оптимизировать автозагрузку компьютера или ноутбука.

Автозагрузка в Windows 10В этой статье подробно об автозагрузке в Windows 10 — где может быть прописан автоматический запуск программ; как удалить, отключить или наоборот добавить программу в автозагрузку; о том, где находится папка автозагрузки в «десятке», а заодно о паре бесплатных утилит, позволяющих более удобно всем этим управлять.

Программы в автозагрузке — это то ПО, которое запускается при входе в систему и может служить для самых разных целей: это антивирус, мессенджеры, сервисы облачного хранения данных — для многих из них вы можете видеть значки в области уведомлений справа внизу. Однако, точно так же в автозагрузку могут добавляться и вредоносные программы. Более того, даже избыток «полезных» элементов, запускаемых автоматически, может приводить к тому, что компьютер работает медленнее, а вам, возможно, стоит удалить из автозагрузки какие-то необязательные из них.

  • Автозагрузка приложений в параметрах Windows 10
  • Просмотр и отключение программ автозагрузки в диспетчере задач
  • Где находится папка Автозагрузка Windows 10
  • Автозагрузка программ в реестре
  • Планировщик заданий
  • Sysinternals Autoruns и другие утилиты для управления автозагрузкой
  • Видео инструкция

Внимание:  в последних версиях Windows 10 программы, которые не были закрыты при завершении работы, автоматически запускаются при следующем входе в систему и это не автозагрузка. Подробнее: Как отключить перезапуск программ при входе в Windows 10.

Просмотр и отключение программ в автозагрузке в параметрах Windows 10

Один из самых простых способов просмотреть программы в автозагрузке Windows 10 — использовать соответствующих пункт в Параметрах:

  1. Откройте Параметры Windows 10 (клавиши Win+I или через меню Пуск).
  2. Перейдите в раздел Приложения — Автозагрузка. Автозагрузка программ в параметрах Windows 10
  3. Ознакомьтесь со списком программ в автозагрузке, отключите ненужные.

Если вы не знаете, что можно отключить, а чего лучше не отключать, в общих чертах ситуация следующая: даже отключив все элементы, вы не навредите системе, но может оказаться, что какие-то постоянно нужные программы (мессенджеры, антивирусы, программы облачных хранилищ) придется запускать вручную. В любом случае, можете смело экспериментировать.

Автозагрузка в диспетчере задач

Следующее расположение, где можно изучить программы в автозагрузке Windows 10 — диспетчер задач, который легко запустить через контекстное меню кнопки Пуск, открываемое по правому клику. В диспетчере задач нажмите кнопку «Подробнее» внизу (если такая там присутствует), а затем откройте вкладку «Автозагрузка».

Отключение программ в автозагрузке в диспетчере задач Windows 10

Вы увидите список программ в автозагрузке для текущего пользователя (в этот список они берутся из реестра и из системной папки «Автозагрузка»). Кликнув по любой из программ правой кнопкой мыши, вы можете отключить или включить ее запуск, открыть расположение исполняемого файла или, при необходимости, найти информацию об этой программе в Интернете. Также в колонке «Влияние на запуск» можно оценить, насколько указанная программа влияет на время загрузки системы. Правда здесь стоит отметить, что «Высокое» не обязательно означает, что запускаемая программа в действительности тормозит ваш компьютер.

Папка автозагрузки в Windows 10

Частый вопрос, который задавался и по поводу предыдущей версии ОС — где находится папка автозагрузки в новой системе. Находится она в следующем расположении:

%userprofile%AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

Достаточно ввести указанный путь в адресную строку проводника и нажать Enter. Еще один простой способ открыть эту папку — нажать клавиши Win+R и ввести в окно «Выполнить» следующее: shell:startup после чего нажмите Ок, сразу откроется папка с ярлыками программ для автозапуска.

Папка автозагрузки в Windows 10

Чтобы добавить программу в автозагрузку, вы можете просто создать ярлык для этой программы в указанной папке. Примечание: по некоторым отзывам, это не всегда срабатывает — в этом случае помогает добавление программа в раздел автозагрузки в реестре Windows 10.

Автоматически запускаемые программы в реестре

Запустите редактор реестра, нажав клавиши Win+R и введя regedit в поле «Выполнить». После этого перейдите к разделу (папке)

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun

В правой части редактора реестра вы увидите список программ, запускаемых для текущего пользователя при входе в систему. Вы можете удалить их, или добавить программу в автозагрузку, нажав по пустому месту в правой части редактора правой кнопкой мыши — создать — строковый параметр. Задайте параметру любое желаемое имя, после чего дважды кликните по нему и укажите путь к исполняемому файлу программы в качестве значения.

Автозагрузка в редакторе реестра

Это не единственный раздел, программы в автозагрузке могут также находиться в следующих разделах реестра Windows 10 (учитывайте, что последние два раздела могут отсутствовать на вашей системе):

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_CURRENT_USERSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

Изменять список можно аналогичным способом.

Планировщик заданий Windows 10

Следующее место, откуда может запускаться различное ПО — планировщик заданий, открыть который можно, нажав по кнопке поиска в панели задач и начав вводить название утилиты.

Обратите внимание на библиотеку планировщика заданий — в ней находятся программы и команды, автоматически выполняемые при определенных событиях, в том числе и при входе в систему. Вы можете изучить список, удалить какие-либо задания или добавить свои.

Автоматический запуск в планировщике заданий

Более подробно об использовании инструмента вы можете прочитать в статье про использование планировщика заданий.

Sysinternals Autoruns и другие утилиты для контроля программ в автозагрузке

Существует множество различных бесплатных программ, позволяющих просматривать или удалять программы из автозагрузки, лучшая из них, на мой взгляд — Autoruns от Microsoft Sysinternals, доступная на официальном сайте https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

Программа не требует установки на компьютер и совместима со всеми последними версиями ОС, включая Windows 10. После запуска вы получите полный список всего, что запускается системой — программы, службы, библиотеки, задания планировщика и многое другое.

Управление автозагрузкой в Sysinternals Autoruns

При этом, для элементов доступны такие функции как (неполный список):

  • Проверка на вирусы с помощью VirusTotal
  • Открытие места расположения программы (Jump to image)
  • Открытие места, где программа прописана для автоматического запуска (пункт Jump to Entry)
  • Поиск информации о процессе в Интернете
  • Удаление программы из автозагрузки

Отдельно в Autoruns можно просмотреть и дополнительные элементы, такие как запускаемые службы, выполняемые при входе в систему задачи, элементы планировщика заданий и отключить их при необходимости.

Возможно, для начинающего пользователя программа может показаться сложной и не совсем понятной, но инструмент действительно мощный, рекомендую. Также управление программами в автозагрузке присутствует почти в любых утилитах для очистки и оптимизации системы, о которых подробнее в обзоре Лучшие программы для очистки Windows 10.

Видео инструкция

Если у вас остаются вопросы, имеющие отношение к затронутой теме — задавайте ниже в комментариях, а я постараюсь ответить на них.

Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.

Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.

Что такое AutoRuns?

AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.

Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.

AutoRuns: основы

На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.

Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.

Во вкладке Explorer (проводник) отображается информация о следующих элементах:

  • Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).

  • Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.

  • Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.

  • Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.

Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.

Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).

Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.

Драйверы позволяют оборудованию взаимодействовать с операционной системой устройства. Во вкладке Drivers в AutoRuns отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.

Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.

В AppInit DLL показаны библиотеки DLL, зарегистрированные как DLL инициализации приложений.

Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).

Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.

Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.

Во вкладке Winsock Providers (провайдеры Winsock) показываются зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как провайдера Winsock, чтобы его было сложно удалить. AutoRuns может отключить провайдера, но не удалить его.

Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.

Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.

Как использовать AutoRuns для выявления подозрительного программного обеспечения

Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?

На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:

HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.

В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program filesarp servicearpsv.exe.

Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.

Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.

Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.

После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.

Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:

  • Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?

  • Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.

  • Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?

  • Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.

Как использовать AutoRuns для удаления вредоносных программ

Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».

После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.

Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).

После этого в проводнике Windows будет открыта папка с данным файлом.

Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.

Bf48a5558c8d2b44a37e66390494d08e

Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.

Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».

После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.

Теперь вирус можно удалить из проводника Windows.

Советы по использованию AutoRuns от Sysinternals

Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:

Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.

Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.

Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).

Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn’AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.

Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).

В примере ниже мы выбираем результаты, сохраненные в файле clean.

После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.

Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.

Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.

Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.

AutoRuns — бесплатная утилита для отображения всех процессов в автозапуске операционной системе Windows, монитор автозагрузки на компьютере. Это наиболее полный инструмент, с помощью которого можно управлять программами, процессами, драйверами, модулями, службами или заданиями, другими компонентами системы, связанными с автозапуском.

Программа Autoruns показывает всё, что запускается на ПК при старте Windows. В приложении можно увидеть свойства и параметры автозапуска, отменить автозагрузку ненужных приложений и компонентов.

Содержание:

  1. Возможности программы Autoruns
  2. Запуск Autoruns
  3. Интерфейс Autoruns
  4. Обзор вкладок в окне программы Autoruns
  5. Отключение автозапуска в Autoruns
  6. Удаление записи из автозапуска в Autoruns
  7. Проверка элемента автозапуска на вирусы в VirusTotal
  8. Массовая проверка объектов автозапуска на вирусы в Autoruns
  9. Выводы статьи

Autoruns был создан в компании Sysinternals Марком Руссиновичем (Mark Russinovich). В последствии корпорация Microsoft приобрела Sysinternals, а Марк Руссинович стал сотрудником Майкрософт (в настоящий момент времени — технический директор Microsoft Azure). Марк Руссинович продолжает разработку программы Autoruns вместе с Брайсом Когсвеллом (Bryce Cogswell).

Во время старта системы, вместе с Windows, системными службами и приложениями, запускаются стороннее программное обеспечение. Автозапуск приложений не всегда оправдан, потому что нет никакой необходимости в постоянной работе многих программ в фоновом режиме.

Большое количество запускаемых приложений влияет на скорость загрузки системы, работая в фоне, программы бесполезно расходуют ресурсы компьютера, занимают место в памяти. Поэтому, некоторые программы следует отключить из автозагрузки, пользователь может самостоятельно запустить приложение на своем ПК, когда ему это потребуется.

Настройка автозагрузки Windows поможет повысить быстродействие компьютера. Один из способов: использование программы Autoruns для отключения автозапуска ненужных приложений.

Возможности программы Autoruns

С помощью утилиты Autoruns пользователь может воспользоваться следующими возможностями:

  • Мониторинг всех мест, из которых происходит автозапуск программ.
  • Отображение программ, драйверов, системных служб, заданий в Планировщике, уведомлений Winlogon.
  • Монитор автозапуска встроенных приложений Windows (расширения Проводника, Internet Explorer, скрытые объекты браузера, хайджекеры).
  • Поиск запускаемых приложений в операционной системе, и отдельно в папке «Автозагрузка», в службах Windows, в реестре (Run, RunOnce), в Проводнике.
  • Временная приостановка автозапуска программ с сохранением параметров, а затем восстановление автозапуска приложений.
  • Отключение автозапуска программ и компонентов.
  • Возможность использования разных учетных записей на компьютере.
  • Проверка файлов автозапуска на вирусы в VirusTotal.
  • Имеется версия программы Autorunsc для работы в командной строке.

Системные требования программы Autoruns:

  • Операционная система Windows XP и выше (Windows 11, Windows 10, Windows 8.1, Windows 8, Windows 7, Windows Vista).
  • Поддерживаются 32 битные (х86) и 64 битные (х64) издания ОС.

Программу Autoruns можно скачать с официального сайта Sysinternals. Программа не требует установки на компьютер, запускается из папки. Приложение работает на английском языке.

Autoruns скачать

Довольно часто, Autoruns используют для поиска и обезвреживания вредоносного программного обеспечения. Проведение исследования объектов автозапуска в программе, поможет найти вирус и отключить его автозапуск.

Запуск Autoruns

После загрузки программы на компьютер, для запуска утилиты необходимо выполнить следующие действия:

  1. Распакуйте ZIP архив.
  2. Откройте папку «Autoruns».
  3. Запустите от имени администратора файл «Autoruns» или «Autoruns64», в зависимости от разрядности вашей системы.
  4. В окне «AutoRuns License Agreement» нажмите на кнопку «Agree».

условия лицензии

Интерфейс Autoruns

Откроется окно «Autoruns», в котором отобразятся все запущенные процессы в операционной системе Windows. По умолчанию, главное окно открывается во вкладке «Everything».

главное окно autoruns

В самом верху окна программы находится строка меню. Из меню происходит управление программой, выполняются различные действия в приложении с помощью команд: поиск файла, сохранение в файл, открытие созданного ранее снимка мест автозапуска и т. д.

Ниже расположена панель инструментов, с помощью которых можно получить доступ к некоторым востребованным функциям программы: сохранение, поиск, переход на другой уровень, свойства, обновление, удаление. Здесь находится поле «Filter:» (Фильтр) для быстрого поиска объектов автозапуска в окне приложения.

Затем идет панель вкладок. После сканирования системы, Autoruns распределяет полученную информацию по разным вкладкам (местам автозапуска). После перехода в нужную вкладку легче найти необходимую информацию, чем в общем списке.

Основное место занимает рабочая область, в которой отображаются сведения о запущенных программах, службах, драйверах и т. д.

Ниже находится панель подробностей, в которой отображены сведения о выделенном объекте.

В строке состояния показана информация о сборе или завершении сбора сведений о местах автозапуска.

интерфейс autoruns

Некоторые элементы автозапуска в Autoruns выделены разными цветами:

  • Красный цвет — у этого элемента отсутствует цифровая подпись Microsoft.
  • Желтый цвет — отсутствующие или перемещенные файлы, информация о которых осталась в реестре.

Если контейнер помечен красным цветом, это не значит, что данный файл является вредоносным программным обеспечением. По какой-то причине у объекта нет подтвержденной цифровой подписи Майкрософт. Обратите внимание на эти файлы, получите информацию о них в интернете.

Элементы, выделенные желтым цветом, отключите из автозагрузки, сняв галку, напротив данного объекта. Затем эти записи можно удалить с компьютера.

Обзор вкладок в окне программы Autoruns

Для удобства получения сведений о местах автозапуска, Autoruns распределяет запускаемые объекты по вкладкам, согласно их функционалу.

В окне программы отображаются контейнеры (папки, файлы, параметры и ключи реестра), используемые для автозапуска, и содержимое контейнера. В столбцах находится информация об объектах автозапуска:

  • В столбце «Autorun Entry» (Запись автозапуска) показан способ автозапуска. Если, напротив элемента стоит флажок, это значит, что автозапуск выполняется.
  • В столбце «Description» (Описание) находится описание файла.
  • В столбце «Publisher» (Издатель) можно получить информацию о производителе объекта автозапуска.
  • В столбце «Image Path» (Путь к образу) указан путь к файлу (образу, объекту).
  • Столбец «Timestamp» (Отметка времени) отображает время появления файла на компьютере.
  • В столбце «VirusTotal» находится информация о проверке файла на сервисе VirusTotal.

обозначение столбцов

Назначение всех вкладок программы:

  • Everything (Все) — все записи в одном месте.
  • Logon (Вход в систему) — все элементы автозагрузки текущего пользователя, программы из папки «Автозагрузка».
  • Explorer (Проводник) — список программ и расширений, прописанных в контекстном меню Проводника.
  • Internet Explorer — показаны элементы браузера Internet Explorer, расширения, тулбары.
  • Scheduled Tasks (Назначенные задания) — отображены все задания по обслуживанию операционной системы Windows, полученные из Планировщика заданий.
  • Services (Сервисы) — службы и сервисы Microsoft, запускаемые при старте системы.
  • Drivers (Драйвера) — список драйверов в параметрах которых стоит автозагрузка.
  • Codecs (Кодеки) — сведения о аудио и видео кодеках, запускаемых в системе, необходимых для воспроизведения мультимедиа файлов.
  • Boot Execute (Выполнение при загрузке) — запускаемые приложения при загрузке Windows, например, проверка диска на ошибки.
  • Image Hijacks (Подмена образов) — здесь отображены так называемые хайджекеры (угонщики, перехватчики), подменяющие образы. Они выполняются вместе с оригинальными файлами, подменяя настоящие образы. Используются вирусами.
  • AppInit (Инициализация приложений) — отображены приложения, используемые программами.
  • Known DLLs (Известные DLL) — список зарегистрированных DLL-библиотек.
  • Winlogon (Запуск Windows) — библиотеки событий при загрузке системы.
  • Winsock Providers (Поставщики Winsock) — компоненты, необходимые для работы сети.
  • Print Monitors (Мониторы печати) — компоненты драйверов принтера.
  • LSA Providers (Поставщики LSA) — обработка событий, связанных с безопасностью сети.
  • Network Providers (Поставщики сети) — провайдеры, работающие с настройками сети.
  • WMI (Инструментарий управления Windows) — элементы из базы данных WMI.
  • Office (Офис) — элементы автозапуска Microsoft Office, если офисный пакет программ установлен на данном компьютере.

Совет. Для того, чтобы увидеть места автозапуска только сторонних приложений, не затрагивая системные объекты, поставьте флажок в параметре «Hide Windows Entries» (Скрыть записи Windows) в меню «Options» (Настройки). Этот параметр активирован по умолчанию. Можно активировать параметр «Hide Microsoft Entries» (Скрыть записи Майкрософт), эта настройка дополнительно включает параметр «Hide Windows Entries».

Отключение автозапуска в Autoruns

Для отключения автозапуска программы, снимите флажок, напротив соответствующей записи. Программа Autoruns выполнит изменение и создаст резервную копию для восстановления параметра, в случае необходимости.

отключение автозапуска

Это более безопасный способ отключения объектов автозагрузки, чем удаление элементов из системы.

Удаление записи из автозапуска в Autoruns

В Autoruns можно удалить запись об автозапуске программы, запускать которую не требуется вместе со стартом системы.

Внимание! Autoruns не создает резервных копий удаляемых объектов автозапуска. Поэтому позаботьтесь заранее о создании точки восстановлении системы или создайте резервную копию Windows, что восстановить компьютер в рабочее состояние, если что-то пойдет не так.

  1. Снимите флажок напротив соответствующего элемента автозапуска.

снятие галки

  1. Выделите элемент, щелкните по нему правой кнопкой мыши.
  2. В контекстном меню нажмите на пункт «Delete» (Удалить).

удалить

  1. В окне с предупреждением нажмите на кнопку «Да».
  2. После этого, объект автозапуска будет удален из операционной системы.

Проверка элемента автозапуска на вирусы в VirusTotal

На онлайн сервисе VirusTotal проводится проверка файлов и ссылок на вирусы, с помощью более, чем 70 антивирусных сканеров. При проверке на сервисе используются базы всех ведущих производителей антивирусного программного обеспечения.

Пользователь имеет возможность проверить подозрительный файл со своего компьютера при помощи приложения Autoruns. Для этого, необходимо пройти следующие шаги:

  1. Выделите элемент автозапуска в рабочей области программы.
  2. Кликните по нему правой кнопкой мыши, в открывшемся контекстном меню нажмите на «Check VirusTotal».
  3. При первом открытии сервиса VirusTotal в браузере по умолчанию, откроется окно с информацией о сервисе.
  4. Закройте браузер.
  5. Снова нажмите на пункт «Check VirusTotal».
  6. В окне программы Autoruns, в столбце «VirusTotal» отобразится результат проверки объекта на вирусы.

проверка на virustotal

Если нажать на ссылку с результатом проверки, откроется окно сервиса VirusTotal с подробной информацией. Здесь указаны антивирусы и результат проверки конкретного сканера.

результат проверки

Массовая проверка объектов автозапуска на вирусы в Autoruns

С помощью программы Autoruns можно запустить массовую проверку всех элементов автозапуска. Выполните следующие шаги:

  1. Откройте меню «Options» (Настройки).
  2. В контекстном меню выберите пункт «Scan Options…» (Настройки сканирования).
  3. В окне «Autoruns Scan Options» поставьте флажок в пункте «Check VirusTotal.com».
  4. Нажмите на кнопку «Rescan».

проверить на virustotal

После завершения сканирования, в окне программы в столбце «VirusTotal» появятся результаты проверки элементов автозапуска.

массовая проверка

Если в результате проверки обнаружится, что некоторые файлы не прошли проверку, не обязательно считать, что это вирус. Прежде, чем принять решение, поищите подробную информацию об объекте в интернете.

На изображении выше видно, что два антивирусных сканера, что-то нашли в программе Облако Mail.Ru. Понятно, что там вирусов нет, возможно, сканеры ругаются из-за каких-то рекламных предложений.

Выводы статьи

Бесплатная программа Autoruns служит для мониторинга мест автозапуска в операционной системе Windows. С помощью программы можно проанализировать все элементы автозапуска на компьютере, отключить или удалить ненужные объекты автозагрузки, проверить файлы на вирусы на сервисе VirusTotal.

Похожие публикации:

  • Ashampoo WinOptimizer 17 — оптимизация и обслуживание Windows
  • Auslogics Registry Cleaner для очистки реестра Windows
  • Лучшие деинсталляторы — программы для удаления программ
  • Acronis True Image WD Edition (бесплатно)
  • CCEnhancer — расширение функциональности CCleaner

Ни для кого не является особым секретом, что большинство процессов в Windows, которая обладает большими возможностями в плане расширения функционала, работают независимо от пользователя. Это системные процессы и различные вспомогательные некритичные службы, например, Windows Audio, благодаря которой на компьютере может воспроизводиться звук. Существует также множество сторонних программ и расширений, которые могут запускаться автоматически вместе с операционной системой и которые с этой точки зрения могут быть как полезными, так и не очень. 

Autoruns – как пользоваться

Просмотреть их список можно на вкладке «Автозагрузка» Диспетчере задач, но то, что вы там найдёте — это всего лишь малая часть всех процессов, относящихся к категории автозапуска. Чтобы просмотреть их в максимальном объёме, вам понадобится Autoruns — узкоспециализированная утилита, созданная разработчиками Sysinternals и впоследствии приобретённая Microsoft. Предназначается Autoruns для просмотра и управления точками автозапуска, так называемыми ASEP, которых в современных версиях Windows может насчитываться несколько сотен. 
Говоря более простым языком, это места, из которых может запускаться тот или иной процесс и к которым относятся разные ключи реестра, папка автозапуска и встроенный планировщик заданий. Используя возможности Autoruns, вы можете включать и отключать ASEP, а также получать основной набор сведений о тех процессах, из которых они стартуют. А ещё с помощью Autoruns можно создать нечто вроде эталонной карты точек автозапуска, сравнивая которую с последующими «снимками», выявлять новые элементы автозагрузки после установки стороннего программного обеспечения или обновления системы. 

Интерфейс Autoruns

Интерфейс утилиты представлен классическим и графическим меню, набором вкладок для сортировки ASEP и собственно самим списком ASEP. В нижней части рабочего окна программы расположена область сведений о «привязанных» к точкам автозапуска процессах. Каждая строка в списке содержит статус, значок и имя записи автозапуска, краткое описание, название издателя, полный путь к исполняемому файлу процесса. Для более удобной идентификации точек запуска используется цветовая гамма. Так, жёлтый цвет указывает на наличие самого элемента автозапуска, но отсутствие сопоставленной ему программы; розовым цветом помечаются записи, не имеющие описания и/или имени поставщика; голубым выделяются категории точек автозапуска, чисто для удобства.

Что содержат вкладки

По умолчанию все элементы автозагрузки выводятся на вкладке Everything, то есть все, однако в программе реализована возможность их сортировки по типу. Для этого в Autoruns и существуют вкладки. Вкратце рассмотрим их назначение.  

• Logon. Содержит элементы автозагрузки текущего пользователя.
• Explorer. Включает элементы расширения оболочки, те же пункты контекстного меню Проводника.

• Internet Explorer. Элементы, стартующие вместе со старым браузером Internet Explorer — расширения и панели.
• Scheduled Tasks. Задачи встроенного планировщика заданий.
• Services. Эта вкладка содержит запускающиеся вместе с системой службы, в том числе службы Microsoft.  
• Drivers. Запускаемые при старте Windows драйвера.
• Codecs. Запускаемые при старте Windows кодеки.
• Boot Execute. Вкладка содержит приложения, которые запускаются при загрузке Windows и выполняют какое-то задание, например, сканирование антивирусом на раннем этапе загрузки или проверка системного раздела утилитой chkdsk.
• Image Hijacks. Так называемые краденные образа, точки автозапуска, из которых стартует не та программа, которую указал пользователь.
• AppInit. Вкладка показывает элементы, которые загружают указанные в разделе реестра Appinit_Dlls библиотеки в процессы, использующие системный файл user32.dll. В современных ОС Windows неактуальна.    
• Known DLLs. Известные библиотеки. После чистой установки Windows рекомендуется создать снимок содержимого этой вкладки, чтобы иметь возможность проверить, не удалили ли вредоносные программы существующие элементы и не заменили ли их поддельными DLL.
• Winlogon. Вкладка отображает библиотеки событий при загрузке Windows.
• Winsock Providers. Автозагружаемые элементы, необходимые для подключения к интернету. По умолчанию скрыты.
• Print Monitors. Элементы автозапуска, необходимые для работы принтера. Системные мониторы печати по умолчанию скрыты.
• LSA Providers. Элементы, связанные с безопасностью сети. Представлены DLL, используемыми процессом Lsass.exe или Winlogon.exe. Скрыты по умолчанию.
• Network Providers. Автозагружаемые элементы, работающие с настройками сети. Скрыты.
• WMI. Элементы из базы данных WMI — инструментария управления Windows.
• Office. Эта последняя вкладка содержит ASEP модулей офисного пакета Microsoft Office, если оный установлен на компьютере.

Что можно и что нельзя трогать в Autoruns

Теперь, когда вы приблизительно знаете назначение ASEP разных категорий, можно переходить к практике, но ещё нужно сказать пару слов о том, что можно и что нельзя трогать в Autoruns. Показ всех системных ASEP в программе отключён в меню Options → Hide Windows Entries, и мы бы не рекомендовали его включать без крайней нужды. Среди системных точек автозапуска имеется немало важных элементов, отключение или удаление которых способно привести к некорректной работе операционный системы или даже невозможности её загрузки. Для начала разумно было бы отключить и показ элементов Microsoft.
Безопасными в Autoruns с отключёнными элементами Hide Windows Entries и Hide Microsoft Entries являются вкладки Logon, Explorer, Internet Explorer Scheduled Tasks и Services, содержимое которых может быть отключено полностью и без опасений, что система завалится. Но и здесь нужно проявлять рассудительность, например, вкладка Services содержит точки автозапуска служб сторонних антивирусов, брандмауэров, эмуляторов, VPN-клиентов и других программ, работающих в фоне. 

При работе с Autoruns лучше всего придерживаться следующего правила: отключать можно только те элементы автозагрузки, назначение которых вам хорошо известно. Не рекомендуется без предварительного анализа удалять или отключать элементы, помеченные жёлтым или розовым цветом. Отсутствие описания и имени поставщика само по себе ещё ни о чём не говорит, равно как и их наличие, ибо любой разработчик стороннего ПО может прописать в эти поля любые текстовые данные, подлинным элемент можно считать лишь тогда, когда рядом с названием поставщика будет указано (Verified).

Сама по себе процедура управления автозагрузкой в Autoruns очень проста. Чтобы отключить ASEP, нужно снять расположенный напротив неё флажок, если же вы хотите удалить точку автозагрузки, нужно ее выделить и нажать Ctrl + D либо выбрать в контекстном меню соответствующую опцию. 
В некоторых случаях изменения вступают в силу немедленно, в других потребуется перезагрузка компьютера. Например, мы хотим отключить расширение Проводника, добавляющее в окно просмотра свойств исполняемых файлов вкладку Icon для просмотра и извлечения иконок, не удаляя само расширение. Как нетрудно догадаться, эта ASEP находится на вкладке Explorer. Снимаем флажок, открываем свойства любого exe-файла и видим, что вкладка Icon исчезла. 
Подобным образом мы могли бы подчистить контекстное меню Проводника, правда, для этого нам бы пришлось запустить Autoruns с правами администратора и включить показ точек автозапуска Windows. Допустим, мы не пользуемся опциями «Копировать в папку…» и «Переместить в папку…». За отображение этих опций в меню отвечают ASEP «Copy To» и «Move To» в ключе HKLMSoftwareClassesAllFileSystemObjectsShellExContextMenuHandlers. Снимаем с них галки и видим, что опции исчезли из меню. 
Если вы уверены в бесполезности элемента, можете его удалить, но помните, что эта операция является необратимой, по крайней мере для самой Autoruns, поэтому создание системной точки восстановления перед внесением изменений в конфигурацию Windows всё же не помешает.

Проверка элементов автозагрузки на вирусы

Из дополнительных функций Autoruns хотелось бы обратить внимание на опцию Check VirusTotal в контекстном меню, позволяющую с помощью сервиса проверять ASEP на предмет заражения. «Точечная» проверка требует подтверждения со стороны пользователя, также вы можете включить проверку по умолчанию в меню Options → Scan Options, выставив настройки как показано на скриншоте и нажав «Rescan». 
При этом в крайней правой колонке VirusTotal для всех ASEP появится мини-отчёт, представленный двумя цифрами в формате 0/1, где 0 — количество обнаружений, а 1 — количество проверок. Отчёты формируются на базе хэшей, если же контрольная сумма конкретного файла отсутствует в базе VirusTotal, при включенной опции Submit Unknown Images файл будет отправлен на сервер для анализа. 
Ну что же, будем, наверное, заканчивать. Говорить о Autoruns можно ещё долго, но и сказанного нами должно быть достаточно для понимания принципов работы с этим мощным инструментом. А ещё главнее понимать, чему служит та или иная точка автозапуска, отключить же её дело одного клика.

В Windows 10 автозапуск программ и приложений, в соответствии с названием, контролирует автоматический запуск программ вместе с системой, тем самым упрощая работу с ними, но замедляя общее время полной загрузки системы. Чем больше приложений запускается с ОС, тем медленнее будет происходить её загрузка. В этой статье мы рассмотрим все возможные варианты настройки автозапуска программ Windows 10, как добавить и изменить программы, а также сторонние приложения для управления этой настройкой.

Настройка автозагрузки

Для начала разберем, как и где отключить автозапуск программ и приложений в Windows 10. Вы можете контролировать автозапуск используя системные настройки – окно Параметры Windows, диспетчер задач, папка автозагрузки или реестр системы. Разберём каждый вариант отдельно.

Параметры Windows 10

Начиная с версии системы Windows 10 под номером 1803, в параметрах Windows можно найти настройку автозагрузки приложений.

Чтобы открыть эти настройки, выполните следующее:

  • Пройдите в Параметры Windows (нажмите на кнопку «Пуск» и нажмите на иконку шестерёнки) или нажмите сочетание клавиш Win+i.
  • Пройдите в настройки «Приложения» и откройте вкладку автозагрузка
  • На этой странице вы можете увидеть список приложений, которые включены в автозапуск, вместе с стартом Windows, их влияние на скорость загрузки, а также статус – включен или отключен.

Этот вариант отсутствует у пользователей версии Windows 10 1709 и ниже, так как был добавлен только в первом обновлении 2018 года. Если у вас такого пункта нет, обновите Windows 10 или используйте следующий способ – диспетчер задач.

Диспетчер задач

В Windows 7 автозапуск и его настройки, находились в окне Конфигурация системы, вместе с быстрыми доступами к службам (в Windows 10 они там и остались). Сейчас, начиная с Windows 8, эти настройки перекочевали в диспетчер задач. Если вы не знали, как включить автозапуск программ в Windows 10 наиболее простым способом, то этот вариант вам отлично подойдёт.

Для этого выполните следующее:

  • Для открытия диспетчера задач, вам необходимо нажать одновременно клавиши «Ctrl+Shift+Ecs», или откройте окно быстрых настроек (нажмите сочетание Win+X) и выберите соответствующий пункт. Альтернативный вариант, вызвать окно блокировки и нажать на Диспетчер задач.
  • Если окно имеет режим миниатюры и не отображает никакой информации, кроме открытых приложений, нажмите кнопку «Подробнее».
  • Пройдите во вкладку «Автозагрузка», где вы сможете произвести отключение автозапуска программ в Windows 10 и настроить его..

В диспетчере задач вы можете увидеть производителя того или иного приложения, которое запускается с системой, а также воспользовавшись функцией «Поиск в Интернете» найти нежелательное ПО или вирус, который может мешать корректной работе системы. Продолжаем изучать возможности системы и переходим к папке автозапуска.

Папка Автозагрузка

Данная папка позволит узнать, как сделать автозапуск программы в Windows 10 самостоятельно и поставить нужное вам приложение. Стоит быть осторожным и не добавлять особо производительные приложения или игры, чтобы не нагрузить систему при её запуске.

Для того, чтобы открыть папку автозапуска, следуйте шагам:

  • Откройте следующее расположение: «C:Users*Ваш_пользователь*AppDataRoamingMicrosoftWindowsStart MenuProgramsStartup»
  • Или же можно воспользоваться таким способом, как открыть автозапуск программ на Windows 10 через командную строку. Для этого в окне Выполнить (Win+R) наберите shell:startup и нажмите ОК
  • Во многих случаях папка будет пустая, так как программы прописывают автоматический запуск приложений в реестре системы, но это будет описано в следующем варианте.
  • Чтобы добавить желаемое приложение, создайте ярлык исполнительного файла с места расположения (Например, из папки Program Files) или скопируйте ярлык с рабочего стола в эту папку. При следующей загрузке системы, ярлык добавленный в эту папку будет также запущен.

Перейдём к последнему, наиболее сложному для простого пользователя, способу – реестр системы.

Реестр Windows

Если вы не знаете, где найти управление автозапуском программ в Windows 10, то этот пункт вам поможет. Реестр содержит в себе все настройки системы, в виде древовидной базы данных со своими параметрами и значениями. Тут настраивается автозапуск как для конкретных пользователей, так и для всей системы Windows в целом.

  • Для начала откройте окно Выполнить (Win+R), наберите regedit и нажмите OK.
  • Далее автозапуск для конкретного пользователя, находится в ветке HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun

  • Чтобы открыть настройки автозапуска всех пользователей, откройте этот же путь только в корне HKEY_LOCAL_MACHINE

  • Как мы видим, количество и приложения тут разные. Какие-то устанавливались для конкретного пользователя, другие для всей системы.
  • В значении каждого параметра указываются исполнительные файлы конкретных программ. Иногда может встречаться ссылка на интернет ресурс, чаще всего это рекламный вирус, его нужно удалить.
  • Вы можете создать свой параметр с типом REG_SZ и указать в значении ссылку на нужное приложение, но, если вы ранее не работали с реестром, лучше вам воспользоваться прошлым способом – папка автозапуска.

Ознакомившись со средствами системы, перейдём к сторонним программам. Самым удобным будет – Ccleaner, а самым многофункциональным – Autoruns.

Сторонние приложения

Для некоторых пользователей, интерфейс стандартных приложений системы может быть сложным, особенно редактор реестра. Поэтому будет полезны программы с удобным и понятным интерфейсом.

CCleaner

Приложение оптимизатор и «чистильщик» системы. Очень популярное и мощное решение от компании Piriform. С этой утилитой вы узнаете, как можно просто оптимизировать и очистить систему или же как быстро убрать автозапуск программ или планировщика на Windows 10, без особых усилий.

Скачать CCleaner можно бесплатно с официального сайта.

Чтобы отобразить автозапуск, выполните следующее:

  • Откройте CCleaner и пройдите во вкладку «Сервис»
  • Откройте вкладку «Автозагрузка»

Вы можете редактировать автозапуск, запланированные задачи, а также выключать или удалять приложения из контекстного меню. Это только малый список возможностей CCleaner, основной функционал направлен на очистку и оптимизацию системы.  Программа, основной функционал которой направлен на отображение и редактирование работы стороннего и встроенного ПО – Sysinternals Autoruns.

Autoruns

Autoruns – утилита с огромным потенциалом для анализа системы, которая позволяет отобразить наиболее полную информацию о запускаемых программах. С помощью этой утилиты, вы можете не только оптимизировать работу системы, отключив ненужные программы автозапуска, но и проанализировать систему на наличие вредоносного ПО (вирусы, трояны и малвари).

Как пользоваться Autoruns:

  • Загрузите утилиту с официального сайта Microsoft – прямая ссылка (ссылка с описанием)
  • Распакуйте загруженный архив и откройте утилиту Autoruns или Autoruns64, в зависимости от разрядности вашей системы (64 или 32-битная). Утилиту следует открывать от имени Администратора, чтобы использовать полный функционал поиска.

Разберем основные вкладки утилиты:

  • Вкладка «Logon» отображает программы, которые запускаются при входе в профиль системы. Автозапуск сторонних приложений и утилит.
  • Вкладка «Explorer» содержит в себе значения для контекстного меню, а именно отображаемые приложения для работы с конкретными форматами. Например, при нажатии ПКМ по файлу с .rar форматом, вам будет предложено распаковать или открыть данный файл с использованием WinRar, 7zip или другим установленным архиватором. Эти приложения и будут присутствовать во вкладке «Explorer».
  • «Scheduled Tasks» — запланированные задачи конкретного ПО.
  • «Services» службы Microsoft и стороннего ПО
  • «Drivers» — драйвера для оборудования вашего устройства

Настройки этой утилиты не столь богаты, так как вся информация уже сразу отображается при открытии, а пользователь лишь фильтрует и анализирует полученные результаты. Именно потому неподготовленному пользователю будет сложно ориентироваться в Autoruns.

Всего фильтра 4:

  • Hide Empty Locations – по умолчанию включена и исключает из выдачи пустые значения, которые не столь необходимы и не несут важной информации.
  • Hide Windows Entries — по умолчанию включена и скрывает стандартные системные утилиты, так как тоже могут мешать анализу.
  • Hide Microsoft Entries – скрывает ПО от Microsoft, например Office.
  • Hide VirusTotal Clean Entries – очень полезный фильтр для поиска вредоносного ПО в системе. Данный фильтр скрывает из выдачи значения, которые по мета данным VirusTotal не являются вредосносным ПО или вирусом. (Для этого необходимо включить значение Check VirusTotal.com). В моём случае, было выявлено 2 угрозы – приложение для удалённого подключению к ПК TeamViewer и утилита создания быстрых скриншотов LightShot. Только один антивирус из 69 посчитали это ПО вредоносным, поэтому я могу считать, что это погрешность, так как эти приложения были скачаны с официальных источников.

Autoruns не только позволяет узнать, как посмотреть автозапуск программ в Windows 10, но и зайти в реестр и проанализировать работу всех приложений.

На деле, пускай вас не пугает странный интерфейс этого приложения. В трудных ситуациях, когда даже антивирус не справляется, Autoruns позволяет определять и анализировать автозапуск вредоносных модулей и в дальнейшем удалять их, без вреда Windows. Главное детально разобраться.

Дополнительно

Разберем также моменты, когда не работает автозапуск программ Windows 10, какие приложения следует отключать, а какие нет и стоит ли это делать вообще.

  • Не работает автозапуск программ

Причин, по которым может не работать автозапуск — несколько, разберём наиболее частые:

  • Приложение не запускается, хотя включено в автозапуск.

Убедитесь, что запуску приложения не мешает антивирус. Также, попробуйте удалить значение из реестра и создать его снова. На крайний случай, попробуйте переустановить программу. Антивирус «Защитник Windows» работает в рамках системы, как отдельный компонент, он не препятствует работе программ из автозапуска.

  • Я добавил приложение в автозапуск, а оно не запускается.

На моей памяти, главной ошибкой в этом случае была невнимательность. Убедитесь, что в папку автозапуска добавляется Ярлык приложения, а не исполнительный файл (кроме случаев утилит, которые и являются исполнительными файлами). А в Реестре указывается путь именно к исполнительному файлу, а не ярлыку.

  • Программа автоматически загружается, даже когда я везде его отключил.

Обратите внимание, что Антивирусы и программы защиты, обладают системой самозащиты и имеют повышенный приоритет у системы, который не позволяет просто так отключить защиту системы. Вам поможет отключение данной функции в настройках антивируса или же удаление ПО.

Для оптимальной работы Windows необходимо, чтобы работали не только стандартные службы системы, но и ПО, обеспечивающее корректную работу оборудования, именно поэтому Intel и AMD создают утилиты, которые поддерживают работу оборудования на оптимальном уровне. К этому относятся утилиты слежения за питанием, температурой, звуком, видеокартой и остальным. Поэтому не рекомендуется отключать программы и утилиты производителя оборудования или драйверов устройства, чтобы не мешать корректной работе.

Исключение составляют конфликты и ошибки тех самых приложений. Например, после обновления Windows 10 до новой сборки и пользователя пропал звук, а при чистой загрузке (без стороннего) ПО звук присутствовал. Проблема была в приложении Realtek старой версии, которая конфликтовала с новой версией системы, проблема была решена установкой последней версией драйвера звука.

В этой статье вы узнали, как выключить автозапуск программ в Windows 10, отменить или добавить ПО в автозагрузку, а также разобрали сторонние приложения и основные проблемы, с которыми сталкиваются пользователи. Если у вас возникнут сложности или вопросы, будем рады вам помочь в комментариях.

Отличного Вам дня!

Серия уроков по пакету утилит SysInternals

1. Что такое инструменты SysInternals и как их использовать?

2. Знакомство с Process Explorer

3. Использование Process Explorer для устранения неполадок и диагностики

4. Понимание Process Monitor

5. Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра

6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО


У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.

Связанная статья: Как отключить автозапуск программ и служб в Windows

Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.

Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.

Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.

Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.

Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.

Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.

Чтобы скачать Autoruns, перейдите на официальный сайт: https://docs.microsoft.com/ru-ru/sysinternals/downloads/autoruns

Если вы скачали полный пакет SysInternals, то для запуска дважды кликните на файл Autoruns64.exe или на Autoruns.exe (это 64-битная и 32-битна версии соответственно).

Работа с интерфейсом Autoruns

Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.

Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.

При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.

Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.

Отключение программ и служб из автозагрузки

Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.

Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.

Цвета

Как и большинство инструментов SysInternals, элементы в списке могут быть разных цветов, и вот что они означают:

  • Розовый — это означает, что информация об издателе не найдена, или, если проверка кода включена, означает, что цифровая подпись либо не существует, либо не соответствует, либо информация об издателе отсутствует.
  • Зелёный — этот цвет используется при сравнении с предыдущим набором данных автозапуска для обозначения элемента, которого не было в прошлый раз.
  • Жёлтый — запись для запуска есть, но файл или задание, на которое она указывает, больше не существует.

Так же, как и большинство инструментов SysInternals, вы можете щёлкнуть правой кнопкой мыши любую запись и выполнить ряд действий, включая переход к записи или изображению (фактический файл в проводнике). Вы можете выполнить поиск в Интернете по имени процесса или данных в столбце, просмотреть подробные свойства или посмотреть, запущена ли эта запись, выполнив быстрый поиск через Process Explorer, хотя у многих процессов есть загрузчик, который что-то запускает и выходит, поэтому если вы ничего не нашли среди запущенных процессов, это ещё ничего не значит.

Если вы нажали Jump to Entry («Перейти к записи»), вы попадёте прямо в редактор реестра, где сможете увидеть этот конкретный раздел реестра и осмотреться. Если это что-то другое, вы можете перейти к другой утилите, например к Планировщику заданий. Реальность такова, что в большинстве случаев Autoruns прямо в интерфейсе отображает информацию достаточно полно, поэтому вам обычно не нужно беспокоиться, если вы не хотите узнать больше.

Меню User («Пользователь») позволяет вам анализировать другую учётную запись пользователя, что может быть действительно полезно, если вы загрузили Autoruns в другую учётную запись на том же компьютере. Стоит отметить, что вам, очевидно, потребуется работать от имени администратора, чтобы видеть другие учётные записи пользователей на ПК.

Проверка подписей кода

Пункт меню Filter Options («Параметры фильтра») переносит вас на панель параметров, где вы можете выбрать один очень полезный параметр: Verify Code Signatures («Проверить подписи кода»). Это позволит убедиться, что каждая цифровая подпись проанализирована и проверена, и отобразит результаты прямо в окне. Вы заметите, что все элементы, выделенные розовым цветом на скриншоте ниже, не проверены или информация об издателе не существует.

И для дополнительной уверенности вы можете заметить, что этот снимок экрана ниже почти такой же, как и тот, что находится в начале, за исключением того, что некоторые элементы в списке не отмечены как розовые. Разница в том, что по умолчанию без включённой опции «Проверить подписи кода» Autoruns будет предупреждать вас розовой строкой только в том случае, если информация об издателе не существует.

Анализ выключенного компьютера (использование Autoruns для диска другого компьютера)

Представьте, что компьютер вашего друга полностью неисправен и либо не загружается, либо загружается так медленно, что вы не можете им пользоваться. Вы пробовали безопасный режим и варианты восстановления, такие как Восстановление системы, но это не имеет значения, потому что его нельзя использовать.

Вместо того, чтобы переустанавливать систему, вы можете вынуть жёсткий диск и подключить его к ПК или ноутбуку с помощью SATA-USB переходника. Затем вы просто загружаете Autoruns и идете в File → Analyze Offline System.

Найдите каталог Windows на другом жёстком диске и профиль пользователя, которого вы пытаетесь диагностировать, и нажмите OK, чтобы начать.

Разумеется, вам понадобится доступ для записи на диск, потому что нужно сохранить настройки, чтобы удалить всё ненужное.

Сравнение с другим ПК (или предыдущая чистая установка)

Параметр File → Compare («Файл» → «Сравнить») кажется невзрачным, но это может быть один из самых эффективных способов анализа ПК и просмотра того, что было добавлено с момента последнего сканирования, или сравнения с известным чистым ПК.

Чтобы использовать эту функцию, просто загрузите Autoruns на ПК, который вы пытаетесь проверить, или используйте автономный режим, который мы описали ранее, затем перейдите в File → Compare. Всё, что было добавлено с момента сравнения версии файла, будет отображаться ярко-зелёным цветом. Это так просто. Чтобы сохранить новую версию, воспользуйтесь опцией File → Save (Файл → Сохранить).

Если вы действительно хотите стать профессионалом, вы можете сохранить чистую конфигурацию из новой установки Windows и поместить её на флэш-накопитель, чтобы взять с собой. Сохраняйте новую версию каждый раз, когда вы впервые прикасаетесь к ПК, чтобы быть уверенным, что вы сможете быстро идентифицировать все новое вредоносное ПО, добавленное владельцем.

Вкладки Autoruns

Как вы уже видели, Autoruns — очень простая, но мощная утилита, которую, вероятно, может использовать почти любой. Я имею в виду, всё, что вам нужно сделать, это снять флажок, верно? Однако полезно получить дополнительную информацию о том, что означают все эти вкладки, поэтому мы постараемся вас познакомить здесь.

Logon (Вход в систему)

Эта вкладка проверяет все «обычные» места в Windows на предмет автоматической загрузки, включая ключи Run и RunOnce реестра, меню «Пуск»… и многие другие места. Как оказалось, существует 43 различных «обычных» места, куда программное обеспечение может вставлять себя для автоматического запуска при входе в систему или выходе из неё. Неудивительно, что в Windows существуют такие огромные проблемы с вредоносным, нежелательным и шпионским ПО!

Наш совет: снимите галочки со всего, что вам не нужно. Вы всегда можете повторно включить это, если хотите.

Explorer (Проводник)

На этой вкладке перечислены все дополнительные компоненты, которые могут загружаться в проводник Windows. В основном это будут надстройки контекстного меню и другие подобные вещи.

Если вы испытываете снижение производительности при просмотре файлов, использовании контекстного меню или просто во всех окнах Windows, это, вероятно, является виновником. Вы можете отключить здесь все, что захотите, хотя вы можете потерять некоторые функции для определённых приложений.

Internet Explorer

Эта вкладка потеряла актуальность, поскольку мало кто уже использует Internet Explorer. На этой вкладке перечислены все расширения браузера, панели инструментов и вспомогательные объекты браузера, которые обычно используются вредоносными программами, чтобы шпионить за вами или показывать вам рекламу. Мы рекомендуем снимать отметку практически со всех элементов, которые вы видите.

Scheduled Tasks (Задачи по расписанию)

Это один из самых сложных способов скрытия вредоносных программ в наши дни. Вместо того, чтобы прятаться в каких-либо местах, которые люди умеют искать, вредоносная программа создаёт запланированную задачу для переустановки себя, показа рекламы или выполнения всевозможных гнусных вещей. Проблема усугубляется тем, что планировщик задач может сбивать с толку, поэтому большинство людей даже не догадаются сюда заглянуть. К счастью, Autoruns упрощает эту задачу.

Мы рекомендуем удалить почти все, что вы не узнаете и определённо не принадлежит Microsoft. Это один из примеров, когда действительно полезно использовать параметр Verify Code Signatures («Проверить подписи кода»).

Services (службы)

После выполнения задач одно из наиболее распространённых и коварных мест, где вредоносное ПО скрывается в наши дни, — это регистрация службы в Windows или, в некоторых случаях, создание службы, которая помогает убедиться, что другие вредоносные процессы все ещё работают.

Будьте осторожны при отключении чего-либо на этой вкладке, поскольку некоторые вещи могут быть законными и необходимыми. На скриншоте ниже вы увидите несколько подходящих сервисов Google, Microsoft и Mozilla. Если мы отключим их, это не сильно навредит, но все же стоит провести дополнительное исследование, прежде чем отключать какие-либо вещи, если вы ещё не определили их как вредоносное или нежелательное ПО.

Drivers (Драйверы)

Вы не поверите, но некоторые производители вредоносного ПО и вредоносных программ на самом деле создали драйверы устройств, содержащие вредоносные программы или очень соминтельные компоненты, которые шпионят за вами. После того, как наша тестовая машина была заражена кучей вредоносных программ, мы заметили, что одна из них принесла с собой драйвер. Мы все ещё не совсем уверены в том, что он делает, но учитывая, как он туда попал, вряд ли это что-то хорошее.

Вы определенно захотите быть более осторожными на этом экране. Отключение неправильных драйверов может сломать ваш компьютер, поэтому исследуйте, щелкните каждый из них правой кнопкой мыши и выполните поиск в Интернете, и отключайте что-то только в том случае, если оно, скорее всего, связано со шпионским ПО. В приведенном ниже примере мы уже определили папку в пути к изображению для выделенной строки как вредоносную, поэтому было логично отключить ее.

Codecs (Кодеки)

Это библиотеки кода, которые используются для управления воспроизведением мультимедиа для видео или аудио, и, к сожалению, вредоносные программы использовали их как способ автоматического запуска на компьютере. При необходимости вы можете отключить их здесь.

Boot Execute (выполнение при загрузке)

С этим вам, вероятно, не придётся иметь дело, это используется для вещей, которые запускаются во время загрузки системы, например, когда вы планируете проверку жёсткого диска во время загрузки, поскольку это не может произойти, пока Windows фактически загружена.

Image Hijack (перехват образа)

Если вы прочитали наш второй урок о Process Explorer, то вы узнали, что вы можете заменить диспетчер задач на Process Explorer, но вы, вероятно, не знали, как это происходит на самом деле, не говоря уже о том, что вредоносное ПО может и использует тот же метод для захвата приложений.

Вы можете установить ряд настроек в реестре, которые управляют загрузкой вещей, включая захват всех исполняемых файлов и их запуск через другой процесс или даже назначение «отладчика» любому исполняемому файлу, даже если это приложение не является отладчиком.

По сути, вы можете назначать значения в реестре, чтобы при попытке загрузить notepad.exe вместо этого загружался calc.exe. Или любое приложение может быть заменено другим приложением. Это один из способов, которым вредоносное ПО блокирует загрузку антивирусов или других средств защиты от вредоносных программ.

Вы можете убедиться в этом сами — слева находится имя исполняемого файла, а с правой стороны клавиша «Отладчик» установлена на экземпляр Process Explorer, который запущен с моего рабочего стола. Но вы можете изменить это на что угодно и это будет работать. Вероятно, это будет отличная шутка, которую не так просто обнаружить.

Если вы видите что-либо на вкладке Image Hijacks, кроме значений для Process Explorer, вы должны немедленно отключить их.

AppInit

Еще один пример того, почему в Windows так много вредоносного и шпионского ПО, записи AppInit_dlls в реестре удивительны и невероятны. В какой-то момент Microsoft добавила в Windows функцию, которая загружает все файлы DLL, перечисленные в определённом разделе реестра… в каждый запускаемый процесс.

Что ж, технически, всякий раз, когда приложение загружает библиотеку Windows user32.dll, оно проверяет значение ключа реестра, а затем загружает в процесс любые библиотеки DLL, найденные в списке, что позволяет вредоносным программам захватить каждое приложение.

В Windows Vista и более поздних версиях они, наконец, решили немного ограничить это, потребовав, чтобы библиотеки DLL были подписаны цифровой подписью… если ключ RequireSignedAppInit_DLLs не установлен в 0, что заставляет Windows все равно загружать их. Как вы понимаете, вредоносное ПО воспользовалось этим, как вы можете видеть в примере ниже.

Помните, в уроке 3 мы показали вам, как Conduit перехватывает и вставляет свои файлы DLL в процессы вашего браузера? Это делалось именно таким способом. На скриншоте выше вы можете увидеть файл spvc64loader.dll, который затем использовался для загрузки файла SPVC64.dll в браузер.

Плохо.

KnownDLLs

Этот ключ гарантирует, что Windows использует определённую версию файла DLL. По большей части вам не нужно беспокоиться об этом, если вредоносное ПО не испортило этот список — основная цель использования этой вкладки — просто убедиться, что все, что там указано, действительно является проверенным компонентом Windows, что довольно просто.

Winlogon, Winsock Providers, Print Monitors, LSA Providers, Network Providers

Обычно вам не следует беспокоиться об этих вкладках, поскольку они просто содержат надстройки, расширяющие различные аспекты Windows — Winlogon и LSA подключаются к системе входа и аутентификации, Winsock и Network обрабатывают сеть, а мониторы печати — это сторонние приложения, которые работают с вашим принтером.

Если у вас есть значения на этих вкладках, стоит изучить их, прежде чем отключать их. Несомненно, вредоносное ПО может захватить эти вещи.

Гаджеты боковой панели

Если у вас есть какие-либо гаджеты боковой панели в Vista или Windows 7, вы увидите их здесь и можете отключить их, если хотите.

Следующий урок

Это все для Autoruns, но следите за обновлениями в следующих частях, когда мы расскажем вам о BGInfo и отображении системной информации на вашем рабочем столе.

Связанные статьи:

  • Что такое инструменты SysInternals и как их использовать? (87.8%)
  • Знакомство с Process Explorer (87.8%)
  • Использование Process Explorer для устранения неполадок и диагностики (87.8%)
  • Понимание Process Monitor (87.8%)
  • Как пользоваться Process Monitor для устранения неполадок и нахождения скрытых ключей реестра (87.8%)
  • Как увеличить размер в окне программы для комфортной работы (RANDOM — 50%)

Зачем нужна автозагрузка

Автозагрузка (не путать с автозапуском — функцией автоматического открытия программ с подключенного диска или флешки) нужна для того, чтобы после включения компьютера запускались как программы, необходимые для работы Windows, так и посторонние программы. Например, антивирус обязан запускаться одним из первых, чтобы опередить возможные угрозы. Рабочий стол (explorer.exe) — тоже программа, часть операционной системы, запускается чуть ли не самым первым, даже раньше антивирусов.

Способов автоматического запуска программ много, их можно отследить специальными программами. О самой лучшей далее, но сначала о том, какие программы чаще всего прописываются в автозагрузку Windows.

Что бывает в автозагрузке

Антивирусы. Это наиболее частые программы, которые сидят в автозагрузке большинства компьютеров. Конечно, при условии, что вы заботитесь о безопасности компьютера.

Компоненты драйверов. Например, драйвер видеокарт Intel прописывают программы с малопонятными названиями hkcmd и igfxtray, предназначенные для работы горячих клавиш и отображения значка настроек в трее (возле часов). От AMD и nVidia тоже есть схожие программы.

Драйвера для цифровых камер любят прописывать в автозагрузке программы, отслеживающие факт подключения камеры и предлагающие что-нибудь сделать с фотографиями.

Драйвер звуковых карт Realtek дает прописку программе RAVCpl64.exe — это Диспетчер Realtek HD, без которого звук в некоторых случаях не будет направлен на подключенные наушники.

Полезность многого софта, идущего с драйверами, сомнительна, но нужно быть осторожным. К счастью, все можно включить обратно.

Программы для корректной работы ноутбука от производителя. Если Windows установлена на ноутбуке, то в автозагрузке будет n-ое количество программ для управления Wi-Fi, горячими клавишами, энергосбережением и так далее. От чего-то можно отказаться, что-то необходимо.

[ig_notice style=»notice»]Если после переустановки Windows на ноутбуке половина функций не заработала даже после инсталляции нужных драйверов — проблема именно в отсутствующем вспомогательном софте. Идите на сайт производителя и скачивайте требуемое со странички вашей модели ноутбука.[/ig_notice]

Программы для корректной работы настольного ПК. Обладатели сборок ПК от именитых производителей Acer, Dell и других могут обнаружить софт, подобный вспомогательному для ноутбука. Чаще всего это программы для шифрования и резервного копирования информации, удаление которых работе компьютера не помешает.

Тулбары, рекламный софт, вирусы. Частые гости на компьютерах даже продвинутых пользователей. Выскакивает реклама при запуске браузера? Компьютер слащавым голосом обещает прибыль от вложений денег в очередную пирамиду? Ваш пароль от вконтакте постоянно крадут? Это все они — трояны и рекламная хр… фигня.

Особняком стоят службы. Программы, которые мы не видим, выполняющие важную (и не очень) работу. Стандартные службы Windows лучше не отключать, потому что это чревато, сторонние — можно. Например, популярный плеер PowerDVD устанавливает службу PowerDVD RC Service (PDVDServ.exe). Она нужна для управления воспроизведением видео с пульта управления. Вот только он есть далеко не всегда, службу можно отключить.

Системные программы. Без них ваш компьютер будет работать не так, как надо. Сюда относится программа Проводник (explorer.exe), по совместительству — Рабочий стол, службы и драйвера, являющиеся частью системы. Их легко отличить от посторонних, отключать не следует.

Зачем чистить автозагрузку?

Может, оставить все как есть?

Если вам лень, вы боитесь или все устраивает — закройте вкладку и живите спокойно дальше. Но если в вас живет мятежный дух, который хочет, чтобы ваш компьютер быстрее грузился, чтобы перестали появляться непонятные программы — очистка автозагрузки будет верным шагом. Просто будьте внимательны и делайте это на свежую голову.

Научившись чистить автозагрузку, вы сможете облегчить работу любому компьютеру (или ноутбуку), который попадет в ваши руки. Для этого нужно немного вашего времени, а также программа вроде Ускорителя компьютера или Autoruns.

Бесплатная программа Autoruns позволит узнать о всех программах, запускаемых после включения компьютера.

Скачать Autoruns можно по прямой ссылке. Язык только английский. На просторах интернета есть русские версии Autoruns, но не факт, что они будут самыми новыми.

Устанавливать программу не надо (да и не получится), достаточно куда-нибудь распаковать файл Autoruns.exe.

В архиве две версии — Autoruns.exe (о ней далее) и консольная версия autorunsc.exe, которая большинству пользователей домашних компьютеров не нужна.

Советую запускать программу от имени администратора, чтобы она получится максимум прав в системе и могла отключать всё-всё-всё.

Совет: запускайте программу от имени администратора, чтобы были доступны все возможности

Совет: запускайте программу от имени администратора, чтобы были доступны все возможности

При первом запуске программы вам нужно согласиться с лицензионным соглашением, нажав «Agree».

[ig_notice style=»notice»]Очень советую перед тем, как отключать что-то, создать точку восстановления. Если вы не знаете, что это такое, прочтите главу «Как создать точку восстановления» моей другой статьи про программу AVZ.[/ig_notice]

Окно программы

Autoruns проста в обращении. Главное окно программы — список с перечнем всех программ, запускающимся при загрузке Windows. Вкладка Everything нужна для показа всех запускаемых программ скопом, остальные вкладки — только отдельные способы запуска:

Главное окно программы Autoruns

Главное окно программы Autoruns

Вас может запутать большое количество вкладок и строк. К счастью, можно и нужно фильтровать «ненужные» пункты. Не снятием галочки (это исключение программы из автозапуска), а с помощью настроек, о чем я расскажу далее. Когда исчезнет большая часть пунктов, разобраться проще.

Включение проверки на вирусы

Нам нужно убрать компоненты Windows и выделить вероятные вирусы. Для этого нажимаем меню Options — Scan Options — отмечаем галки, как на скриншоте ниже, нажимаем Rescan:Автозагрузка Windows - подробная инструкция по очистке

Чтобы вы лучше понимали, что делаете, расскажу о пунктах:

  • Scan only per-user locations — сканируются только программы, находящиеся в папке пользователя. Бесполезный пункт, потому что вирусы могут быть в любой папке диска.
  • Verify code signatures — у каждой программы, в том числе у системной, есть цифровая подпись, доказывающая то, что эта программа от такого-то издателя и что файл не изменен (не внедрен программный код вируса). Галка на этом пункте нужна, чтобы определить подмену системных файлов, что делают многие вредоносные программы.
  • Check VirusTotal.com — проверка на вирусы каждого элемента автозапуска с помощью онлайн-сервиса VirusTotal. Фактически, это проверка несколькими десятками антивирусов. Не дает стопроцентной гарантии обнаружения, потому что в автозапуске может быть безобидная программа, которая в свою очередь запустит вирус, такое опознать нельзя. Требует работающего интернета. Если у вас появляется окно «You must agree…» («Вы должны согласиться с лицензионным соглашением сайта VirusTotal.com»), нажимайте Yes/Да.
  • Submit Unknown Images — отправляет на проверку те программы, которые не найди в базах антивирусов. Если у вас медленный интернет, может сильно замедлить проверку автозапуска (до 10-15 минут), зато можно быть уверенным — проверится все.

После нажатия Rescan программа будет долго обновлять список, проверяя каждую программу на ее «вредоносность».

Если у вас нет интернета, советую скачать любой одноразовый антивирус и проверить компьютер им. К сожалению, из-за этого не получится узнать, были ли в автозагрузке вирусы: антивирус их удалит без оповещения о том, запускались ли они автоматически.

Удаляем вирусы из автозагрузки — что означают разные цвета

На этом этапе нам нужна вкладка Everything, чтобы видеть все способы запуска программ.

После обновления списка некоторые пункты окрасятся в желтый и розовый цвета, возле некоторых будут красные цифры.

Пункты, подсвеченные желтым, трогать нежелательно. Желтый цвет говорит о том, что программы нет, но пункт в автозагрузке есть. К сожалению, Autoruns не всегда корректно определяет, на месте ли файлы драйверов и выделяет их желтым, отключение ведет к глюкам вплоть до невозможности запустить операционную систему, поэтому лучше их не трогать, пока не разберетесь, что к чему.

Розовые пункты и с цифрами говорят о проблемах:

Автозагрузка Windows - подробная инструкция по очистке 1

Если вы видите надписи вроде 16/57, то скорее всего эта запись запускает вирус. Цифра слева (16) сообщает о том, сколько антивирусов обнаружило зловреда, справа (57) — сколько проверило всего. Щелчок по надписи открывает страничку с подробностями: какие антивирусы сработали, как называется проникшее зло, когда был впервые обнаружен. Если вы увидите срабатывание одного-двух антивирусов (1/57), то это в 99% случаев ложное срабатывание и такой пункт можно игнорировать.

При желании можно погуглить по названию и узнать подробности, но важнее всего сделать следующее:

1. Снять галку с такого пункта. Это отключает автозапуск программы, что равнозначно удалению, только можно потом все вернуть обратно (при ложной тревоге).

2. Задуматься о смене вашего антивируса, потому что он молчал. О бесплатных антивирусах, способных конкурировать с «большими» собратьями, я рассказывал еще в 2012 году. Советы актуальны и сегодня.

3. Перезагрузить компьютер и снова запустить Autoruns. Если время дорого, просто нажмите F5 на клавиатуре — это обновит список. Поможет выявить вирусы, возвращающие себя в автозагрузку. Если такие есть, советую проверить компьютер с помощью бесплатной HerdProtect, которая агрессивнее удаляет угрозы. Еще есть бесплатная программа AVZ, которая используется множеством специалистов, но она сложна в освоении новичкам. Далее я расскажу о том, как удалить такие программы вручную.

Пункты, подсвеченные розовым, требуют внимания. Они означают, что у программы нет цифровой подписи. Цифровая подпись может быть даже у вирусов, если создатели раскошелились, поэтому на отсутствие следует обращать внимание только тогда, когда ее нет у программ от Майкрософта — авторов Windows.

Нет цифровой подписи.

Нет цифровой подписи.

Пример того, что с файлом все в порядке, ниже:

Автозагрузка Windows - подробная инструкция по очистке 2

Если бы было (Not verified) Microsoft Corporation, стоило бы разобраться, что это за программа или чей компонент. Но это для продвинутых, для начала галку стоит снимать только в случае красной надписи справа.

Итог: пробегаем по списку на вкладке «Everything» («Все»), отключая обнаруженные вирусы, перезагружаем компьютер.

Чистим автозагрузку — вкладка Logon

После удаления нечисти наверняка останется множество пунктов. Руки так и чешутся отключить их, да? Чувствуете ведь, что компьютер станет включаться еще быстрее.

Открою секрет — отключить можно все на вкладке Logon и компьютер даже будет работать. Но лучше перестраховаться.

В меню Options программы Autoruns поставьте галки на первые три пункта:

Автозагрузка Windows - подробная инструкция по очистке 3

Затем переходите на вкладку Logon («Вход в систему») и снимите галки в списке со всех пунктов, кроме тех, где в колонке Publisher есть (Verified) Microsoft Windows (обычно первый пункт), а также из списка в следующей главе.

Что отключать не следует

Не следует отключать программы, идущие с драйвера звуковой карты, видеокарт и так далее. Причина: возникающие при этом глюки. Не будет переключаться вывод звука на наушники при их подключении, дополнительные кнопки клавиатуры не сработают, могут быть проблемы с запуском игр и так далее.

Смотрите на колонку Publisher («Издатель»). Если есть что-то из списка, не трогайте пункт:

  • Microsoft Windows;
  • Microsoft Corporation;
  • Adobe Systems;
  • Google Inc;
  • Intel Corporation;
  • Advanced Micro Devices;
  • nVidia;
  • ESET;
  • Realtek;
  • Kaspersky;
  • Comodo;
  • Broadcom;
  • …а также пункты с названием бренда вашего ноутбука/ПК. Например, Acer.

Название может совпадать не полностью. Например, у Intel почему-то издатель разный:

Автозагрузка Windows - подробная инструкция по очистке 6

Особняком стоит антивирус. В автозапуске он может быть представлен как одним пунктом, так и несколькими. Теоретически, отключить автозапуск современных антивирусов с помощью программы Autoruns нельзя, потому что антивирусы непрерывно отслеживают свои записи в автозагрузке, на практике — такое случается. В любом случае можно всегда вернуть галку.

После перезагрузки компьютер включится гораздо быстрее. Также будет чист трей (область со значками около часов):

Чистый трей. Остались только системные значки. На вашем компьютере там должен быть и значок антивируса, если все сделали правильно и не отключали его.

Чистый трей. Остались только системные значки. На вашем компьютере там должен быть и значок антивируса, если все сделали правильно и не отключали его.

Это значит, что большинство программ больше не включаются при запуске Windows. Нет ни Скайпа, ни всяких всплывающих панелей, ничего постороннего. Ляпота!

Чистим дальше — Scheduled Tasks и Services

Не всегда простое снятие галки убирает программу из автозагрузки. Например, наглый рекламный модуль Ask Toolbar просто так не выключить. После перезагрузки компьютера пункт добавится снова:

Автозагрузка Windows - подробная инструкция по очистке 5

Что делать в таком случае? Помимо вкладки Logon программы могут запускаться множеством способов. Снова отключаем появившийся пункт, смотрим внимательно на строчку и обходим по очереди вкладки Scheduled Tasks («Запланированные задачи») и Services («Службы»). Где-то найдутся записи программ, похожие на отключенные ранее:

Отключаем тоже

Отключаем тоже

Снимаем с них галки тоже. Упомянутый выше Ask Toolbar, кстати, все равно появится снова, о таких цепких программах дальше.

[ig_notice style=»alert»]Осторожней с вкладкой Drivers!

Велик соблазн отключить все пункты в других вкладках, например, Drivers. Отключение драйверов может привести к тому, что ваша операционная система перестанет загружаться. Как восстанавливать работу компьютера, я написал в статье про AVZ, но занятие это для терпеливых и только если есть второй компьютер под рукой. Отключайте на этой вкладке только те пункты, издатель (колонка Publisher) которого совпадает с отключенным пунктом вкладки Logon. А еще лучше — не трогайте там ничего, пока не столкнетесь с неотключаемыми программами.[/ig_notice]

Итог: сначала отключаем все на Logon, затем похожее на вкладках Scheduled Tasks и Services.

Если программы добавляются снова

После перезагрузки в списке Autoruns все равно появляются включенные пункты? Причин две:

1. Программа (вирус?) была запущена в этот момент. Она постоянно проверяет себя в автозагрузке и, если запись удаляют, возвращает. Программа Autoruns удаляет запись из реестра Windows сразу же, как только вы снимаете галку в списке, но не проверяет, добавилась ли запись снова. Увидеть это можно, обновив список (нажав F5 на клавиатуре).

2. Когда программа закрывается, она опять-таки проверяет запись. При перезагрузке компьютера, при получении сигнала о завершении работы, вредоносные программы добавляют себя снова.

Нужно гада удалять.

На вкладке Logon нажмите правой кнопкой по пункту, который снова добавляется — Jump to Image. Откроется папка с искомой программой. Ее точное имя можно узнать в колонке «Image path«:

Автозагрузка Windows - подробная инструкция по очистке 7

Нажимаем правой кнопкой по файлу (в нашем случае это tbnotifier) и переименовываем ее в, например, tbnotifierблаблабла:

Переименовываем вредоносную программу. Она не сможет запуститься из автозапуска снова, потому что файла со старым именем не будет.

Переименовываем вредоносную программу. Она не сможет запуститься из автозапуска снова, потому что файла со старым именем не будет.

Иногда переименовать не получается из-за ошибки «Файл блаблабла открыт в программе блаблабла2«. В таком случае нажимайте Ctrl+Shift+Esc, запустится Диспетчер задач. На вкладке Подробно ищите упомянутые программы. В моем случае это одна программа, у вас могут быть несколько:

Автозагрузка Windows - подробная инструкция по очистке 8

Щелчок мышкой по строчке — Снять задачу — Завершить процесс.

Затем возвращайтесь в Autoruns и идите на вкладку Services. Снова Jump to image по пункту, галка на котором снова появилась и переименовывайте так же, как раньше. Если не получилось из-за той самой ошибки («Файл открыт в…»), смотрите название службы (первый столбец), запускайте Диспетчер задач, идите на вкладку Службы, ищите такой пункт, правой кнопкой мыши по нему — Остановить:

Автозагрузка Windows - подробная инструкция по очистке 10

Пробуйте переименовать файл снова. Наверняка все получится.

Не забудьте заглянуть в папку Scheduled Tasks и посмотреть — вдруг на чем-то появилась галка снова? Снимайте — сейчас программа-вредонос вам не помешает.

[ig_notice style=»notice»]Можно посмотреть вкладку Drivers, т.к. там может быть драйвер вредоноса. Если вы видите на этой вкладке что-то, очень похоже на снова и снова появляющийся пункт на вкладке Logon, значит, вы «напоролись» на серьезный вирус от знающих свое дело разработчиков. Схема «вирус-драйвер»+»вирус в автозапуске» встречается редко, советую погуглить названия запускаемых программ — вдруг будут советы по правильному удалению таких злодеев.[/ig_notice]

Закройте Autoruns, Диспетчер задач и перезагружайте компьютер. Если все-таки галки вернулись (вот засада!), сделайте все то же самое повторно, но вместо выключения компьютера через меню «Пуск» перезагрузите компьютер кнопкой на системном блоке или выдерните батарею, шнур питания из ноутбука. Такая жесткая перезагрузка не позволит вредоносу узнать, что компьютер выключается и надо снова добавлять записи. К сожалению, есть ма-а-аленькая вероятность повреждения файловой системы диска, так что… только на свой страх и риск! Мой опыт говорит о том, что это работает. Есть и другие способы, этот самый быстрый в ущерб надежности.

[ig_notice style=»notice»]В Windows 8 и 10 в Диспетчере задач есть собственная вкладка «Автозагрузка». Можно попытаться отключить упорно запускающуюся программу там.[/ig_notice]

Что еще можно отключить?

Можно пойти дальше и отключить еще больше программ. Компьютер станет запускаться еще быстрее, исчезнут задержки при запуске программ и открытии папок. Для этого придется объяснить, для чего нужны остальные вкладки и как вообще работает автозапуск Windows. Эта обширная тема предназначена для отдельной статьи. Как только она появится, я добавлю ссылку.

Очистка автозагрузки полезна, но это не панацея от всех бед. Чтобы выжать максимум из компьютера, советую прочитать мои статьи на тему оптимизации Windows.

Like this post? Please share to your friends:
  • Как запустить autorun exe на windows 10
  • Как запустить autohotkey на windows 10
  • Как запустить asterix and obelix xxl на windows 10
  • Как запустить assassins creed valhalla на windows 11
  • Как запустить assassins creed unity на windows 10