Autoruns – как пользоваться

Категория: Программы
Добавил: access_timeОпубликовано: 14-04-2021 visibilityПросмотров: 12 510 chat_bubble_outlineКомментариев: 12


Ни для кого не является особым секретом, что большинство процессов в Windows, которая обладает большими возможностями в плане расширения функционала, работают независимо от пользователя. Это системные процессы и различные вспомогательные некритичные службы, например, Windows Audio, благодаря которой на компьютере может воспроизводиться звук. Существует также множество сторонних программ и расширений, которые могут запускаться автоматически вместе с операционной системой и которые с этой точки зрения могут быть как полезными, так и не очень.

Autoruns – как пользоваться

Просмотреть их список можно на вкладке «Автозагрузка» Диспетчере задач, но то, что вы там найдёте — это всего лишь малая часть всех процессов, относящихся к категории автозапуска. Чтобы просмотреть их в максимальном объёме, вам понадобится Autoruns — узкоспециализированная утилита, созданная разработчиками Sysinternals и впоследствии приобретённая Microsoft. Предназначается Autoruns для просмотра и управления точками автозапуска, так называемыми ASEP, которых в современных версиях Windows может насчитываться несколько сотен. 

Говоря более простым языком, это места, из которых может запускаться тот или иной процесс и к которым относятся разные ключи реестра, папка автозапуска и встроенный планировщик заданий. Используя возможности Autoruns, вы можете включать и отключать ASEP, а также получать основной набор сведений о тех процессах, из которых они стартуют. А ещё с помощью Autoruns можно создать нечто вроде эталонной карты точек автозапуска, сравнивая которую с последующими «снимками», выявлять новые элементы автозагрузки после установки стороннего программного обеспечения или обновления системы.


Интерфейс Autoruns

Интерфейс утилиты представлен классическим и графическим меню, набором вкладок для сортировки ASEP и собственно самим списком ASEP. В нижней части рабочего окна программы расположена область сведений о «привязанных» к точкам автозапуска процессах. Каждая строка в списке содержит статус, значок и имя записи автозапуска, краткое описание, название издателя, полный путь к исполняемому файлу процесса. Для более удобной идентификации точек запуска используется цветовая гамма. Так, жёлтый цвет указывает на наличие самого элемента автозапуска, но отсутствие сопоставленной ему программы; розовым цветом помечаются записи, не имеющие описания и/или имени поставщика; голубым выделяются категории точек автозапуска, чисто для удобства.




Что содержат вкладки

По умолчанию все элементы автозагрузки выводятся на вкладке Everything, то есть все, однако в программе реализована возможность их сортировки по типу. Для этого в Autoruns и существуют вкладки. Вкратце рассмотрим их назначение.

• Logon. Содержит элементы автозагрузки текущего пользователя.

• Explorer. Включает элементы расширения оболочки, те же пункты контекстного меню Проводника.

• Internet Explorer. Элементы, стартующие вместе со старым браузером Internet Explorer — расширения и панели.

• Scheduled Tasks. Задачи встроенного планировщика заданий.

• Services. Эта вкладка содержит запускающиеся вместе с системой службы, в том числе службы Microsoft.  

• Drivers. Запускаемые при старте Windows драйвера.

• Codecs. Запускаемые при старте Windows кодеки.



• Boot Execute. Вкладка содержит приложения, которые запускаются при загрузке Windows и выполняют какое-то задание, например, сканирование антивирусом на раннем этапе загрузки или проверка системного раздела утилитой chkdsk.

• Image Hijacks. Так называемые краденные образа, точки автозапуска, из которых стартует не та программа, которую указал пользователь.

• AppInit. Вкладка показывает элементы, которые загружают указанные в разделе реестра Appinit_Dlls библиотеки в процессы, использующие системный файл user32.dll. В современных ОС Windows неактуальна.    

• Known DLLs. Известные библиотеки. После чистой установки Windows рекомендуется создать снимок содержимого этой вкладки, чтобы иметь возможность проверить, не удалили ли вредоносные программы существующие элементы и не заменили ли их поддельными DLL.

• Winlogon. Вкладка отображает библиотеки событий при загрузке Windows.

• Winsock Providers. Автозагружаемые элементы, необходимые для подключения к интернету. По умолчанию скрыты.

• Print Monitors. Элементы автозапуска, необходимые для работы принтера. Системные мониторы печати по умолчанию скрыты.

• LSA Providers. Элементы, связанные с безопасностью сети. Представлены DLL, используемыми процессом Lsass.exe или Winlogon.exe. Скрыты по умолчанию.

• Network Providers. Автозагружаемые элементы, работающие с настройками сети. Скрыты.

• WMI. Элементы из базы данных WMI — инструментария управления Windows.

• Office. Эта последняя вкладка содержит ASEP модулей офисного пакета Microsoft Office, если оный установлен на компьютере.


Что можно и что нельзя трогать в Autoruns

Теперь, когда вы приблизительно знаете назначение ASEP разных категорий, можно переходить к практике, но ещё нужно сказать пару слов о том, что можно и что нельзя трогать в Autoruns. Показ всех системных ASEP в программе отключён в меню Options → Hide Windows Entries, и мы бы не рекомендовали его включать без крайней нужды. Среди системных точек автозапуска имеется немало важных элементов, отключение или удаление которых способно привести к некорректной работе операционный системы или даже невозможности её загрузки. Для начала разумно было бы отключить и показ элементов Microsoft.

Безопасными в Autoruns с отключёнными элементами Hide Windows Entries и Hide Microsoft Entries являются вкладки Logon, Explorer, Internet Explorer Scheduled Tasks и Services, содержимое которых может быть отключено полностью и без опасений, что система завалится. Но и здесь нужно проявлять рассудительность, например, вкладка Services содержит точки автозапуска служб сторонних антивирусов, брандмауэров, эмуляторов, VPN-клиентов и других программ, работающих в фоне.


При работе с Autoruns лучше всего придерживаться следующего правила: отключать можно только те элементы автозагрузки, назначение которых вам хорошо известно. Не рекомендуется без предварительного анализа удалять или отключать элементы, помеченные жёлтым или розовым цветом. Отсутствие описания и имени поставщика само по себе ещё ни о чём не говорит, равно как и их наличие, ибо любой разработчик стороннего ПО может прописать в эти поля любые текстовые данные, подлинным элемент можно считать лишь тогда, когда рядом с названием поставщика будет указано (Verified).


Сама по себе процедура управления автозагрузкой в Autoruns очень проста. Чтобы отключить ASEP, нужно снять расположенный напротив неё флажок, если же вы хотите удалить точку автозагрузки, нужно ее выделить и нажать Ctrl + D либо выбрать в контекстном меню соответствующую опцию. 

В некоторых случаях изменения вступают в силу немедленно, в других потребуется перезагрузка компьютера. Например, мы хотим отключить расширение Проводника, добавляющее в окно просмотра свойств исполняемых файлов вкладку Icon для просмотра и извлечения иконок, не удаляя само расширение. Как нетрудно догадаться, эта ASEP находится на вкладке Explorer. Снимаем флажок, открываем свойства любого exe-файла и видим, что вкладка Icon исчезла.

Подобным образом мы могли бы подчистить контекстное меню Проводника, правда, для этого нам бы пришлось запустить Autoruns с правами администратора и включить показ точек автозапуска Windows. Допустим, мы не пользуемся опциями «Копировать в папку…» и «Переместить в папку…». За отображение этих опций в меню отвечают ASEP «Copy To» и «Move To» в ключе HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers. Снимаем с них галки и видим, что опции исчезли из меню.

Если вы уверены в бесполезности элемента, можете его удалить, но помните, что эта операция является необратимой, по крайней мере для самой Autoruns, поэтому создание системной точки восстановления перед внесением изменений в конфигурацию Windows всё же не помешает.


Проверка элементов автозагрузки на вирусы

Из дополнительных функций Autoruns хотелось бы обратить внимание на опцию Check VirusTotal в контекстном меню, позволяющую с помощью сервиса проверять ASEP на предмет заражения. «Точечная» проверка требует подтверждения со стороны пользователя, также вы можете включить проверку по умолчанию в меню Options → Scan Options, выставив настройки как показано на скриншоте и нажав «Rescan». 

При этом в крайней правой колонке VirusTotal для всех ASEP появится мини-отчёт, представленный двумя цифрами в формате 0/1, где 0 — количество обнаружений, а 1 — количество проверок. Отчёты формируются на базе хэшей, если же контрольная сумма конкретного файла отсутствует в базе VirusTotal, при включенной опции Submit Unknown Images файл будет отправлен на сервер для анализа.

Ну что же, будем, наверное, заканчивать. Говорить о Autoruns можно ещё долго, но и сказанного нами должно быть достаточно для понимания принципов работы с этим мощным инструментом. А ещё главнее понимать, чему служит та или иная точка автозапуска, отключить же её дело одного клика.

tagsКлючевые слова
     Рекомендуем другие статьи по данной теме
Ctrl
Enter
Заметили ошибку
Выделите и нажмите Ctrl+Enter

Добавить комментарий

Комментарии (12)

  1. img
    21 апреля 2021 18:44 Гость Фома
    Гость
    Вопрос, выше вам уже говорили
    Хорошо бы у вас были какие-то доказательства.
    На что вы слились, приплетая знания британских ученых...
    Я же написал - из собственного опыта. А все британские учёные знают...
    А теперь предлагаете кому-то проводить опыты. Да еще и стращая битиём.
    А в правдивости моих слов на этом сайте некоторые когда-то сомневались несколько раз, но всегда были биты скриншотами,
    Вот и подтвердили бы свой опыт скриншотами с указанием какие именно драйвера вызывают проблемы с загрузкой системы. За одно бы еще рассказали зачем вы, получая опыт, те драйвера удаляли и похоже удаляли безразбору.
    Выше вам уже указывалось, что при удалении программ AOMEI (смею надеяться и других вами перечисленных) их встроенными средствами, некоторые драйвера программ могут остаться на диске. Однако, программа удаления из раздела Services реестра удаляет подразделы этих драйверов, поэтому Autoruns ничего из них не видит и отключать/удалять не может. Если же вы или кто-то иной не удалили программы или они по какой-то причине удалились неправильно, то лезть в реестр ручками или Autoruna'ами без разбору крайне опрометчиво.
    П.С. Кстати, чтобы понять какой из драйверов AOMEI Backupper или OneKey Recovery  все же может препятствовать загрузке системы при самоправном его отключении или удалении его информации из реестра, не обязательно даже производить эксперименты. Вполне может быть достаточно взглянуть на его подраздел в разделе Services реестра, после установки программ, перезагрузки или создания раздела восстановления.
    Цитировать replyОтветить
  2. img
    20 апреля 2021 17:50 НиколайНеЧудотворец
    Гость
    Цитата: Врпрос
    Дык я и не в претензиях...

    "Autoruns позволяет отключать и удалять элементы автозапуска. Элементы
    удаляются безвозвратно, так что удаляйте их, только если хотите навсегда
    отключить автозапуск приложения. Выберите элемент в списке и нажмите клавишу Del. Отменить удаление невозможно, поэтому перед удалением элемента появится запрос подтверждения.
    Если отключить элемент, сняв флажок рядом с ним, Autoruns сохранит
    данные для восстановления этого элемента. Например, для ASEP из реестра
    Autoruns создает в исходном разделе подраздел AutorunsDisabled, в который
    копирует отключенный параметр, прежде чем удалить его. Windows не обрабатывает параметры этого подраздела, так что элементы из него запускаться не будут, но Autoruns будет отображать их как отключенные элементы автозапуска. Если снова установить флажок, элемент вернется на исходное место. Для точек ASEP, расположенных в файловой системе, таких как меню Пуск (Start), Autoruns создает скрытую папку AutorunsDisabled, в которую
    перемещает удаленные элементы.
    Обратите внимание на то, что удаление или отключение элемента автозапуска предотвращает автоматический запуск этого элемента в будущем, но не завершает уже запущенные процессы.
    Также учтите, что отключение элементов автозапуска, важных для загрузки, инициализации и восстановления системы может так испортить систему, что восстановить ее будет почти невозможно."

    Руссинович Марк, Маргозис Аарон
    Утилиты Sysinternals. Справочник администратора. / Пер. с англ. — М. :
    Издательство «Русская редакция» ; СПб. : БХВ-Петербург, 2012. гл. 5, стр. 145


    ЗЫ: При чём тут танцы с бубном или поедание мухоморов? На голом энтузиазме далеко не уедешь, классиков надо изучать!
    Цитировать replyОтветить
  3. img
    20 апреля 2021 13:41 Вопрос
    Гость
    Autoruns позволяет делать то же самое – можно просто снять «галочку» с загрузки службы, а саму службу (исполняемый файл, ключ реестра) удалять необязательно: понаблюдайте, как будет вести себя Винда без этой службы, удалить всегда успеется! 

    Дык я и не в претензиях, просто видать то, что Вы разбиратесь в "галочках", а так как админ позиционирует свой сайт - "для компьютерных энтузиастов", а не для "волосатиков-профи", то я и писал про "чайников", для которых программа AnVir Task Manager без "галочек" и прочих "танцев с бубном"  однозначно будет не лучше, а намного удобнее, юзабельнее. "Simplify it" - наш девиз! Не расстраивайтесь, все придет с опытом!
    Цитировать replyОтветить
  4. img
    20 апреля 2021 13:33 Вопрос
    Гость
    вызывает очень большие сомнения. Хотя бы...мог быть...ну не пытался пользовать... я сильно сомневаюсь...
     - то есть из серии - "Я Пастернака не читал, но осуждаю!" smile
    Я же дал инфу, как проверить мой пост - проведите опыт. Других возможностей понять ситуацию с подменой драйверов программами типа Аомей, Акронис или Парагон нет! А в правдивости моих слов на этом сайте некоторые когда-то сомневались несколько раз, но всегда были биты скриншотами, ну да сейчас ситуация иная...Дерзайте одним словом. Как писал наш админ - "Вот Вы попробуйте и расскажите нам, всем будет интересно."
    "Суха теория, мой друг, а древо жизни пышно зеленеет"..
    Йоганн Гете "Фауст"...слова Мефистофеля...
    Цитировать replyОтветить
  5. img
    19 апреля 2021 00:38 Гость Фома
    Гость
    Доказательства? Я же написал - из собственного опыта.
    Значит доказательств у вас нет. Тогда, извините, "и опыт, сын ошибок трудных" вызывает очень большие сомнения. Хотя бы сказали в каких версиях операционных системах тот отрицательный опыт мог быть.
    Не буду говорить про Акронис или Парагон, так как - ну не пытался пользовать. А вот насчет программ AOMEI вы явно что-то начинаете гнать. Похоже даже не представляете какие драйвера они имеют в своем составе, куда ставят их в систему и что происходит с теми драйверами при удалении программы. К вашему сведению в составе AOMEI Backupper и Partition Assistant есть только один драйвер, а именно msahci.sys, который мог бы заменять системный. Этот драйвер в подробностях имеет данные MS AHCI 1.0 Standard Driver 6.1.7601.17514, т.е. он от версии Windows 7, а в самой 7-ке такой же и чтобы система позволяла менять шило на мыло я лично не верю. Да и посмотрел сейчас, в 7-ке у него дата другая, т.е., он там из ее дистрибутива.
    При нормальном, штатном удалении программ AOMEI, они могут не удалить свои драйвера из windows\system32, а вот из раздела Services реестра подразделы о них зачищаются. Поэтому никакя Autoruns ничего по ним не видит и удалять не может. Если же у вас был опыт с неправильно удаленными программами, так бы и надо было говорить. Хотя, даже в этом случае я сильно сомневаюсь в приводимых вами проблемах ибо системных драйверов программы не заменяют.
    Цитировать replyОтветить
  6. img
    18 апреля 2021 17:54 НиколайНеЧудотворец
    Гость
    Цитата:Вопрос 
    AnVir Task Manager - очень удобная программа для "чайников", позволяющая отключать сомнительные загрузки без их удаления, что позволяет при сбое в работе копма вернуть все назад. 

    Autoruns позволяет делать то же самое – можно просто снять «галочку» с загрузки службы, а саму службу (исполняемый файл, ключ реестра) удалять необязательно: понаблюдайте, как будет вести себя Винда без этой службы, удалить всегда успеется!
    Цитировать replyОтветить
  7. img
    18 апреля 2021 10:29 Вопрос
    Гость
    Доказательства? Я же написал - из собственного опыта. А все британские учёные знают то, что лучшее из всех доказательств — опыт. Ибо все наши знания подтверждаются опытами. Запустите Autoruns, удалите найденные ключи от Аомей или Акронис, или Парагон, затем попробуйте перезагрузить компьютер - получится опыт.
    Цитировать replyОтветить
  8. img
    17 апреля 2021 11:45 admin
    Администратор
    Совет из собственного опыта - при работе в Autoruns ни в коем случае не удаляйте найденные следы от ранее установленных и затем удалённых программ от Аомей и Акронис - комп перестанет загружаться, видимо они подменяют системные драйвера своими.

    Здравствуйте! Хорошо бы у вас были какие-то доказательства. Покажите, какие ключи вы удаляли и в каких папках или реестре.
    Цитировать replyОтветить
  9. img
    17 апреля 2021 10:59 Вопрос
    Гость
    Всем привет! Очень полезная статья, спасибо автору. Совет из собственного опыта - при работе в Autoruns ни в коем случае не удаляйте найденные следы от ранее установленных и затем удалённых программ от Аомей и Акронис - комп перестанет загружаться, видимо они подменяют системные драйвера своими.
    AnVir Task Manager - очень удобная программа для "чайников", позволяющая отключать сомнительные загрузки без их удаления, что позволяет при сбое в работе копма вернуть все назад.
    Цитировать replyОтветить
  10. img
    16 апреля 2021 19:56 admin
    Администратор
    Да, есть: https://cloud.mail.ru/public/SPPP/kEXVhEcwR
    но всё же лучше привыкать к английскому
    Цитировать replyОтветить
  11. img
    16 апреля 2021 18:33 Кирил
    Гость
    А есть Autoruns на русском языке?
    Цитировать replyОтветить
  12. img
    16 апреля 2021 18:32 Гость Сергей
    Гость
    Благодарю за статью! Есть ещё Windows Performance Analyzer, но та немного другого направления, больше ориентирована на измерение скорости загрузки. И ещё AnVir Task Manager, тоже неплохая, там даже предупреждение выходит, если какая программа проходит в автозагрузку. 
    Цитировать replyОтветить