Все способы:
- Учимся пользоваться Autoruns
- Предварительная настройка
- Редактируем параметры автозапуска
- Вопросы и ответы: 15
Если вы хотите полностью контролировать работу приложений, сервисов и служб на своем компьютере или ноутбуке, тогда вам обязательно необходимо настроить автозапуск. Autoruns — одно из лучших приложений, которое позволит вам это сделать без особого труда. Именно данной программе и будет посвящена наша сегодняшняя статья. Мы расскажем вам о всех тонкостях и нюансах использования Autoruns.
Скачать последнюю версию Autoruns
Учимся пользоваться Autoruns
От того, насколько хорошо оптимизирована автозагрузка отдельных процессов вашей операционной системы, зависит скорость ее загрузки и быстродействия в целом. Кроме того, именно в автозагрузке могут скрываться вирусы при заражении компьютера. Если в стандартном редакторе автозагрузки Windows можно управлять в основном уже инсталлированными приложениями, то в Autoruns возможности намного шире. Давайте разберем более подробно тот функционал приложения, который может пригодиться рядовому пользователю.
Предварительная настройка
Перед тем, как приступить непосредственно к использованию функций Autoruns, давайте сперва настроим приложение соответствующим образом. Для этого делаем следующие действия:
- Запускаем Autoruns от имени администратора. Для этого просто жмем на иконке приложения правой кнопкой мышки и в контекстном меню выбираем строку «Запустить от имени Администратора».
- После этого нужно нажать на строку «User» в верхней области программы. Откроется дополнительное окошко, в котором вам нужно будет выбрать тот тип пользователей, для которого будет настраиваться автозагрузка. Если вы являетесь единственным пользователем компьютера или ноутбука, тогда достаточно просто выбрать ту учетную запись, в которой содержится выбранное вами имя пользователя. По умолчанию данный параметр находится самым последним в списке.
- Далее открываем раздел «Options». Для этого просто жмем левой кнопкой мыши на строке с соответствующим названием. В появившемся меню вам нужно активировать параметры следующим образом:
- После того, как настройки отображения будут выставлены корректным образом, переходим к настройкам сканирования. Для этого жмем снова на строку «Options», а после этого кликаем на пункт «Scan Options».
- Вам необходимо выставить местные параметры следующим образом:
- После того, как выставите галочки напротив указанных строк, необходимо нажать на кнопку «Rescan» в этом же окне.
- Последней опцией во вкладке «Options» является строка «Font».
- Тут вы опционально сможете изменить шрифт, стиль и размер отображаемой информации. Выполнив все настройки, не забудьте сохранить результат. Для этого нажмите кнопку «OK» в этом же окне.
Hide Empty Locations — ставим галочку напротив данной строки. Это позволит скрыть из списка пустые параметры.
Hide Microsoft Entries — по умолчанию напротив данной строки стоит галочка. Вам следует убрать ее. Отключение данной опции позволит отобразить дополнительные параметры Майкрософт.
Hide Windows Entries — в этой строке мы крайне рекомендуем установить флажок. Таким образом вы скроете жизненно важные параметры, изменив которые можно сильно навредить системе.
Hide VirusTotal Clean Entries — если вы поставите отметку напротив данной строки, то скроете из списка те файлы, которые ВирусТотал сочтет безопасными. Обратите внимание, что данный параметр будет работать только при условии, что соответствующая опция включена. Об этом мы расскажем ниже.
Scan only per-user locations — советуем не устанавливать отметку напротив данной строки, так как в данном случае будут отображаться только те файлы и программы, которые относятся к конкретному пользователю системы. Остальные места не будут проверены. А так как вирусы могут скрываться абсолютно в любом месте, то не стоит ставить галочку напротив данной строки.
Verify code signatures — эту строку стоит отметить. В этом случае будет производиться проверка цифровых подписей. Это позволит сразу выявить потенциально опасные файлы.
Check VirusTotal.com — этот пункт мы также настоятельно рекомендуем отметить. Эти действия позволят сразу же выводить на экран отчет о проверке файлов на онлайн-сервисе VirusTotal.
Submit Unknown Images — этот подраздел относится к предыдущему пункту. В случае, если данные о файле в VirusTotal найти не получится, то они будут отправляться на проверку. Обратите внимание, что в данном случае сканирование элементов может занять несколько больше времени.
Вот собственно и все настройки, которые вам нужно выставить предварительно. Теперь можно перейти непосредственно к редактированию автозапуска.
Редактируем параметры автозапуска
Для редактирования элементов автозапуска в Autoruns присутствуют различные вкладки. Давайте рассмотрим детальнее их назначение и сам процесс изменения параметров.
- По умолчанию вы увидите открытую вкладку «Everything». В данной вкладке будут отображены абсолютно все элементы и программы, которые запускаются автоматически при загрузке системы.
- Вы можете увидеть строки трех цветов:
- Помимо цвета строки следует обращать внимание на цифры, которые находятся в самом конце. Имеется в виду отчет VirusTotal.
- Обратите внимание, что в некоторых случаях данные значения могут быть красными. Первая цифра означает количество найденных подозрений на угрозу, а вторая — общее число проверок. Подобные записи не всегда означают, что выбранный файл является вирусом. Не стоит исключать погрешности и ошибки самого сканирования. Кликнув левой кнопкой мыши по цифрам, вы попадете на сайт с результатами проверки. Тут вы сможете увидеть на что есть подозрения, а также перечень антивирусов, которые проверку проводили.
- Подобные файлы следует исключать из автозагрузки. Для этого достаточно убрать галочку напротив названия файла.
- Удалять лишние параметры навсегда вообще не рекомендуется, так как вернуть их на место будет проблематично.
- Нажав правой кнопкой мыши на любом файле, вы откроете дополнительное контекстное меню. В нем вам следует обратить внимание на следующие пункты:
- Теперь давайте пройдемся по основным вкладкам Autoruns. Мы уже упоминали о том, что во вкладке «Everything» располагаются все элементы автозагрузки. Другие же вкладки позволяют контролировать параметры автозапуска в различных сегментах. Давайте рассмотрим самые важные из них.
Желтый. Данный цвет означает, что к конкретному файлу указан лишь путь в реестре, а сам файл отсутствует. Лучше всего такие файлы не отключать, так как это может привести к различного рода проблемам. Если вы не уверены в назначении таких файлов, тогда выделите строку с его названием, а после этого нажмите правой кнопкой мышки. В появившемся контекстном меню выберите пункт «Search Online». Кроме того, вы можете выделить строку и просто нажать комбинацию клавиш «Ctrl+M».
Розовый. Этот цвет сигнализирует о том, что у выбранного элемента отсутствует цифровая подпись. По сути, в этом нет ничего страшного, но большинство современных вирусов как раз распространяются без такой подписи.
Урок: Решаем проблему с проверкой цифровой подписи драйвера
Белый. Данный цвет — признак того, что с файлом все в порядке. У него присутствует цифровая подпись, прописан путь к самому файлу и к ветке реестра. Но несмотря на все эти факты, подобные файлы все равно могут быть заражены. Об этом мы расскажем далее.
Jump to Entry. Нажав на данную строчку, вы откроете окно с местоположением выбранного файла в папке автозагрузки или в реестре. Это полезно в ситуациях, когда выбранный файл нужно удалить полностью с компьютера или изменить его имя/значение.
Jump to Image. Данная опция открывает окно с папкой, в которую данный файл был инсталлирован по умолчанию.
Search Online. Про данную опцию мы уже упоминали выше. Она позволит отыскать информацию о выбранном элементе в интернете. Данный пункт очень полезен в том случае, когда вы не уверены в том, следует ли отключать выбранный файл для автозагрузки.
Logon. В данной вкладке располагаются все приложения, установленные самим пользователем. Поставив или убрав галочки из соответствующих чекбоксов, вы легко сможете включить или отключить автозагрузку выбранного софта.
Explorer. В данной ветке можно отключить лишние приложения из контекстного меню. Это то самое меню, которое возникает при нажатии на файле правой кнопкой мыши. Именно в данной вкладке вы сможете отключить надоедливые и ненужные элементы.
Internet Explorer. Данный пункт, скорее всего, не нуждается в представлении. Как следует из названия, в этой вкладке находятся все элементы автозагрузки, которые относятся к браузеру Internet Explorer.
Scheduled Tasks. Тут вы увидите список всех задач, которые были запланированы системой. Сюда входят различные проверки обновлений, дефрагментация жестких дисков и прочие процессы. Вы можете отключить лишние запланированные задачи, однако не отключайте те, назначение которых вам не известно.
Services. Как следует из названия, в данной вкладке находится перечень сервисов, которые автоматически загружаются при запуске системы. Какие из них оставлять, а какие отключать — решать только вам, так как у всех пользователей разные конфигурации и потребности в ПО.
Office. Тут можно отключить элементы автозагрузки, которые относятся к софту Microsoft Office. По сути можно отключить все элементы для ускорения загрузки вашей операционной системы.
Sidebar Gadgets. К данному разделу относятся все гаджеты дополнительных панелей Windows. В некоторых случаях гаджеты могут загружаться автоматически, но не выполнять никаких практических функций. Если вы не устанавливали их, то скорее всего у вас список будет пуст. Но если же вам необходимо отключить установленные гаджеты, то сделать это можно именно в данной вкладке.
Print Monitors. Данный модуль позволяет включать и выключать для автозагрузки различные элементы, которые относятся к принтерам и их портам. Если у вас принтер отсутствует, то можете отключить местные параметры.
Вот собственно и все параметры, о которых мы хотели бы поведать вам в данной статье. На самом деле вкладок в Autoruns гораздо больше. Однако для их редактирования нужны более глубокие знания, так как необдуманные изменения в большинстве из них могут привести к непредсказуемым последствиям и проблемам с ОС. Поэтому если вы все же решитесь изменять остальные параметры, тогда делайте это осторожно.
Если вы обладатель операционной системы Windows 10, тогда вам может также пригодиться наша специальная статья, в которой затрагивается тема добавления элементов автозагрузки именно для указанной ОС.
Подробнее: Добавление приложений в автозагрузку на Виндовс 10
Если во время использования Autoruns у вас возникнут дополнительные вопросы, тогда смело задавайте их в комментариях к данной статье. Мы с радостью поможем вам оптимизировать автозагрузку компьютера или ноутбука.
Наша группа в TelegramПолезные советы и помощь
Автозапуск
Автозапуск (англ. autorun) и автоматическое воспроизведение autoplay), или управление томами (англ. Volume Management) — функция в некоторых операционных системах и средах, заключающаяся в автоматическом выполнении определённых операций при обнаружении вновь подключённого носителя данных или свежепримонтированной файловой системы.
При неосторожном использовании данная функция может быть опасна, так как злоумышленник может добиться запуска вредоносного ПО[1][2].
Функция автозапуска была введена в Windows 95, для упрощения установки программ не квалифицированными пользователями и для уменьшения количества звонков в службу поддержки. Когда записанный особым образом диск вставляли в привод, Windows определял наличие специального файла с инструкциями. Программное обеспечение записанное на диске, воспринимало инструкции как запуск к установке, на жесткий диск. Чтобы максимально увеличить вероятность установки программы на компьютер, те же самые действия происходили, если дважды нажать правой клавишей мыши в проводнике Windows по диску.
Автозапуск выполняется Проводником. В Windows 7 (и более ранних версиях) может быть выполнен добавлением ярлыка приложения в папку «автозагрузка» в меню «Пуск». В Windows 8 такая возможность убрана, реализовано более сложным, но более функциональным способом — через утилиту Планировщик заданий (доступ к ней: экран «Пуск» > чудо-кнопка Параметры > Плитки > Показать средства администрирования > найти утилиту в списке приложений).
Со стороны файловой системы настраивается с помощью autorun.inf.
Автозапуск начинается, когда установлено новый носитель данных. Следующий шаг, уведомение пользователя об возможных действиях, которые можно сделать с носителем. После загрузки настроек с реестра, вы увидите окно в котором можно выполнить определённые действия. Если в носителе имеется файл autorun.inf, то дополнительные настройки считываются с него и выполняются дополнительные инструкции. Уведомление генерируется в соответствии с типом оборудования.
Когда устройство получает новый носитель с загрузочной записью, «Media Change Notification» генерирует событие. Операционная система сообщает о приложениях, которые можно использовать вместе с данным носителем. Если устройство изменило раздел (применительно для CD) или порт (USB) система генерирует широковещательное сообщение WM_DEVICECHANGE для всех окон верхнего уровня. ОС вызвает «базовое» уведомление. Окна верхнего уровня, это те окна, которые являются потомками рабочего стола.
Устройства без раздела, это те устройства, которые не имеют буквы в ярлыке «Мой компьютер». Они не обрабатываются автозапуском.
Когда проводник получает сообщение об изменении раздела, он производит следующие действия:
- Проверяет включена ли автозагрузка в реестре. Если автозагрузка выключена для устройств или для данного типа устройств, то проводник не выполняет никаких действий дальше.
- Проверить в корневом каталоге вставленного медиа-устройства наличие файла autorun.inf, если такой имеется, то обрабатывает его.
- Отправка сообщения QueryCancelAutoPlay для всех фоновых окон. Приложение, получив данное сообщение, может заблокировать автозапуск через RegisterWindowMessage. Прочие приложения, фоновые или активные, могут быть уведомлены с помощью IQueryCancelAutoPlay COM интерфейса в версии Windows XP и выше.
- Изменяется меню выбора. Пользователь двойным нажатием выберет иконку устройства в проводнике или нажмет на неё правой клавишей мыши, вызвав контекстное меню, которое задается файлом avtorun.inf.
- Добавляет из автозагрузки иконку и описание текста на значке дисковода.
- Проверяет нажата ли клавиша ⇧ Shift . Если она нажата в Windows XP то процесс автозагрузки прекратится, если в версии Windows Vista и выше, нажатая клавиша никак не повлияет на процесс.
- Завершение, тут три возможных события:
- не требуется дальнейших действий
- выплывет окно «Действия при автозагрузки», либо выполнит приложение описанное ключами open или shellexecute в файле autorun.inf в [autorun] секции.
- запустится автозагрузка с носителя
Изменение поведения при автозапуске
править
Во всех версиях Windows, до версии Windows XP, любой файл autorun.inf, на любом носителе загружался и инструкции из него выполнялись. Автозапуск не требовал никаких дополнительных действий от пользователя.[3] Включительно DRIVE_REMOVABLE, DRIVE_FIXED и DRIVE_REMOTE типов носителей.
Автозапуск будет работать с сетевых носителей, если ему будет присвоена буква. Автозапуск будет работать и на дисководе, если в него будет вставлена дискета поддерживающая автозапуск.[4]
По умолчанию в версиях Windows старше Windows XP отключена автозагрузка с сетевых и съемных носителей, на CD приводах и жестких дисках остается без изменений.
Автозапуск сверяется со значениями находящимися в реестре и в зависимости от них выполняет действия для каждого конкретного устройства. Эти настройки могут быть изменены несколькими методами, одна из них изменение групповой политики.
Приоритетными ключами считаются NoDriveTypeAutoRun и NoDriveAutoRun. Эти ключи обрабатываются перед запуском системы и перед входом пользователя в систему и описаны более подробно ниже.
Носители в реестре делятся на следующие типы:
| Название типа | Значение | Описание |
|---|---|---|
| DRIVE_UNKNOWN | 0x00000000 | Носитель который не может быть определён (основной носитель) |
| DRIVE_NO_ROOT_DIR | 0x00000001 | Поврежденный носитель (не смонтированный носитель) |
| DRIVE_REMOVABLE | 0x00000002 | Съемный носитель (floppy диск, USB флешка) |
| DRIVE_FIXED | 0x00000003 | Диск не может быть удален из устройства(жесткий диск/SSD) |
| DRIVE_REMOTE | 0x00000004 | Сетевой диск |
| DRIVE_CDROM | 0x00000005 | Носитель в CD-ROM, DVD-ROM или BD-ROM приводе |
| DRIVE_RAMDISK | 0x00000006 | Носитель является RAM диском |
| DRIVE_NOT_DETERMINED | 0x00000007 | Неопределенное устройство |
| DRIVE_NOT_FOUND | 0x00000008 | Диск извлечен |
| [RESERVED] | 0x00000009 | Зарезервирован для будущих технологий |
Порядок проверки ключей выполнения автозагрузки
править
КлючиNoDriveAutoRun и NoDriveTypeAutoRun реестра могут существовать в двух разных местах, в настройках пользователя (HKEY_CURRENT_USER) и в настройках машины (HKEY_LOCAL_MACHINE). Если ключ имеется в HKEY_LOCAL_MACHINE тогда значение в HKEY_CURRENT_USER игнорируется. Их значения не объединяются.
Когда решается вопрос об запуске автозагрузке значение обоих ключей NoDriveAutoRun и NoDriveTypeAutoRunпринимается во внимание. Если в каждом из ключей говорится что нужно выключить автозагрузку, то она выключается.
Пример
| HKEY_LOCAL_MACHINE | HKEY_CURRENT_USER | ||
|---|---|---|---|
| NoDriveAutoRun | NoDriveTypeAutoRun | NoDriveAutoRun | NoDriveTypeAutoRun |
| 0x08 | (Не установлено) | 0x03FFFFFF | 0x95 |
здесь мы видим значения NoDriveAutoRun с 0x08, отключение носителя D и значение для NoDriveTypeAutoRun с 0x95, отключение съемных и сетевых дисков. Для каждого пользователя NoDriveAutoRun никогда не используется.
Расположение ключей автозапуска в реестре
править
Автозагрузка в реестре представлена в нескольких местах:
- Для всех пользователей системы:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]— программы, которые запускаются при входе в систему. Данный раздел отвечает за запуск программ для всех пользователей системы.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]— программы, которые запускаются только один раз при входе пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx]— программы, которые запускаются только один раз, когда загружается система. Этот раздел используется при инсталляции программ, например для запуска настроечных модулей. После этого ключи программ автоматически удаляются из данного раздела реестра. Данный раздел отвечает за запуск программ для всех пользователей системы.- Сервисы:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]— программы, которые загружаются при старте системы до входа пользователя в Windows.[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce]— программы отсюда загружаются только один раз, когда загружается система.
- Для текущего пользователя:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]— программы, которые запускаются при входе текущего пользователя в систему[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]— программы, которые запускаются только один раз при входе текущего пользователя в систему. После этого ключи программ автоматически удаляются из данного раздела реестра.
Примеры использования записей реестра автозапуска
править
Например, чтобы автоматически запускать Блокнот при входе текущего пользователя, открываем Редактор реестра (regedit.exe), переходим в раздел [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] и добавляем следующий ключ:
"NOTEPAD.EXE"="C:\WINDOWS\System32\notepad.exe"
Только групповые политики оказывают воздействие на NoDriveTypeAutoRun настройки реестра. Настройки политики доступны для каждого пользователя или для каждой машины отдельно в специальных ветках реестра HKLM и HKCU[5][6] Политика описана для машины имеет приоритет выше, чем политика пользователя.
Когда политика включена, групповые политики добавляют NoDriveTypeAutoRun запись в регистре. Если политика выключена или стоит флаг не сконфигурирован, тогда групповые политики удаляют запись из реестра машины и устанавливают по умолчанию политику пользователя. Тогда система по умолчанию будет действовать как в разделе параметра NoDriveTypeAutoRun.
Имя политик, их место расположения, настройки могут варьироваться в зависимости от системы.
Автозапуск в других операционных системах
править
Управление томами реализовано в файловом менеджере Thunar, который можно настроить, чтобы он выполнял:
- автомонтирование и/или автоматический просмотр съёмных носителей при подключении и вставке.
- запуск программ и открытие файлов на подключаемых носителях.
- запуск программы записи при вставке чистого оптического диска.
- воспроизведение мультимедиа на компакт-дисках, Video CD, DVD и/или портативных плеерах.
- импортирование фотографий с цифровых камер и/или синхронизация с наладонными компьютерами при подключении.
- запуск указанной программы при подключении принтера, USB‐клавиатуры, мыши или графического планшета.
- ↑ Мирт и гуава: Эпизод 1 Архивная копия от 18 апреля 2021 на Wayback Machine. Securelist.ru
- ↑ Вирусов не бывает? Раздел «E-mai & IM» (недоступная ссылка). Компьютерра
- ↑ https://support.microsoft.com/en-us/help/136214/how-to-test-autorun-inf-files. support.microsoft.com. Дата обращения: 31 октября 2017. Архивировано 7 ноября 2017 года.
- ↑ Enabling and Disabling AutoRun (Windows) (англ.). msdn.microsoft.com. Дата обращения: 31 октября 2017. Архивировано 7 ноября 2017 года.
- ↑ NoDriveTypeAutoRun (англ.). technet.microsoft.com. Дата обращения: 2 ноября 2017. Архивировано 23 января 2011 года.
- ↑ NoDriveAutoRun (англ.). technet.microsoft.com. Дата обращения: 2 ноября 2017. Архивировано 26 августа 2017 года.
Время на прочтение7 мин
Количество просмотров40K
Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.
Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.
Что такое AutoRuns?
AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.
Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.
AutoRuns: основы
На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.
Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.
Во вкладке Explorer (проводник) отображается информация о следующих элементах:
-
Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).
-
Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.
-
Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.
-
Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.
Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.
Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).
Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.
Драйверы позволяют оборудованию взаимодействовать с операционной системой устройства. Во вкладке Drivers в AutoRuns отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.
Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.
В AppInit DLL показаны библиотеки DLL, зарегистрированные как DLL инициализации приложений.
Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).
Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.
Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.
Во вкладке Winsock Providers (провайдеры Winsock) показываются зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как провайдера Winsock, чтобы его было сложно удалить. AutoRuns может отключить провайдера, но не удалить его.
Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.
Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.
Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
-
Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
-
Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
-
Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
-
Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.
Как использовать AutoRuns для удаления вредоносных программ
Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».
После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.
Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).
После этого в проводнике Windows будет открыта папка с данным файлом.
Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.
Bf48a5558c8d2b44a37e66390494d08e
Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.
Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».
После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.
Теперь вирус можно удалить из проводника Windows.
Советы по использованию AutoRuns от Sysinternals
Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:
Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.
Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.
Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).
Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn’AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.
Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).
В примере ниже мы выбираем результаты, сохраненные в файле clean.
После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.
Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.
Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.
Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.
|
The big advantage […] redline-software.com redline-software.com |
Большим преимуществом […] redline-software.com redline-software.com |
|
If this does not help, select Mark database as corrupted and create a new one at the next OS startup to have the logging system delete the current logging database and create a blank one after you restart Windows. dl2.agnitum.com dl2.agnitum.com |
Если после перезагрузки нормальное функционирование Журнала не восстановилось, выберите При следующей загрузке удалить файл базы и создать новый для того, чтобы полностью пересоздать базу Журнала. dl2.agnitum.com dl2.agnitum.com |
|
Self-diagnostics run automatically at startup and continually while cutting to ensure that the system […] operates at peak performance. hypertherm.com hypertherm.com |
Самодиагностика выполняется автоматически при запуске, а также постоянно в процессе резки для обеспечения […] нормальной работы системы при […] пиковой производительности. hypertherm.com hypertherm.com |
|
The results are plain to see, especially in the Fontenoy building where we regularly run out of the most basic supplies such as toilet paper and towels, where windows remain unwashed for months, even years, and where one returns from mission to find a desk, computer and telephone covered […] with a thick layer of dust. unesdoc.unesco.org unesdoc.unesco.org |
Результат этого налицо, особенно в здании на пл. Фонтенуа, где мы регулярно сталкиваемся с нехваткой самых элементарных принадлежностей, таких, как туалетная бумага и полотенца; где месяцами, а то и годами остаются немытыми окна и где по возвращении из командировки мы обнаруживаем […] кабинет, компьютер и телефон под толстым слоем пыли. unesdoc.unesco.org unesdoc.unesco.org |
|
The system will automatically determine that you are trying to run a file designed for Microsoft Windows and will offer to open it with Wine. mql5.com mql5.com |
Система […] mql5.com mql5.com |
|
At startup, signal detection of the safety-related control voltage […] must be included in the functional test. download.sew-eurodrive.com download.sew-eurodrive.com |
В ходе проверки […] обеспечивающего безопасность управляющего напряжения. download.sew-eurodrive.com download.sew-eurodrive.com |
|
Using the General tab, you can configure the News […] size for displaying the news, […] configure the notification method and specify the server polling interval. kaspersky.ms-link.com kaspersky.ms-link.com |
Используя закладку Основные, вы […] можете запросить запуск Новостного […] новостей, настроить способ […] оповещения и задать интервал опроса сервера. kaspersky.ms-link.com kaspersky.ms-link.com |
|
Using your […] your operating system or partition […] and format the drive as a secondary drive. westerndigital.nl westerndigital.nl |
Для правильного функционирования […] жесткого диска WD с […] системы или […] при его использовании в качестве дополнительного накопителя. westerndigital.nl westerndigital.nl |
|
A great choice for use almost anywhere — […] or walls. beebond.com beebond.com |
Великолепный выбор для […] beebond.ru beebond.ru |
|
In this respect, the Committee expresses its concern at the proliferation of places of […] detention, including political […] centres. daccess-ods.un.org daccess-ods.un.org |
В этой связи Комитет выражает озабоченность появлением новых мест лишения свободы, включая тюрьмы […] политической […] прокуратуры за […] такими тюрьмами и местами содержания задержанных. daccess-ods.un.org daccess-ods.un.org |
|
Software to allow the user to change the sleep time, toggle […] seagate.com seagate.com |
ПО для изменения времени, после […] которого диск переходит в спящий режим, переключения индикаторов […] seagate.com seagate.com |
|
Every graphical X Window application reads at startup the environment variable DISPLAY to find out to which computer screen it should send its graphics. userfriendly.net userfriendly.net |
Каждое графическое приложение X Window при запуске считывает переменную окружения DISPLAY, что бы выяснить на какой компьютерный экран посылать графические данные. userfriendly.net userfriendly.net |
|
If you are planning to install both MacOS 9 and OS X, it is best to create separate partitions for OS 9 and OS X. If they […] are installed on the […] debian.org debian.org |
Если вы планируете установить сразу MacOS 9 и OS X, то лучше создать отдельный раздел для каждой из них. […] Если они […] во время загрузки. debian.org debian.org |
|
The computer can be […] USB device, a CD/DVD disk, or 6 floppies. drive-image.com drive-image.com |
Компьютер перезагружается в […] USB, CD/DVD диска или комплекта из 6 дискет. drive-image.com drive-image.com |
|
The «Fault material sensor» bit signals to the master […] controller that the sensor input has not been triggered and the drive has […] download.sew-eurodrive.com download.sew-eurodrive.com |
Бит «Ошибка датчика материала» сигнализирует устройству управления высшего […] уровня, что вход сенсорного датчика не сработал […] максимального положения. download.sew-eurodrive.com download.sew-eurodrive.com |
|
This is generally done by removing the […] embedded processors of the hardware and shifting the […] main CPU. debian.org debian.org |
Из такого оборудования обычно удалены […] на ваш основной процессор. debian.org debian.org |
|
On the day of the rally, the government held a meeting at which different opinions were expressed on the appropriateness of violence to protest Kosovo’s independence.18 Ilic was quoted as saying, “they [the West] have done much more damage to us than a few broken windows. crisisgroup.org crisisgroup.org |
В день проведения митинга правительство провело встречу, на которой были выражены различные мнения по поводу уместности насилия как формы протеста против предоставления независимости Косово.18 Цитировались слова Илича, заявившего, что «он [Запад] нанес нам намного больше вреда, чем несколько разбитых окон. crisisgroup.org crisisgroup.org |
|
Boot the computer using a windows ME or windows 98 startup disk. pl.msi.com pl.msi.com |
Загрузите компьютер со стартового диска ОС windows ME или windows 98. ru.msi.com ru.msi.com |
|
Therefore […] ensuring […] consistent energy efficiency of the building. mik-ce.si mik-ce.si |
При одинаковой внешней температуре окна с акрилом существенно меньше растягиваются, изгибаются, […] скручиваются, что обеспечивает […] постоянную энергетическую защиту здания. ru.mik-ce.si ru.mik-ce.si |
|
The following could be cited in this respect: (a) preparation of a media campaign in the run—up to the International Year for the Culture of Peace; (b) foundation of a UNESCO Chair in Peace, Democracy and Human Rights at the University of Yaoundé I; (c) in addition to the production of numerous studies, surveys and monographs, provision has been made for cooperation with the Cameroonian Ministry of Education with a view to introducing training modules on the culture of peace in primary and secondary school programmes. unesdoc.unesco.org unesdoc.unesco.org |
В этой связи можно привести следующие примеры:(а) развертывание в средствах информации подготовительной кампании, посвященной Международному году культуры мира;(b)создание кафедры ЮНЕСКО по вопросам мира, демократиииправ человека в Университете Яунде I; (с) помимо проведения многочисленных исследований, обследований и выпуска монографий, предусматривается осуществлять сотрудничество с министерством национального образования с целью включения в программы начальной и средней школы учебных модулей, конкретно касающихся культуры мира. unesdoc.unesco.org unesdoc.unesco.org |
|
If the rated voltage is continuously applied to the reset circuit at startup, the reset solenoid energizes for a fixed time interval (approximately 30 seconds), after which time the solenoid is automatically de-energized by the thermistor. spxcooling.com spxcooling.com |
Если номинальное напряжение непрерывно подается на цепь сброса при запуске, на указанное время включается соленоид сброса (приблизительно на 30 секунд), после чего соленоид автоматически отключается терморезистором. spxcooling.com spxcooling.com |
|
Systems that (also) run Dos or Windows are normally set to local time. debian.org debian.org |
В системах, которые (также) работают под Dos или Windows, часы обычно настроены на […] местное время. debian.org debian.org |
|
Unifies startup events so a single source base can run as both a web app and as a PhoneGap… software.intel.com software.intel.com |
Унификация событий при загрузке таким образом, что отдельная база может исполняться одновременно как веб-приложение и как PhoneGap… software.intel.com software.intel.com |
|
do not open port select dialog at startup (the program will make the last selection). mpkit.ru mpkit.ru |
открывать или не открывать диалог выбора источника видеосигнала при запуске программы (если галочка снята, программа автоматически примет последний выбор). mpkit.ru mpkit.ru |
|
A single-phase motor uses the capacitor start method or split-phase start method to determine its rotation direction at startup, and thus is not suitable for the variable speed control via the Inverter. downloads.industrial.omron.eu downloads.industrial.omron.eu |
Для пуска однофазного электродвигателя используется конденсатор, а данный метод не подходит для частотного регулирования через преобразователь частоты. downloads.industrial.omron.eu downloads.industrial.omron.eu |
|
In the framework of construction of two CCPP-400 power units at Surgutskaya GRES-2, a backup auxiliary transformer is put into operation; this aux transformer supplies power to unit 7 &8 under construction for startup and adjustment activities. euroland.com euroland.com |
В рамках проекта по строительству двух энергоблоков ПГУ-400 на Сургутской ГРЭС-2, введен в работу резервный трансформатор собственных нужд, с которого осуществляется подача электроэнергии для проведения пусконаладочных работ на строящихся энергоблоках №7 и №8. euroland.com euroland.com |
|
Step 15: If Windows detects the sound card upon startup, follow instructions to install the card’s driver and additional […] software. macbook-covers.net macbook-covers.net |
Шаг 15: Если Windows обнаруживает звуковой карты при запуске, следуйте инструкциям по установке драйвера карты и дополнительного […] программного обеспечения. macbook-covers.net macbook-covers.net |
|
You don’t have to choose between Windows and Mac OS X. Seamlessly run […] both side-by-side, drag-and-drop your […] parallels.com parallels.com |
Вам больше не нужно выбирать между Windows и Mac OS X – работайте с […] обеими ОС одновременно, […] вашем Маке без перезагрузки! parallels.com parallels.com |
|
Then you boot your destination computers using Windows PE, connect to the network share where […] the captured WIM file and answer file are […] <mapped drive>³.exe /unattend:unattend.xml. redline-software.com redline-software.com |
Затем вы загружаете свои целевые компьютеры с помощью Windows PE, подключаете их […] сетевому ресурсу, в котором расположен […] Windows Setup, введя <mapped drive>³.exe /unattend:unattend.xml. redline-software.com redline-software.com |
|
Foundations of life safety for pre-school children” is run at kindergartens and targets the teaching of appropriate behaviour in a number of potentially hazardous scenarios, including dangerous situations on the street or on public transport; and contact with strangers, dangerous items, animals or poisonous plants. unicef.org unicef.org |
Курс “Основы безопасности жизнедеятельности для детей дошкольного возраста” преподается в детских садах и имеет целью научить детей, как следует себя вести в условиях ряда потенциально опасных сценариев, в том числе в случае опасных ситуаций на улице или в общественном транспорте, а также при контактах с незнакомыми людьми, опасными предметами, животными или ядовитыми растениями. unicef.org unicef.org |
There may be a reason that you wish to automatically load a program or files to run when Windows 10 starts.
Here are the instructions.
Time needed: 1 minute
Make A Program or File Run When Windows Starts
- Open the Run dialog.
To do this either right-click on the Start Menu flag and left-click Run. Or use the keyboard shortcut Windows Key & R.
- In The Run box, type & OK shell:startup
Entering shell:startup in the Run dialog will open the Windows Start-up folder. Leave this folder open for now.
- Copy The Program That You Want To Add To Startup
Find the program or file that you’d like autorun. Right-click on the Program or file and click “Open File Location”.
- Copy & Paste the File Icon Into Startup Folder
Right-click the file icon, copy. Go to the Startup Folder. Right-click and Paste.
- That’s It
Whenever you boot your computer up, the desired program will run. To remove it from startup, simply repeat above steps and delete the item from the Startup folder.
Video Version
Here is the video version of these instructions.
Why Add Programs To Startup?
Normally we focus on removing programs from auto-starting. However there are many scenarios in which you may want to auto-run particular files or programs.
Mostly for professional use such as work or business. This can be useful if your system must be access remotely via remote desktop. If you have a booking or appointment software package that you want to autostart when the system is launched, or if you use your PC to monitor CCTV. This can be useful to autorun if the system loses power when unattended.
This can be useful to auto-start a music program if you have background music, or if you use the computer to display video promotional content, simply add a shortcut to the video file or music playlist.
Other Methods Of Auto Starting Programs
Some software packages have the ability to auto-run when Windows starts. This is usually in the form of a tickbox within Settings or Preferences within the software itself.
How To Stop Programs Starting Automatically
- Right-click on a blank area of your taskbar and open Task Manager.
- Click – More details
- Within the Start-up Tab, select and disable programs that you do not wish to auto-load when Windows starts.