Автозагрузка программ — autoruns 13.100 portable
Содержание:
- Introduction
- Usage
- Массовая проверка объектов автозапуска на вирусы в Autoruns
- AutoRun Pro Enterprise [14.10.0.423 + Rus] (2017) Русский скачать торрент
- Autorunsc Usage
- Отличительные особенности
- Introduction
- Работа с интерфейсом Autoruns
- [ExclusiveContentPaths] Keys
- AutoRuns управление автозагрузкой 13.98 Portable
- Интерфейс Autoruns
- Introduction
- Серия уроков по пакету утилит SysInternals
- Autorunsc Usage
- Autorun-вирус. Как он действует?
- Как использовать AutoRuns для выявления подозрительного программного обеспечения
- Признаки заражения флешки
- Как убрать автозагрузку программ Windows 10
- Autorunsc Usage
- Как обезопасить накопитель от вирусов?
Introduction
This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.
Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.
You’ll probably be surprised at how many executables are launched
automatically!
Usage
Simply run Autoruns and it shows you the currently configured
auto-start applications as well as the full list of Registry and file
system locations available for auto-start configuration. Autostart
locations displayed by Autoruns include logon entries, Explorer add-ons,
Internet Explorer add-ons including Browser Helper Objects (BHOs),
Appinit DLLs, image hijacks, boot execute images, Winlogon notification
DLLs, Windows Services and Winsock Layered Service Providers, media
codecs, and more. Switch tabs to view autostarts from different
categories.
To view the properties of an executable configured to run automatically,
select it and use the Properties menu item or toolbar button. If
Process Explorer is
running and there is an active process executing the selected executable
then the Process Explorer menu item in the Entry menu will open
the process properties dialog box for the process executing the selected
image.
Navigate to the Registry or file system location displayed or the
configuration of an auto-start item by selecting the item and using
the Jump to Entry menu item or toolbar button, and navigate to
the location of an autostart image.
To disable an auto-start entry uncheck its check box. To delete an
auto-start configuration entry use the Delete menu item or toolbar
button.
The Options menu includes several display filtering options, such as
only showing non-Windows entries, as well as access to a scan options
dialog from where you can enable signature verification and Virus Total
hash and file submission.
Select entries in the User menu to view auto-starting images for
different user accounts.
More information on display options and additional information is
available in the on-line help.
Массовая проверка объектов автозапуска на вирусы в Autoruns
С помощью программы Autoruns можно запустить массовую проверку всех элементов автозапуска. Выполните следующие шаги:
- Откройте меню «Options» (Настройки).
- В контекстном меню выберите пункт «Scan Options…» (Настройки сканирования).
- В окне «Autoruns Scan Options» поставьте флажок в пункте «Check VirusTotal.com».
- Нажмите на кнопку «Rescan».
После завершения сканирования, в окне программы в столбце «VirusTotal» появятся результаты проверки элементов автозапуска.
Если в результате проверки обнаружится, что некоторые файлы не прошли проверку, не обязательно считать, что это вирус. Прежде, чем принять решение, поищите подробную информацию об объекте в интернете.
На изображении выше видно, что два антивирусных сканера, что-то нашли в программе Облако Mail.Ru. Понятно, что там вирусов нет, возможно, сканеры ругаются из-за каких-то рекламных предложений.
AutoRun Pro Enterprise [14.10.0.423 + Rus] (2017) Русский скачать торрент
Описание:
AutoRun Pro Enterprise — это высокофункциональный визуальный инструмент для создания интерфейсов автозагрузочных меню и презентаций профессионального уровня. Скачав утилиту на diakov.net, вы до предела упростите процесс создания и редактирования таких интерфейсов в среде WYSIWYG (получаешь то, что видишь) — клик, перемещение и просмотр результата. Всё легко и быстро!
Легко осваивается, присутствуют демонстрации и мастера работы с проектами. Создание вашего авторана будет ограничиваться только вашей фантазией. Вы без проблем создадите прелоад загрузки диска (с проигрыванием музыки), создавать на диске формы отправки е-mail, открытие сайтов в браузере, по нажатию кнопки запускать необходимую программу или файл, проинтегрировать ваш любимый медиа плеер, для проигрывания музыки или видео прямо в вашем диске,не устанавливая дополнительных программ. Если хотите, то можете поставить защиту на ваш диск, и он запустится только после того как введут правильный пароль, а можно заблокировать диск через определенное количество дней или запусков. Все ограничивается только вашей фантазией.
Основные возможности:
Особенности: • Показ любого документа типа TXT, DOC, HTML с помощью автоматического запуска соответствующих приложений. • Печать любого документа типа TXT, DOC, HTML с помощью автоматического запуска соответствующих приложений. • Можно запускать любую программу. • Запустить браузер по умолчанию по URL на документе. • Отправить по электронной почте. • Интегрированный веб-браузер и внутренние команды. • Встроенный плеер. • Интеграция с Media Player. • Слайд-шоу фотографий (фотоальбом), более 100 стилей. • Цвет фона, цвет градиента и прозрачной форме. • Фоновый звук. • Заставки, звуковые заставки. • Полный фон экрана и логотип. • Лицензионное соглашение. Вы можете показать лицензионное соглашение до того, как файлы запускаются. Пользователь должен принять лицензию, чтобы продолжить. Если пользователь не принимает лицензию, то AutoRun завершает работу досрочно. • Безопасность. Вы можете защитить свой компакт-диск от начала нелицензированных пользователей, требуя от пользователей, чтобы представить имя пользователя и пароль или код для проверки подлинности. • Выход форме. Показать информацию или подтверждения выхода до выхода из программы • Неограниченное количество подпапок. • Изображения включают растровые, иконки, JPEG, EMF, WMF, а так же статичные или анимированные GIF плюс прозрачные PNG изображения. • Шаблон страницы. • Объект шаблона. • CD иконки и значок для папок отображаются в строке заголовка. • Тестирование без записи компакт-дисков. • Прожиг проекта на CD-R/CD-RW непосредственно встроенным CD Burner. • Создать единый исполняемый файл. • Публикация проекта в новую папку. • Создать ISO образ компакт-диска файл. • Установка программного обеспечения • вы можете установить по умолчанию программу для просмотра файлов, если пользователь не указал один на своем компьютере. Например, если вы запускаете PDF файл, вы можете включить Adobe Acrobat Reader программное обеспечение на CD и установить его. Вы можете определить один или несколько файлов, которые будут установлены. • Создание выпадающего меню, панель инструментов и строку состояния для страниц, как и большинство стандартных окон, чтобы сделать вашу страницу более профессиональной. • Создать контекстное меню, вы можете определить во всплывающем меню, которое появляется, когда пользователь нажимает на объект или фон страницы с помощью правой кнопки мыши, как и большинство профессиональных приложений. • Срок годности CD, указывается дата истечения срока для компакт-дисков. • Знания языков программирования не требуется. • Не обязательно делать записи в реестре. • Запускается с компакт-диска без инсталляции.Скриншоты:
Autorunsc Usage
Autorunsc is the command-line version of Autoruns. Its usage syntax is:
Usage: autorunsc
| ]]
Parameter | Description |
---|---|
-a | Autostart entry selection: |
* | All. |
b | Boot execute. |
d | Appinit DLLs. |
e | Explorer addons. |
g | Sidebar gadgets (Vista and higher) |
h | Image hijacks. |
i | Internet Explorer addons. |
k | Known DLLs. |
l | Logon startups (this is the default). |
m | WMI entries. |
n | Winsock protocol and network providers. |
o | Codecs. |
p | Printer monitor DLLs. |
r | LSA security providers. |
s | Autostart services and non-disabled drivers. |
t | Scheduled tasks. |
w | Winlogon entries. |
-c | Print output as CSV. |
-ct | Print output as tab-delimited values. |
-h | Show file hashes. |
-m | Hide Microsoft entries (signed entries if used with -v). |
-s | Verify digital signatures. |
-t | Show timestamps in normalized UTC (YYYYMMDD-hhmmss). |
-u | If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files. |
-x | Print output as XML. |
-v | Query VirusTotal for malware based on file hash. Add ‘r’ to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the ‘s’ option is specified. Note scan results may not be available for five or more minutes. |
-vt | Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven’t accepted the terms and you omit this option, you will be interactively prompted. |
-z | Specifies the offline Windows system to scan. |
user | Specifies the name of the user account for which autorun items will be shown. Specify ‘*’ to scan all user profiles. |
Отличительные особенности
В далеком 2002 году разработчики создали первую версию приложения, благодаря которой привлекли внимание рядовых пользователей и представителей Microsoft. Впоследствии знаменитая корпорация приобрела права на данный продукт.
Утилита настолько многофункциональна, что может работать в любой операционной системе, включая Windows 10.
Отслеживает потенциально опасное ПО и уведомляет пользователя об его наличии на ПК.
Интерфейс имеет большое количество различных вкладок и полностью переведен на русский язык.
Программа экономит ресурсы вашего компьютера и автоматически запускается вместе с Виндовс.
Отображение полного перечня свойств автозапускаемых объектов.
Можно останавливать и запускать выбранные программы прямо из интерфейса Autoruns.
Предусмотрено комплексное сканирование приложений, установленных на вашем ПК.
Наличие встроенного фильтра позволяет осуществлять поиск утилит в системном реестре или службах Виндовс 10.
Для запуска приложения не требуется его установка на компьютер — достаточно дважды кликнуть по ярлыку исполняющего файла, который вы сможете бесплатно скачать у нас.. Если вам хочется узнать больше полезной информации об Autoruns, то советуем потратить несколько минут на просмотр интересного видеоролика
Автор рассказывает о том, как использовать программу по назначению. Кроме того, с ее помощью можно управлять автоматической загрузкой операционки Windows 10 и искать вирусы. Получается, что программа выполняет функции встроенного антивирусника
Если вам хочется узнать больше полезной информации об Autoruns, то советуем потратить несколько минут на просмотр интересного видеоролика. Автор рассказывает о том, как использовать программу по назначению. Кроме того, с ее помощью можно управлять автоматической загрузкой операционки Windows 10 и искать вирусы. Получается, что программа выполняет функции встроенного антивирусника.
Introduction
This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.
Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.
You’ll probably be surprised at how many executables are launched
automatically!
Работа с интерфейсом Autoruns
Вы можете загрузить инструмент Autoruns с веб-сайта SysInternals, как и все остальные, и запустить его без установки.
Примечание: Autoruns не требует запуска от имени администратора, но на самом деле имеет смысл просто сделать это, поскольку есть несколько функций, которые в противном случае не будут работать, и есть большая вероятность, что ваше вредоносное также ПО запускается от имени администратора.
При первом запуске интерфейса вы увидите множество вкладок и список вещей, которые автоматически запускаются на вашем компьютере. На вкладке Everything («Все») по умолчанию отображается всё из каждой вкладки, но это может быть немного запутанным и длинным, поэтому мы советуем просто просматривать каждую вкладку отдельно.
Стоит отметить, что по умолчанию Autoruns скрывает все встроенные компоненты в Windows, которые настроены на автоматический запуск. Вы можете включить отображение этих элементов в параметрах, но мы не рекомендуем это делать.
Отключение программ и служб из автозагрузки
Чтобы отключить любой элемент в списке, вы можете просто снять флажок. Это всё, что вам нужно сделать, просто просмотреть список и удалить всё, что вам не нужно, перезагрузить компьютер и снова запустить его, чтобы убедиться, что всё в порядке.
Примечание: некоторые вредоносные программы будут постоянно отслеживать места, откуда куда они прописали свой автозапуск, и немедленно возвращают значение обратно. Вы можете использовать клавишу F5 для повторного сканирования и просмотра, вернулись ли какие-либо записи после их отключения. Если одна из них снова появится, вам следует использовать Process Explorer, чтобы приостановить или убить эту вредоносную программу, прежде чем отключать её здесь.
[ExclusiveContentPaths] Keys
Folders listed in this section limit Autoplay to searching only those folders and their subfolders for content. They can be given with or without a leading backslash (\). In either case they are taken as absolute paths from the root directory of the media. In the case of folders with spaces in their names, do not enclose them in quotes as the quotes are taken literally as part of the path.
Use of this section is intended to allow content authors both to communicate the intent of content to Autoplay and to shorten its scan time by limiting the scan to certain significant areas of the media.
The following are all valid paths
The section is only supported under Windows Vista and later.
AutoRuns управление автозагрузкой 13.98 Portable
AutoRuns — утилита для контроля автозагрузки программ. Она позволяет увидеть, какие программы настроены на запуск в процессе загрузки или входа в систему, причем эти программы отображаются именно в том порядке, в каком система Windows обрабатывает их. Это относится к программам, находящимся в папке автозагрузки или прописанным в разделах реестра Run, RunOnce и других. Autoruns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и т.д. Приложение обладает расширенным функционалом по сравнению со служебной программой MSConfig, входящей в состав Windows. Вы, вероятно, удивитесь, как много исполняемых файлов запускается автоматически!Системные требования:Программа Autoruns работает во всех версиях Windows, включая Windows XP 64-bit Edition (для x64) и Windows Server 2003 64-bit Edition (для x64).Торрент AutoRuns управление автозагрузкой 13.98 Portable подробно:·AutoRuns — бесплатная утилита для операционных систем Microsoft Windows, разработанная Sysinternals, и затем приобретённая Microsoft Corporation, способна управлять автозагрузкой программ, сервисов, модулей, драйверов и других компонент системы. Autoruns отображает абсолютно всё, что будет запущено на компьютере при старте операционной системы, регистрации пользователя и других событиях. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск, проводить поиск запускаемых программ по всей системе или в указанных категориях (стандартная «Автозагрузка», службы Windows, системный реестр (Run, RunOnce), проводник Windows и других).·AutoRuns проверяет практически все места, из которых происходит автозапуск и автозагрузку программ, DLL-библиотек, драйверов, кодеков, приложений, гаджеты боковой панели, служб и других компонент системы. Показывает, какие программы запускаются в процессе загрузки или входа в систему, причем эти программы отображаются в том порядке, в каком система Windows обрабатывает их. Такие программы могут находиться в папке автозагрузки или быть прописаны в разделах реестра Run, RunOnce и других. Отключив программы или компоненты, которыми вы не пользуетесь регулярно, можно значительно повысить, скорость загрузки операционной системы, скорость доступа к оперативной памяти, скорость операций вычислений. Как следствие более стабильная работа и значительное повышение производительности операционной системы.·AutoRuns можно настроить на отображение и других расположений, таких как расширения оболочки проводника, панели инструментов, объекты модулей поддержки обозревателя, уведомления Winlogon, автоматически запускаемые службы и многие другие. Отображаются программы, загружаемые модули, драйверы, системные службы, назначенные задания, Winlogon. Утилита может показать свойства любого объекта, пути и параметры запуска, а также отменять их автозапуск. При помощи Autoruns можно не только контролировать автозапуск приложений, но и отключать автозагрузку любого из них. Для этого достаточно убрать соответствующую галочку. Кроме настройки системы, с помощью Autoruns можно отслеживать вредоносные программы, которые как правило, прописывают свои ключи в раздел Автозагрузки реестра операционной системы.Особенности Portable:·Не требует установки (официальная версия).Наличие версий с русским интерфейсом (в папке Ru). Здесь же справка на русском в формате .chm.
Скриншоты AutoRuns управление автозагрузкой 13.98 Portable торрент:
Скачать AutoRuns управление автозагрузкой 13.98 Portable через торрент:
autoruns-13_98-portable.torrent (cкачиваний: 189)
Интерфейс Autoruns
Откроется окно «Autoruns», в котором отобразятся все запущенные процессы в операционной системе Windows. По умолчанию, главное окно открывается во вкладке «Everything».
В самом верху окна программы находится строка меню. Из меню происходит управление программой, выполняются различные действия в приложении с помощью команд: поиск файла, сохранение в файл, открытие созданного ранее снимка мест автозапуска и т. д.
Ниже расположена панель инструментов, с помощью которых можно получить доступ к некоторым востребованным функциям программы: сохранение, поиск, переход на другой уровень, свойства, обновление, удаление. Здесь находится поле «Filter:» (Фильтр) для быстрого поиска объектов автозапуска в окне приложения.
Затем идет панель вкладок. После сканирования системы, Autoruns распределяет полученную информацию по разным вкладкам (местам автозапуска). После перехода в нужную вкладку легче найти необходимую информацию, чем в общем списке.
Основное место занимает рабочая область, в которой отображаются сведения о запущенных программах, службах, драйверах и т. д.
Ниже находится панель подробностей, в которой отображены сведения о выделенном объекте.
В строке состояния показана информация о сборе или завершении сбора сведений о местах автозапуска.
Некоторые элементы автозапуска в Autoruns выделены разными цветами:
- Красный цвет — у этого элемента отсутствует цифровая подпись Microsoft.
- Желтый цвет — отсутствующие или перемещенные файлы, информация о которых осталась в реестре.
Если контейнер помечен красным цветом, это не значит, что данный файл является вредоносным программным обеспечением. По какой-то причине у объекта нет подтвержденной цифровой подписи Майкрософт
Обратите внимание на эти файлы, получите информацию о них в интернете
Элементы, выделенные желтым цветом, отключите из автозагрузки, сняв галку, напротив данного объекта. Затем эти записи можно удалить с компьютера.
Introduction
This utility, which has the most comprehensive knowledge of
auto-starting locations of any startup monitor, shows you what programs
are configured to run during system bootup or login, and when you start
various built-in Windows applications like Internet Explorer, Explorer
and media players. These programs and drivers include ones in your
startup folder, Run, RunOnce, and other Registry keys.
Autoruns reports Explorer shell extensions, toolbars, browser helper
objects, Winlogon notifications, auto-start services, and much
more. Autoruns goes way beyond other autostart utilities.
Autoruns’ Hide Signed Microsoft Entries option helps you to zoom
in on third-party auto-starting images that have been added to your
system and it has support for looking at the auto-starting images
configured for other accounts configured on a system. Also included in
the download package is a command-line equivalent that can output in CSV
format, Autorunsc.
You’ll probably be surprised at how many executables are launched
automatically!
Серия уроков по пакету утилит SysInternals
6. Использование Autoruns для работы с автоматически запускаемыми процессами и вредоносным ПО
У большинства компьютерных фанатов есть свой инструмент для работы с процессами, которые запускаются автоматически, будь то MS Config, CCleaner или даже диспетчер задач в Windows 10, но ни один из них не является таким мощным, как Autoruns, именно эту программу мы рассмотрим в данном уроке.
Связанная статья: Как отключить автозапуск программ и служб в Windows
Раньше, чтобы программное обеспечение запускалось автоматически, добавляли запись в папку «Startup» в меню «Пуск» или добавляя значение в раздел «Run» в реестре, но по мере того, как люди и программное обеспечение стали более сообразительными в поиске нежелательных записей и их удалении, производители сомнительного программного обеспечения начали искать всё более и более хитрыми способы автоматически запустить программу при включении системы.
Эти сомнительные компании по производству вредоносного ПО начали выяснять, как автоматически загружать своё программное обеспечение с помощью вспомогательных объектов браузера, служб, драйверов, запланированных задач и даже с помощью некоторых чрезвычайно продвинутых методов, таких как перехват образов и AppInit_dll.
Проверка каждого из этих условий вручную будет не только трудоёмкой, но и практически невозможной для обычного человека.
Вот где на помощь приходит Autoruns, которая спасает положение. Конечно, вы можете использовать Process Explorer, чтобы просматривать список процессов и углубляться в потоки и дескрипторы, а Process Monitor может точно определить, какие ключи реестра открываются каким процессом, и показать вам невероятные объёмы информации. Но ни один из них не предотвращает повторную загрузку вредоносных программ или нежелательных программ при следующем включении компьютера.
Конечно, разумной стратегией было бы использовать все три вместе. Process Explorer видит, что в данный момент работает, и использует ваш процессор и память, Process Monitor видит, что приложение делает под капотом, а затем входит Autoruns, чтобы очистить вещи, чтобы они больше не возвращались.
Autoruns позволяет вам увидеть почти все, что автоматически загружается на вашем компьютере, и отключить любой элемент так же просто, как переключить флажок. Программа невероятно проста в использовании и почти не требует пояснений, за исключением некоторых действительно сложных вещей, которые вам нужно знать, чтобы понять, что на самом деле означают некоторые вкладки. Именно этому и научит нас данный урок — уметь понимать вкладки Autoruns и значение записей в них.
Autorunsc Usage
Autorunsc is the command-line version of Autoruns. Its usage syntax is:
Usage: autorunsc
| ]]
Parameter | Description |
---|---|
-a | Autostart entry selection: |
* | All. |
b | Boot execute. |
d | Appinit DLLs. |
e | Explorer addons. |
g | Sidebar gadgets (Vista and higher) |
h | Image hijacks. |
i | Internet Explorer addons. |
k | Known DLLs. |
l | Logon startups (this is the default). |
m | WMI entries. |
n | Winsock protocol and network providers. |
o | Codecs. |
p | Printer monitor DLLs. |
r | LSA security providers. |
s | Autostart services and non-disabled drivers. |
t | Scheduled tasks. |
w | Winlogon entries. |
-c | Print output as CSV. |
-ct | Print output as tab-delimited values. |
-h | Show file hashes. |
-m | Hide Microsoft entries (signed entries if used with -v). |
-s | Verify digital signatures. |
-t | Show timestamps in normalized UTC (YYYYMMDD-hhmmss). |
-u | If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files. |
-x | Print output as XML. |
-v | Query VirusTotal for malware based on file hash. Add ‘r’ to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the ‘s’ option is specified. Note scan results may not be available for five or more minutes. |
-vt | Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven’t accepted the terms and you omit this option, you will be interactively prompted. |
-z | Specifies the offline Windows system to scan. |
user | Specifies the name of the user account for which autorun items will be shown. Specify ‘*’ to scan all user profiles. |
Autorun-вирус. Как он действует?
Из описания функций файла autorun.inf т.е. автозагрузки нам понятно, что по своему предназначению изначально оно носит безобидный характер. Но, смекалистые вирусописатели стали использовать файл автозапуска как эффективный способ распространения вируса worm win32 autorun. Файл autorun.inf сам не является вирусом, он является лишь пусковым механизмом для autorun червя.
Autorun вирусами называются вирусы, распространяющиеся методом копирования исполняемого файла (т.е.своей копии) на съемные носители и прописывающиеся в файл автозапуска autorun.inf. Заражению подвергаются абсолютно все съёмные накопители (флешки, цифровые камеры, mp3-плееры, микро флешки и прочие устройства), если их не защитить должным образом от записи на диск (о том как их защитить я писал в этих статьях).
Как использовать AutoRuns для выявления подозрительного программного обеспечения
Теперь мы хорошо представляем, что может обнаружить AutoRuns, однако на всех скриншотах выше показаны исключительно записи исключительно легитимного программного обеспечения. Как мы узнаем, является ли программа, указанная в AutoRuns, надежной или требующей дополнительной проверки (в частности, вредоносным ПО)?
На изображении выше мы видим, что во вкладке Logon показан созданный ключ запуска для файла ARP Service (выделено красным), который можно найти в следующем месте в реестре:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Это распространенный механизм персистентности, используемый вредоносными программами для «выживания» после перезагрузки. Также мы видим пустые ячейки в столбцах Description (описание) и Publisher (издатель). Само по себе отсутствие описания не означает, что файл является вредоносным, а вот отсутствие подписи и издателя являются поводом для расследования.
В столбце Image Path (путь к образу) можно увидеть место установки программы. В данном случае путь таков: program files\arp service\arpsv.exe.
Поиск этого пути в Google выдает всего два результата, что вызывает сомнения в легитимности программного обеспечения.
Во вкладке запланированных задач также можно увидеть увидеть две строки, относящиеся к программному обеспечению ARP Service, на которое мы обратили внимание
Нажав правой кнопкой мыши на интересующий файл, мы можем отправить его на сайт virustotal.com. Virustotal — это база данных вредоносных программ, в которой можно узнать о том, признан ли конкретный файл вредоносным разными поставщиками антивирусов.
После отправки файла в столбце Virus Total (общее количество вирусов) будет показано, сколько поставщиков антивирусов классифицировали данный файл как вредоносный. На изображении ниже видно, что 55 из 76 поставщиков определили этот файл как вредоносный.
Вот несколько основных советов по выявлению вредоносного ПО с помощью AutoRuns:
-
— ваш друг! В случае малейших сомнений выполните в Google поиск имени файла и его местоположения. Задайте себе вопрос: легитимное ли это ПО и в правильном ли месте оно находится?
-
Проверьте описание на наличие контрольных признаков (например, грамматические ошибки или предположительно случайно сгенерированный текст — это может указывать на то, что AutoRuns обнаружил программное обеспечение, требующее детального изучения.
-
Ищите временные папки. Вредоносные программы часто устанавливаются во временные папки файловой системы. Если у вас есть программа, которая запускается при загрузке устройства, почему она находится во временной папке?
-
Определите хеш файла и перейдите на сайт virustotal.com. Если вредоносное ПО было установлено от имени администратора, оно может храниться где угодно на диске. Убедитесь, что файл является вредоносным, на virustotal.
Признаки заражения флешки
Наличие файла автозапуска на CD диске с игрой означает скорее то, что на диске есть инсталлятор игры. Аналогично, как и на CD диске с фильмом присутствует меню с возможностью установить кодеки для просмотра видео. Однако, присутствие файла autorun.inf на флешке (mp3-плеере, цифровой камере или другом цифровом носителе) уже вызывает подозрение и с большой долей вероятности указывает на присутствие autorun червя на флешке.
Рассмотрим типичный пример зараженного съемного диска:
На рисунке явно видно, что на съемном диске (G:) присутствует скрытый файл autorun.inf и скрытая папка RECYCLER. Анализируя содержимое файла автозапуска, становится понятно, что при автозапуске съемного носителя запускается файл jwgkvsq.vmx (worm win32 autorun) из папки RECYCLER.
Разумеется, для просмотра скрытых файлов и папок в Проводнике, необходимо поставить соответствующую галочку в настройках вида папок (пункт Сервис в меню Проводника – Параметры папок – Вид).
Стоит напомнить, что не всегда файл автозапуска является признаком заражения вирусом worm win32 autorun. Возможно, на флешке присутствует автоматическое меню с набором портативных программ, или же файл autorun.inf указывает только на иконку устройства.
Если при попытке открытия файла autorun.inf система выдает сообщение о том, что доступ к файлу невозможен, скорее всего, система уже заражена и доступ к файлу заблокировал worm autorun.
Рассмотрим работу антивирусной утилиты Antirun в данном случае. При подключении устройства, зараженного вирусом autorun (файл jwgkvsq.vmx), программа Antirun предупредит пользователя о существующей угрозе в всплывающем диалоге в области над системным треем:
На данном диалоге видно, что Antirun распознал автоматически запускающийся файл (jwgkvsq.vmx) и предложил его удалить. Также из данного диалога можно безопасно открыть диск, не запуская файл вируса, просмотреть информацию о диске, либо безопасно извлечь устройство.
Как убрать автозагрузку программ Windows 10
Для включения или отключения автозагрузки достаточно перетянуть ползунок состояния. К сожалению, не со всеми приложениями всё так просто. Например, даже после полного отключения автозапуска uTorrent в настройках программы он также успешно загружается в системе.
Всё изменилось после отключения функции Использования данных пользователя для входа для автоматического завершения настройки устройства и открытия приложений после перезапуска или обновления. См. Как убрать uTorrent из автозагрузки Windows 10.
Важно! Все программы в процессе установки позволяют включить или отключить автозапуск. Если же Вы пропустили этот шаг, ищите опцию непосредственно в настройках программы
Кроме вредоносного софта, там всеми возможными способами ПО попадает в автозагрузку.
Autorunsc Usage
Autorunsc is the command-line version of Autoruns. Its usage syntax is:
Usage: autorunsc
| ]]
Parameter | Description |
---|---|
-a | Autostart entry selection: |
* | All. |
b | Boot execute. |
d | Appinit DLLs. |
e | Explorer addons. |
g | Sidebar gadgets (Vista and higher) |
h | Image hijacks. |
i | Internet Explorer addons. |
k | Known DLLs. |
l | Logon startups (this is the default). |
m | WMI entries. |
n | Winsock protocol and network providers. |
o | Codecs. |
p | Printer monitor DLLs. |
r | LSA security providers. |
s | Autostart services and non-disabled drivers. |
t | Scheduled tasks. |
w | Winlogon entries. |
-c | Print output as CSV. |
-ct | Print output as tab-delimited values. |
-h | Show file hashes. |
-m | Hide Microsoft entries (signed entries if used with -v). |
-s | Verify digital signatures. |
-t | Show timestamps in normalized UTC (YYYYMMDD-hhmmss). |
-u | If VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files. |
-x | Print output as XML. |
-v | Query VirusTotal for malware based on file hash. Add ‘r’ to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the ‘s’ option is specified. Note scan results may not be available for five or more minutes. |
-vt | Before using VirusTotal features, you must accept the VirusTotal terms of service. If you haven’t accepted the terms and you omit this option, you will be interactively prompted. |
-z | Specifies the offline Windows system to scan. |
user | Specifies the name of the user account for which autorun items will be shown. Specify ‘*’ to scan all user profiles. |
Как обезопасить накопитель от вирусов?
Рекомендуем скачать утилиту USB Defender, полезная штука, при этом бесплатная. После скачивания разархивируйте папку, запустите приложение. Оно сразу загрузится, без установки. И если ваша флешка ещё подключена к ПК, то приложение в своём окошке её отобразит. Там же будут две кнопки «protect = защитить» и «unprotect = снять защиту». Выбираем первое =)
Возвращаемся к содержимому флешки. Должна создаться папка от приложения USB Defender, которая будет называться Autorun.inf. Почему такое название? Потому, что если вы вновь наткнетесь на вирус Autorun.inf, то он уже не сможет заменить существующую папку Autorun.inf от USB Defender. Именно в этом и заключается профилактический механизм.