• Які вкладки почистити у програмі ауторан. Autoruns - керування автозапуском програм у Windows

    Якщо ви хочете повністю контролювати роботу програм, сервісів та служб на своєму комп'ютері чи ноутбуці, тоді вам обов'язково необхідно налаштувати автозапуск. Autoruns — одна з кращих програм, яка дозволить вам це зробити без особливих зусиль. Саме цій програмі буде присвячена наша сьогоднішня стаття. Ми розповімо вам про всі тонкощі та нюанси використання Autoruns.

    Від того, наскільки добре оптимізовано автозавантаження окремих процесів вашої операційної системи, залежить швидкість її завантаження та швидкодії загалом. Крім того, саме в автозавантаженні можуть ховатися віруси під час зараження комп'ютера. Якщо в стандартному редакторі автозавантаження Windows можна керувати в основному вже інстальованими програмами, то в Autoruns можливості набагато ширші. Давайте розберемо детальніше той функціонал програми, який може стати в нагоді рядовому користувачеві.

    Попереднє налаштування

    Перед тим, як розпочати безпосередньо використання функцій Autoruns, давайте спершу налаштуємо програму відповідним чином. Для цього робимо такі дії:

    1. Запускаємо Autoruns від імені адміністратора. Для цього просто тиснемо на іконці програми правою кнопкою мишки і в контекстному меню вибираємо рядок "Запустити від імені Адміністратора".

    2. Після цього потрібно натиснути на рядок "User"у верхній області програми. Відкриється додаткове віконце, в якому потрібно буде вибрати той тип користувачів, для якого буде налаштовуватися автозавантаження. Якщо ви є єдиним користувачем комп'ютера або ноутбука, досить просто вибрати той обліковий запис, в якому міститься вибране вами ім'я користувача. За замовчуванням цей параметр знаходиться останнім у списку.

    3. Далі відкриваємо розділ "Options". Для цього просто тиснемо лівою кнопкою миші на рядку з відповідною назвою. У меню, що з'явиться, вам потрібно активувати параметри наступним чином:

      4. Hide Empty Locations- Ставимо галочку навпроти цього рядка. Це дозволить приховати зі списку порожні параметри.
      Hide Microsoft Entries- За замовчуванням навпроти цього рядка стоїть галочка. Вам слід забрати її. Вимкнення цієї опції дозволить відобразити додаткові параметри Майкрософт.
      Hide Windows Entries— у цьому рядку ми рекомендуємо встановити прапорець. Таким чином, ви приховаєте життєво важливі параметри, змінивши які можна сильно нашкодити системі.
      Hide VirusTotal Clean Entries— якщо ви поставите позначку навпроти цього рядка, то приховаєте зі списку файли, які ВірусТотал визнає безпечними. Зверніть увагу, що цей параметр буде працювати лише за умови, що відповідна опція увімкнена. Про це ми розповімо нижче.

    4. Після того, як параметри відображення будуть виставлені коректним чином, переходимо до налаштувань сканування. Для цього тиснемо знову на рядок "Options", а після цього клацаємо на пункт "Scan Options".

    5. Вам необхідно виставити місцеві параметри таким чином:

      6. Scan only per-user locations— радимо не встановлювати позначку навпроти цього рядка, тому що в даному випадку відображатимуться лише ті файли та програми, які належать до конкретного користувача системи. Інші місця не будуть перевірені. Оскільки віруси можуть ховатися абсолютно в будь-якому місці, то не варто ставити галочку навпроти цього рядка.
      Verify code signatures- Цей рядок варто відзначити. В цьому випадку буде перевірено цифрові підписи. Це дозволить одразу виявити потенційно небезпечні файли.
      Check VirusTotal.com— цей пункт ми також рекомендуємо відзначити. Ці дії дозволять відразу виводити на екран звіт про перевірку файлів на онлайн-сервісі VirusTotal.
      Submit Unknown Images- Цей підрозділ належить до попереднього пункту. Якщо дані про файл у VirusTotal знайти не вийде, то вони будуть відправлятися на перевірку. Зверніть увагу, що в цьому випадку сканування елементів може тривати трохи більше часу.

    6. Після того, як виставите галочки навпроти вказаних рядків, необхідно натиснути кнопку «Rescan»у цьому ж вікні.

    7. Останньою опцією у вкладці "Options"є рядок «Font».

    8. Тут ви опціонально зможете змінити шрифт, стиль і розмір інформації, що відображається. Виконавши всі налаштування, не забудьте зберегти результат. Для цього натисніть кнопку "OK"у цьому ж вікні.

    Ось, власне, і всі налаштування, які вам потрібно виставити заздалегідь. Тепер можна перейти безпосередньо до редагування автозапуску.

    Редагуємо параметри автозапуску

    Для редагування елементів автозапуску в Autoruns є різні вкладки. Давайте розглянемо детальніше їх призначення та сам процес зміни параметрів.

    1. За промовчанням ви побачите відкриту вкладку «Everything». У цій вкладці будуть відображені всі елементи та програми, які запускаються автоматично при завантаженні системи.

    2. Ви можете побачити рядки трьох кольорів:

      3. Жовтий. Цей колір означає, що до конкретного файлу вказаний шлях у реєстрі, а сам файл відсутній. Найкраще такі файли не відключати, оскільки це може призвести до різноманітних проблем. Якщо ви не впевнені в призначенні таких файлів, виділіть рядок з його назвою, а потім натисніть правою кнопкою мишки. У контекстному меню виберіть пункт "Search Online". Крім того, ви можете виділити рядок та просто натиснути комбінацію клавіш "Ctrl+M".

      Рожевий. Цей колір сигналізує про те, що у вибраного елемента відсутній цифровий підпис. По суті, в цьому немає нічого страшного, але більшість сучасних вірусів поширюються без такого підпису.

      Білий. Цей колір - ознака того, що з файлом все гаразд. У нього є цифровий підпис, прописаний шлях до самого файлу і до гілки реєстру. Але незважаючи на всі ці факти, такі файли все одно можуть бути заражені. Про це ми розповімо далі.

    3. Крім кольору рядка, слід звертати увагу на цифри, які знаходяться в самому кінці. Мається на увазі звіт VirusTotal.
    4. Зверніть увагу, що в деяких випадках ці значення можуть бути червоними. Перша цифра означає кількість знайдених підозр на загрозу, а друга загальна кількість перевірок. Подібні записи не завжди означають, що вибраний файл є вірусом. Не варто виключати похибки та помилки самого сканування. Клікнувши лівою кнопкою миші за цифрами, ви потрапите на сайт із результатами перевірки. Тут ви зможете побачити на що є підозри, а також перелік антивірусів, які проводили перевірку.

    5. Подібні файли слід виключати із автозавантаження. Для цього достатньо прибрати галочку навпроти назви файлу.
    6. Видаляти зайві параметри назавжди взагалі рекомендується, оскільки повернути їх у місце проблематично.
    7. Натиснувши правою кнопкою миші на будь-якому файлі, ви відкриєте додаткове контекстне меню. У ньому слід звернути увагу на наступні пункти:

      8. Jump to Entry. Натиснувши на цей рядок, ви відкриєте вікно з місцем розташування вибраного файлу в папці автозавантаження або в реєстрі. Це корисно у випадках, коли вибраний файл потрібно видалити повністю з комп'ютера або змінити його ім'я/значення.

      Jump to Image. Дана опція відкриває вікно з папкою, в яку цей файл інстальовано за замовчуванням.

      Search Online. Про цю опцію ми вже згадували вище. Вона дозволить знайти інформацію про обраний елемент в інтернеті. Цей пункт дуже корисний у тому випадку, коли ви не впевнені в тому, чи потрібно відключати вибраний файл для автозавантаження.

    8. Тепер давайте пройдемося по основних вкладках Autoruns. Ми вже згадували про те, що у вкладці «Everything»розташовуються всі елементи автозавантаження. Інші вкладки дозволяють контролювати параметри автозапуску в різних сегментах. Давайте розглянемо найважливіші з них.

      9. Logon. Ця вкладка містить усі програми, встановлені самим користувачем. Поставивши або прибравши галочки з відповідних чекбоксів, ви легко зможете увімкнути або вимкнути автозавантаження вибраного софту.

      Explorer. У гілці можна вимкнути зайві програми з контекстного меню. Це те саме меню, яке виникає при натисканні на файл правою кнопкою миші. Саме в цій вкладці ви зможете відключити докучливі та непотрібні елементи.

      Internet Explorer. Цей пункт, швидше за все, не потребує представлення. Як випливає з назви, в цій вкладці знаходяться всі елементи автозавантаження, які відносяться до браузера Internet Explorer.

      Scheduled Tasks. Тут ви побачите перелік усіх завдань, які були заплановані системою. Сюди входять різні перевірки оновлень, дефрагментація жорстких дисків та інші процеси. Ви можете відключити зайві заплановані завдання, проте не відключайте ті, призначення яких вам не відоме.

      Services. Як випливає з назви, в цій вкладці міститься список сервісів, які автоматично завантажуються при запуску системи. Які з них залишати, а які відключати - вирішувати тільки вам, тому що у всіх користувачів різні конфігурації та потреби у ПЗ.

      Office. Тут можна вимкнути елементи автозавантаження, які стосуються софту Microsoft Office. По суті, можна вимкнути всі елементи для прискорення завантаження вашої операційної системи.

      Sidebar Gadgets. До цього розділу належать усі гаджети додаткових панелей Windows. У деяких випадках гаджети можуть завантажуватися автоматично, але не виконувати жодних практичних функцій. Якщо ви не встановлювали їх, то, швидше за все, у вас список буде порожній. Але якщо вам необхідно відключити встановлені гаджети, то зробити це можна саме в даній вкладці.

      Print Monitors. Даний модуль дозволяє вмикати та вимикати для автозавантаження різні елементи, що відносяться до принтерів та їх портів. Якщо у вас немає принтера, ви можете вимкнути місцеві настройки.

    Ось власне і всі параметри, про які ми хотіли б розповісти вам у цій статті. Насправді вкладок у Autoruns набагато більше. Однак для їх редагування потрібні глибші знання, оскільки необдумані зміни в більшості з них можуть призвести до непередбачуваних наслідків та проблем з ОС. Тому якщо ви все ж наважитеся змінювати інші параметри, тоді робіть це обережно.

    Якщо ви власник операційної системи Windows 10, тоді вам може знадобитися наша спеціальна стаття, в якій торкається тема додавання елементів автозавантаження саме для зазначеної ОС.

    Якщо під час використання Autoruns у вас виникнуть додаткові питання, тоді сміливо ставте їх у коментарях до цієї статті. Ми з радістю допоможемо вам оптимізувати автозавантаження комп'ютера чи ноутбука.

    Автозапуск (автозавантаження) програм – це засіб, що дозволяє без втручання людини швидко створити бажане робоче середовище користувача шляхом автоматичного старту заздалегідь підготовленого набору програм. У переважній більшості сучасних домашніх комп'ютерів постійно виконується безліч автоматично запущених програм, про існування яких користувачі не мають жодного уявлення. Як і уявлення про те, звідки ці програми взялися, і навіщо вони взагалі потрібні і чи кому вони потрібні насправді? Хоча, для більшості це й не так важливо, доки не виникнуть проблеми з підвищеним споживанням ресурсів (комп'ютер став ”гальмувати”), виникненням непомірного інтернет-трафіку, рекламного спаму, вірусного зараження, втратою документів, паролів, грошей.

    З розвитком комп'ютерних технологій можливості автоматичного запуску поступово розширювалися і досягли такого рівня, що виникла серйозна необхідність контролю з боку користувача над процесами автозапуску. Адже сьогодні майже будь-яка програма, починаючи від програмного забезпечення від виробників обладнання комп'ютера та завершуючи безкоштовним прикладним програмним забезпеченням, намагається ощасливити користувача постійними оновленнями, пропозиціями знижок при переході на платні продукти, рекламою тощо. Крім того, нерідко таке, не дуже бажане ПЗ, може займатися збиранням відомостей про самого користувача з відправкою даних через Інтернет незрозуміло кому і куди незрозуміло. Тому моніторинг автозапуску стає все більш затребуваним серед користувачів комп'ютерних систем. Стандартні засоби Windows, такі як утиліта msconfig.exeабо доопрацьований диспетчер завдань Windows 10 з вкладкою ”Автозавантаження” краще, ніж нічого, але все ж таки, більш затребуваними серед грамотних користувачів стають програмні продукти з можливістю моніторингу максимальної кількості елементів автозапуску, що дозволяють просто, зручно та безпечно керувати процесами, що автоматично запускаються, починаючи від драйвера. і закінчуючи скриптами чи прикладними програмами.

    Загальні відомості про програму Autoruns.

    Autoruns- безкоштовна службова програма з пакету Sysinternals Suite розділу Windows Sysinternalsвід Microsoft, призначена контролю за автозапуском серед Windows. Утиліта має ширший спектр можливостей, ніж службова програма MSConfig, яка входить до складу стандартного програмного забезпечення Windows.

    Завантажити програму можна як у складі пакету Sysinternals Suite, так і окремим архівом за посиланнями на сторінках розділу Windows Sysinternals ресурсу Microsoft TechNet. Програма не вимагає інсталяції в системі - просто скачайте і розпакуйте архів Autoruns.zip в якусь папку і запустіть виконуваний файл autoruns.exeабо autoruns64.exe(лише для 64-розрядних операційних систем Windows). В архіві є документація англійською мовою autoruns.chm, текстовий файл з коротким описом та ліцензійною угодою eula.txtта виконувані файли для 32-розрядних та 64-розрядних ОС утиліти з графічним інтерфейсом Autoruns, та утиліти командного рядка Autorunsc.

        Autorunsє одним з найпопулярніших програмних продуктів пакета програм для адміністрування та дослідження системи Sysinternals Suite, і, мабуть, найінформативнішим та найзручнішим інструментом для відстеження точок автоматичного запуску процесів у Windows, у тому числі прихованих або незвичайних, часто використовуваних вірусами та іншим шкідливим програмним забезпеченням (malware). Autoruns показує, які програми налаштовані на запуск у процесі завантаження, при вході в систему користувачів і виникненні інших системних подій, причому інформація про програми, що автоматично стартують, відображаються в тому порядку, в якому виконується їх запуск.

    Пошук і усунення шкідливого програмного забезпечення, що впровадилося в середу Windows, - це один з основних напрямків використання Autoruns.

    Програма дозволяє отримати повний список точок автозапуску (autostart locations), ідентифікувати їхнє місцезнаходження, дослідити способи та послідовність запуску, виявити приховані точки входу, а також заблокувати, на вибір, автостарт непотрібного процесу. Величезні можливості і зручність використання даної утиліти зробили просто обов'язковим включення Autoruns в інструментальний набір засобів для практичного дослідження системи.

    Для реалізації всіх потенційних можливостей Autoruns утиліта повинна виконуватися під обліковим записом з правами адміністратора. Крім роботи в середовищі активної операційної системи (ОС, в якій ви працюєте), можливе використання утиліти для аналізу точок автозапуску іншої ОС, системний каталог якої та каталог з профілем користувача можна вибрати за допомогою головного меню ( File - Analyze Offline System).

    Після запуску виконуваного файлу Autoruns.exe, на екрані з'явиться головне вікно програми:

    Інтерфейс програми складається з п'яти частин. рядок меню(menu bar), панель інструментів(toolbar), вкладкифільтрів джерел автозапуску, область виведення даниху вигляді списку з фіксованими елементами рядків, що описують процес, що автоматично запускається, і область в нижній частині екрану, з деталізацією властивостейвибраного процесу.

    Список точок автозапуску виводиться в тому порядку, в якому їх обробляє Windows у процесі завантаження та реєстрації користувача. За замовчуванням відкривається вкладка Everythingз відображенням всіх можливихточок автозапуску, що відображаються у головному вікні відповідно до опцій, що задаються пунктом Optionsголовне меню. Як опції (параметрів відображення інформації) можна вибрати:

    Include Empty Location- Показ порожніх розділів. Зазвичай, ця опція вимкнена.
    Hide Microsoft and Windows Entries- приховати точки автозапуску продуктів Microsoft та процесів самої Windows
    Hide Windows Entries- приховати точки автозапуску, що використовуються Windows
    Verify Code Signature- Перевірити цифрові підписи програмних модулів. Статус перевірки відображатиметься в колонці автора програми Publisherі може бути Verified- пройшов перевірку та Not Verified- не пройшов. Для перевірки цифрових підписів потрібний доступ до Інтернету.

    При зміні параметрів відображення необхідно оновити екран (натиснути F5).

    Інформація про точки автозапуску у вікні даних розбита на кілька колонок

    Autorun Entry- Ім'я програми. Кожна програма супроводжується значенням точки автозапуску (ключ реєстру, папка автозапуску, папка завдань планувальника). Записи про виконуваний файл відповідає ознака увімкнення/вимкнення автозапуску. Наявність галочки перед ім'ям означає, що процес буде запущено, відсутність – процес заблокований. Якщо процес, що блокується, вже виконується, то відключення автозапуску буде діяти для наступного перезавантаження системи. Процес блокування може бути відключенням драйвера або служби через реєстр, видалення ярлика з папки автозавантаження, відключення виконання завдання планувальником.
    Description- короткий опис процесу, що автоматично запускається.
    Publisher- Автор програми. Ознака перевірки цифрового підпису може виводитися як частина колонки Publisher (Veryfied або Not Veryfied). Наявність та достовірність цифрового підпису є ознакою того, що цей процес не є шкідливим. Недостовірність або відсутність цифрового підпису, як правило, має привернути увагу до цього запису. Однак, непідписані файли далеко не завжди можуть бути вірусом або іншим небажаним програмним забезпеченням, оскільки наявність цифрового підпису не є обов'язковим стандартом для виробників програмних продуктів.
    Image Path- шлях та ім'я файлу, що виконується.

    Всі елементи автозапуску програма Autoruns розбиває на групи, що відповідають різним категоріям автозапуску. Вибір категорії здійснюється вибором потрібної вкладки:

    Everything- виводяться всі відомі утиліти Autoruns точки автозапуску.

    Logon- виводиться інформація про елементи автозапуску, пов'язані з ініціалізацією налаштувань профілів користувачів системною службою Winlogon(Userinit), оболонки користувача (Shell) а також різних програм, що запускаються в процесі реєстрації, з використанням елементів папки "Автозапуск", розділів реєстру Run, RunOnce, Load і т.п. В останніх версіях Autoruns у головному меню доданий пункт User, що дозволяє перемикатися на відображення точок автозапуску для окремих користувачів або системних облікових записів (Local System, Network тощо). При виборі іншого типу облікового запису, список точок автозапуску вкладки "Logon" буде змінюватися.

    Explorer- виводиться інформація про розширення оболонки (Shell Extensions) провідника Windows, виконувані модулі обробників подій (Shell Execute Hooks)
    Нерідко шкідливі програми використовують впровадження у цю групу елементів автозапуску своїх записів, які забезпечують можливість контролю над зараженою системою. Найбільш поширені випадки:

    Додавання запису до розділу реєстру для автозапуску програм поточного користувача
    HKCU\Software\Microsoft\Windows\CurrentVersion\Run
    - Той самий прийом для всіх користувачів
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    - Додавання файлу або посилання на файл вірусу у папці "Автозавантаження"
    - Додавання запису до розділу параметрів служби Winlogon
    Для ініціалізації профілю користувача використовується ключ реєстру
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinitстандартно приймає рядкове значення
    C:\WINDOWS\system32\userinit.exe,
    Ключ містить кому в кінці запису, і Windows буде автоматично запускати будь-які програми, які будуть перераховані після цієї коми. Так, наприклад запис C:\WINDOWS\system32\userinit.exe, %TEMP%\svchost.exeзабезпечить запуск крім стандартної програми userinit.exe, ще й svchost.exe, яка жодним чином не може перебувати в папці тимчасових файлів \TEMP і взагалі запускатися з цієї групи точок автозапуску. Все, що записано після userinit.exe,Необхідно видалити - ці записи забезпечують запуск шкідливих програм.
    userinit.exeвиконує послідовність ініціалізації профілю користувача і запускає оболонку (shell), якою в середовищі Windows використовується Провідник (Explorer.exe). Провідник реалізує графічний інтерфейс користувача (GUI) – робочий стіл, засоби роботи з ярликами, папками, файлами тощо. Якщо Explorer.exe не вдалося запустити, користувач отримує порожній робочий стіл без будь-яких елементів керування.

    Для запуску оболонки користувача використовуються дані із ключа реєстру
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\ShellСтандартне рядкове значення даного ключа - Explorer.exe. Якщо воно відрізняється, то найімовірніше, має місце вірусне зараження.

    Шкідливі програми можуть використовувати також точки одноразового автозапуску (параметри RunOnce, RunOnceEx), переписуючи вміст даних ключів реєстру після кожного перезавантаження або реєстрації користувача.

    Додаткову інформацію про підозрілий файл можна отримати при використанні механізму пошуку інформації в Інтернеті (Меню Entry - Search Online) або в контекстному меню правої кнопки мишки. А найпростіше - відправити підозрюваний файл на перевірку онлайн-сканерами. Наприклад, на сайт VirusTotal.com

    Internet Explorer- виводиться список допоміжних об'єктів браузера (BHO - Browser Helper Objects), елементів панелі керування Internet Explorer (IE), зареєстрованих елементів ActiveX, додаткових модулів (plugins), вбудованих у браузер.

    Використання вразливостей браузерів Інтернету - це один із найпоширеніших способів вірусного зараження. Сучасний браузер - це фактично складний програмний комплекс, своєрідний інтерпретатор вмісту, одержуваного зі сторінок відвідуваних сайтів і крім того - це програмний продукт, властивості якого можуть бути розширені або змінені за допомогою налаштувань та додаткових програмних модулів, у тому числі впроваджуваних сторонніми розробниками. Ці властивості браузерів Інтернету використовуються і творцями шкідливих програм. Крім вірусів, до браузера можуть добудовуватися різні небажані програмні модулі, що виконують заміну механізму пошуку, закачування реклами, стеження за діями користувача, заміну домашньої сторінки і т.п. У більшості випадків ознакою небажаного ПЗ є невідомий видавець, інформація про який відображається у полі Publisher.

    Services- виводиться список системних служб Windows, що автоматично завантажуються. Системні служби (сервіси) завантажуються до реєстрації користувача відповідно до налаштувань, що визначаються розділами реєстру

    HKLM\SYSTEM\CurrentControlSet\Control

    HKLM\SYSTEM\CurrentControlSet\Services

    Служби, які не мають опису, цифрового підпису або мають недійсний цифровий підпис, повинні перевірятися насамперед. Додатковим ознакою неблагонадійності може бути запуск служби з незвичайного місця - каталогу тимчасових файлів \TEMP, каталогів профілю користувача, каталогу з дивним ім'ям. Виконувані файли переважної більшості системних служб розміщуються у папці \WINDOWS\System32 .

    Drivers- виводиться список драйверів, запуск яких дозволено (параметр Startу розділі реєстру, що відноситься до драйвера, не дорівнює 4 що означає відключення драйвера.) Іноді зустрічаються серйозні віруси, що використовують руткіт-технології (rootkit) для маскування своєї присутності в системі. У разі такого зараження шкідливе програмне забезпечення встановлює спеціальний драйвер, який перехоплює системні виклики та виправляє результати їх виконання таким чином, щоб виключити виявлення своїх файлів, процесів, мережевих з'єднань. У серйозних випадках Autoruns не допоможе, і потрібно буде скористатися спеціальним ПЗ для виявлення руткітів

    Scheduled Tasks- виводиться список завдань, запланованих до виконання планувальником (Task Scheduler).
    Іноді шкідливі програми забезпечують свій запуск створенням спеціального завдання для планувальника завдань Windows. Утиліта Autoruns дозволяє отримати список завдань та вимкнути будь-яке з них.

    Image Hijacks- виводиться інформація про використання символічного відладчика окремих процесів, перелік та параметри яких задаються у розділі реєстру

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

    Також, відображаються точки автозапуску, де можливий старт файлів, що виконуються додатково до інтерпретатора команд (командного процесора), і при відкритті будь-яких файлів з розширенням.exe

    Appinit DLLs- Виводиться список усіх зареєстрованих у системі DLL. Використовується для підключення бібліотек користувача, що підвантажуються за допомогою user32.dll
    Ключ реєстру HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dllsзазвичай не містить жодних записів, але може використовується легальними програмами, а також, і шкідливим ПЗ, оскільки це забезпечує впровадження своєї DLL у всі процеси користувача, що використовують виклик user32.dll . Якщо ключ містить ім'я будь-якого DLL, потрібно аналізувати інформацію про видавця, цифровий підпис, і при необхідності, виконати онлайн перевірку на VirusTotal.

    Known DLLs- список бібліотек DLL, які завантажуються в прикладні програми, що посилаються на них.
    Пошук шкідливих DLL можна виконувати за тим самим алгоритмом – аналіз опису, відомості про видавця, наявність та достовірність цифрового підпису, за необхідності – перевірка на VirusTotal.

    Boot Execute- програми, які мають бути виконані на ранньому етапі завантаження Windows (наприклад, запланована перевірка диска під час наступного перезавантаження системи)

    Winlogon Notifications- список DLL, які зареєстровані для спрацювання при виникненні подій пов'язаних із входом або виходом користувача із системи (logon/logoff), запуском заставки, завершенням роботи або перезавантаженням.

    Winsock Providers- список провайдерів служб Windows для доступу до мережних функцій. Зазвичай це бібліотеки DLL, які можуть підвантажуватися для взаємодії програм з мережевими службами. Іноді у списку можуть бути бібліотеки антивірусного або брандмауера.

    LSA Providers- Список зареєстрованих провайдерів LSA (Local Security Authority). LSA є частиною системи перевірки повноважень користувача та призначення контексту безпеки (Security Context) на основі його облікового запису.

    Print Monitors- список драйверів принтерів, які завантажуються відповідно до записів у розділі реєстру

    HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors

    Sidebar Gadgets- Список гаджетів встановлених користувачами Windows 7 і пізнішими ОС

    Office- інформація про додаткові модулі офісного програмного забезпечення.

    Основне меню (menu bar) програми Autoruns.

        Призначення деяких пунктів меню утиліти Autoruns розглянуто вище.

        Пункти основного меню File

    Find- Пошук тексту у вікні вихідних даних Autoruns.
    Load- відкрити з файлу раніше збережений звіт Autoruns
    Save- Зберегти поточний журнал Autoruns.
    Compare- Порівняння поточного звіту Autoruns зі збереженим раніше. Дозволяє швидко визначити нові елементи автозапуску, що з'явилися після збереження порівнюваного звіту. Нові елементи виділяються зеленим.

    Пункти основного меню Entry

        Усі пункти меню Entryналежать до виділеного елемента звіту на поточному екрані Autoruns. Усі опції також доступні з контекстного меню, яке викликається правою кнопкою мишки.

    Delete- Видалити елемент автозапуску. Відновити віддалений елемент засобами самої утиліти Autoruns неможливо. Бездумне видалення критично важливих елементів автозапуску може спричинити крах системи. Щоб не видаляти елемент, а лише заблокувати його, потрібно скинути прапорець (прибрати галочку) у першій колонці рядка цього елемента.
    Copy- Копіювання даних виділеного рядка у буфер обміну.
    Verify- Перевірити цифровий підпис виділеного елемента.
    Jump to- як і в більшості продуктів Sysinternals, дозволяє швидко перейти до розділу реєстру або каталогу Windows, який пов'язаний з цією точкою автозапуску. Дуже зручний режим, що дозволяє економити час та нерви під час аналізу інформації. Перехід також можна виконати подвійним клацанням на вибраному елементі.
    Search Online- Autoruns виконає запуск браузера Інтернету та з його допомогою виконає пошук інформації про точку автозапуску, пов'язану з поточним елементом звіту. Використовується механізм пошуку, на який настроємо оглядач, наприклад, пошук Яндекса
    Properties- Відобразити властивості виконуваного файлу процесу, що автоматично запускається.
    Process Explorer- Запустити утиліту Process Explorerвід Sysinternals для відстеження активності вибраного процесу. Програма Process Explorer повинна бути присутня, і повинна бути можливість її запуску з використанням шляху в змінному оточенні path

    Autorunsc - варіант Autoruns для використання у командному рядку.

    Autorunsc – це варіант програми Autoruns для роботи в командному рядку. Зручно використовувати для збору та обробки даних про процеси, що автоматично запускаються на віддалених комп'ютерах, для відстеження змін в автозапуску і т.п.

    Формат командного рядка:

    autorunsc [-a[*][b] [c] [d] [e] [g] [h] [i] [k] [l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z ] | [користувач]]]

    Параметри командного рядка:

    * показувати усі елементи;
    -b об'єкти, що виконуються на ранніх стадіях завантаження;
    -c записати вихідні дані у CSV-файл;
    -d бібліотеки DLL ініціалізації програм;
    -e надбудови Explorer;
    -g міні-додатки (гаджети) бічної панелі;
    -h перехоплювачі файлів-образів (Image hijacks);
    -i додаткові компоненти Internet Explorer
    -l елементи, що автоматично запускаються при вході в систему (цей параметр використовується за замовчуванням);
    -m не показувати елементи із цифровим підписом Microsoft;
    -n постачальники протоколу Winsock;
    -p драйвери монітора друку;
    -r постачальники LSA;
    -s служби в режимі автоматичного запуску та невідключені драйвери;
    -t призначені завдання;
    -v перевіряти цифрові підписи;
    -w елементи Winlogon;
    -x друкувати висновок у форматі XML;
    -z встановити для сканування неактивну систему Windows;
    користувач показувати об'єкти, що автоматично запускаються, для зазначеного облікового запису користувача.

    Приклади використання:

    autorunsc /?- відобразити підказку щодо використання програми.

    autorunsc -a *- Відобразити всі елементи автозапуску в даній системі.

    autorunsc64.exe -a * |find /i "adobe"- відобразити всі елементи автозапуску, пов'язані з програмними продуктами Adobe.

    autorunsc –a b- Відобразити елементи автозапуску пов'язані із завантаженням даної системи.

    autorunsc –s *- відобразити відомості про служби та драйвери, що автоматично запускаються.

    autorunsc –s * > services.txt- те, що й у попередньому прикладі, але із записом результатів у текстовий файл.

    autorunsc64.exe -a w –m- Відобразити відомості про елементи автозапуску для Winlogon, виключивши записи для програмних продуктів Microsoft.

    autorunsc64.exe -a w –x- те, що й у попередньому прикладі, але з поданням результатів у XML-форматі.

        Одне з основних призначень Autoruns - пошук та знешкодження шкідливого програмного забезпечення. Потужні можливості дослідження та нейтралізації елементів автозапуску дозволяють легко впоратися з заразою, що впровадилася в систему. Будь-який вірус, позбавлений можливості автоматичного запуску, стає абсолютно нешкідливим, як, наприклад, звичайний текстовий файл, що зберігається на комп'ютері.

    У разі виникнення сумнівів щодо будь-якого елемента автозапуску, наведеного у списку вихідних даних Autoruns спробуйте провести докладне його дослідження, використовуючи наступні прийоми:

    Проаналізуйте опис, відомості про видавця, наявність та достовірність цифрового підпису.
    - Виконайте подвійне клацання по досліджуваному елементу та перевірте точку його автостарту в реєстрі або каталозі файлової системи.
    - Використовуйте контекстне меню Search Onlineабо комбінацію клавіш CTRL+M для отримання додаткових відомостей про результати пошуку в Інтернеті.
    - Якщо у вас є збережений журнал попередніх сесій - порівняйте поточні дані зі збереженими (меню File-Compare).
    - Надішліть файл на онлайн перевірку VirusTotal.com. Якщо файл є шкідливим, з великою ймовірністю, служба VirusTotal цей факт підтвердить.
    - Для детального аналізу активності підозрілого процесу використовуйте споріднену утиліту від Sysinternals. Ви можете скористатися прямим викликом утиліти через пункт контекстного меню для вибраного елемента автозапуску.

    На сьогоднішній день, Autoruns, підтримувана розробниками багато років, є однією з найефективніших програм контролю автозапуску. Однак все більш популярними стають програми моніторингу автозапуску в реальному масштабі часу. Такі програми запускаються автоматично та ведуть постійне спостереження за станом елементів автозапуску, вживаючи заходів при спробі будь-якого програмного забезпечення ”прописатись” для автоматичного старту. Зрозуміло, що головними недоліками подібних програм є підвищене споживання ресурсів системи та неможливість повного контролю всіх елементів автозапуску. Прикладом програм моніторингу можуть бути безкоштовні Anvir Task Manager, що відрізняється підвищеним споживанням ресурсів, і, менш ненажерливий, але значно поступається за можливостями PT Startup Monitor .

    Інструкція

    Вставте диск у привід і зачекайте, поки на ньому завантажиться інформація. Якщо з'явиться вікно автозапуску програми, виберіть потрібну дію. Якщо при запуску диска у вас не з'явилося вікно, значить, був блокований з різних причин. У цьому випадку запустіть його вручну.

    Відкрийте «Мій комп'ютер» і виберіть привід з потрібним диском і клацніть по ньому двічі лівою кнопкою миші. Якщо і цього разу не відбулося жодних змін, натисніть на ньому правою кнопкою миші та виберіть у контекстному меню пункт «Відкрити». З'явиться вікно огляду диска – знайдіть серед файлів та папок autorun.exe і клацніть по ньому двічі лівою кнопкою миші.

    Якщо вам потрібно встановити будь-яку програму, яка знаходиться на жорсткому або знімному диску, відкрийте директорію і знайдіть в ній autorun.exe і запустіть його, після чого з'явиться головне меню установки. Зверніть увагу, що в деяких випадках запуск авторана може не статися через обмежений обліковий запис на комп'ютері.

    Якщо ви зайшли до операційної системи під обліком з обмеженими правами, клацніть по авторану правою кнопкою миші та виберіть пункт контекстного меню «Відкрити від імені адміністратора». У вас з'явиться вікно, де потрібно буде ввести пароль, якщо такий був встановлений при початковому налаштуванні параметрів операційної системи.

    Зайдіть в операційну систему під обліковим записом адміністратора, відкрийте директорію, яка містить авторан, запустіть його. Іноді проблеми при відкритті авторана можуть бути пов'язані з тим, що носій чи привод погано справляється із читанням дисків. Спробуйте скопіювати його з диска на комп'ютер разом з іншим вмістом або завантажити інший дистрибутив програми або гри.

    Корисна порада

    Вимкніть автозавантаження у вашому комп'ютері, це допоможе уникнути появи вірусів зі знімних носіїв.

    Якщо вам потрібно створити файл автозавантаження для диска або будь-яких інших цілей, необов'язково вдаватися до спеціалізованих програм. Найпростіший файл автозапуску можна зробити в текстовому редакторі без додаткових знань. Файл автозапуску (Autorun.inf) – використовується Windows для автоматичного запуску будь-якої програми.

    Вам знадобиться

    • Будь-який текстовий редактор.

    Інструкція

    Після того, як ви завантажили потрібну версію Windows, відформатуйте свій флеш . Після цього завантажте програму UNetbootin. Вона допоможе записати Windows. Після завантаження встановіть програму на комп'ютер. Запустіть її. Знайдіть рядок «Образ диска» та виберіть ISO. Навпроти рядка "Образ файлу" знаходиться кнопка огляду файлів. Натисніть цю кнопку та вкажіть шлях до образу Windows.

    Знайдіть у вікні програми рядок «Тип» та вкажіть значення «Пристрій USB». Напроти рядка «Носій» виберіть флеш накопичувач, на який буде інстальовано Windows, після чого натисніть ОК. Почнеться процес запису операційної системи на вказаний вами флеш-накопичувач. Після завершення процесу Windows буде встановлено на флешку.

    Тепер увійдіть до BIOS і увімкніть можливість завантаження з USB-drive. Також виберіть як перший джерело запуску системи флеш накопичувач. Збережіть у BIOS налаштування та вийдіть із системи. Комп'ютер перезавантажиться, і розпочнеться процес запуску операційної системи з флешки.

    У багатьох користувачів після тривалої роботи з операційною системою та після встановлення/видалення різноманітних додатків часто виникають питання щодо автозавантаження додатків. Разом з операційною системою можуть завантажуватися непотрібні для вас програми або навпаки, програма, яка повинна запускатися автоматично, не спостерігається в області повідомлень після завантаження системи, а також продуктивність системи і час запуску може значно погіршитися. Щоб уникнути цих проблем, я пропоную розібратися з процесами, які виконуються при завантаженні операційної системи та з автозавантаженням встановлених програм.

    Завантаження операційної системи

    Важливо відзначити, що завантаження Windows починається не з того моменту, як ви підійшли до персонального комп'ютера і включили або перезавантажили його, процес завантаження операційної системи насправді починається безпосередньо з її установки. Під час виконання процесу встановлення жорсткий диск готується для своєї участі в процесі завантаження системи. У цей час створюються компоненти, які беруть участь у завантаженні базової системи вводу/виводу (BIOS). До цих компонентів можна віднести:

    • Winload.exe – завантажує процес Ntoskrnl.exe та залежні від нього бібліотеки, а також завантажує драйвера встановленого обладнання;
    • Winresume.exe – дозволяє відновлювати систему після тривалої бездіяльності (гібернації) та відповідає за файл глибокого сну (Hiberfil.exe);
    • Ntoskrnl.exe - ініціалізує виконавчі підсистеми завантаження та запуск системних драйверів для пристроїв, а також готує систему для роботи зі штатними програмами та завантажує процес smss.exe;
    • Hal.dll є невід'ємною частиною коду, що виконується в режимі ядра, яка запускається завантажувальним модулем Winload.exe, що завантажується спільно з ядром;
    • Smss.exe (Session Manager Subsystem Service) - підсистема керування сесіями у Windows. Цей компонент не входить у ядро ​​Windows, але його робота є виключно важливою для системи;
    • Wininit.exe - завантажує Service control manager (SCM), Local Security Authority process (LSASS), та local session manager (LSM). Цей компонент також ініціалізує системний реєстр та виконує певні завдання у режимі ініціалізації;
    • Winlogon.exe - керує безпечним входом користувача та запускає LogonUI.exe;
    • Logonui.exe – відображає діалог входу користувача в систему;
    • Services.exe - завантажує та ініціалізує системні служби та драйвери, встановлені за умовчанням.

    Важливо розуміти, що драйвери пристроїв є найважливішою частиною завантаження. Якщо вказати розділ операційної системи, програма встановлення записує завантажувальний сектор. Завантажувальний сектор Windows дає інформацію про структуру та формат розділу файлу Bootngr. Bootmgr виконує свою роботу у той час, коли операційна система починає свій життєвий цикл у режимі реального часу. Потім Bootmgr вичитує файл BCD із папки \Boot, розташованої у системному розділі. Якщо в BCD файлі вказані налаштування про вихід з режиму глибокого сну, то Bootmgr запускає процес Winresume.exe, який читатиме вміст файлу для відновлення системи зі сплячого режиму.

    Якщо в записі BCD існує дві або більше системи, Bootmgr відображає користувачеві завантажувальне меню для вибору операційної системи. Після вибору системи або, якщо у вас встановлена ​​лише одна операційна система, завантажується процес Winload.exe. Цей процес завантажує файли, розташовані в розділі завантаження і стартує ініціалізацію ядра. Winload.exe виконує такі дії:

    Потім починається ініціалізація ядра та виконавчих підсистем. Після того, як Windows викликає Ntoskrnl, він передає дані параметрів блоку завантажувачів, які містять системні шляхи завантажувального розділу згенерованого Winload для опису фізичної пам'яті в системі. По завершенню двох етапів (Session 0 та Session 1) ініціалізації ядра стартують процеси Smss.exe, Csrss.exe та Wininit. Smss викликає виконавчий менеджер конфігурації підсистеми закінчення ініціалізації системного реєстру.

    Після цього запускається процес запуску оболонки системи Winlogon, параметри якого вказані в розділі реєстру HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\Userinit. Winlogon повідомляє систему про зареєстрованих постачальників мережних послуг, які пройшли ідентифікацію постачальників мереж Microsoft (Mpr.dll).

    Останнім етапом завантаження системи є процес автоматичного запуску додатків під час завантаження та входу в операційну систему.

    Управління автозапуском

    Більшість програм, які автоматично запускаються з операційною системою, можна побачити в області повідомлень. Про методи налаштування області повідомлень я розповідав у статті, тому в рамках цієї статті налаштування області повідомлень не розглядатиметься. Для керування програмами автозапуску, користувачі операційних систем Windows зазвичай використовують утиліту «Конфігурація системи».

    Утиліта «Конфігурація системи»

    Програма «Конфігурація системи»- це утиліта операційної системи Windows, призначена для керування програмами, що автоматично запускаються, і завантаженням системи, а також визначення проблем, які можуть перешкодити запуску операційної системи в звичайному режимі. За допомогою цієї утиліти ви можете змінювати параметри завантаження, відключати служби та програми, що автоматично запускаються. Ця утиліта вперше з'явилася в операційній системі Windows 98, надаючи зручний інтерфейс для виконання своїх завдань. Утиліта викликається файлом MSConfig.exe, який розташований у папці System32 розділу із встановленою операційною системою. Величезним недоліком цієї утиліти є можливість додавання нового елемента в автозапуск. Для того щоб відкрити цю утиліту виконайте будь-яку з наступних дій:

    На наступному скріншоті відображено утиліту «Конфігурація системи»:

    У поточній утиліті є п'ять вкладок:

    • Загальні. На цій вкладці можна вибрати варіант завантаження: «Звичайний запуск»- Операційна система запускається звичайним способом, «Діагностичний запуск»- система завантажується лише з використанням основних служб та драйверів, а також «Вибірковий запуск»- крім основних служб і драйверів, з операційною системою ще завантажуються вибрані служби та програми, що автоматично завантажуються.
      • . На цій вкладці можна знайти параметри завантаження операційної системи, а також додаткові параметри налагодження, такі як "Без GUI"- при завантаженні не відображається екран привітання, «Інформація про ОС»- в процесі завантаження операційної системи відображаються драйвера, що завантажуються, та інше.
    • Служби. Ця вкладка містить список лише служб, які запускаються автоматично разом з операційною системою, а також поточний стан кожної служби. У зв'язку з тим, що встановлене програмне забезпечення може встановлювати свої служби, у вас без базових знань системних служб можуть виникнути проблеми з пошуком служб, не встановлених з операційною системою за промовчанням. Встановивши прапорець «Не відображати служби Майкрософт», у списку служб відображатимуться лише програми сторонніх розробників. Щоб відключити службу, достатньо зняти з неї прапорець.
      • . Вкладка відповідає за завантаження програм, а також певних службових утиліт, що завантажуються не через служби. Як видно на попередньому скріншоті, ця вкладка розбита на п'ять колонок. Ці колонки були створені для того, щоб ви могли знати назву програми, що завантажується автоматично, видавця даної програми, шлях, що вказує, звідки завантажується та чи інша програма, розташування розділу реєстру або ярлика програми, а також дату, коли програму було вимкнено з автозавантаження. Для того, щоб певний елемент автозавантаження не запускався під час наступного завантаження, зніміть відповідний прапорець
    • Сервіс. На цій вкладці ви можете знайти список діагностичних засобів, які дають змогу стежити за працездатністю вашої системи. Для запуску будь-якого засобу, відображеного в цій вкладці, виділіть його та натисніть кнопку "Запуск".

    Досвідченіші користувачі, можливо, захочуть не тільки відключати непотрібні програми автозапуску, але й додавати власні програми для автоматичного запуску разом з операційною системою. Для цього потрібно буде скористатися засобами реєстру.

    Управління автозапуском засобами системного реєстру

    У системному реєстрі можна знайти параметри автозапуску програм для облікового запису комп'ютера та облікового запису поточного користувача. Програми, які запускаються з обліковим записом комп'ютера, не залежать від того, під яким записом користувач виконав вхід до системи. Ці параметри можна знайти в розділі HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Програми, які запускаються з обліковим записом користувача, можуть відрізнятися для кожного облікового запису. Ці параметри можна знайти в розділі HKCU\Software\Microsoft\Windows\CurrentVersion\Run.

    Для того, щоб додати новий додаток (програму «Редактор реєстру») в автозапуск операційної системи Windows для всіх існуючих користувачів, виконайте такі дії:


    Але для більш досвідчених користувачів операційних систем Windows, роботи утиліти «Конфігурація системи»і двох розділів реєстру може бути недостатньо, оскільки невідомо що завантажувалося разом із системою крім програм автозапуску та системних служб. Щоб дізнатися про всі процеси, які були запущені разом з вашою системою, вам допоможе утиліта Autoruns від Sysinternals.

    Робота з утилітою Autoruns

    Програма Autoruns від Марка Руссиновича та Брайса Когсуелла допомагає перевіряти максимальну кількість розміщень автозапуску на наявність програм, налаштованих на запуск у процесі завантаження чи входу до системи, на відміну від будь-яких інших програм моніторингу автозапуску. Наразі доступна версія 8.61 і її можна завантажити за наступним посиланням. Ця програма абсолютно безкоштовна і до однієї з її переваг можна віднести те, що всі програми відображаються в порядку, в якому операційна система обробляє їх. Насправді такі програми можуть розташовуватися не тільки в розділах Run, а також в RunOnce, ShellExecuteHooks, ContextMenuHandlers та в інших розділах системного реєстру. З цією програмою можна працювати як під 32-розрядними, так і під 64-розрядними операційними системами Windows.

    Перед запуском цієї утиліти вперше з'явиться діалогове вікно з ліцензійною угодою. Прочитайте його та натисніть на кнопку «Agree».

    Після завантаження поточної програми ви побачите програми, налаштовані для автоматичного запуску, де ви можете знайти назви програм і розділи системного реєстру, в яких зберігаються відомості про їх запуск, короткий опис програми, видавця, а також шлях до файлу, що запускається, або бібліотеці.

    Елементи, які відображає програма Autoruns, належать до кількох категорій, які можна переглянути на 18 вкладках програми. У цій статті ми не розглядатимемо кожну вкладку, але варто зазначити, що до категорій програми можна віднести: об'єкти, що автоматично запускаються при вході в систему, додаткові компоненти провідника, додаткові компоненти Internet Explorer, завдання планувальника, бібліотеки DLL ініціалізації додатків, об'єкти, що виконуються на ранніх стадіях завантаження, служби Windows та багато іншого.

    На кожній вкладці ви можете:

    • запустити будь-який вибраний додаток, двічі клацнувши на назві програми;
    • відкрити розділ реєстру, в якому розміщені параметри автозапуску додатків, двічі клацнувши мишкою на рядку з розділом реєстру або вибравши команду "Jump to"із контекстного меню;
    • відкрити діалог властивостей вибраного об'єкта (для цього в контекстному меню виберіть команду "Properties");
    • відкрити Process Explorer із вкладкою "Image"для вибраного об'єкта, а також знайти інформацію про об'єкт, що вас цікавить;
    • вимкнути об'єкт, який запускається автоматично, знявши відповідний прапорець;
    • видалити об'єкт за допомогою команди контекстного меню або кнопки «Delete»;
    • переглянути елементи, що автоматично запускаються для облікових записів інших користувачів, вибравши потрібний пункт меню "User".

    За замовчуванням у програмі Autoruns відображаються всі програми та бібліотеки, які запускаються автоматично з операційною системою. Для того, щоб відображалися лише ті програми, які прописані в розділах реєстру \Software\Microsoft\Windows\CurrentVersion\Run, перейдіть на вкладку "Login".

    Крім програм, які запускаються автоматично з операційною системою, можна переглянути всі завдання, призначені планувальником при завантаженні або вході в систему. Для цього перейдіть на вкладку «Scheduled tasks». На цій вкладці при виборі команди контекстного меню "Jump to"або подвійному клацанню миші на певному об'єкті відкриється оснащення "Планувальник завдань"із зазначеним завданням.

    Ви можете зберегти об'єкти автозапуску, натиснувши кнопку "Save"на панелі інструментів або вибравши цю команду в меню "File". Звіт буде збережено з розширенням *.arn або *.txt. Для того, щоб завантажити збережені раніше дані програми Autoruns, скористайтесь командою "Open"меню "File".

    Використання утиліти Autoruns для керування об'єктами автозапуску засобами командного рядка

    Якщо ви надаєте перевагу роботі з консоллю, ви також можете скористатися командами утиліти Autoruns. З її допомогою ви можете виконувати ті ж дії, що і з утилітою Autoruns, тільки за допомогою командного рядка, виводячи інформацію у вікно консолі або перенаправляючи виведення команди текстовий файл. У зв'язку з тим, що ця утиліта відкривається лише засобами командного рядка, для роботи з Autoruns, виконайте такі дії:

    1. Відкрийте командний рядок від імені адміністратора;
    2. Перейдіть до папки із завантаженою утилітою Autoruns, наприклад «C:Program FilesSysinternals Suite»;
    3. Запустіть утиліту з потрібним параметром.

    Доступні такі параметри:

    A – відображення всіх елементів автозапуску;

    B – відображення інформації про об'єкти, які завантажуються на ранніх стадіях завантаження системи;

    C - експорт даних, що відображаються в CSV-файл;

    D – відображення бібліотек DLL ініціалізації додатків;

    E – відображення розширень провідника Windows;

    G – відображення гаджетів бічної панелі Windows та робочого столу;

    H - відображення Hijacks елементів;

    I – відображення додаткових елементів браузера Internet Explorer;

    K – відображення відомих бібліотек DLL;

    L - відображення елементів, що запускаються автоматично під час входу в систему;

    M – не відображати об'єкти з цифровим підписом Microsoft;

    N – відображення постачальників протоколу Winsock;

    O – відображення елементів кодеків;

    P – відображення драйверів монітора друку;

    R – відображення постачальників безпеки LSA;

    S - відображення служб у режимі автоматичного запуску та не відключених драйверів;

    T – відображення елементів планувальника завдань;

    V – перевірка цифрових підписів;

    W – відображення елементів Winlogon;

    X - експорт даних, що відображаються в XML-файл;

    User - відображення об'єктів, що автоматично запускаються для зазначеного облікового запису користувача.

    Наприклад, якщо вам потрібно переглянути лише елементи, які автоматично запускаються при вході в систему, використовуйте утиліту з параметром -l, як показано нижче:

    Висновок

    У цій статті розповідається про налаштування елементів автоматично запущених програм при завантаженні та вході до операційної системи Windows. Коротко описано процес завантаження операційної системи Windows 7, а також розглянуто методи роботи та моніторингу автозапуску засобами системної утиліти. «Конфігурація системи», зміна елементів автозапуску за допомогою системного реєстру, принципи роботи з програмами Autoruns та консольною версією Autoruns від Sysinternals. За допомогою поміщеної в статті інформації ви зможете грамотно налаштувати автозавантаження додатків своєї операційної системи.

    З тих програм, до яких швидко звикаєш, вони настільки корисні. Утиліта не тільки допомагає керувати програмами в автозавантаженні, але й дозволяє вирішити цілу низку проблем, типових для комп'ютерів під керуванням Windows.

    Секрет успіху Autoruns дуже простий: цей засіб поєднує функціональність Диспетчера завдань (Task Manager) та утиліти "Служби" (Services) з деякими додатковими можливостями в одному зручному додатку.

    На жаль, багато користувачів про Autoruns не знають або просто не вміють користуватися цією утилітою. Для тих, хто познайомився з Autoruns вперше – чи просто хоче освіжити в пам'яті вже відому інформацію – пропоную п'ять корисних порад щодо використання цього інструменту.

    1. Не покладайтеся виключно на Autoruns у справі захисту від мережевих загроз

    Так, Autoruns дозволяє запобігти автоматичному запуску шкідливих, шпигунських програм та деяких вірусів, але це не означає, що утиліта може забезпечити всебічний захист системи від кіберзагроз. Насправді, Autoruns взагалі не слід розглядати як засіб забезпечення безпеки. Програма може тимчасово допомогти у захисті від вірусів та шкідливого ПЗ, але не здатна запобігти їх проникненню в систему. Єдиний по-справжньому розумний спосіб застосування Autoruns для боротьби з вірусами - тимчасове відключення підозрілих додатків для подальшого їх видалення.

    2. Використовуйте Autoruns для керування програмами автозавантаження

    Немає сенсу додавати та видаляти програми з папки «Автозавантаження» (Startup) вручну, якщо є Autoruns. Утиліта справляється з цим завданням набагато ефективніше. За допомогою Autoruns можна переглянути список усіх запущених програм і включити чи вимкнути непотрібні. При цьому відключені програми зі списку не видаляються, тому їх дуже легко знову включити. Це позбавляє необхідності шукати виконуваний файл програми і створювати ярлик у папці «Автозавантаження». До того ж, Autoruns дозволяє керувати програмами, які у звичайному режимі приховані від користувача.

    3. Використовуйте Autoruns для керування додатками Internet Explorer

    Деякі додатки Internet Explorer можуть порушити нормальну роботу системи, і мені неодноразово доводилося стикатися з такими ситуаціями. Найпростіший спосіб відключити несправну панель інструментів або плагін – через Autoruns. Це особливо зручно, якщо додаток перешкоджає запуску IE. Просто відкрийте Autoruns, перейдіть на вкладку Internet Explorer і відключіть підозрілий плагін. Якщо невідомо, яке саме доповнення є джерелом неполадок, відключіть їх усі, крім одного, і спробуйте запустити . Якщо браузер не запуститься, значить саме це доповнення і винне. Вимкніть його, увімкніть усі інші та перезапустіть IE, а несправний плагін видаліть або спробуйте перевстановити.

    4. Шукайте довідкову інформацію в Інтернеті

    У Autoruns є чудова вбудована функція пошуку, що дозволяє виділити об'єкт та пошукати пов'язану з ним інформацію в Інтернеті. Це особливо актуально, якщо жодних відомостей про процес не вказано (хіба що розділ у реєстрі, та й усе). Перш ніж робити будь-які дії, натисніть правою кнопкою миші на об'єкті та виберіть опцію «Search Online» (Шукати в Інтернеті). Autoruns перенаправить вас у браузер зі списком результатів пошуку за точним ім'ям об'єкта. Це допоможе вам зрозуміти, яку саме функцію виконує цей процес. Наприклад, на вкладці Everything (Всі) є об'єкт pku2u.dll. Якщо виділити його та скористатися пошуком в Інтернеті, можна дізнатися, що ця бібліотека DLL є невід'ємним компонентом , а значить видаляти або вимкнути її не слід.

    5. Зберігайте налаштування

    Я дуже часто користуюсь функцією збереження, завантаження та експорту налаштувань Autoruns.
    Це дозволяє використовувати різні конфігурації автозавантаження на одному комп'ютері. Щоб скористатися цією можливістю, налаштуйте Autoruns для виконання певного завдання та збережіть конфігурацію через меню «File | Save» (Файл | Зберегти). Налаштування будуть збережені у файлі з розширенням ".arn". Для завантаження певної конфігурації скористайтеся меню «File | Open» (Файл | Відкрити) та виберіть потрібний файл налаштувань. Обов'язково майте в запасі хоч один файл із перевіреною робочою конфігурацією Autoruns. Він стане в нагоді не тільки для відновлення налаштувань у разі будь-якого збою, але й для порівняння з поточною конфігурацією, яке можна виконати за допомогою опції «File | Compare» (Файл | Порівняти). Виберіть файл для порівняння та натисніть «Відкрити» (Open). Всі нові об'єкти, які відсутні у вихідній конфігурації, будуть виділені зеленим кольором. Це дуже зручно, оскільки дозволяє швидко видалити непотрібні об'єкти, яких немає у перевіреній конфігурації.

    Паличка-виручалочка

    Утиліта Sysinternals Autoruns повинна бути в арсеналі кожного поважного адміністратора. Вона не тільки допомагає боротися зі шкідливими програмами та вірусами, але також дозволяє здійснювати тонке налаштування програм в автозавантаженні Windows. При правильному використанні Autoruns допомагає підтримувати нормальну безперебійну роботу системи.

    Читати ще: