Autoruns — расщепляем автозагрузку на атомы. Использование утилиты Sysinternals Autoruns Autoruns описание

В продолжение цикла статей о свободно распространяемых на утилитах вашему вниманию предлагается обзор утилиты Autoruns, которая позволяет контролировать автозагрузку при старте системы компонентов, сервисов и приложений. Скачать утилиту можно на . Размер архива 139 килобайт.

Утилита не требует установки. Достаточно распаковать архив и запустить autoruns.exe. Пример главного окна утилиты показан на рисунке ниже.

После запуска утилиты в главном окне перечислены объекты, которые автоматически запускаются при старте системы. Чтобы отключить запуск определенного объекта достаточно снять отметку напротив его имени. Отключение не удаляет автозапуск, а лишь отключает его. В последствии можно будет включить автозапуск, вернув отметку около названия, отключенного ранее автозагружаемого компонента.

Чтобы удалить компонент из автозагрузки можно воспользоваться контекстным меню, которое вызывается щелчком правой кнопки мыши на названии объекта или выделить объект и нажать Ctrl+D .

Чтобы просмотреть ярлык для запуска приложения или ключ реестра, который его запускает, можно воспользоваться пунктом меню Entry Jump to . Откроется Проводник или редактор реестра и будет выполнен переход в то место, откуда запускается приложение.

Autoruns позволяет легко получить дополнительную информацию о приложении или сервисе, которые показаны в главном окне программы. Для этого нужно выделить интересующее приложение и нажать Ctrl+G или выбрать в меню Entry Google . Autorun сформирует запрос и отправит его на поисковую систему Google, результаты которого можно будет просмотреть браузером.

Для просмотра свойств файла, автоматический запуск которого выполняется при загрузке системы, достаточно выделить интересующий пункт в главном окне Autoruns и выбрать в меню Entry Properties . Откроется окно свойств файла, такое же, как то, которое открывается щелчком правой кнопки по файлу в Проводнике и выбора Свойства .

При необходимости можно просмотреть информацию об автозагружаемых библиотеках, расширениях Проводника, службах, библиотеках, которые зарегистрированы для отображения событий, возникающих при входе в систему. Для получения всей этой информации нужно отметить один из пунктов Show AppInit DLLs , Show Explorer Addons , Show Services , Show Winlogon Notifications в меню View . Управлять автозапуском перечисленных объектов можно так же, как описывалось выше.

Autoruns позволяет просмотреть те папки и ключи реестра, которые могут использоваться для автозапуска приложений, но в данный момент не задействованы. Для отображения этих мест нужно выбрать в меню View Include Empty Locations .

При большом количестве записей в главном окне программы может быть полезно скрыть те из них, которые имеют цифровую подпись Microsoft (View Hide Signed Microsoft Entries ). Отключение показа таких записей позволит быстрее найти автозагружаемый объект.

Утилита Autoruns может работать и из командной строки. Для этого предназначен файл autorunsc.exe, который находится в том же архиве, что и autoruns.exe. Ключи для работы с Autoruns из командной строки приведены в документации к утилите.

Autoruns может быть очень полезна при «чистке» компьютера от самостоятельно установившихся модулей, которые могут открывать страницы, подменять стартовую страницу в браузере, при лечении от некоторых типов вирусов и при оптимизации скорости загрузки системы в целом. Утилита снимает с пользователя необходимость иметь перед глазами список мест, откуда приложение может запускаться при загрузке системы и избавляет его от необходимости вручную проверять все подобные места.

– небольшая, но очень полезная утилита, с помощью которой вы сможете полностью контролировать автозагрузку Windows. Autoruns позволяет значительно сократить время загрузки операционной системы, а также найти и обезвредить проникший в систему вирус.

Для того, чтобы ускорить процесс загрузки системы, необходимо отключить ненужные приложения. Для этого в программе надо найти соответствующую приложению запись автозапуска и снять галочку напротив нее.

Вы можете скачать русифицированную версию Autoruns. Программа не требует установки: просто распакуйте скаченный архив и запустите исполняемый файл AutoRuns.exe.

Откроется главное окно программы:
Поначалу оно просто поражает количеством представленной информации. Все элементы автозапуска Autoruns разбивает на разделы, соответствующие различным категориям автозапуска. Чтобы перейти к категории достаточно выбрать нужную вкладку (“Вход в систему”, “Проводник”, “Назначенные задания”, “Службы” и т.д.). По умолчанию при запуске открывается вкладка “Все ” с отображением всех существующих точек автозапуска.

Список элементов автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. Информация о точках автозапуска представлена в нескольких колонках:

Запись автозапуска (имя программы)
Описание (краткое описание запускаемого процесса)
Издатель (автор программы. Если программа никем не подписана, то это должно вас насторожить – нередко неподписанные файлы оказываются вирусами)
Путь к файлу (путь и имя исполняемого файла)

Некоторые строки в главном окне программы могут быть выделены цветом. Розовым выделяются записи, показавшиеся программе подозрительными. Желтым цветом выделяются те элементы автозапуска, которые не были обнаружены в системе по причине их удаления. Чтобы убрать из автозагрузки ненужное приложение – просто снимаем галочку напротив него.

Одной из основных задач использования Autoruns является поиск и обезвреживание вредоносных программ . Если в списке элементов автозапуска вы обнаружили какую-то подозрительную запись – попробуйте ее подробно проанализировать:

Выделите запись и посмотрите описание и сведения об издателе в нижней части окна программы;

Щелкните правой клавишей мыши по исследуемой записи и проверьте точку ее автостарта в реестре или каталоге системы (пункты контекстного меню “Перейти к записи”, “Перейти в папку”);

Если вы все еще сомневаетесь: вирус перед вами или нет – поищите о нем информацию в интернете (щелкните правой клавишей по записи и выберите пункт “Поиск в Интернете”).

Убедившись, что автозапуск приложения не нужен – снимите с него галку. Если же вам необходимо полностью удалить запись о нем – щелкните по нему правой клавишей и выберите пункт “Удалить”.

Если запущена от имени Администратора, то сверху в строке меню доступен пункт “Пользователь”, с помощью которого можно просматривать параметры автозагрузки других пользователей Windows.

Как вы, наверное, уже поняли: Autoruns – очень полезная утилита. Основное ее предназначение – это увеличение скорости загрузки операционной системы и удаление вирусов, прописавшихся в автозагрузке. Считаю, что она обязательно должна присутствовать в арсенале средств каждого системного администратора.

У многих пользователей после продолжительной работы с операционной системой и после установки/удалений разнообразных приложений часто возникают вопросы по автозагрузке приложений. Вместе с операционной системой могут загружаться ненужные для вас приложения или наоборот, приложение которое должно запускаться автоматически не наблюдается в области уведомлений после загрузки системы, а также производительность системы и время запуска может значительно ухудшиться. Для того чтобы избежать этих проблем я предлагаю разобраться с процессами, которые выполняются при загрузке операционной системы и с автозагрузкой установленных приложений.

Загрузка операционной системы

Важно отметить, что на самом деле загрузка Windows начинается не с того момента как вы подошли к персональному компьютеру и включили или перезагрузили его, процесс загрузки операционной системы на самом деле начинается непосредственно с ее установки. В ходе выполнения процесса установки, жесткий диск подготавливается для своего участия в процессе загрузки системы. В это время создаются компоненты, которые участвуют в загрузке базовой системы ввода/вывода (BIOS). К этим компонентам можно отнести:

Winload.exe - загружает процесс Ntoskrnl.exe и зависимые от него библиотеки, а также загружает драйвера установленного оборудования;
Winresume.exe - позволяет восстанавливать систему после длительного бездействия (гибернации) и отвечает за файл гибернации (Hiberfil.exe);
Ntoskrnl.exe - инициализирует исполнительные подсистемы загрузки и запуск системных драйверов для устройств, а также подготавливает систему для работы со штатными приложениями и загружает процесс smss.exe;
Hal.dll - является неотъемлемой частью кода, исполняемого в режиме ядра, которая запускается загрузочным модулем Winload.exe, загружаемым совместно с ядром;
Smss.exe (Session Manager Subsystem Service) - подсистема управления сессиями в Windows. Этот компонент не входит в ядро Windows, но его работа исключительно важна для системы;
Wininit.exe - загружает Service control manager (SCM), Local Security Authority process (LSASS), и local session manager (LSM). Этот компонент также инициализирует системный реестр и выполняет определенные задачи в режиме инициализации;
Winlogon.exe - управляет безопасным входом пользователя и запускает LogonUI.exe;
Logonui.exe - отображает диалог входа пользователя в систему;
Services.exe - загружает и инициализирует системные службы и драйверы, установленные по умолчанию.

Важно понимать, что драйверы устройств являются важнейшей частью процесса загрузки. При указании раздела операционной системы, установочная программа записывает загрузочный сектор. Загрузочный сектор Windows дает информацию о структуре и формате раздела файлу Bootngr. Bootmgr выполняет свою работу в то время, когда операционная система начинает свой жизненный цикл в режиме реального времени. Затем Bootmgr вычитывает файл BCD из папки \Boot, расположенной в системном разделе. Если в BCD файле указаны настройки о выходе из режима гибернации, то Bootmgr запускает процесс Winresume.exe, который будет читать содержимое файла для возобновления системы из спящего режима.

Если в записи BCD существует две и более системы, то Bootmgr отображает пользователю загрузочное меню для выбора операционной системы. После выбора системы или, в том случае, если у вас установлена только одна операционная система, загружается процесс Winload.exe. Этот процесс загружает файлы, расположенные в загрузочном разделе и стартует инициализацию ядра. Winload.exe выполняет следующие действия:

Затем начинается инициализация ядра и исполнительных подсистем. После того как Windows вызывает Ntoskrnl, он передает данные параметров блока загрузчиков, которые содержат системные пути загрузочного раздела сгенерированного Winload для описания физической памяти в системе. По завершению двух этапов (Session 0 и Session 1) инициализации ядра стартуют процессы Smss.exe, Csrss.exe и Wininit. Smss вызывает исполнительный менеджер конфигурации подсистемы для окончания инициализации системного реестра.

После этого запускается процесс запуска оболочки системы Winlogon, параметры которого указаны в разделе реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Userinit. Winlogon уведомляет систему о зарегистрированных поставщиках сетевых услуг, прошедших идентификацию поставщиков сетей Microsoft (Mpr.dll).

Последним этапом загрузки системы является процесс автоматического запуска приложений при загрузке и входе в операционную систему.

Управление автозапуском

Большинство приложений, которые автоматически запускаются с операционной системой, вы можете увидеть в области уведомлений. О методах настройки области уведомлений я рассказывал в статье , поэтому в рамках этой статьи настройка области уведомлений рассматриваться не будет. Для управления приложениями автозапуска, пользователи операционных систем Windows обычно используют утилиту «Конфигурация системы» .

Утилита «Конфигурация системы»

Программа «Конфигурация системы» - это утилита операционной системы Windows, предназначенная для управления автоматически запускаемыми программами и загрузкой системы, а также определения проблем, которые могут помешать запуску операционной системы в обычном режиме. При помощи этой утилиты вы можете изменять параметры загрузки, отключать службы и автоматически запускаемые программы. Эта утилита впервые появилась в операционной системе Windows 98, предоставляя удобный интерфейс для выполнения своих задач. Утилита вызывается файлом MSConfig.exe, который расположен в папке System32 раздела с установленной операционной системой. Огромным недостатком этой утилиты является отсутствие возможности добавления нового элемента в автозапуск. Для того чтобы открыть эту утилиту выполните любое из следующих действий:

На следующем скриншоте отображена утилита «Конфигурация системы» :

В текущей утилите существует пять вкладок:

Общие . На этой вкладке вы можете выбрать вариант загрузки: «Обычный запуск» - операционная система запускается обычным способом, «Диагностический запуск» - система загружается только с использованием основных служб и драйверов, а также «Выборочный запуск» - помимо основных служб и драйверов, с операционной системой еще загружаются выбранные службы и автоматически загружаемые программы.

«Без GUI»

«Информация об ОС»

Службы . Эта вкладка содержит список только тех служб, которые запускаются автоматически вместе с операционной системой, а также текущее состояние каждой службы. В связи с тем, что установленное программное обеспечение может устанавливать свои службы, у вас без базовых знаний системных служб могут возникнуть проблемы с поиском служб, не установленных с операционной системой по умолчанию. Установив флажок «Не отображать службы Майкрософт» , в списке служб будут отображаться только приложения сторонних разработчиков. Для того чтобы отключить службу достаточно снять с нее флажок.
Сервис . На этой вкладке вы можете найти список диагностических средств, позволяющих следить за работоспособностью вашей системы. Для запуска любого средства, отображенного в этой вкладке, выделите его и нажмите на кнопку «Запуск» .

Более опытные пользователи, возможно, захотят не только отключать ненужные программы автозапуска, но и добавлять собственные программы для автоматического запуска вместе с операционной системой. Для этого нужно будет воспользоваться средствами системного реестра.

Управление автозапуском средствами системного реестра

В системном реестре вы можете найти параметры автозапуска приложений для учетной записи компьютера и учетной записи текущего пользователя. Приложения, которые запускаются с учетной записью компьютера, не зависят от того, под какой записью пользователь выполнил вход в систему. Эти параметры вы можете найти в разделе HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Приложения, которые запускаются с учетной записью пользователя, для каждой учетной записи могут отличаться. Эти параметры вы можете найти в разделе HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

Для того чтобы добавить новое приложение (программу «Редактор реестра» ) в автозапуск операционной системы Windows для всех существующих пользователей, выполните следующие действия:

Но для более опытных пользователей операционных систем Windows, работы утилиты «Конфигурация системы» и двух разделов реестра может быть недостаточно, так как неизвестно что загружалось вместе с системой помимо программ автозапуска и системных служб. Для того чтобы узнать обо всех процессах, которые были запущены вместе с вашей системой, вам поможет утилита Autoruns от Sysinternals.

Работа с утилитой Autoruns

Программа Autoruns от Марка Руссиновича и Брайса Когсуэлла помогает проверять максимальное количество размещений автозапуска на наличие программ, настроенных на запуск в процессе загрузки или входа в систему, в отличие от любых других программ мониторинга автозапуска. Сейчас доступна версия 8.61 и ее можно загрузить по следующей ссылке . Эта программа абсолютно бесплатна и к одному из ее преимуществ можно отнести то, что все программы отображаются в том порядке, в каком операционная система обрабатывает их. На самом деле, такие программы могут располагаться не только в разделах Run, а также в RunOnce, ShellExecuteHooks, ContextMenuHandlers и в других разделах системного реестра. С данной программой можно работать как под 32-разрядными, так и под 64-разрядными операционными системами Windows.

Перед запуском этой утилиты в первый раз отобразится диалоговое окно с лицензионным соглашением. Прочитайте его и нажмите на кнопку «Agree» .

После загрузки текущей программы вы увидите приложения, настроенные для автоматического запуска, где вы можете найти названия приложений и разделы системного реестра, в которых хранятся сведения об их запуске, краткое описание приложения, издателя, а также путь к запускаемому файлу или библиотеке.

Элементы, которые отображает программа Autoruns, принадлежат к нескольким категориям, которые можно просмотреть на 18-ти вкладках программы. В данной статье мы не будем рассматривать каждую вкладку, но стоит отметить, что к категориям программы можно отнести: объекты, автоматически запускаемые при входе в систему, дополнительные компоненты проводника, дополнительные компоненты Internet Explorer, задачи планировщика, библиотеки DLL инициализации приложений, объекты, исполняемые на ранних стадиях загрузки, службы Windows и многое другое.

На каждой вкладке вы можете:

запустить любое выбранное приложение, дважды щелкнув на названии программы;
открыть раздел реестра, в котором размещены параметры автозапуска приложений, дважды щелкнув мышкой на строке с разделом реестра или выбрав команду «Jump to» из контекстного меню;
открыть диалог свойств выбранного объекта (для этого из контекстного меню выберите команду «Properties» );
открыть Process Explorer с вкладкой «Image» для выбранного объекта, а также найти информацию об интересующем вас объекте;
отключить объект, запускаемый автоматически, сняв соответствующий флажок;
удалить объект при помощи команды контекстного меню или кнопки «Delete» ;
просмотреть автоматически запускаемые элементы для учетных записей других пользователей, выбрав нужный пункт меню «User» .

По умолчанию, в программе Autoruns отображаются все приложения и библиотеки, запускаемые автоматически с операционной системой. Для того чтобы отображались только те приложения, которые прописаны в разделах реестра \Software\Microsoft\Windows\CurrentVersion\Run, перейдите на вкладку «Login» .

Помимо приложений, запускаемых автоматически с операционной системой, вы можете просмотреть все задания, назначенные планировщиком при загрузке или входе в систему. Для этого перейдите на вкладку «Scheduled tasks» . На этой вкладке, при выборе команды контекстного меню «Jump to» или двойному щелку мыши на определенном объекте откроется оснастка «Планировщик заданий» с указанной задачей.

Вы можете сохранить объекты автозапуска по нажатию на кнопку «Save» на панели инструментов или выбрав данную команду в меню «File» . Отчет будет сохранен с расширением *.arn или *.txt. Для того чтобы загрузить сохраненные ранее данные программы Autoruns воспользуйтесь командой «Open» меню «File» .

Использование утилиты Autoruns для управления объектами автозапуска средствами командной строки

Если вы предпочитаете работать с консолью, вы также можете воспользоваться командами утилиты Autoruns. С ее помощью вы можете выполнять те же действия, что и с утилитой Autoruns, только при помощи командной строки, выводя информацию в окно консоли или перенаправляя вывод команды в текстовый файл. В связи с тем, что данная утилита открывается только средствами командной строки, для работы с Autoruns, выполните следующие действия:

Откройте командную строку от имени администратора;
Перейдите в папку с загруженной утилитой Autoruns, например «C:\Program Files\Sysinternals Suite\»;
Запустите утилиту с необходимым параметром.

Доступны следующие параметры:

A - отображение всех элементов автозапуска;

B - отображение информации об объектах, которые загружаются на ранних стадиях загрузки системы;

C - экспорт отображаемых данных в CSV-файл;

D - отображение библиотек DLL инициализации приложений;

E - отображение расширений проводника Windows;

G - отображение гаджетов боковой панели Windows и рабочего стола;

H - отображение Hijacks элементов;

I - отображение дополнительных элементов браузера Internet Explorer;

K - отображение известных библиотек DLL;

L - отображение элементов, запускаемых автоматически при входе в систему;

M - не отображать объекты с цифровой подписью Microsoft;

N - отображение поставщиков протокола Winsock;

O - отображение элементов кодеков;

P - отображение драйверов монитора печати;

R - отображение поставщиков безопасности LSA;

S - отображение служб в режиме автоматического запуска и не отключенных драйверов;

T - отображение элементов планировщика задач;

V - проверка цифровых подписей;

W - отображение элементов Winlogon;

X - экспорт отображаемых данных в XML-файл;

User - отображение автоматически запускаемых объектов для указанной учетной записи пользователя.

Например, если вам нужно просмотреть только элементы, автоматически запускаемые при входе в систему, используйте утилиту с параметром -l, как показано ниже:

Заключение

В этой статье рассказывается о настройке элементов автоматически запускаемых приложений при загрузке и входе в операционную систему Windows. Вкратце описан процесс загрузки операционной системы Windows 7, а также рассмотрены методы работы и мониторинга автозапуска средствами системной утилиты «Конфигурация системы» , изменение элементов автозапуска при помощи системного реестра, принципы работы с приложениями Autoruns и консольной версией Autoruns от Sysinternals. С помощью помещенной в статье информации, вы сможете грамотно настроить автозагрузки приложений своей операционной системы.

AutoRuns – это программа, которая предназначается для ОС Windows. Она была создана Sysinternals, после чего её приобрела Microsoft Corporation. С помощью этой утилиты можно регулировать автозагрузку разнообразных элементов операционной системы.

Это приложение показывает все компоненты, которые открываются при запуске ОС и выполняет некоторые другие действия. Отображает свойства каждого элемента системы, параметры его запуска. Autoruns также может отобразить запускаемые программы всей системы или элементы конкретной категории.

Предварительная настройка

Прежде чем опробовать функционал утилиты и проверить автозагрузку необходимо настроить приложение:

В меню опций представляется несколько важных параметров, которые требуют настройки.

Рекомендуется отметить параметры Hide Empty Locations (опция скрывает из списка пустые параметры) и Hide Windows Entries (скрывает параметры, изменение которых наносит повреждение системе). Можно также отметить Hide VirusTotal Clean Entries , который скрывает безопасные элементы. Следует убрать галочку с параметра Hide Microsoft Entries , чтобы приложение показывало дополнительные параметры системы.

После этого нужно настроить опции сканирования:

Рекомендуется отметить пункты Verify code signatures (производит проверку цифровых подписей, которая выявляет потенциально вредоносные элементы в системе), Check VirusTotal.com (выводит отчет о проверке файлов на одноименном сайте) и Submit Unknown Images (отправляет на проверку элементы, о которых не удалось найти информацию).

Лучше не отмечать опцию Scan only per-user locations , чтобы при проверке сканировались элементы всей системы вне зависимости от учётной записи.

Отметив все нужные опции, нужно нажать на «Rescan ».

Последним настраиваются шрифты программы .

Для настройки нужно выбрать в разделе «Options » пункт «Font ». Здесь можно изменить шрифт, стиль и размер всей отображаемой утилитой информации. После завершения настроек нужно обязательно сохранить их. Для этого нужно нажать «OK ».

Интерфейс и параметры автозапуска

Автозапуск приложений – это то, что позволяет автоматически запускать заранее выбранный список программ. Часто на ПК запускаются программы без ведома самого пользователя. Если таких программ становится слишком много, то компьютер начинает работать намного медленнее. В крайних случаях запущенные автоматически вредоносные программы могут собирать сведения о пользователе, пароли и другую важную информацию.

В открытой по умолчанию вкладке «Everything » отображаются все компоненты, которые запускаются при запуске системы.

Строки могут быть разных цветов: желтого, розового и белого.

Строки желтого цвета – это путь к отсутствующему файлу. Выключать автозапуск таких фалов не рекомендуется, лучше всего выяснить их назначение. Для этого нужно выделить эту строку и нажать на неё правой кнопкой мыши. После этого нужно отметить «Search Online ». Второй способ определить назначение — выделить и нажать «Ctrl+M».

Строки розового цвета говорят о том, что у файла отсутствует цифровая подпись. В большинстве случаев такие файлы не представляют опасности, но чаще всего вирусы располагаются именно в них.

Белый цвет означает безопасный файл. Такие элементы имеют цифровую подпись и прописанный путь.

Для начала действия по изменения автозапуска нужно нажать правой кнопкой мыши на нужном элементе, после чего откроется меню. Если нажать на пункт Jump to Entry , откроется окно с местоположением данного файла, Jump to Image показывает папку с файлом.

Кроме этого, в Autoruns присутствуют вкладки:

Автозапуск (автозагрузка) программ – это средство, позволяющее без вмешательства человека быстро создать желаемую рабочую среду пользователя путем автоматического старта заранее подготовленного набора программ. В подавляющем большинстве современных домашних компьютеров постоянно выполняется множество автоматически запущенных программ, о существовании которых пользователи не имеют ни малейшего представления. Как и представления о том, откуда эти программы взялись, и зачем они вообще нужны и кому они нужны ли на самом деле? Хотя, для большинства это и не столь важно, до тех пор, пока не возникнут проблемы с повышенным потреблением ресурсов (компьютер стал ”тормозить”), возникновением непомерного интернет-трафика, рекламного спама, вирусного заражения, потерей документов, паролей, денег.

С развитием компьютерных технологий, возможности автоматического запуска постепенно расширялись и достигли такого уровня, что возникла серьезная необходимость контроля со стороны пользователя над процессами автозапуска. Ведь сегодня почти любая программа, начиная от программного обеспечения от производителей оборудования компьютера и завершая бесплатным прикладным ПО, старается осчастливить пользователя постоянными обновлениями, предложениями скидок при переходе на платные продукты, рекламой и т.п. Кроме того, нередко такое, не очень желательное ПО, может заниматься сбором сведений о самом пользователе с отправкой данных через Интернет непонятно кому и непонятно куда. Поэтому, мониторинг автозапуска становится все более востребованным среди пользователей компьютерных систем. Стандартные средства Windows, такие как утилита msconfig.exe или доработанный диспетчер задач Windows 10 c вкладкой ”Автозагрузка” лучше, чем ничего, но все же, более востребованными среди грамотных пользователей становятся программные продукты с возможностью мониторинга максимального числа элементов автозапуска, позволяющие просто, удобно и безопасно управлять автоматически запускающимися процессами начиная от от драйвера и заканчивая скриптами или прикладными программами.

Общие сведения о программе Autoruns.

Autoruns - бесплатная служебная программа из пакета Sysinternals Suite раздела Windows Sysinternals от Microsoft, предназначенная для контроля над автозапуском в среде Windows. Утилита обладает более широким спектром возможностей, чем служебная программа MSConfig , которая входит в состав стандартного программного обеспечения Windows.

Скачать программу можно как в составе пакета Sysinternals Suite, так и отдельным архивом по ссылкам на страницах раздела Windows Sysinternals ресурса Microsoft TechNet. Программа не требует инсталляции в системе, - просто скачайте и распакуйте архив Autoruns.zip в какую либо папку и запустите исполняемый файл autoruns.exe или autoruns64.exe (только для 64-разрядных ОС Windows). В архиве присутствует документация на английском языке autoruns.chm , текстовый файл с кратким описанием и лицензионным соглашением eula.txt и исполняемые файлы для 32-разрядных и 64-разрядных ОС утилиты с графическим интерфейсом Autoruns , и утилиты командной строки Autorunsc .

Autoruns является одним из самых популярных программных продуктов пакета программ для администрирования и исследования системы Sysinternals Suite, и пожалуй, самым информативным и удобным инструментом для отслеживания точек автоматического запуска процессов в Windows, в том числе, скрытых или необычных, часто используемых вирусами и другим вредоносным программным обеспечением (malware). Autoruns показывает, какие программы настроены на запуск в процессе загрузки, при входе в систему пользователей и возникновении прочих системных событий, причем информация об автоматически стартующих программах отображаются в том порядке, в каком выполняется их запуск.

Поиск и устранение внедрившегося в среду Windows, вредоносного программного обеспечения - это одно из основных направлений использования Autoruns.

Программа позволяет получить полный список точек автозапуска (autostart locations), идентифицировать их местонахождение, исследовать способы и последовательность запуска, обнаружить скрытые точки входа, а также заблокировать, по выбору, автостарт ненужного процесса. Огромные возможности, и удобство использования данной утилиты, сделали просто обязательным включение Autoruns в инструментальный набор средств для практического исследования системы.

Для реализации всех потенциальных возможностей Autoruns, утилита должна выполняться под учетной записью с правами администратора. Кроме работы в среде активной операционной системы (ОС, в которой вы работаете), возможно использование утилиты для анализа точек автозапуска другой ОС, системный каталог которой и каталог с профилем пользователя можно выбрать с помощью главного меню (File - Analyze Offline System ).

После запуска исполняемого файла Autoruns.exe , на экране появится главное окно программы:

Интерфейс программы состоит из пяти частей - строка меню (menu bar), панель инструментов (toolbar), вкладки фильтров источников автозапуска, область вывода данных в виде списка с фиксированными элементами строк, описывающих автоматически запускающийся процесс, и область в нижней части экрана, с детализацией свойств выбранного процесса.

Список точек автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. По умолчанию, открывается вкладка Everything с отображением всех возможных точек автозапуска, отображаемых в главном окне в соответствии с опциями, задаваемыми пунктом Options главного меню. В качестве опций (параметров отображения информации) можно выбрать:

Include Empty Location - показ пустых разделов. Обычно, данная опция выключена.
Hide Microsoft and Windows Entries - скрыть точки автозапуска продуктов Microsoft и процессов самой Windows
Hide Windows Entries - скрыть точки автозапуска, используемые самой Windows
Verify Code Signature - Проверить цифровые подписи программных модулей. Статус проверки будет отображаться в колонке автора программы Publisher и может быть Verified - прошел проверку и Not Verified - не прошел. Для проверки цифровых подписей необходим доступ в Интернет.

При изменении параметров отображения, необходимо обновить экран (нажать F5 ).

Информация о точках автозапуска в окне данных разбита на несколько колонок

Autorun Entry - имя программы. Каждая программа сопровождается значением точки автозапуска (ключ реестра, папка автозапуска, папка задач планировщика). Записи об исполняемом файле соответствует признак включения/отключения автозапуска. Наличие галочки перед именем означает, что процесс будет запущен, отсутствие - процесс заблокирован. Если блокируемый процесс уже выполняется, то отключение автозапуска будет действовать для следующей перезагрузки системы. Процесс блокировки может представлять собой отключение драйвера или службы через реестр, удаление ярлыка из папки автозагрузки, отключение выполнения задачи планировщиком.
Description - краткое описание автоматически запускаемого процесса.
Publisher - Автор программы. Признак проверки цифровой подписи может выводиться как часть колонки Publisher (Veryfied, или Not Veryfied). Наличие и достоверность цифровой подписи является признаком того, что данный процесс не является вредоносным. Недостоверность или отсутствие цифровой подписи, как правило, должно привлечь внимание к данной записи. Однако, неподписанные файлы далеко не всегда могут быть вирусом или другим нежелательным ПО, поскольку наличие цифровой подписи не является обязательным стандартом для производителей программных продуктов.
Image Path - путь и имя исполняемого файла.

Все элементы автозапуска программа Autoruns разбивает на группы, соответствующие различным категориям автозапуска. Выбор категории осуществляется выбором нужной вкладки:

Everything - выводятся все известные утилите Autoruns точки автозапуска.

Logon - выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой Winlogon (Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки "Автозапуск", разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт User , позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки "Logon" будет изменяться.

Explorer - выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий (Shell Execute Hooks)
Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:

Добавление записи в раздел реестра для автозапуска программ текущего пользователя
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- Тот же прием для всех пользователей
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Добавление файла или ссылки на файл вируса в папке "Автозагрузка"
- Добавление записи в раздел параметров службы Winlogon
Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit стандартно принимающий строковое значение
C:\WINDOWS\system32\userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой. Так, например запись C:\WINDOWS\system32\userinit.exe,%TEMP%\svchost.exe обеспечит запуск кроме стандартной программы userinit.exe, еще и svchost.exe, которая никоим образом не может находиться в папке временных файлов \TEMP и вообще запускаться из данной группы точек автозапуска. Все, что записано после userinit.exe, нужно удалить - эти записи обеспечивают запуск вредоносных программ.
userinit.exe выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется Проводник (Explorer.exe) . Проводник реализует графический интерфейс пользователя (GUI) - рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить, то пользователь получает пустой рабочий стол без каких-либо элементов управления.

Для запуска оболочки пользователя используются данные из ключа реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell Стандартное строковое значение данного ключа - Explorer.exe . Если же оно отличается, то вероятнее всего, имеет место вирусное заражение.

Вредоносные программы могут использовать также и точки однократного автозапуска (параметры RunOnce, RunOnceEx), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.

Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry - Search Online ) или по контекстному меню правой кнопки мышки. А проще всего - отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com

Internet Explorer - выводится список вспомогательных объектов браузера (BHO - Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель Итернета (браузер).

Использование уязвимостей обозревателей Интернета - это один из самых распространенных способов вирусного заражения. Современный браузер - это фактически сложный программный комплекс, своеобразный интерпретатор содержимого, получаемого из страниц посещаемых сайтов и кроме того - это программный продукт, свойства которого могут быть расширены или изменены с помощью настроек и дополнительных программных модулей, в том числе и внедряемых сторонними разработчиками. Эти свойства обозревателей Интернета используются и создателями вредоносных программ. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. В большинстве случаев признаком нежелательного ПО является неизвестный издатель, информация о котором отображается в поле Publisher .

Services - выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра

HKLM\SYSTEM\CurrentControlSet\Control

HKLM\SYSTEM\CurrentControlSet\Services

Службы, не имеющие описания, цифровой подписи, или имеющие недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места - каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .

Drivers - выводится список драйверов, запуск которых разрешен (параметр Start в разделе реестра, относящегося к драйверу не равен 4 что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов

Scheduled Tasks - выводится список задач, запланированных для выполнения планировщиком (Task Scheduler).
Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.

Image Hijacks - выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением.exe

Appinit DLLs - выводится список всех зарегистрированных в системе DLL. Используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll
Ключ реестра HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.

Known DLLs - список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы.
Поиск вредоносных DLL можно выполнять по тому же алгоритму - анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости - проверка на VirusTotal.

Boot Execute - программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)

Winlogon Notifications - список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом или выходом пользователя из системы (logon/logoff), запуском заставки, завершением работы или перезагрузкой.

Winsock Providers - список провайдеров служб Windows для доступа к сетевым функциям. Обычно - это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.

LSA Providers - список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.

Print Monitors - список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

Sidebar Gadgets - список гаджетов установленных пользователями Windows 7 и более поздними ОС

Office - информация о дополнительных модулях офисного программного обеспечения.

Основное меню (menu bar) программы Autoruns .

Назначение некоторых пунктов меню утилиты Autoruns рассмотрено выше.

Пункты основного меню File

Find - поиск текста в текущем окне выходных данных Autoruns.
Load - открыть из файла ранее сохраненный отчет Autoruns
Save - сохранить текущий журнал Autoruns.
Compare - сравнение текущего отчета Autoruns с сохраненным ранее. Позволяет быстро определить новые элементы автозапуска, появившиеся с момента сохранения сравниваемого отчета. Новые элементы выделяются зеленым цветом.

Пункты основного меню Entry

Все пункты меню Entry относятся к выделенному элементу отчета на текущем экране Autoruns. Все опции также доступны из контекстного меню, вызываемого правой кнопкой мышки.

Delete - Удалить элемент автозапуска. Восстановить удаленный элемент средствами самой утилиты Autoruns невозможно. Бездумное удаление критически важных элементов автозапуска может привести к краху системы. Чтобы не удалять элемент, а только заблокировать его, нужно сбросить флажок (убрать галочку) в первой колонке строки данного элемента.
Copy - Копирование данных выделенной строки в буфер обмена.
Verify - Проверить цифровую подпись выделенного элемента.
Jump to - как и в большинстве продуктов Sysinternals, позволяет быстро перейти к тому разделу реестра или каталогу Windows, который связан с данной точкой автозапуска. Очень удобный режим, позволяющий экономить время и нервы при анализе информации. Переход также можно выполнить двойным щелчком на выбранном элементе.
Search Online - Autoruns выполнит запуск обозревателя Интернета и с его помощью выполнит поиск информации о точке автозапуска, связанной с текущим элементом отчета. Используется механизм поиска, на который настроем обозреватель, например, поиск Яндекса
Properties - Отобразить свойства исполняемого файла автоматически запускаемого процесса.
Process Explorer - Запустить утилиту Process Explorer от Sysinternals для отслеживания активности выбранного процесса. Программа Process Explorer должна присутствовать, и должна иметься возможность ее запуска с использованием пути в переменной окружения path

Autorunsc - вариант Autoruns для использования в командной строке.

Autorunsc - это вариант программы Autoruns для работы в командной строке. Удобно использовать для сбора и обработки данных об автоматически запускающихся процессах на удаленных компьютерах, для отслеживания изменений в автозапуске и т.п.

Формат командной строки:

autorunsc [-a[*][b] [c] [d] [e] [g] [h] [i] [k] [l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z ] | [пользователь]]]

Параметры командной строки:

*	показывать все элементы;
-b	объекты, исполняемые на ранних стадиях загрузки;
-c	записать выходные данные в CSV-файл;
-d	библиотеки DLL инициализации приложений;
-e	надстройки Explorer;
-g	мини-приложения (гаджеты) боковой панели;
-h	перехватчики файлов-образов (Image hijacks);
-i	дополнительные компоненты Internet Explorer
-l	элементы, автоматически запускаемые при входе в систему (этот параметр используется по умолчанию);
-m	не показывать элементы с цифровой подписью Microsoft;
-n	поставщики протокола Winsock;
-p	драйверы монитора печати;
-r	поставщики LSA;
-s	службы в режиме автоматического запуска и неотключенные драйверы;
-t	назначенные задания;
-v	проверять цифровые подписи;
-w	элементы Winlogon;
-x	печатать вывод в формате XML;
-z	задать для сканирования неактивную систему Windows;
пользователь	показывать автоматически запускаемые объекты для указанной учетной записи пользователя.

Примеры использования:

autorunsc /? - отобразить подсказку по использованию программы.

autorunsc –a * - отобразить все элементы автозапуска в данной системе.

autorunsc64.exe -a * |find /i "adobe" - отобразить все элементы автозапуска связанные с программными продуктами Adobe.

autorunsc –a b - отобразить элементы автозапуска связанные с загрузкой данной системы.

autorunsc –s * - отобразить сведения об автоматически запускающихся службах и драйверах.

autorunsc –s * > services.txt - то же, что и в предыдущем примере, но с записью результатов в текстовый файл.

autorunsc64.exe -a w –m - отобразить сведения об элементах автозапуска для Winlogon, исключив записи для программных продуктов Microsoft.

autorunsc64.exe -a w –x - то же, что и в предыдущем примере, но с представлением результатов в XML-формате.

Одно из основных предназначений Autoruns - поиск и обезвреживание вредоносного программного обеспечения. Мощные возможности исследования и нейтрализации элементов автозапуска позволяют легко справиться с внедрившейся в систему заразой. Любой вирус, лишенный возможности автоматического запуска, становится совершенно безвредным, как например, обычный текстовый файл, хранящийся на компьютере.

При возникновении сомнений в отношении какого-либо элемента автозапуска, приведенного в списке выходных данных Autoruns попробуйте провести подробное его исследование, используя следующие приемы:

Проанализируйте описание, сведения об издателе, наличие и достоверность цифровой подписи.
- Выполните двойной щелчок по исследуемому элементу и проверьте точку его автостарта в реестре или каталоге файловой системы.
- Используйте контекстное меню Search Online или комбинацию клавиш CTRL+M для получения дополнительных сведений по результатам поиска в Интернете.
- Если у вас имеется сохраненный журнал предыдущих сессий - сравните текущие данные с сохраненными (меню File-Compare ).
- Отправьте файл на онлайн проверку VirusTotal.com. Если файл является вредоносным, с большой долей вероятности, служба VirusTotal этот факт подтвердит.
- Для подробного анализа активности подозрительного процесса используйте родственную утилиту от Sysinternals. Можно воспользоваться прямым вызовом утилиты через пункт контекстного меню для выбранного элемента автозапуска.

На сегодняшний день, Autoruns, поддерживаемая разработчиками много лет, является одной из самых эффективных программ для контроля автозапуска. Однако, все более популярными становятся программы мониторинга автозапуска в реальном масштабе времени. Такие программы запускаются автоматически и ведут постоянное наблюдение за состоянием элементов автозапуска, принимая меры при попытке какого-либо ПО ”прописаться” для автоматического старта. Понятное дело, что главными недостатками подобных программ является повышенное потребление ресурсов системы и невозможность полного контроля всех элементов автозапуска. Примером программ мониторинга могут быть бесплатные Anvir Task Manager , отличающийся повышенным потреблением ресурсов, и, менее прожорливый, но значительно уступающий по возможностям PT Startup Monitor .