Время на прочтение
7 мин
Количество просмотров 22K
Если вы будете четко понимать, как использовать AutoRuns, вы всегда сможете определить, заражен ли ваш компьютер нежелательным ПО.
Примечание: в этой статье рассказано, как можно обнаружить вредоносные программы на домашнем ноутбуке или ПК. Для выявления и удаления вредоносных программ в организации необходимо следовать корпоративному плану реагирования на инциденты.
Что такое AutoRuns?
AutoRuns — это инструмент Microsoft, который выявляет ПО, настроенное на запуск при загрузке устройства или входе пользователя в свою учетную запись. При включении компьютера часто запускается надежное программное обеспечение. Ярким примером является Outlook, поскольку проверка электронной почты нередко являются первым действием после входа в аккаунт.
Если устройство было взломано, то приникшее на него вредоносное ПО должно «выдержать» перезагрузку. После выключения компьютера вредоносной программе требуется определенный механизм для продолжения работы на устройстве. Для этого могут использоваться встроенные функции Windows, позволяющие запускать программы при загрузке.
AutoRuns: основы
На изображении ниже мы видим, что AutoRuns имеет ряд вкладок, в каждой из которых содержатся данные о механизме автозапуска.
Во вкладке Logon (вход в систему) представлена информация о стандартных местах загрузки для всех пользователей устройства. В частности, здесь указаны места запуска программ, а также соответствующие ключи запуска. Ключ запуска является частью реестра устройства: вредоносное ПО часто создает такой ключ, чтобы при загрузке устройства вредоносная программа запускалась автоматически.
Во вкладке Explorer (проводник) отображается информация о следующих элементах:
-
Shell extensions (расширения оболочки) — это отдельные плагины для Проводника Windows (например, для предварительного просмотра файлов PDF).
-
Browser Helper Objects (объекты помощника браузера) — модули DLL, выполняющие роль плагинов для Internet Explorer.
-
Explorer Toolbars (панели инструментов проводника) — это сторонние плагины для Internet Explorer; через панель инструментов осуществляется доступ к сторонней платформе.
-
Active Setup Executions (выполнение задач через Active Setup) — механизм для однократного выполнения команд для каждого пользователя во время входа в систему.
Во вкладке Internet Explorer отображаются вспомогательные объекты браузера, панели инструментов Internet Explorer и расширения.
Во вкладке Scheduled Tasks (запланированные задачи) показываются задачи, которые настроены на запуск при загрузке или входе в систему (это часто используется различными семействами вредоносных программ).
Во вкладке Services (службы) отображаются все службы Windows, автоматический запуск которых запланирован при загрузке устройства.
Драйверы позволяют оборудованию взаимодействовать с операционной системой устройства. Во вкладке Drivers в AutoRuns отображаются все зарегистрированные на устройстве драйверы, кроме отключенных.
Image Hijacks (подмена образов) представляет собой довольно коварный метод, заключающийся в том, что ключ для запуска определенного процесса в реестре Windows на самом деле запускает другой, вредоносный, процесс.
В AppInit DLL показаны библиотеки DLL, зарегистрированные как DLL инициализации приложений.
Во вкладке Boot Execute (выполнение при загрузке) отображаются места запуска, связанные с подсистемой диспетчера сеансов (smss.exe).
Известные библиотеки DLL (Known DLL) в Windows — kernel32.dll, ntdll.dll — позволяют программному обеспечению импортировать определенные функции. Некоторые вирусы устанавливают созданные разработчиком вируса вредоносные библиотеки DLL, причем в места, где вы вряд ли будете искать легитимные библиотеки DLL Windows, например во временных папках.
Winlogon используется, когда пользователь входит в систему Windows. В этой вкладке отображаются библиотеки DLL, регистрирующие уведомления о событиях Winlogon.
Во вкладке Winsock Providers (провайдеры Winsock) показываются зарегистрированные протоколы Winsock. Winsock, или Windows Sockets, позволяет программам подключаться к Интернету. Вредоносное ПО может установить себя как провайдера Winsock, чтобы его было сложно удалить. AutoRuns может отключить провайдера, но не удалить его.
Во вкладке Print Monitors показываются библиотеки DLL, загружающиеся в службу буферизации печати. Вредоносное ПО может установить сюда вредоносную DLL.
Провайдеры Windows Local Security (LSA Providers) поддерживают процессы, связанные с безопасностью и аутентификацией.
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание.
Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
-
Google — ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
-
Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
-
Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
-
Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.
Как использовать AutoRuns для удаления вредоносных программ
Во-первых, убедитесь, что вирус запущен на вашем устройстве. Для этого можно открыть диспетчер задач, однако мы рекомендуем использовать Process Hacker — один из инструментов для анализа вредоносных программ. После загрузки нажмите правой кнопкой мыши на значок на рабочем столе и выберите «Запуск от имени администратора».
После запуска Process Hacker можно найти вредоносное ПО, запущенное на устройстве.
Нажав на название вредоносной программы правой кнопкой мыши, мы можем найти файл на диске, выбрав Open file location (открыть расположение файла).
После этого в проводнике Windows будет открыта папка с данным файлом.
Перетащив файл в такой инструмент, как PeStudio, мы можем получить хеш файла.
Bf48a5558c8d2b44a37e66390494d08e
Переход на virustotal и определение хеша покажет, что это RAT (троян удаленного доступа), известный под именем Nanocore.
Чтобы остановить выполнение вредоносной программы, нажмите правой кнопкой мыши на соответствующее имя процесса и выберите «Завершить».
После этого AutoRuns позволяет удалить механизмы персистенции, используемые для запуска вредоносного ПО.
Теперь вирус можно удалить из проводника Windows.
Советы по использованию AutoRuns от Sysinternals
Мы не рекомендуем использовать AutoRuns в качестве единственной формы обнаружения и удаления вредоносного программного обеспечения. Если вы выявили и удалили вредоносную программу с помощью описанных методов, стоит принять во внимание следующее:
Имеются ли у вас резервные копии файлов и данных? Если ваше устройство взломали, высока вероятность того, что на нем могут находиться другие вредоносные программы. Наличие резервных копий гарантирует возможность восстановления данных устройства, что дает уверенность в полном устранении последствий вторжения.
Какое антивирусное ПО у вас установлено? Если у вас установлен антивирус, но ваше устройство по-прежнему инфицировано, значит, ваши механизмы безопасности не сработали и, возможно, пришло время инвестировать в более надежную систему защиты данных.
Используйте функцию сравнения AutoRuns, чтобы упростить проверку на наличие нежелательного программного обеспечения, которое продолжает действовать на вашем устройстве. Для этого нужно запустить AutoRuns на неинфицированном устройстве, выбрать File (файл) и Save (сохранить).
Результаты будут сохранены в виде файла файл AutoRuns Data с расширением .arn’AutoRuns. В примере ниже я сохранил результаты как файл с именем clean.
Теперь вы можете сравнить эти результатами с результатами будущих проверок с помощью AutoRuns. Для этого выберите File (файл), а затем Compare (сравнить).
В примере ниже мы выбираем результаты, сохраненные в файле clean.
После этого AutoRuns будет показывать только новое ПО с механизмом персистенции. Это позволяет исключить легитимные программы, установленные на неинфицированном устройстве.
Чаще всего AutoRuns используется для выявления вредоносных программ, однако в этой статье мы продемонстрировали, как этот инструмент может обнаруживать разные способы, с помощью которых вредоносное ПО пытается продолжить работу на вашем устройстве.
Еще одной привлекательной характеристикой AutoRuns является цена! Есть множество бесплатных инструментов, которые могут помочь вам выполнить не только проверку на наличие вредоносных программ, но и ряд задач системного администрирования, поэтому обязательно прочитайте эту статью, где рассказывается о 21 бесплатном инструменте, которые должен знать каждый системный администратор.
Если угроза того, что вредоносное ПО остается незамеченным в вашей организации, является для вас актуальной, посмотрите, как мы останавливаем кибератаки, а также демонстрацию наших методов реагирования на угрозы.
Ни для кого не является особым секретом, что большинство процессов в Windows, которая обладает большими возможностями в плане расширения функционала, работают независимо от пользователя. Это системные процессы и различные вспомогательные некритичные службы, например, Windows Audio, благодаря которой на компьютере может воспроизводиться звук. Существует также множество сторонних программ и расширений, которые могут запускаться автоматически вместе с операционной системой и которые с этой точки зрения могут быть как полезными, так и не очень.
Просмотреть их список можно на вкладке «Автозагрузка» Диспетчере задач, но то, что вы там найдёте — это всего лишь малая часть всех процессов, относящихся к категории автозапуска. Чтобы просмотреть их в максимальном объёме, вам понадобится Autoruns — узкоспециализированная утилита, созданная разработчиками Sysinternals и впоследствии приобретённая Microsoft. Предназначается Autoruns для просмотра и управления точками автозапуска, так называемыми ASEP, которых в современных версиях Windows может насчитываться несколько сотен.
Говоря более простым языком, это места, из которых может запускаться тот или иной процесс и к которым относятся разные ключи реестра, папка автозапуска и встроенный планировщик заданий. Используя возможности Autoruns, вы можете включать и отключать ASEP, а также получать основной набор сведений о тех процессах, из которых они стартуют. А ещё с помощью Autoruns можно создать нечто вроде эталонной карты точек автозапуска, сравнивая которую с последующими «снимками», выявлять новые элементы автозагрузки после установки стороннего программного обеспечения или обновления системы.
Интерфейс утилиты представлен классическим и графическим меню, набором вкладок для сортировки ASEP и собственно самим списком ASEP. В нижней части рабочего окна программы расположена область сведений о «привязанных» к точкам автозапуска процессах. Каждая строка в списке содержит статус, значок и имя записи автозапуска, краткое описание, название издателя, полный путь к исполняемому файлу процесса. Для более удобной идентификации точек запуска используется цветовая гамма. Так, жёлтый цвет указывает на наличие самого элемента автозапуска, но отсутствие сопоставленной ему программы; розовым цветом помечаются записи, не имеющие описания и/или имени поставщика; голубым выделяются категории точек автозапуска, чисто для удобства.
По умолчанию все элементы автозагрузки выводятся на вкладке Everything, то есть все, однако в программе реализована возможность их сортировки по типу. Для этого в Autoruns и существуют вкладки. Вкратце рассмотрим их назначение.
• Logon. Содержит элементы автозагрузки текущего пользователя.
• Explorer. Включает элементы расширения оболочки, те же пункты контекстного меню Проводника.
• Internet Explorer. Элементы, стартующие вместе со старым браузером Internet Explorer — расширения и панели.
• Scheduled Tasks. Задачи встроенного планировщика заданий.
• Services. Эта вкладка содержит запускающиеся вместе с системой службы, в том числе службы Microsoft.
• Drivers. Запускаемые при старте Windows драйвера.
• Codecs. Запускаемые при старте Windows кодеки.
• Boot Execute. Вкладка содержит приложения, которые запускаются при загрузке Windows и выполняют какое-то задание, например, сканирование антивирусом на раннем этапе загрузки или проверка системного раздела утилитой chkdsk.
• Image Hijacks. Так называемые краденные образа, точки автозапуска, из которых стартует не та программа, которую указал пользователь.
• AppInit. Вкладка показывает элементы, которые загружают указанные в разделе реестра Appinit_Dlls библиотеки в процессы, использующие системный файл user32.dll. В современных ОС Windows неактуальна.
• Known DLLs. Известные библиотеки. После чистой установки Windows рекомендуется создать снимок содержимого этой вкладки, чтобы иметь возможность проверить, не удалили ли вредоносные программы существующие элементы и не заменили ли их поддельными DLL.
• Winlogon. Вкладка отображает библиотеки событий при загрузке Windows.
• Winsock Providers. Автозагружаемые элементы, необходимые для подключения к интернету. По умолчанию скрыты.
• Print Monitors. Элементы автозапуска, необходимые для работы принтера. Системные мониторы печати по умолчанию скрыты.
• LSA Providers. Элементы, связанные с безопасностью сети. Представлены DLL, используемыми процессом Lsass.exe или Winlogon.exe. Скрыты по умолчанию.
• Network Providers. Автозагружаемые элементы, работающие с настройками сети. Скрыты.
• WMI. Элементы из базы данных WMI — инструментария управления Windows.
• Office. Эта последняя вкладка содержит ASEP модулей офисного пакета Microsoft Office, если оный установлен на компьютере.
Теперь, когда вы приблизительно знаете назначение ASEP разных категорий, можно переходить к практике, но ещё нужно сказать пару слов о том, что можно и что нельзя трогать в Autoruns. Показ всех системных ASEP в программе отключён в меню Options → Hide Windows Entries, и мы бы не рекомендовали его включать без крайней нужды. Среди системных точек автозапуска имеется немало важных элементов, отключение или удаление которых способно привести к некорректной работе операционный системы или даже невозможности её загрузки. Для начала разумно было бы отключить и показ элементов Microsoft.
Безопасными в Autoruns с отключёнными элементами Hide Windows Entries и Hide Microsoft Entries являются вкладки Logon, Explorer, Internet Explorer Scheduled Tasks и Services, содержимое которых может быть отключено полностью и без опасений, что система завалится. Но и здесь нужно проявлять рассудительность, например, вкладка Services содержит точки автозапуска служб сторонних антивирусов, брандмауэров, эмуляторов, VPN-клиентов и других программ, работающих в фоне.
При работе с Autoruns лучше всего придерживаться следующего правила: отключать можно только те элементы автозагрузки, назначение которых вам хорошо известно. Не рекомендуется без предварительного анализа удалять или отключать элементы, помеченные жёлтым или розовым цветом. Отсутствие описания и имени поставщика само по себе ещё ни о чём не говорит, равно как и их наличие, ибо любой разработчик стороннего ПО может прописать в эти поля любые текстовые данные, подлинным элемент можно считать лишь тогда, когда рядом с названием поставщика будет указано (Verified).
Сама по себе процедура управления автозагрузкой в Autoruns очень проста. Чтобы отключить ASEP, нужно снять расположенный напротив неё флажок, если же вы хотите удалить точку автозагрузки, нужно ее выделить и нажать Ctrl + D либо выбрать в контекстном меню соответствующую опцию.
В некоторых случаях изменения вступают в силу немедленно, в других потребуется перезагрузка компьютера. Например, мы хотим отключить расширение Проводника, добавляющее в окно просмотра свойств исполняемых файлов вкладку Icon для просмотра и извлечения иконок, не удаляя само расширение. Как нетрудно догадаться, эта ASEP находится на вкладке Explorer. Снимаем флажок, открываем свойства любого exe-файла и видим, что вкладка Icon исчезла.
Подобным образом мы могли бы подчистить контекстное меню Проводника, правда, для этого нам бы пришлось запустить Autoruns с правами администратора и включить показ точек автозапуска Windows. Допустим, мы не пользуемся опциями «Копировать в папку…» и «Переместить в папку…». За отображение этих опций в меню отвечают ASEP «Copy To» и «Move To» в ключе HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers. Снимаем с них галки и видим, что опции исчезли из меню.
Если вы уверены в бесполезности элемента, можете его удалить, но помните, что эта операция является необратимой, по крайней мере для самой Autoruns, поэтому создание системной точки восстановления перед внесением изменений в конфигурацию Windows всё же не помешает.
Из дополнительных функций Autoruns хотелось бы обратить внимание на опцию Check VirusTotal в контекстном меню, позволяющую с помощью сервиса проверять ASEP на предмет заражения. «Точечная» проверка требует подтверждения со стороны пользователя, также вы можете включить проверку по умолчанию в меню Options → Scan Options, выставив настройки как показано на скриншоте и нажав «Rescan».
При этом в крайней правой колонке VirusTotal для всех ASEP появится мини-отчёт, представленный двумя цифрами в формате 0/1, где 0 — количество обнаружений, а 1 — количество проверок. Отчёты формируются на базе хэшей, если же контрольная сумма конкретного файла отсутствует в базе VirusTotal, при включенной опции Submit Unknown Images файл будет отправлен на сервер для анализа.
Ну что же, будем, наверное, заканчивать. Говорить о Autoruns можно ещё долго, но и сказанного нами должно быть достаточно для понимания принципов работы с этим мощным инструментом. А ещё главнее понимать, чему служит та или иная точка автозапуска, отключить же её дело одного клика.
1 Зачем нужна автозагрузка
Автозагрузка (не путать с автозапуском — функцией автоматического открытия программ с подключенного диска или флешки) нужна для того, чтобы после включения компьютера запускались как программы, необходимые для работы Windows, так и посторонние программы. Например, антивирус обязан запускаться одним из первых, чтобы опередить возможные угрозы. Рабочий стол (explorer.exe) — тоже программа, часть операционной системы, запускается чуть ли не самым первым, даже раньше антивирусов.
Способов автоматического запуска программ много, их можно отследить специальными программами. О самой лучшей далее, но сначала о том, какие программы чаще всего прописываются в автозагрузку Windows.
Что бывает в автозагрузке
Антивирусы. Это наиболее частые программы, которые сидят в автозагрузке большинства компьютеров. Конечно, при условии, что вы заботитесь о безопасности компьютера.
Компоненты драйверов. Например, драйвер видеокарт Intel прописывают программы с малопонятными названиями hkcmd и igfxtray, предназначенные для работы горячих клавиш и отображения значка настроек в трее (возле часов). От AMD и nVidia тоже есть схожие программы.
Драйвера для цифровых камер любят прописывать в автозагрузке программы, отслеживающие факт подключения камеры и предлагающие что-нибудь сделать с фотографиями.
Драйвер звуковых карт Realtek дает прописку программе RAVCpl64.exe — это Диспетчер Realtek HD, без которого звук в некоторых случаях не будет направлен на подключенные наушники.
Полезность многого софта, идущего с драйверами, сомнительна, но нужно быть осторожным. К счастью, все можно включить обратно.
Программы для корректной работы ноутбука от производителя. Если Windows установлена на ноутбуке, то в автозагрузке будет n-ое количество программ для управления Wi-Fi, горячими клавишами, энергосбережением и так далее. От чего-то можно отказаться, что-то необходимо.
Если после переустановки Windows на ноутбуке половина функций не заработала даже после инсталляции нужных драйверов — проблема именно в отсутствующем вспомогательном софте. Идите на сайт производителя и скачивайте требуемое со странички вашей модели ноутбука.
Программы для корректной работы настольного ПК. Обладатели сборок ПК от именитых производителей Acer, Dell и других могут обнаружить софт, подобный вспомогательному для ноутбука. Чаще всего это программы для шифрования и резервного копирования информации, удаление которых работе компьютера не помешает.
Тулбары, рекламный софт, вирусы. Частые гости на компьютерах даже продвинутых пользователей. Выскакивает реклама при запуске браузера? Компьютер слащавым голосом обещает прибыль от вложений денег в очередную пирамиду? Ваш пароль от вконтакте постоянно крадут? Это все они — трояны и рекламная хр… фигня.
Особняком стоят службы. Программы, которые мы не видим, выполняющие важную (и не очень) работу. Стандартные службы Windows лучше не отключать, потому что это чревато, сторонние — можно. Например, популярный плеер PowerDVD устанавливает службу PowerDVD RC Service (PDVDServ.exe). Она нужна для управления воспроизведением видео с пульта управления. Вот только он есть далеко не всегда, службу можно отключить.
Системные программы. Без них ваш компьютер будет работать не так, как надо. Сюда относится программа Проводник (explorer.exe), по совместительству — Рабочий стол, службы и драйвера, являющиеся частью системы. Их легко отличить от посторонних, отключать не следует.
Зачем чистить автозагрузку?
Может, оставить все как есть?
Если вам лень, вы боитесь или все устраивает — закройте вкладку и живите спокойно дальше. Но если в вас живет мятежный дух, который хочет, чтобы ваш компьютер быстрее грузился, чтобы перестали появляться непонятные программы — очистка автозагрузки будет верным шагом. Просто будьте внимательны и делайте это на свежую голову.
Научившись чистить автозагрузку, вы сможете облегчить работу любому компьютеру (или ноутбуку), который попадет в ваши руки. Для этого нужно немного вашего времени, а также программа вроде Ускорителя компьютера или Autoruns.
Бесплатная программа Autoruns позволит узнать о всех программах, запускаемых после включения компьютера.
Скачать Autoruns можно по прямой ссылке. Язык только английский. На просторах интернета есть русские версии Autoruns, но не факт, что они будут самыми новыми.
Устанавливать программу не надо (да и не получится), достаточно куда-нибудь распаковать файл Autoruns.exe.
В архиве две версии — Autoruns.exe (о ней далее) и консольная версия autorunsc.exe, которая большинству пользователей домашних компьютеров не нужна.
Советую запускать программу от имени администратора, чтобы она получится максимум прав в системе и могла отключать всё-всё-всё.
При первом запуске программы вам нужно согласиться с лицензионным соглашением, нажав «Agree».
Очень советую перед тем, как отключать что-то, создать точку восстановления. Если вы не знаете, что это такое, прочтите главу «Как создать точку восстановления» моей другой статьи про программу AVZ.
Окно программы
Autoruns проста в обращении. Главное окно программы — список с перечнем всех программ, запускающимся при загрузке Windows. Вкладка Everything нужна для показа всех запускаемых программ скопом, остальные вкладки — только отдельные способы запуска:
Вас может запутать большое количество вкладок и строк. К счастью, можно и нужно фильтровать «ненужные» пункты. Не снятием галочки (это исключение программы из автозапуска), а с помощью настроек, о чем я расскажу далее. Когда исчезнет большая часть пунктов, разобраться проще.
Включение проверки на вирусы
Нам нужно убрать компоненты Windows и выделить вероятные вирусы. Для этого нажимаем меню Options — Scan Options — отмечаем галки, как на скриншоте ниже, нажимаем Rescan:
Чтобы вы лучше понимали, что делаете, расскажу о пунктах:
- Scan only per-user locations — сканируются только программы, находящиеся в папке пользователя. Бесполезный пункт, потому что вирусы могут быть в любой папке диска.
- Verify code signatures — у каждой программы, в том числе у системной, есть цифровая подпись, доказывающая то, что эта программа от такого-то издателя и что файл не изменен (не внедрен программный код вируса). Галка на этом пункте нужна, чтобы определить подмену системных файлов, что делают многие вредоносные программы.
- Check VirusTotal.com — проверка на вирусы каждого элемента автозапуска с помощью онлайн-сервиса VirusTotal. Фактически, это проверка несколькими десятками антивирусов. Не дает стопроцентной гарантии обнаружения, потому что в автозапуске может быть безобидная программа, которая в свою очередь запустит вирус, такое опознать нельзя. Требует работающего интернета. Если у вас появляется окно «You must agree…» («Вы должны согласиться с лицензионным соглашением сайта VirusTotal.com»), нажимайте Yes/Да.
- Submit Unknown Images — отправляет на проверку те программы, которые не найди в базах антивирусов. Если у вас медленный интернет, может сильно замедлить проверку автозапуска (до 10-15 минут), зато можно быть уверенным — проверится все.
После нажатия Rescan программа будет долго обновлять список, проверяя каждую программу на ее «вредоносность».
Если у вас нет интернета, советую скачать любой одноразовый антивирус и проверить компьютер им. К сожалению, из-за этого не получится узнать, были ли в автозагрузке вирусы: антивирус их удалит без оповещения о том, запускались ли они автоматически.
Удаляем вирусы из автозагрузки — что означают разные цвета
На этом этапе нам нужна вкладка Everything, чтобы видеть все способы запуска программ.
После обновления списка некоторые пункты окрасятся в желтый и розовый цвета, возле некоторых будут красные цифры.
Пункты, подсвеченные желтым, трогать нежелательно. Желтый цвет говорит о том, что программы нет, но пункт в автозагрузке есть. К сожалению, Autoruns не всегда корректно определяет, на месте ли файлы драйверов и выделяет их желтым, отключение ведет к глюкам вплоть до невозможности запустить операционную систему, поэтому лучше их не трогать, пока не разберетесь, что к чему.
Розовые пункты и с цифрами говорят о проблемах:
Если вы видите надписи вроде 16/57, то скорее всего эта запись запускает вирус. Цифра слева (16) сообщает о том, сколько антивирусов обнаружило зловреда, справа (57) — сколько проверило всего. Щелчок по надписи открывает страничку с подробностями: какие антивирусы сработали, как называется проникшее зло, когда был впервые обнаружен. Если вы увидите срабатывание одного-двух антивирусов (1/57), то это в 99% случаев ложное срабатывание и такой пункт можно игнорировать.
При желании можно погуглить по названию и узнать подробности, но важнее всего сделать следующее:
1. Снять галку с такого пункта. Это отключает автозапуск программы, что равнозначно удалению, только можно потом все вернуть обратно (при ложной тревоге).
2. Задуматься о смене вашего антивируса, потому что он молчал. О бесплатных антивирусах, способных конкурировать с «большими» собратьями, я рассказывал еще в 2012 году. Советы актуальны и сегодня.
3. Перезагрузить компьютер и снова запустить Autoruns. Если время дорого, просто нажмите F5 на клавиатуре — это обновит список. Поможет выявить вирусы, возвращающие себя в автозагрузку. Если такие есть, советую проверить компьютер с помощью бесплатной HerdProtect, которая агрессивнее удаляет угрозы. Еще есть бесплатная программа AVZ, которая используется множеством специалистов, но она сложна в освоении новичкам. Далее я расскажу о том, как удалить такие программы вручную.
Пункты, подсвеченные розовым, требуют внимания. Они означают, что у программы нет цифровой подписи. Цифровая подпись может быть даже у вирусов, если создатели раскошелились, поэтому на отсутствие следует обращать внимание только тогда, когда ее нет у программ от Майкрософта — авторов Windows.
Пример того, что с файлом все в порядке, ниже:
Если бы было (Not verified) Microsoft Corporation, стоило бы разобраться, что это за программа или чей компонент. Но это для продвинутых, для начала галку стоит снимать только в случае красной надписи справа.
Итог: пробегаем по списку на вкладке «Everything» («Все»), отключая обнаруженные вирусы, перезагружаем компьютер.
Чистим автозагрузку — вкладка Logon
После удаления нечисти наверняка останется множество пунктов. Руки так и чешутся отключить их, да? Чувствуете ведь, что компьютер станет включаться еще быстрее.
Открою секрет — отключить можно все на вкладке Logon и компьютер даже будет работать. Но лучше перестраховаться.
В меню Options программы Autoruns поставьте галки на первые три пункта:
Затем переходите на вкладку Logon («Вход в систему») и снимите галки в списке со всех пунктов, кроме тех, где в колонке Publisher есть (Verified) Microsoft Windows (обычно первый пункт), а также из списка в следующей главе.
Что отключать не следует
Не следует отключать программы, идущие с драйвера звуковой карты, видеокарт и так далее. Причина: возникающие при этом глюки. Не будет переключаться вывод звука на наушники при их подключении, дополнительные кнопки клавиатуры не сработают, могут быть проблемы с запуском игр и так далее.
Смотрите на колонку Publisher («Издатель»). Если есть что-то из списка, не трогайте пункт:
- Microsoft Windows;
- Microsoft Corporation;
- Adobe Systems;
- Google Inc;
- Intel Corporation;
- Advanced Micro Devices;
- nVidia;
- ESET;
- Realtek;
- Kaspersky;
- Comodo;
- Broadcom;
- …а также пункты с названием бренда вашего ноутбука/ПК. Например, Acer.
Название может совпадать не полностью. Например, у Intel почему-то издатель разный:
Особняком стоит антивирус. В автозапуске он может быть представлен как одним пунктом, так и несколькими. Теоретически, отключить автозапуск современных антивирусов с помощью программы Autoruns нельзя, потому что антивирусы непрерывно отслеживают свои записи в автозагрузке, на практике — такое случается. В любом случае можно всегда вернуть галку.
После перезагрузки компьютер включится гораздо быстрее. Также будет чист трей (область со значками около часов):
Это значит, что большинство программ больше не включаются при запуске Windows. Нет ни Скайпа, ни всяких всплывающих панелей, ничего постороннего. Ляпота!
Чистим дальше — Scheduled Tasks и Services
Не всегда простое снятие галки убирает программу из автозагрузки. Например, наглый рекламный модуль Ask Toolbar просто так не выключить. После перезагрузки компьютера пункт добавится снова:
Что делать в таком случае? Помимо вкладки Logon программы могут запускаться множеством способов. Снова отключаем появившийся пункт, смотрим внимательно на строчку и обходим по очереди вкладки Scheduled Tasks («Запланированные задачи») и Services («Службы»). Где-то найдутся записи программ, похожие на отключенные ранее:
Снимаем с них галки тоже. Упомянутый выше Ask Toolbar, кстати, все равно появится снова, о таких цепких программах дальше.
Осторожней с вкладкой Drivers! Велик соблазн отключить все пункты в других вкладках, например, Drivers. Отключение драйверов может привести к тому, что ваша операционная система перестанет загружаться. Как восстанавливать работу компьютера, я написал в статье про AVZ, но занятие это для терпеливых и только если есть второй компьютер под рукой. Отключайте на этой вкладке только те пункты, издатель (колонка Publisher) которого совпадает с отключенным пунктом вкладки Logon. А еще лучше — не трогайте там ничего, пока не столкнетесь с неотключаемыми программами.
Итог: сначала отключаем все на Logon, затем похожее на вкладках Scheduled Tasks и Services.
Если программы добавляются снова
После перезагрузки в списке Autoruns все равно появляются включенные пункты? Причин две:
1. Программа (вирус?) была запущена в этот момент. Она постоянно проверяет себя в автозагрузке и, если запись удаляют, возвращает. Программа Autoruns удаляет запись из реестра Windows сразу же, как только вы снимаете галку в списке, но не проверяет, добавилась ли запись снова. Увидеть это можно, обновив список (нажав F5 на клавиатуре).
2. Когда программа закрывается, она опять-таки проверяет запись. При перезагрузке компьютера, при получении сигнала о завершении работы, вредоносные программы добавляют себя снова.
Нужно гада удалять.
На вкладке Logon нажмите правой кнопкой по пункту, который снова добавляется — Jump to Image. Откроется папка с искомой программой. Ее точное имя можно узнать в колонке «Image path«:
Нажимаем правой кнопкой по файлу (в нашем случае это tbnotifier) и переименовываем ее в, например, tbnotifierблаблабла:
Иногда переименовать не получается из-за ошибки «Файл блаблабла открыт в программе блаблабла2«. В таком случае нажимайте Ctrl+Shift+Esc, запустится Диспетчер задач. На вкладке Подробно ищите упомянутые программы. В моем случае это одна программа, у вас могут быть несколько:
Щелчок мышкой по строчке — Снять задачу — Завершить процесс.
Затем возвращайтесь в Autoruns и идите на вкладку Services. Снова Jump to image по пункту, галка на котором снова появилась и переименовывайте так же, как раньше. Если не получилось из-за той самой ошибки («Файл открыт в…»), смотрите название службы (первый столбец), запускайте Диспетчер задач, идите на вкладку Службы, ищите такой пункт, правой кнопкой мыши по нему — Остановить:
Пробуйте переименовать файл снова. Наверняка все получится.
Не забудьте заглянуть в папку Scheduled Tasks и посмотреть — вдруг на чем-то появилась галка снова? Снимайте — сейчас программа-вредонос вам не помешает.
Можно посмотреть вкладку Drivers, т.к. там может быть драйвер вредоноса. Если вы видите на этой вкладке что-то, очень похоже на снова и снова появляющийся пункт на вкладке Logon, значит, вы «напоролись» на серьезный вирус от знающих свое дело разработчиков. Схема «вирус-драйвер»+»вирус в автозапуске» встречается редко, советую погуглить названия запускаемых программ — вдруг будут советы по правильному удалению таких злодеев.
Закройте Autoruns, Диспетчер задач и перезагружайте компьютер. Если все-таки галки вернулись (вот засада!), сделайте все то же самое повторно, но вместо выключения компьютера через меню «Пуск» перезагрузите компьютер кнопкой на системном блоке или выдерните батарею, шнур питания из ноутбука. Такая жесткая перезагрузка не позволит вредоносу узнать, что компьютер выключается и надо снова добавлять записи. К сожалению, есть ма-а-аленькая вероятность повреждения файловой системы диска, так что… только на свой страх и риск! Мой опыт говорит о том, что это работает. Есть и другие способы, этот самый быстрый в ущерб надежности.
В Windows 8 и 10 в Диспетчере задач есть собственная вкладка «Автозагрузка». Можно попытаться отключить упорно запускающуюся программу там.
3 Что еще можно отключить?
Можно пойти дальше и отключить еще больше программ. Компьютер станет запускаться еще быстрее, исчезнут задержки при запуске программ и открытии папок. Для этого придется объяснить, для чего нужны остальные вкладки и как вообще работает автозапуск Windows. Эта обширная тема предназначена для отдельной статьи. Как только она появится, я добавлю ссылку.
Очистка автозагрузки полезна, но это не панацея от всех бед. Чтобы выжать максимум из компьютера, советую прочитать мои статьи на тему оптимизации Windows.
Autoruns
для Windows
Autoruns — программа для контроля автоматической загрузки различных приложений, сервисов и компонентов, стартующих при загрузке ОС.
Программа проверяет Автозагрузку, Run, RunOnce и другие секции и ключи реестра. При желании Autoruns можно настроить на мониторинг и других расположений, в том числе модулей Explorer, панелей управления, BHO (Browser Helper Objects), извещений Winlogon, автоматически запускаемых служб, сервисов и многие другие.
При помощи Autoruns можно не только контролировать автозапуск приложений, но и отключать автозагрузку любого из них. Для этого достаточно убрать соответствующую галочку.
Кроме настройки системы, с помощью Autoruns можно отслеживать вредоносные программы, которые как правило, прописывают свои ключи в раздел Автозагрузки реестра операционной системы.
Что нового в Autoruns 14.0.9?
- Различные исправления и улучшения
ТОП-сегодня раздела «Реестр, Автозагрузка»
Reg Organizer 9.11
Reg Organizer — мощная программа, позволяющая следить за состоянием системного реестра и…
Autoruns 14.0.9
Autoruns — программа для контроля автоматической загрузки различных приложений, сервисов и компонентов, стартующих при загрузке операционной системы…
RegScanner 2.71
RegScanner — небольшая бесплатная утилита, которая в соответствии с заданными критериями…
RecentFilesView 1.32
RecentFilesView — небольшая системная утилита для просмотра всех файлов, которые в последнее время открывались на компьютере…
Отзывы о программе Autoruns
Татьяна про Autoruns 14.0.9 [12-12-2022]
Интересная прога. С оф сайта не скачивается. Скачивается тут с англ. локализацией. В целом наглядная. Со Всех желтых строчек с ошибками нужно снять галки. (Кто то даже их удаляет).
2 | 2 | Ответить
Виктор про Autoruns 14.0.9 [10-12-2022]
Реально помогла удалить defender w11
3 | 5 | Ответить
Тимур про Autoruns 14.0.7 [05-01-2022]
говно пишет что вы что-то там не можете использовать и она самоудаляется
4 | 5 | Ответить
Андрей ° про Autoruns 13.95 [09-11-2019]
А рускаяя локализация есть,у софтины?
11 | 17 | Ответить
самир про Autoruns 13.94 [29-03-2019]
у меня не палучается открыт математику 3 класс диск
6 | 13 | Ответить