С развитием компьютерных технологий, возможности автоматического запуска постепенно расширялись и достигли такого уровня, что возникла серьезная необходимость контроля со стороны пользователя над процессами автозапуска. Ведь сегодня почти любая программа, начиная от программного обеспечения от производителей оборудования компьютера и завершая бесплатным прикладным ПО, старается осчастливить пользователя постоянными обновлениями, предложениями скидок при переходе на платные продукты, рекламой и т.п. Кроме того, нередко такое, не очень желательное ПО, может заниматься сбором сведений о самом пользователе с отправкой данных через Интернет непонятно кому и непонятно куда. Поэтому, мониторинг автозапуска становится все более востребованным среди пользователей компьютерных систем. Стандартные средства Windows, такие как утилита msconfig.exe
или доработанный диспетчер задач Windows 10 c вкладкой ”Автозагрузка” лучше, чем ничего, но все же, более востребованными среди грамотных пользователей становятся программные продукты с возможностью мониторинга максимального числа элементов автозапуска, позволяющие просто, удобно и безопасно управлять автоматически запускающимися процессами начиная от от драйвера и заканчивая скриптами или прикладными программами.
Общие сведения о программе Autoruns.
Autoruns
— бесплатная служебная программа из пакета Sysinternals Suite раздела
Windows Sysinternals
от Microsoft, предназначенная для контроля над автозапуском в среде Windows. Утилита обладает более широким спектром возможностей, чем служебная программа
MSConfig
, которая входит в состав стандартного программного обеспечения Windows.
Скачать программу можно как в составе пакета Sysinternals Suite, так и отдельным архивом по ссылкам на страницах раздела Windows Sysinternals ресурса Microsoft TechNet. Программа не требует инсталляции в системе, — просто скачайте и распакуйте архив Autoruns.zip в какую либо папку и запустите исполняемый файл autoruns.exe
или
autoruns64.exe
(только для 64-разрядных ОС Windows). В архиве присутствует документация на английском языке
autoruns.chm
, текстовый файл с кратким описанием и лицензионным соглашением
eula.txt
и исполняемые файлы для 32-разрядных и 64-разрядных ОС утилиты с графическим интерфейсом
Autoruns
, и утилиты командной строки
Autorunsc
.
Autoruns
является одним из самых популярных программных продуктов пакета программ для администрирования и исследования системы Sysinternals Suite, и пожалуй, самым информативным и удобным инструментом для отслеживания точек автоматического запуска процессов в Windows, в том числе, скрытых или необычных, часто используемых вирусами и другим вредоносным программным обеспечением (malware). Autoruns показывает, какие программы настроены на запуск в процессе загрузки, при входе в систему пользователей и возникновении прочих системных событий, причем информация об автоматически стартующих программах отображаются в том порядке, в каком выполняется их запуск.
Поиск и устранение внедрившегося в среду Windows, вредоносного программного обеспечения — это одно из основных направлений использования Autoruns.
Программа позволяет получить полный список точек автозапуска (autostart locations), идентифицировать их местонахождение, исследовать способы и последовательность запуска, обнаружить скрытые точки входа, а также заблокировать, по выбору, автостарт ненужного процесса. Огромные возможности, и удобство использования данной утилиты, сделали просто обязательным включение Autoruns в инструментальный набор средств для практического исследования системы.
Для реализации всех потенциальных возможностей Autoruns, утилита должна выполняться под учетной записью с правами администратора. Кроме работы в среде активной операционной системы (ОС, в которой вы работаете), возможно использование утилиты для анализа точек автозапуска другой ОС, системный каталог которой и каталог с профилем пользователя можно выбрать с помощью главного меню (File — Analyze Offline System
).
После запуска исполняемого файла Autoruns.exe
, на экране появится главное окно программы:
Интерфейс программы состоит из пяти частей — строка меню
(menu bar),
панель инструментов
(toolbar),
вкладки
фильтров источников автозапуска,
область вывода данных
в виде списка с фиксированными элементами строк, описывающих автоматически запускающийся процесс, и область в нижней части экрана, с
детализацией свойств
выбранного процесса.
Список точек автозапуска выводится в том порядке, в каком их обрабатывает Windows в процессе загрузки и регистрации пользователя. По умолчанию, открывается вкладка Everything
с отображением
всех возможных
точек автозапуска, отображаемых в главном окне в соответствии с опциями, задаваемыми пунктом
Options
главного меню. В качестве опций (параметров отображения информации) можно выбрать:
Include Empty Location
— показ пустых разделов. Обычно, данная опция выключена.
Hide Microsoft and Windows Entries
— скрыть точки автозапуска продуктов Microsoft и процессов самой Windows
Hide Windows Entries
— скрыть точки автозапуска, используемые самой Windows
Verify Code Signature
— Проверить цифровые подписи программных модулей. Статус проверки будет отображаться в колонке автора программы
Publisher
и может быть
Verified
— прошел проверку и
Not Verified
— не прошел. Для проверки цифровых подписей необходим доступ в Интернет.
При изменении параметров отображения, необходимо обновить экран (нажать F5
).
Информация о точках автозапуска в окне данных разбита на несколько колонок
Autorun Entry
— имя программы. Каждая программа сопровождается значением точки автозапуска (ключ реестра, папка автозапуска, папка задач планировщика). Записи об исполняемом файле соответствует признак включения/отключения автозапуска. Наличие галочки перед именем означает, что процесс будет запущен, отсутствие — процесс заблокирован. Если блокируемый процесс уже выполняется, то отключение автозапуска будет действовать для следующей перезагрузки системы. Процесс блокировки может представлять собой отключение драйвера или службы через реестр, удаление ярлыка из папки автозагрузки, отключение выполнения задачи планировщиком.
Description
— краткое описание автоматически запускаемого процесса.
Publisher
— Автор программы. Признак проверки цифровой подписи может выводиться как часть колонки Publisher (Veryfied, или Not Veryfied). Наличие и достоверность цифровой подписи является признаком того, что данный процесс не является вредоносным. Недостоверность или отсутствие цифровой подписи, как правило, должно привлечь внимание к данной записи. Однако, неподписанные файлы далеко не всегда могут быть вирусом или другим нежелательным ПО, поскольку наличие цифровой подписи не является обязательным стандартом для производителей программных продуктов.
Image Path
— путь и имя исполняемого файла.
Все элементы автозапуска программа Autoruns разбивает на группы, соответствующие различным категориям автозапуска. Выбор категории осуществляется выбором нужной вкладки:
Everything
— выводятся все известные утилите Autoruns точки автозапуска.
Logon
— выводится информация элементов автозапуска, связанных с инициализацией настроек профилей пользователей системной службой
Winlogon
(Userinit), оболочки пользователя (Shell) а также различных программ, запускаемых в процессе регистрации, с использованием элементов папки «Автозапуск», разделов реестра Run, RunOnce, Load и т.п. В последних версиях Autoruns в главном меню добавлен пункт
User
, позволяющий переключаться на отображение точек автозапуска для отдельных пользователей, или системных учетных записей (Local System, Network и т.п.). При выборе иного типа учетной записи, список точек автозапуска для вкладки «Logon» будет изменяться.
Explorer
— выводится информация о расширениях оболочки (Shell Extensions) проводника Windows, исполняемых модулях обработчиков событий ( Shell Execute Hooks) Нередко вредоносные программы используют внедрение в данную группу элементов автозапуска своих записей, обеспечивающих возможность контроля над зараженной системой. Наиболее распространенные случаи:
— Добавление записи в раздел реестра для автозапуска программ текущего пользователя HKCU\ Software\ Microsoft\ Windows\ CurrentVersion\ Run
— Тот же прием для всех пользователей
HKLM\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
— Добавление файла или ссылки на файл вируса в папке «Автозагрузка» — Добавление записи в раздел параметров службы Winlogon Для инициализации профиля пользователя используется ключ реестра
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Winlogon\ Userinit
стандартно принимающий строковое значение
C:\WINDOWS\ system32\ userinit.exe,
Ключ содержит запятую в конце записи, и Windows будет автоматически запускать любые программы, которые будут перечислены после данной запятой. Так, например запись
C:\WINDOWS\system32\ userinit.exe,%TEMP%\svchost.exe
обеспечит запуск кроме стандартной программы userinit.exe, еще и svchost.exe, которая никоим образом не может находиться в папке временных файлов \TEMP и вообще запускаться из данной группы точек автозапуска. Все, что записано после
userinit.exe,
нужно удалить — эти записи обеспечивают запуск вредоносных программ.
userinit.exe
выполняет последовательность инициализации профиля пользователя и запускает оболочку (shell) в качестве которой в среде Windows используется
Проводник (Explorer.exe)
. Проводник реализует графический интерфейс пользователя (GUI) — рабочий стол, средства работы с ярлыками, папками, файлами и т.п. Если Explorer.exe не удалось запустить, то пользователь получает пустой рабочий стол без каких-либо элементов управления.
Для запуска оболочки пользователя используются данные из ключа реестра HKLM\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\ Winlogon\ Shell
Стандартное строковое значение данного ключа —
Explorer.exe
. Если же оно отличается, то вероятнее всего, имеет место вирусное заражение.
Вредоносные программы могут использовать также и точки однократного автозапуска ( параметры RunOnce, RunOnceEx ), переписывая содержимое данных ключей реестра после каждой перезагрузки или регистрации пользователя.
Дополнительную информацию о подозрительном файле можно получить при использовании механизма поиска сведений в Интернете (Меню Entry — Search Online
) или по контекстному меню правой кнопки мышки. А проще всего — отправить подозреваемый файл на проверку онлайн сканерами. Например, на сайт VirusTotal.com
Internet Explorer
— выводится список вспомогательных объектов браузера (BHO — Browser Helper Objects), элементов панели управления Internet Explorer (IE), зарегистрированных элементов ActiveX, дополнительных модулей (plugins), встроенных в обозреватель Итернета (браузер).
Использование уязвимостей обозревателей Интернета — это один из самых распространенных способов вирусного заражения. Современный браузер — это фактически сложный программный комплекс, своеобразный интерпретатор содержимого, получаемого из страниц посещаемых сайтов и кроме того — это программный продукт, свойства которого могут быть расширены или изменены с помощью настроек и дополнительных программных модулей, в том числе и внедряемых сторонними разработчиками. Эти свойства обозревателей Интернета используются и создателями вредоносных программ. Кроме вирусов, к обозревателю могут достраиваться различные нежелательные программные модули, выполняющие подмену механизма поиска, закачку рекламы, слежения за действиями пользователя, подмену домашней страницы и т.п. В большинстве случаев признаком нежелательного ПО является неизвестный издатель, информация о котором отображается в поле Publisher
.
Services
— выводится список системных служб автоматически загружаемых Windows. Системные службы (сервисы) загружаются до регистрации пользователя в соответствии с настройками, определяемыми разделами реестра
HKLM\SYSTEM\CurrentControlSet\ Control
HKLM\SYSTEM\CurrentControlSet\ Services
Службы, не имеющие описания, цифровой подписи, или имеющие недействительную цифровую подпись, должны проверяться в первую очередь. Дополнительным признаком неблагонадежности может служить запуск службы из необычного места — каталога временных файлов \TEMP, каталогов профиля пользователя, каталога со странным именем. Исполняемые файлы подавляющего большинства системных служб располагаются в папке \WINDOWS\System32 .
Drivers
— выводится список драйверов, запуск которых разрешен (параметр
Start
в разделе реестра, относящегося к драйверу не равен
4
что означает отключение драйвера.) Иногда встречаются серьезные вирусы, использующие руткит-технологии (rootkit) для маскировки своего присутствия в системе. В случае такого заражения вредоносное ПО устанавливает специальный драйвер, который перехватывает системные вызовы и исправляет результаты их выполнения таким образом, чтобы исключить обнаружение своих файлов, процессов, сетевых соединений. В серьезных случаях, Autoruns, не поможет, и нужно будет воспользоваться специальным ПО для обнаружения руткитов
Scheduled Tasks
— выводится список задач, запланированных для выполнения планировщиком (Task Scheduler). Иногда вредоносные программы обеспечивают свой запуск путем создания специального задания для планировщика задач Windows. Утилита Autoruns позволяет получить список задач и отключить любую из них.
Image Hijacks
— выводится информация об использовании символического отладчика отдельных процессов, перечень и параметры которых задаются в разделе реестра
HKLM\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\Image File Execution Options
Также, отображаются точки автозапуска, где возможен старт исполняемых файлов дополнительно к интерпретатору команд (командному процессору), и при открытии любых файлов с расширением .exe
Appinit DLLs
— выводится список всех зарегистрированных в системе DLL. Используется для подключения пользовательских библиотек, подгружаемых с помощью user32.dll Ключ реестра
HKLM\SOFTWARE \Microsoft \Windows NT\ CurrentVersion\Windows \Appinit_Dlls
обычно не содержит никаких записей, но может используется легальными программами, а также, и вредоносным ПО, поскольку это обеспечивает внедрение своей DLL во все пользовательские процессы, использующие вызов user32.dll . Если ключ содержит имя какой-либо dll, нужно анализировать информацию об издателе, цифровую подпись, и при необходимости, выполнить онлайн проверку на VirusTotal.
Known DLLs
— список библиотек DLL, которые загружаются в ссылающиеся на них прикладные программы. Поиск вредоносных DLL можно выполнять по тому же алгоритму — анализ описания, сведения об издателе, наличие и достоверность цифровой подписи, при необходимости — проверка на VirusTotal.
Boot Execute
— программы, которые должны быть выполнены на раннем этапе загрузки Windows (например, запланированная проверка диска при следующей перезагрузке системы)
Winlogon Notifications
— список DLL, которые зарегистрированы для срабатывания при возникновении событий связанных с входом или выходом пользователя из системы (logon/logoff), запуском заставки, завершением работы или перезагрузкой.
Winsock Providers
— список провайдеров служб Windows для доступа к сетевым функциям. Обычно — это библиотеки DLL, которые могут подгружаться для взаимодействия приложений с сетевыми службами. Иногда в списке могут присутствовать библиотеки антивирусного ПО или брандмауэра.
LSA Providers
— список зарегистрированных провайдеров LSA (Local Security Authority). LSA является частью системы проверки полномочий пользователя и назначения контекста безопасность (Security Context) на основе его учетной записи.
Print Monitors
— список драйверов принтеров, которые загружаются в соответствии с записями в разделе реестра
HKLM\SYSTEM \CurrentControlSet\ Control\Print\ Monitors
Sidebar Gadgets
— список гаджетов установленных пользователями Windows 7 и более поздними ОС
Office
— информация о дополнительных модулях офисного программного обеспечения.
Основное меню (menu bar) программы Autoruns .
Назначение некоторых пунктов меню утилиты Autoruns рассмотрено выше.
Пункты основного меню File
Find
— поиск текста в текущем окне выходных данных Autoruns.
Load
— открыть из файла ранее сохраненный отчет Autoruns
Save
— сохранить текущий журнал Autoruns.
Compare
— сравнение текущего отчета Autoruns с сохраненным ранее. Позволяет быстро определить новые элементы автозапуска, появившиеся с момента сохранения сравниваемого отчета. Новые элементы выделяются зеленым цветом.
Пункты основного меню Entry
Все пункты меню Entry
относятся к выделенному элементу отчета на текущем экране Autoruns. Все опции также доступны из контекстного меню, вызываемого правой кнопкой мышки.
Delete
— Удалить элемент автозапуска. Восстановить удаленный элемент средствами самой утилиты Autoruns невозможно. Бездумное удаление критически важных элементов автозапуска может привести к краху системы. Чтобы не удалять элемент, а только заблокировать его, нужно сбросить флажок (убрать галочку) в первой колонке строки данного элемента.
Copy
— Копирование данных выделенной строки в буфер обмена.
Verify
— Проверить цифровую подпись выделенного элемента.
Jump to
— как и в большинстве продуктов Sysinternals, позволяет быстро перейти к тому разделу реестра или каталогу Windows, который связан с данной точкой автозапуска. Очень удобный режим, позволяющий экономить время и нервы при анализе информации. Переход также можно выполнить двойным щелчком на выбранном элементе.
Search Online
— Autoruns выполнит запуск обозревателя Интернета и с его помощью выполнит поиск информации о точке автозапуска, связанной с текущим элементом отчета. Используется механизм поиска, на который настроем обозреватель, например, поиск Яндекса
Properties
— Отобразить свойства исполняемого файла автоматически запускаемого процесса.
Process Explorer
— Запустить утилиту
Process Explorer
от Sysinternals для отслеживания активности выбранного процесса. Программа Process Explorer должна присутствовать, и должна иметься возможность ее запуска с использованием пути в переменной окружения
path
Возможности программы
Данная утилита позволяет проверить все автоматически запускаемые компоненты системы, в том числе установленные приложения и службы. Хорошо отточенный функционал системы помогает легко найти требуемую программу или выполнить поиск по отдельным типам запускаемых приложений.
Что может программа:
- полное сканирование запускаемых приложений;
- возможность остановки и запуска выборочных программ;
- отображает полные свойства объекта автозапуска;
- отслеживание потенциально опасных программ.
Приложение позволяет провести комплексное сканирование программ, разрешенных к автозапуску. Имеет встроенный фильтр, позволяющий искать программ в определенных категориях:
- системные реестр;
- стандартная папка автозагрузки;
- службы Windows 10;
- и др.
Autorunsc — вариант Autoruns для использования в командной строке.
Autorunsc — это вариант программы Autoruns для работы в командной строке. Удобно использовать для сбора и обработки данных об автоматически запускающихся процессах на удаленных компьютерах, для отслеживания изменений в автозапуске и т.п.
Формат командной строки:
autorunsc [-a[*]
Примеры использования:
autorunsc /?
— отобразить подсказку по использованию программы.
autorunsc –a *
— отобразить все элементы автозапуска в данной системе.
autorunsc64.exe -a * |find /i «adobe»
— отобразить все элементы автозапуска связанные с программными продуктами Adobe.
autorunsc –a b
— отобразить элементы автозапуска связанные с загрузкой данной системы.
autorunsc –s *
— отобразить сведения об автоматически запускающихся службах и драйверах.
autorunsc –s * > services.txt
— то же, что и в предыдущем примере, но с записью результатов в текстовый файл .
autorunsc64.exe -a w –m
— отобразить сведения об элементах автозапуска для Winlogon, исключив записи для программных продуктов Microsoft.
autorunsc64.exe -a w –x
— то же, что и в предыдущем примере, но с представлением результатов в XML-формате.
Практические рекомендации по использованию Autoruns.
Одно из основных предназначений Autoruns — поиск и обезвреживание вредоносного программного обеспечения. Мощные возможности исследования и нейтрализации элементов автозапуска позволяют легко справиться с внедрившейся в систему заразой. Любой вирус, лишенный возможности автоматического запуска, становится совершенно безвредным, как например, обычный текстовый файл, хранящийся на компьютере.
При возникновении сомнений в отношении какого-либо элемента автозапуска, приведенного в списке выходных данных Autoruns попробуйте провести подробное его исследование, используя следующие приемы:
— Проанализируйте описание, сведения об издателе, наличие и достоверность цифровой подписи. — Выполните двойной щелчок по исследуемому элементу и проверьте точку его автостарта в реестре или каталоге файловой системы. — Используйте контекстное меню Search Online
или комбинацию клавиш CTRL+M для получения дополнительных сведений по результатам поиска в Интернете. — Если у вас имеется сохраненный журнал предыдущих сессий — сравните текущие данные с сохраненными (меню
File — Compare
). — Отправьте файл на онлайн проверку VirusTotal.com. Если файл является вредоносным, с большой долей вероятности, служба VirusTotal этот факт подтвердит. — Для подробного анализа активности подозрительного процесса используйте родственную утилиту
Process Explorer
от Sysinternals. Можно воспользоваться прямым вызовом утилиты через пункт контекстного меню для выбранного элемента автозапуска.
На сегодняшний день, Autoruns, поддерживаемая разработчиками много лет, является одной из самых эффективных программ для контроля автозапуска. Однако, все более популярными становятся программы мониторинга автозапуска в реальном масштабе времени. Такие программы запускаются автоматически и ведут постоянное наблюдение за состоянием элементов автозапуска, принимая меры при попытке какого-либо ПО ”прописаться” для автоматического старта. Понятное дело, что главными недостатками подобных программ является повышенное потребление ресурсов системы и невозможность полного контроля всех элементов автозапуска. Примером программ мониторинга могут быть бесплатные Anvir Task Manager
, отличающийся повышенным потреблением ресурсов, и, менее прожорливый, но значительно уступающий по возможностям
PT Startup Monitor
.
В начало страницы | На главную страницу
Работа с интерфейсом Autoruns
Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.
Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.
При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.
Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.
Отключение программ и служб из автозагрузки
Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.
Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.