Autoruns – безкоштовна програма від Microsoft яка виступає менеджером програм які автоматично завантажуються при старті комп'ютера чи вході в обліковий запис користувача ОС Windows. За допомогою цієї утиліти можна керувати автоматичним завантаженням програм, драйверів, сервісів та іншими компонентами системи.
Завантажити утиліту можна з офіційного сайту learn.microsoft.com (близько 3 Мб). Архів складається з програм: Autoruns та Autorunsc в версіях для 86 та 64 розрядних систем а також версії для ARM процесорів. Утиліти не потребують інсталяції, просто вибираєте необхідну версію та запускаєте.
Що таке Autoruns та Autorunsc та для чого вони потрібні?
Основний сценарій використання цих утиліт це коригування параметрів автоматичного запуску програм та інших елементів операційної системи. Використовуючи утиліту Autoruns ви можете додавати та видаляти ті програми, які автоматично завантажуються операційною системою. Це допоможе прискорити завантаження Windows в силу відключення непотрібних елементів. Також можна виявляти підозрілі програми та віруси на основі даних сервісу Virus Total.
Autorunsc – це версія командного рядка утиліти Autoruns. Вона лише збирає дані та не може вимкнути або видалити жодних записів автозапуску. Ця утиліта дозволяє отримати докладну інформацію про програми, драйвери та служби, які автоматично запускаються під час завантаження системи. Їх розташування в автозапуску, включаючи записи в реєстрі, папці автозапуску, а також відображає розширення оболонки Explorer, панелі інструментів та багато іншого.
Для можливості вносити зміни у порядок автозавантаження, видаляти елементи або редагувати ключи реєстру потрібно запускати Autoruns з правами адміністратора.
Крім того утиліта дозволяє робити знімки автозавантаження. Це допоможе при пошуку елементів які викликають помилки в роботі системи чи в окремих програмах.
Основи та детальний огляд утиліти Autoruns
Основне вікно утиліти містить багато вкладок з програмами в автозавантаженні які для зручності розділені на категорії.
Розглянемо вкладки більш детально:
- Logon (Вхід) – відображає елементи в стандартних місцях автозапуску, такі як папка «Startup (Пуск)» для поточного користувача або всіх користувачів, розділ реєстру «Run (Виконати)».
- Explorer (Провідник) – виберіть цей пункт, щоб переглянути розширення оболонки провідника, допоміжні об'єкти браузера, панелі інструментів провідника та активні розширення налаштувань.
- Internet Explorer - у цьому пункті показано допоміжні об'єкти браузера, панелі інструментів та розширення Internet Explorer.
- Services (Служби) - відображає усі служби Windows, налаштовані на автоматичний запуск під час завантаження системи.
- Drivers (Драйвери) - показано усі драйвери режиму ядра, зареєстровані у системі, окрім тих, які вимкнено.
- Scheduled Tasks (Заплановані завдання) – активні завдання планувальника завдань які налаштовані на запуск під час завантаження ОС або входу користувача до системи.
- AppInit DLLs - тут показано бібліотеки DLL, зареєстровані як бібліотеки для ініціалізації програм.
- Boot Execute – записи в реєстрі які запускаються на початку процесу завантаження та визначають поведінку при запуску системи.
- Image Hijacks (Захоплення образів) – параметри виконання файлів образів і автозапуску командного рядка.
- Known DLLs (Відомі DLL) – показує розташування бібліотек DLL, які Windows завантажує у програми, що на них посилаються.
- Winlogon Notifications (Сповіщення Winlogon) – відображає бібліотеки, які зареєстровано для отримання сповіщень про події входу до системи.
- Winsock Providers (Провайдери Winsock) - зареєстровані протоколи та постачальники послуг Winsock.
- LSA Providers (Постачальники LSA) – реєстрація пакетів автентифікації, сповіщень та безпеки.
- Printer Monitor Drivers (Драйвери принтера) - бібліотеки, які завантажуються у службу спулінгу друку.
- Office (Офіс) - додатки та надлаштування Microsoft Office.
- Codecs (Кодеки) - інстальовані кодеки.
- WMI - записи споживачів WMI.
- Everything (Все) – цей пункт відображає всі записи в одному списку.
Як прискорити завантаження Windows за допомогою Autoruns
Для того щоб зменшити час на завантаження системи потрібно уважно переглянути вкладку «Logon», «Scheduled Tasks» та «Services». Виявити що за програми знаходяться у списку та чи вони дійсно там потрібні. Часто там можна побачити доповнення до драйверів, браузери які стартують разом із системою, різноманітні плагіни, месенджери та хмарні сервіси. Що саме видалити а що залишити потрібно вирішувати самостійно в залежності від особистих потреб.
Наступний крок – передивитися весь список програм у вкладці «Everything» на предмет наявності елементів (програм чи бібліотек) яких більше нема. Причин чому це сталося може бути багато, деінсталяція більш непотрібних програм, оновлення чи перехід до інших версій компонентів. Ці пункти відображаються жовтим кольором та у колонці «Image Path» мають запис «File not found…». В системі цих елементів більше нема але записи залишилися. Кожного разу при запуску система звертатися до цих елементів та пробує їх знайти.
Щоб прибрати програму із автозавантаження достатньо просто зняти галочку з непотрібного елементу у списку.
Як за допомогою Autoruns виявити підозріле ПО та віруси
До цього моменту ми розглядали лише ті програми які самостійно встановлювали в системі, або ж системні програми та утиліти. Щоб знайти підозріле програмне забезпечення чи віруси потрібно звернути увагу на колонку «Virus Total». У підозрілих елементів ці значення виділяються червоним кольором. Дуже часто в них нема ніякого опису (Description) та не вказано видавця (Publisher). Де саме знаходиться програма чи вірус можна узнати з колонки «Image Path».
Далі потрібно зняти галочку а краще видалити підозріле ПО. Для цього в загальному списку виділимо необхідний елемент та в контекстному меню виберемо пункт «Delete» або можна натиснути комбінацію кнопок Ctrl + D
Будь-який елемент у списку можна перевірити на віруси вибравши в контекстному меню пункт «Check VirusTotal». Трохи зачекавши у відповідній колонці з’являться значення перевірки. А клацнувши по них перейти на сайт та ознайомитися з детальним звітом перевірки.
Підозрілі записи можуть бути де завгодно. Окрім раніш згаданих вкладок «Logon», «Scheduled Tasks» та «Services» також слід звернути увагу на:
- Winsock Providers. Шкідливе програмне забезпечення часто встановлює себе як постачальника послуг Winsock, оскільки мало які інструменти можуть їх видалити.
- Printer Monitor Drivers. Буває шкідники використовують цю директорію для самозапуску.
- Image Hijacks. Ключ реєстру для запуску звичайної програми насправді запускає процес шкідливого віруса.
Та не потрібно обмежуватися лише цими вкладками, краще передивитися цілком весь список та зачекать у «Virus Total» підозрілі елементи. Інколи буває що знайдений підозрілий або шкідливий файл не вдається видалити. Програма видає помилку або навіть «вилітає». В цьому випадку треба виділити необхідний запис у загальному списку та в контекстному меню вибрати пункт «Jump to Entry». Після цього відкриється редактор реєстру саме на потрібному ключі, де необхідний запис вже можна буде видалити. Та дивіться уважно що саме видаляєте, при необережності можна зламати систему.