Autoruns
Autoruns - это программа, работающая под управлением Microsoft Windows, с помощью которой осуществляется контроль автозагрузки различных устройств или выявление ПО, запускающегося при входе пользователя под своим логином и паролем при запуске системы. Она проверяет различные секции и ключи реестра с возможностью настройки их различных расположений. С ее помощью осуществляется не только автозапуск различных компонентов, но и его отмена. Помимо этого утилита позволяет отслеживать вредоносный код, прописывающего ключи в Автозагрузку реестра Windows. Одной из наиболее полезных функций является обеспечение выявления вредоносных программ. Большинство из них требуют встраивания в различные ключи, отвечающие за автозагрузку, чтобы продолжить свою разрушительную деятельность после перезагрузки. Скачать Autoruns на русском языке можно с нашего сайта.
Лицензия | Бесплатная |
ОС | Windows 10, 8.1, 8, 7, XP |
Язык интерфейса | Русский, английский |
Разработка | Microsoft Corporation |
Разновидность программы | Реестр, Автозагрузка |
Основы работы
В Autoruns имеется множество табов, содержащих данные о механизме автозапуска.
На вкладке Logon приведены сведения о местах загрузки для различных пользователей системы и соответствующие им ключи. На табе Explorer приведена информация о:
- плагинах для проводника Windows,
- таковых для Internet Explorer,
- механизме Active Setup Executions, позволяющем выполнять команды для пользователей при входе в систему.
Вкладка Scheduled Tasks демонстрирует задачи, настроенные на автозагрузку. В Services показываются службы ОС, которые запускаются при загрузке компьютера. Drivers демонстрирует зарегистрированные драйвера, за исключением отключенных.
Имеются и другие вкладки, на которых отображаются проведенные подмены образов, библиотеки DLL, зарегистрированные протоколы Winsock.
Выявление подозрительных программ
Многие вредоносные программы прописывают себя в ветке реестра HKLM\Software\Microsoft\Windows\CurrentVersion\Run. На вкладке Logons можно просмотреть путь, по которому они себя прописывают.
Следует обратить внимание на отсутствие подписи и издателя (Description и Publisher). В поисковик можно скопировать путь и посмотреть, насколько частым является запрос по этому пути. При небольшом количестве запросов легитимность приложения вызывает сомнения.
На вкладке Scheduled Tabs видны строки, относящиеся к исследуемой программе. Кликнув по одной из них правой кнопки мыши вызывают контекстное меню и выбирают «Check Virus Total», в одноименном столбце появится информация о том, сколько поставщиков определили эту программу как вредоносную.
Удаление вредоносных программ
Для удаления обнаруженных вредоносных программ с ПК можно воспользоваться стандартным диспетчером задач или приложением Process Hacker. В случае использования последнего его запускают с правами администратора, находят вредоносное ПО. Воспользовавшись контекстным меню, можно открыть место расположения файла (Open file location).
Для определения хэша файла можно воспользоваться программой PeStudio, скопировать его и вставить в Autoruns для проверки на Virus Total. Так определится имя вредоносного ПО. Остановка производится в Process Hacker кликом правой кнопкой мыши на названии процесса и выбором «Terminate».
В Autoruns на вкладке Scheduled Tasks находится запущенная программа, из контекстного меню выбирается «Delete», после чего вредоносное приложение можно удалить из проводника.
Чтобы получить рабочее приложение, а не вредоносное ПО, советуем посетить официальный сайт Autoruns. Также можно воспользоваться приведенными ниже ссылками, чтобы бесплатно скачать Autoruns для Windows.