Autoruns что это за программа
Обзор утилиты Autoruns от Sysinternals.com
В продолжение цикла статей о свободно распространяемых на Sysinternals.com утилитах вашему вниманию предлагается обзор утилиты Autoruns, которая позволяет контролировать автозагрузку при старте системы компонентов, сервисов и приложений. Скачать утилиту можно на странице загрузки Autoruns. Размер архива 139 килобайт.
Утилита не требует установки. Достаточно распаковать архив и запустить autoruns.exe. Пример главного окна утилиты показан на рисунке ниже.
После запуска утилиты в главном окне перечислены объекты, которые автоматически запускаются при старте системы. Чтобы отключить запуск определенного объекта достаточно снять отметку напротив его имени. Отключение не удаляет автозапуск, а лишь отключает его. В последствии можно будет включить автозапуск, вернув отметку около названия, отключенного ранее автозагружаемого компонента.
Чтобы удалить компонент из автозагрузки можно воспользоваться контекстным меню, которое вызывается щелчком правой кнопки мыши на названии объекта или выделить объект и нажать Ctrl+D.
Чтобы просмотреть ярлык для запуска приложения или ключ реестра, который его запускает, можно воспользоваться пунктом меню Entry Jump to. Откроется Проводник или редактор реестра и будет выполнен переход в то место, откуда запускается приложение.
Autoruns позволяет легко получить дополнительную информацию о приложении или сервисе, которые показаны в главном окне программы. Для этого нужно выделить интересующее приложение и нажать Ctrl+G или выбрать в меню Entry Google. Autorun сформирует запрос и отправит его на поисковую систему Google, результаты которого можно будет просмотреть браузером.
Для просмотра свойств файла, автоматический запуск которого выполняется при загрузке системы, достаточно выделить интересующий пункт в главном окне Autoruns и выбрать в меню Entry Properties. Откроется окно свойств файла, такое же, как то, которое открывается щелчком правой кнопки по файлу в Проводнике и выбора Свойства.
При необходимости можно просмотреть информацию об автозагружаемых библиотеках, расширениях Проводника, службах, библиотеках, которые зарегистрированы для отображения событий, возникающих при входе в систему. Для получения всей этой информации нужно отметить один из пунктов Show AppInit DLLs, Show Explorer Addons, Show Services, Show Winlogon Notifications в меню View. Управлять автозапуском перечисленных объектов можно так же, как описывалось выше.
Autoruns позволяет просмотреть те папки и ключи реестра, которые могут использоваться для автозапуска приложений, но в данный момент не задействованы. Для отображения этих мест нужно выбрать в меню View Include Empty Locations.
При большом количестве записей в главном окне программы может быть полезно скрыть те из них, которые имеют цифровую подпись Microsoft (View Hide Signed Microsoft Entries). Отключение показа таких записей позволит быстрее найти автозагружаемый объект.
Утилита Autoruns может работать и из командной строки. Для этого предназначен файл autorunsc.exe, который находится в том же архиве, что и autoruns.exe. Ключи для работы с Autoruns из командной строки приведены в документации к утилите.
Autoruns может быть очень полезна при «чистке» компьютера от самостоятельно установившихся модулей, которые могут открывать страницы, подменять стартовую страницу в браузере, при лечении от некоторых типов вирусов и при оптимизации скорости загрузки системы в целом. Утилита снимает с пользователя необходимость иметь перед глазами список мест, откуда приложение может запускаться при загрузке системы и избавляет его от необходимости вручную проверять все подобные места.
Ни для кого не является особым секретом, что большинство процессов в Windows, которая обладает большими возможностями в плане расширения функционала, работают независимо от пользователя. Это системные процессы и различные вспомогательные некритичные службы, например, Windows Audio, благодаря которой на компьютере может воспроизводиться звук. Существует также множество сторонних программ и расширений, которые могут запускаться автоматически вместе с операционной системой и которые с этой точки зрения могут быть как полезными, так и не очень.
Autoruns – как пользоваться
Интерфейс Autoruns
Интерфейс утилиты представлен классическим и графическим меню, набором вкладок для сортировки ASEP и собственно самим списком ASEP. В нижней части рабочего окна программы расположена область сведений о «привязанных» к точкам автозапуска процессах. Каждая строка в списке содержит статус, значок и имя записи автозапуска, краткое описание, название издателя, полный путь к исполняемому файлу процесса. Для более удобной идентификации точек запуска используется цветовая гамма. Так, жёлтый цвет указывает на наличие самого элемента автозапуска, но отсутствие сопоставленной ему программы; розовым цветом помечаются записи, не имеющие описания и/или имени поставщика; голубым выделяются категории точек автозапуска, чисто для удобства.
Что содержат вкладки
По умолчанию все элементы автозагрузки выводятся на вкладке Everything, то есть все, однако в программе реализована возможность их сортировки по типу. Для этого в Autoruns и существуют вкладки. Вкратце рассмотрим их назначение.
• Logon. Содержит элементы автозагрузки текущего пользователя.
• Explorer. Включает элементы расширения оболочки, те же пункты контекстного меню Проводника.
• Internet Explorer. Элементы, стартующие вместе со старым браузером Internet Explorer — расширения и панели.
• Scheduled Tasks. Задачи встроенного планировщика заданий.
• Services. Эта вкладка содержит запускающиеся вместе с системой службы, в том числе службы Microsoft.
• Drivers. Запускаемые при старте Windows драйвера.
• Codecs. Запускаемые при старте Windows кодеки.
• Boot Execute. Вкладка содержит приложения, которые запускаются при загрузке Windows и выполняют какое-то задание, например, сканирование антивирусом на раннем этапе загрузки или проверка системного раздела утилитой chkdsk.
• Image Hijacks. Так называемые краденные образа, точки автозапуска, из которых стартует не та программа, которую указал пользователь.
• AppInit. Вкладка показывает элементы, которые загружают указанные в разделе реестра Appinit_Dlls библиотеки в процессы, использующие системный файл user32.dll. В современных ОС Windows неактуальна. 
• Known DLLs. Известные библиотеки. После чистой установки Windows рекомендуется создать снимок содержимого этой вкладки, чтобы иметь возможность проверить, не удалили ли вредоносные программы существующие элементы и не заменили ли их поддельными DLL.
• Winlogon. Вкладка отображает библиотеки событий при загрузке Windows.
• Winsock Providers. Автозагружаемые элементы, необходимые для подключения к интернету. По умолчанию скрыты.
• Print Monitors. Элементы автозапуска, необходимые для работы принтера. Системные мониторы печати по умолчанию скрыты.
• LSA Providers. Элементы, связанные с безопасностью сети. Представлены DLL, используемыми процессом Lsass.exe или Winlogon.exe. Скрыты по умолчанию.
• Network Providers. Автозагружаемые элементы, работающие с настройками сети. Скрыты.
• WMI. Элементы из базы данных WMI — инструментария управления Windows.
• Office. Эта последняя вкладка содержит ASEP модулей офисного пакета Microsoft Office, если оный установлен на компьютере.
Что можно и что нельзя трогать в Autoruns
Теперь, когда вы приблизительно знаете назначение ASEP разных категорий, можно переходить к практике, но ещё нужно сказать пару слов о том, что можно и что нельзя трогать в Autoruns. Показ всех системных ASEP в программе отключён в меню Options → Hide Windows Entries, и мы бы не рекомендовали его включать без крайней нужды. Среди системных точек автозапуска имеется немало важных элементов, отключение или удаление которых способно привести к некорректной работе операционный системы или даже невозможности её загрузки. Для начала разумно было бы отключить и показ элементов Microsoft.
Безопасными в Autoruns с отключёнными элементами Hide Windows Entries и Hide Microsoft Entries являются вкладки Logon, Explorer, Internet Explorer Scheduled Tasks и Services, содержимое которых может быть отключено полностью и без опасений, что система завалится. Но и здесь нужно проявлять рассудительность, например, вкладка Services содержит точки автозапуска служб сторонних антивирусов, брандмауэров, эмуляторов, VPN-клиентов и других программ, работающих в фоне.
При работе с Autoruns лучше всего придерживаться следующего правила: отключать можно только те элементы автозагрузки, назначение которых вам хорошо известно. Не рекомендуется без предварительного анализа удалять или отключать элементы, помеченные жёлтым или розовым цветом. Отсутствие описания и имени поставщика само по себе ещё ни о чём не говорит, равно как и их наличие, ибо любой разработчик стороннего ПО может прописать в эти поля любые текстовые данные, подлинным элемент можно считать лишь тогда, когда рядом с названием поставщика будет указано (Verified).
Сама по себе процедура управления автозагрузкой в Autoruns очень проста. Чтобы отключить ASEP, нужно снять расположенный напротив неё флажок, если же вы хотите удалить точку автозагрузки, нужно ее выделить и нажать Ctrl + D либо выбрать в контекстном меню соответствующую опцию. 
В некоторых случаях изменения вступают в силу немедленно, в других потребуется перезагрузка компьютера. Например, мы хотим отключить расширение Проводника, добавляющее в окно просмотра свойств исполняемых файлов вкладку Icon для просмотра и извлечения иконок, не удаляя само расширение. Как нетрудно догадаться, эта ASEP находится на вкладке Explorer. Снимаем флажок, открываем свойства любого exe-файла и видим, что вкладка Icon исчезла. 
Подобным образом мы могли бы подчистить контекстное меню Проводника, правда, для этого нам бы пришлось запустить Autoruns с правами администратора и включить показ точек автозапуска Windows. Допустим, мы не пользуемся опциями «Копировать в папку…» и «Переместить в папку…». За отображение этих опций в меню отвечают ASEP «Copy To» и «Move To» в ключе HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers. Снимаем с них галки и видим, что опции исчезли из меню. 
Если вы уверены в бесполезности элемента, можете его удалить, но помните, что эта операция является необратимой, по крайней мере для самой Autoruns, поэтому создание системной точки восстановления перед внесением изменений в конфигурацию Windows всё же не помешает.
Проверка элементов автозагрузки на вирусы
Из дополнительных функций Autoruns хотелось бы обратить внимание на опцию Check VirusTotal в контекстном меню, позволяющую с помощью сервиса проверять ASEP на предмет заражения. «Точечная» проверка требует подтверждения со стороны пользователя, также вы можете включить проверку по умолчанию в меню Options → Scan Options, выставив настройки как показано на скриншоте и нажав «Rescan». 
При этом в крайней правой колонке VirusTotal для всех ASEP появится мини-отчёт, представленный двумя цифрами в формате 0/1, где 0 — количество обнаружений, а 1 — количество проверок. Отчёты формируются на базе хэшей, если же контрольная сумма конкретного файла отсутствует в базе VirusTotal, при включенной опции Submit Unknown Images файл будет отправлен на сервер для анализа. 
Ну что же, будем, наверное, заканчивать. Говорить о Autoruns можно ещё долго, но и сказанного нами должно быть достаточно для понимания принципов работы с этим мощным инструментом. А ещё главнее понимать, чему служит та или иная точка автозапуска, отключить же её дело одного клика.
