AUTORUNS
v. 11.0
20.09.2011
PORTABLE
FREEWARE
http://technet.microsoft.com/pl-pl/sysinternals/bb963902
Program Autoruns (WinXP / Vista / Win7) pokazuje jakie programy są skonfigurowane do
uruchamiania przy starcie sytemu lub przy logowaniu i wyświetla wpisy w kolejności przetwarzania ich
przez Windows. Programy te obejmują aplikacje zawarte w folderze startowym, Run, RunOnce oraz
w innych kluczach Rejestru. Można skonfigurować program Autoruns aby wyświetlał inne lokalizacje,
w tym rozszerzenia Exploratora, paski narzędzi, obiekty pomocz, zapisy logowania Winlogon, serwisy
autostartowi i znacznie więcej. Program Autoruns jest sposobem obsługi systemu nie mieszczącym
się w narzędziach konfiguracyjnych MS Config.
Przekład:
Robert Wiśniewski
- 2 -
SPIS TREŚCI
1. Autoruns i Autorunsc
2. Wyłączanie i usuwanie wpisów
3. Uzyskiwanie dodatkowych informacji o wpisach
4. Konfigurowanie wyświetlanych lokalizacji i wpisów
5. Zapisywanie, ładowanie i eksport
6. Porównywanie zapisanych wyników
7. Zgłaszanie raportów o wykrytych błędach programu
8. Korzystanie z programu Autorunsc
1. Autoruns i Autorunsc
Copyright © 1996-2009 Mark Russinovich and Bryce Cogswell
Sysinternals
www.sysinternals.com
W archiwum dystrybucyjnym znajdują się dwa programy: Autoruns i Autorunsc. Program Autorunsc
spełnia taką samą funkcję jak Autoruns, ale jest uruchamiany z wiersza poleceń (patrz rozdział 8).
Program Autoruns ma wszechstronną znajomość lokalizacji autostartu i pokazuje jakie programy są
skonfigurowane do uruchamiania podczas startu sytemu lub przy logowaniu oraz jakie rozszerzenia
są ładowane w procesach Windows, w tym Explorer oraz Internet Explorer.
Opcja Hide Signed Microsoft Entries pomaga w przybliżaniu trzeciorzędnych obrazów autostartu
dodawanych do systemu. Z pewnością będziecie zaskoczeni liczbą automatycznie uruchamianych
programów przy starcie.
Program Autoruns działa w środowisku Windows XP i nowszych wersjach, w tym 64-bitowych.
Uwaga: Przed wysyłaniem poczty e-mail z pytaniami dotyczącego tego co wykryliście w lokalizacjach
autostartu przy korzystaniu z programu Autoruns, upewnijcie się czy są to dane aktualne.
Licencja: Nie można rozprowadzać programu Autoruns bez uzyskania zgody firmy Sysinternals.
W celu uzyskania zgody, skontaktować się z adresem
licensing@sysinternals.com
.
2. Wyłączanie i usuwanie wpisów
Gdy nie chcecie aby wpis był aktywny przy następnym uruchamianiu komputera lub przy logowaniu,
można go wyłączyć lub usunąć.
Aby wyłączyć wpis, wystarczy usunąć jego zaznaczenie. Autoruns będzie przechowywał informacje
startowe w osobnym miejscu, aby można było reaktywować wpis po jego sprawdzeniu. Dla wpisów
przechowywanych w folderach startowych, Autoruns tworzy podfolder o nazwie Autorunsdisabled.
Sprawdzać wyłączone wpisy przed ich reaktywacją.
Można również usuwać wpisy, które nie powinny myc uruchamiane. W tym celu wybieramy polecenie
menu Entry | Delete. Usunięte zostaną tylko zaznaczone (podświetlone) wpisy.
Gdy uruchamiamy Autoruns bez uprawnień administratora systemu w Windows Vista, próba zmiany
globalnego wpisu zakończy się komunikatem o braku dostępu. Wyświetlane okienko dialogowe będzie
miało przyciski zezwalające na ponowne uruchomienie Autoruns z przywilejami administratora.
- 3 -
3. Uzyskiwanie dodatkowych informacji o wpisach
Istnieje kilka sposobów uzyskiwania informacji o lokalizacji programów uruchamianych automatyczne
lub wykrytych wpisów. Aby obejrzeć lokalizację lub wpis (w Eksploratorze lub w Rejestrze), wybrać
polecenie menu Entry | Jump to lub podwójnie kliknąć wiersz wpisu albo lokalizacji.
Można również otworzyć okienko dialogowe właściwości aktualnego wpisu przez wybranie polecenia
menu Entry | Properties.
Korzystając z Autoruns, można nawet wyszukiwać w Internecie informacje o aktualnym wpisie przez
wybranie polecenia menu Entry | Search Online.
4. Konfigurowanie wyświetlanych lokalizacji i wpisów
Po uruchomieniu programu Autoruns możemy obejrzeć aktualnie skonfigurowane aplikacje startowe
w odpowiadających im lokalizacjach.
Możemy wykonać nowe skanowanie (po wybraniu odpowiedniej zakładki), które odzwierciedli zmiany
opcji przez odświeżenie wyświetlania.
Everything – Zakładka ta zawiera wszystkie wpisy autostartu bez względu na lokalizację.
Logon – Zakładka ta zawiera wyniki skanowania standardowych lokalizacji autostartu, takich
jak folder Startup dla aktualnego użytkownika lub dla wszystkich użytkowników. Klucze
uruchomieniowe Rejestru Run oraz standardowe lokalizacje uruchamianych aplikacji.
Explorer – Wybranie tej zakładki wyświetla rozszerzenia Explorera, obiekty pomocnicze
przeglądania, paski narzędzi Explorera, aktywne ustawienia programów wykonywalnych i inne.
Internet Explorer – Wpisy tej zakładki pokazują obiekty pomocnicze przeglądarek (BHO),
paski narzędzi i rozszerzenia Internet Explorer.
Services – Wszystkie usługi Windows skonfigurowane do automatycznego uruchamiania przy
starcie systemu.
Drivers – Wyświetlane są tu sterowniki trybu Kernel-Mode zarejestrowane w systemie za
wyjątkiem tych, które są wyłączone.
Scheduled Task – Zadania harmonogramu skonfigurowane do uruchamiania przy starcie
systemu lub przy logowaniu.
AppInit DLLs – Wyświetlane są tu biblioteki DLL zarejestrowane w systemie jako inicjalizatory
aplikacji.
Boot Excecute – Naturalne obrazy (w odróżnieniu od obrazów Windows), które uruchamiane
są w procesie startu systemu.
Image Hijacks – Opcja wykonywalne plików obrazów i pytań wyświetlanych przy starcie.
Known DLLs – Znajdują się tu lokalizacje znanych bibliotek DLL, jakie Windows ładuje do
aplikacji odwołujących się do nich.
Winlogon Notifications – Wyświetla biblioteki DLL zarejestrowane dla wydarzeń Winlogon.
Winsock Providers – Pokazuje zarejestrowane protokoły Winsocks, w tym oferentów usług.
Reklamy Malware często instalują się w ten sposób, ponieważ istnieje mało narzędzi do ich
usuwania. Program Autoruns może je instalować, ale nie może ich wyłączać.
- 4 -
LSA Providers – Pokazuje zarejestrowane urzędy lokalne (LSA), ich autentyczności oraz
pakiety bezpieczeństwa.
Printer Monitor Drivers – Wyświetla biblioteki DLL ładowane prze obsłudze kolejki
drukowania. Znajdują się tu również startowe programy reklamowe Malware.
Sidebar – Wyświetla gadżety Windows Vista (znajdujące się w paskach bocznych)
Gdy w menu Options zaznaczona jest opcja Include Empty Locations, wówczas program Autoruns
nie będzie wyświetlał lokalizacji nie zawierających wpisów.
Opcja Verify Code Signatures znajdująca się w menu Options pojawia się gdy system obsługuje
wersyfikację obrazu i certyfikację listy CRL na stronach Web. Program Autoruns wyświetla komunikat
No Verified obok nazwy firmy jeśli nie ma ona sygnatury autentyczności.
Opcja Hide Microsoft and Windows Entries znajdująca się w menu Options pomaga w identyfikacji
programów, które zostały dodane do systemy podczas instalacji. Program Autoruns dodaje
przedrostki z nazwami wydawców No Verified obok nazwy firmy jeśli nie ma ona sygnatury
autentyczności.
W systemach Windows NT/XP/2000/2003, które mają wiele kont użytkowników, menu User jest
dostępne dla użytkowników o określonych nazwach. Można wybrać jedną z nich do oglądania
informacji o programach uruchamianych podczas startu.
5. Zapisywanie, ładowanie i eksport
Można zapisywać wyniki skanowania poleceniem menu File | Save oraz ładować zapisane wyniki
skanowania poleceniem menu File | Load. Polecenia te korzystają z naturalnych formatów plików
Autoruns, ale można skorzystać z polecenia menu File | Export do zapisywania plików tekstowych
tylko w formacie TXT.
Można również zautomatyzować generowanie naturalnych formatów plików przy korzystaniu z opcji
poleceń wierszowych:
autoruns [[-v] -a <output file>]
Wersja programu Autorunsc przeznaczona do pracy z wierszem poleceń może być skryptowana
i również generuje raporty zakodowane z weryfikacją sygnatur cyfrowych (patrz Rozdział 8).
6. Porównywanie zapisanych wyników
Można porównywać aktualnie wyświetlane wyniki Autoruns z wcześniej zapisanymi wynikami.
W tym celu należy wybrać polecenie menu File | Compare oraz wyszukać porównywany plik.
Program Autoruns wyświetli na zielono nowe wpisy, które odpowiadają wpisom nie istniejącym
w zapisanym pliku.
Podkreśla się, że nie są wyświetlane pliki usunięte.
-v
Weryfikuje sygnatury cyfrowe
-a
Uruchamia automatyczne eksport wyników skanowania do naturalnych formatów plików
Autoruns, po czym zamyka program.
- 5 -
7. Zgłaszanie raportów o wykrytych błędach programu
Gdy zechcemy, możemy wysłać raport o wykrytych błędach programu Bug Report, ale najpierw lepiej
zapoznać się ze stroną forum internetowego
Sysinternals Autoruns forum
aby sprawdzić, czy nie były
one już zgłaszane. Przy wysyłaniu takiego raportu należy dołączyć pełny opis posiadanego systemu
oraz zachowanie programy niezgodne z oczekiwaniem. Prosimy o podawanie wyczerpujących
informacji pozwalających na odtworzenie problemu. Raport należy wysyłać na poniższy adres:
markruss@microsoft.com
.
8. Korzystanie z programu Autorunsc
Program Autorunsc jest wersją Autoruns do korzystania z wiersza poleceń o poniższej składni:
autorunsc [-x] [[-a] | [-b] [-c] [-d] [-e] [-g] [-h] [-i] [-k] [-l] [-m] [-o] [-p] [-r] [-s] [-v] [-w] [[-z <systemroot> userprofile>] | [user]]]
-a Wyświetla wszystkie wpisy
-b Wyświetla wpisy programów wykonywanych przy starcie
-c Drukuje wynik skanowania w postaci pliku CSV
-d Biblioteki DLL AppInit.
-e Dodatki Addons Exploratora Windows
-g Gadżety paska bocznego (Vista i wyższe wersje)
-h Hijacki obrazów.
-i Dodatki Addons Internet Explorera
-l Logowanie startowe (domyślne)
-m Ukryte wpisy Microsoft
-n Protokół Winsock o dostawcach
-p Sterowniki drukarek i monitorów.
-r Dostawcy LSA
-s Serwis autostartu i sterowniki nie wyłączone
-t Zadania harmonogramu
-v Weryfikacja sygnatur cyfrowych
-w Wpisy Winlogon
-x Drukowanie wyników w formacie XML
-z Specyfikowanie systemu Windows do skanowania
user Specyfikowanie nazwy konta użytkownika dla którego ma się odbywać skanowanie.